TEST OPRÁVNENÉHO ZÁUJMU – VZOR A POZNÁMKY

október 31st, 2018 Posted by Nezaradené No Comment yet

Od účinnosti Všeobecného nariadenia o ochrane osobných údajov (“GDPR“) už uplynulo 5 mesiacov, ale niektoré jeho pojmy sú stále pomerne “mystické”. Napríklad taký test proporcionality (alebo vyváženosti) oprávneného záujmu. Okrem testov, ktoré som sama pre klientov vypracovala, som stále nevidela žiaden iný zmysluplný test oprávneného záujmu, a to napriek tomu, že usmernenie Európskeho výboru pre osobné údaje o transparentnosti odporúča tieto testy, alebo aspoň ich najdôležitejšie časti, zverejniť. Šíria sa o nich rôzne povery a zaručené správy, ako napríklad, že testy musia mať iba veľké organizácie a malých sa netýka. To nie je pravda. Test oprávneného záujmu je potrebný vždy vtedy, ak využívate ako právny základ spracúvania osobných údajov oprávnený záujem. Mal by sa vyhotoviť dokonca aj vtedy, ak ide o oprávnený záujem výslovne upravený v GDPR, akým je napríklad priamy marketing.

Prečo je test oprávneného záujmu vôbec potrebný? Potreba posúdenia, či je oprávnený záujem skutočne dostatočný a legitímny, vychádza zo samotného znenia čl. 6 ods. 1 písm. f) GDPR, ktorý hovorí o tom, že právnym základom spracúvania je, ak:

f) spracúvanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby,ktoré si vyžadujú ochranu osobných údajov, najmä ak je dotknutou osobu dieťa.

Ak chcete teda použiť ako právny základ spracúvania oprávnený záujem, musíte sa teda najskôr uistiť, že nejde o prípad, kedy by nad oprávnenými záujmami prevažovali záujmy alebo základné práva a slobody dotknutej osoby.

Preto by prevádzkovateľ mal ešte pred začiatkom spracúvania vypracovať dokument, ktorému sa hovorí „test oprávneného záujmu“ alebo „test vyváženosti“ či „test proporcionality“. V anglickej terminológii sa vžil pojem „LIA test“ (Legitimate Interest Test). Tento test by mal odpovedať na tri základné otázky:

  • Je záujem, pre ktorý údaje spracúvam, skutočne oprávneným záujmom?
  • Aké údaje budem spracúvať, aby som vedel preukázať, že ich spracúvanie je nevyhnutné na účel konkrétneho oprávneného záujmu?
  • Je oprávnený záujem dosť silný, aby vyvážil obmedzenie záujmov, práv a slobôd dotknutej osoby?

 

Podrobnejšie som o stanoviskách a odporúčaniach DPN písala vo svojom článku už tu https://rybanova.sk/opravneny-zaujem-podla-gdpr/, kde môžete nájsť aj link na podrobné usmernenie DPN o oprávnenom záujme a link na pôvodné znenie testu.

Upozornenie: Dotazník, ktorý na vyhotovovanie testov používame v našej kancelárii vychádza metodiky DPN, ktoré vlastní k nemu všetky autorské práva. Nejde o oficiálne usmernenie na to oprávneného úradu. Náš preklad je neoficiálny, pracovný, vychádza zo zverejneného dotazníka textu k 25.05.2018 bez ohľadu na prípadné neskoršie úpravy. Za vyplnenie a presvedčivosť testu zodpovedá každý prevádzkovateľ sám. Pripojený dotazník nie je konkrétnou právnou radou, testy by mali vždy zohľadňovať individuálne okolnosti u každého prevádzkovateľa.

Dotazník, ktorý používame, je v tabuľkovej forme. Pre účely tohto článku je prepísaný do prostého dokumentu. Ak máte záujem o tabuľkovú formu dotazníka alebo o vyhotovenie dotazníka pre Váš konkrétny oprávnený záujem, prosím, kontaktujte nás na adrese: rybanova@rybanova.sk (tel.č. 0905 567736)

 

 

TEST ROVNOVÁHY OPRÁVNENÉHO ZÁUJMU A ZÁUJMOV, PRÁV A SLOBÔD DOTKNUTEJ OSOBY

vyhotovený na účely uplatnenia právneho základu oprávneného záujmu podľa čl. 6 ods. 1 písm. f)  Nariadenia 2016/679 EÚ o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej ako „GDPR“).

Prevádzkovateľ pri absencii iných záväzných usmernení zo strany verejných orgánov používa pri tomto teste metodiku podľa organizácie Data Protection Network a jej Usmernenie o zisťovaní oprávneného záujmu  https://www.dpnetwork.org.uk/dpn-legitimate-interests-guidance/

Poznámka: Preklad dotazníka vyhotovila AK RYBANOVÁ&PARTNERS, s.r.o. (www.rybanova.sk) (ďalej ako “AKRP”) Upozorňujeme, že dotazník nie je oficiálnym výkladom GDPR a jeho použitie nezaručuje automaticky zákonnosť a dostatočnosť posúdenia oprávneného záujmu podľa GDPR. Podrobnejšie informácie sú v publikácii: https://rybanova.sk/opravneny-zaujem-podla-gdpr/

 

Prevádzkovateľ: [•]

Označenie systému, v ktorom sa spracúvajú osobné údaje: [•]

 

ČASŤ A: URČENIE OPRÁVNENÉHO ZÁUJMU

Otázka A.1:

Aký je účel spracovania osobných údajov?

 

Usmernenie DPN:

Úvodné otázky sú dôležité na identifikovanie oprávneného záujmu – teda aký je účel spracúvania osobných údajov?

 

Odporúčanie a poznámky AKRP:

V tejto časti popisujeme spracúvanie, nie len jeho účel, ale aj rozsah spracúvania, zdroje, výstupy, využitie. Ide o prvotnú informáciu o spracúvaní, pre ktoré sa tvorí tento test a mala by obsahovať podstatné informácie.

 

Otázka A.2:

Je spracovanie nevyhnutné na dosiahnutie jedného alebo viacerých cieľov prevádzkovateľa?

 

Usmernenie DPN:

Ak je operácia spracovania potrebná na dosiahnutie zákonného obchodného cieľa, potom je pravdepodobné, že na účely tohto hodnotenia pôjde o oprávnený záujem. Táto  otázka by mala byť zameraná na vaše obchodné ciele, nie na záujmy vašich zákazníkov.

 

Odporúčanie a poznámky AKRP:

Usmernenie DPN k tomuto bodu je pomerne vágne, hovorí o „cieľoch“. Chápeme to tak, že v tomto bode už definujeme konkrétny oprávnený záujem. GDPR pri definícii a použití pojmu „oprávnený záujem“ používa aj pojem „účel“. V tomto bode preto spravidla popíšeme základný predmet podnikania (činnosti) prevádzkovateľa, to ako spracúvanie osobných údajov súvisí s touto jeho činnosťou a na čo slúži (účel). V závere potom sformulujeme konkrétny slovne vyjadrený „oprávnený záujem“ prevádzkovateľa, ktorého sa test bude týkať, a ktorý už má tvoriť samotný právny základ spracúvania a je predmetom testu. Oprávnený záujem je vlastne účel spracúvania, ktorý nemá právny základ v zákone, súhlase, zmluve ani iný právny základ podľa čl. 6 GDPR, napriek tomu je prevádzkovateľ presvedčený, že je legitímny a je možné na tejto účel osobné údaje získavať a spracúvať. Oprávnených záujmov však môže byť v rámci jedného „účelu“ aj viac, vzhľadom na to, že sa vždy rozlišuje aj o KOHO záujem ide. Preto sa v rámci jedného systému rozlišuje oprávnený záujem prevádzkovateľa, samotnej dotknutej osoby alebo tretej osoby.

Napríklad: Oprávneným záujmom prevádzkovateľa, je ochrana majetku prevádzkovateľa v jeho prevádzke (pre kamerový systém), alebo kontrola vstupu tretích osôb do priestorov prevádzkovateľa (pre systém evidencie návštev), priamy marketing (pre mailingové zoznamy).

Pozor, pre niektoré systémy nemusí existovať oprávnený záujem prevádzkovateľa, to v prípade, ak sa spracúvajú údaje výlučne v prospech dotknutej osoby alebo tretej osoby. Spravidla ale bude oprávnených záujmov viac, jednak oprávnený záujem samotného prevádzkovateľa a potom prípadne aj oprávnený záujem dotknutej osoby  tretej osoby (ten je ale predmetom ďalších bodov). V tomto bode sa uvádza oprávnený záujem prevádzkovateľa, ak existuje.

 

Otázka A.3:

Je spracovanie nevyhnutné na dosiahnutie jedného alebo viacerých cieľov inej osoby?

 

Usmernenie DPN:

Pre účely tejto otázky, iná osoba je akákoľvek organizácia alebo osoba, s ktorou môžete zdieľať údaje pre jej vlastné ciele (účely). Aj keď možno potrebujete identifikovať len jeden oprávnený záujem na účely zákona o verejnom záujme – záujem, o ktorý sa chcete spoľahnúť – môže byť užitočné uviesť všetky možné záujmy v procese spracovania, Vaše ako prevádzkovateľa ako aj akejkoľvek tretej strany, ktorá pravdepodobne bude mať oprávnený záujem.

 

Odporúčanie a poznámky AKRP:

V tomto bode možno uviesť ďalšie oprávnené záujmy, tentokrát tretích osôb, iných ako prevádzkovateľ.  U nás sa pôvodne v teste použitý pojem „tretia osoba“ používa pre osoby, ktoré nie sú prevádzkovateľom alebo dotknutou osobou, preto sme nahradili pojmom „iná osoba“, čo môže byť aj samotná dotknutá osoba.

Môže ísť pritom buď o osoby, ktoré údaje priamo získavajú od prevádzkovateľa (ako uvádza usmernenie DPN), ale podľa nášho názoru môže ísť  aj o osoby, ktoré tieto údaje priamo nezískavajú, ale využívajú sa v ich prospech, napríklad klient pri zlepšovaní služieb, zákazník pri ochrane predajne kamerovým systémom.

Príklady oprávnených záujmov inej osoby: oprávnený záujem zákazníka na ochrane jeho majetku a bezpečnosti v prevádzke (pre kamerový systém), oprávnený záujem návštevy byť informovaná alebo zahrnutá do záchranného postupu pre prípady krízovej situácie alebo potreby evakuácie budovy (pre evidenciu návštev).

 

 

Ozázka A.4:

Identifikuje špecificky GDPR, lokálne právo čí ePrivacy Regulation spracovanie ako oprávnenú aktivitu, za predpokladu pozitívneho testu vyváženosti (rovnováhy)?

 

Usmernenie DPN:

Napríklad: Na oprávnené záujmy sa možno spoliehať, keď informácie o dotknutej osobe (vrátane klientov alebo zamestnancov) spracováva skupina spoločností na účely administratívy (bod 48 preambuly GDPR).

 

Odporúčanie a poznámky AKRP:

Preambula GDPR a jeho samotný normatívny text obsahuje viacero príkladov oprávnených záujmov, ktoré možno využiť na priamu podporu oprávnenosti záujmu v tomto teste, napríklad nasledovné:

 

Bod 47 Preambuly GDPR uvádza, že:

Spracúvanie osobných údajov nevyhnutne potrebné na účely predchádzania podvodom tiež predstavuje oprávnený záujem príslušného prevádzkovateľa údajov.

Spracúvanie osobných údajov na účely priameho marketingu možno považovať za oprávnený záujem.

 

Bod 48 Preambuly:

Prevádzkovatelia, ktorí sú súčasťou skupiny podnikov alebo inštitúcií, ktoré sú prepojené s ústredným subjektom, môžu mať oprávnený záujem na prenose osobných údajov v rámci skupiny podnikov na vnútorné administratívne účely vrátane spracúvania osobných údajov klientov alebo zamestnancov.

 

Bod 49 Preambuly:

Spracúvanie osobných údajov v rozsahu nevyhnutne potrebnom a primeranom na účely zaistenia bezpečnosti siete a informačnej bezpečnosti, t. j. schopnosti siete alebo informačného systému odolať na danom stupni dôvernosti poruchám alebo nezákonným alebo úmyselným činom, ktoré narušujú dostupnosť, pravosť, integritu a dôvernosť uchovávaných alebo prenesených osobných údajov, a bezpečnosti súvisiacich služieb ponúkaných alebo dostupných prostredníctvom týchto sietí a systémov orgánmi verejnej moci, jednotkami reakcie na núdzové počítačové situácie (CERT), jednotkami pre riešenie počítačových incidentov (CSIRT), poskytovateľmi elektronických komunikačných sietí a služieb a poskytovateľmi bezpečnostných technológií a služieb predstavuje oprávnený záujem dotknutého prevádzkovateľa údajov. Mohlo by to napríklad zahŕňať zabránenie neoprávnenému prístupu k elektronickým komunikačným sieťam a šíreniu škodlivých programových kódov, ako aj zastavenie útokov sledujúcich cielené preťaženie serverov („denial of service“) a poškodzovanie počítačových a elektronických komunikačných systémov.

 

V čl. 85 GDPR je uvedené, že: Členské štáty právnymi prepismi zosúladia právo na ochranu osobných údajov podľa tohto nariadenia s právom na slobodu prejavu a právom na informácie vrátane spracúvania na žurnalistické účely a na účely akademickej, umeleckej alebo literárnej tvorby.

 

Uplatňovanie a obhajovanie právnych nárokov” je tiež oprávneným záujmom osobitne upraveným v GDPR, vzhľadom na to, že je dokonca jednou z výnimiek, kedy je možné spracúvanie osobitných kategórií osobných údajov (viď čl. 17 GDPR) alebo kedy sa neuplatní právo dotknutej osoby na výmaz údajov (čl. 17 ods. 2 GDPR).

 

Otázka A.5:

Prečo je pre prevádzkovateľa spracovanie dôležité?

 

Usmernenie DPN:

Oprávnený záujem môže byť voliteľný alebo kritický. Aj keby záujem prevádzkovateľa o spracovanie osobných údajov na konkrétny účel bol zrejmý a oprávnený, a to na základe cieľov prevádzkovateľa, musí byť jasne formulovaný a oznámený dotknutej osobe.

 

Odporúčanie a poznámky AKRP:

Opäť je tu usmernenie DPN pomerne vágne. V tomto bode sa spravidla zameriavame na to, či je oprávnený záujem pre podnikanie (činnosť) prevádzkovateľa voliteľný alebo kritický, inými slovami, či je bez neho podnikanie ohrozené. Je zrejmé, že napríklad pri službách spracúvania údajov z verejných zdrojov (napr. analytické servery), je spracúvanie nevyhnutné, kritické. Na druhej strane, napr. pri prevádzkovaní maloobchodnej predajne je spracúvanie osobných údajov prostredníctvom kamerového systému doplnkové, voliteľné.

 

Otázka A.6:

Ak je to relevantné, prečo je spracovanie dôležité pre tretiu osobu, ktorej sa môžu osobné údaje poskytnúť alebo sprístupniť?

 

Usmernenie DPN:

Oprávnený záujem môže byť triviálny alebo kritický, avšak organizácia musí byť schopná jasne vysvetliť, čo to je. Niektoré ciele budú presvedčivé a budú mať väčšiu váhu na pozitívnej strane bilancie, zatiaľ čo iné môžu byť vedľajšie a môžu mať pri záťažovej skúške menšiu váhu. Zvážte, či vaše záujmy súvisia so základným právom, verejným záujmom alebo iným typom záujmu.

Len preto, že spracovanie je kľúčové pre to, čo organizácia robí, neznamená, že je oprávnené. Spracovanie má byť vyvážené, vzhľadom na potenciálny vplyv na práva dotknutej osoby, ktorý je kľúčový.

Je dôležité zvážiť, na koho zákonné záujmy sa prevádzkovateľ odvoláva. Pochopiť to pomôže informovať o kontexte spracovania. V kombinácii s dôvodom spracovávania osobných údajov tieto informácie určujú váhu Oprávneného záujmu (ktorý musí byť vyvážený).

 

Odporúčanie a poznámky AKRP:

Tento bod má potenciálne vysokú váhu pri teste oprávnenosti záujmu. Ak ide totiž o záujem a účel, ktoré je dôležitý a zákonmi rozpoznaný, o to väčšia bude váha tohto záujmu.

 

Príklad: spracúvanie osobných údajov z verejných zdrojov, môže slúžiť na uplatnenie práva verejnosti na informácie, ktoré je garantované čl. 11 Charty základných práv a slobôd EÚ. Tento „oprávnený záujem“ má preto veľkú váhu.

 

Spravidla, ak bude existovať viacero oprávnených záujmov pre jeden „účel“ budú mať najväčšiu váhu tie, ktoré sú priamo upravené v GDPR alebo ktoré sú v prospech samotnej dotknutej osoby, ktorej sa údaje týkajú alebo veľkého množstva tretích osôb (verejnosti), najmä na presadenie niektorého z dôležitých práv a slobôd.

 

 

 

ČASŤ B: URČENIE NEVYHNUTNOSTI

Otázka B.1:

Existuje alternatívny spôsob ako dosiahnuť cieľ aj bez vykonania tejto spracovateľskej činnosti?

 

Usmernenie DPN:

  • Ak neexistuje alternatíva, je zrejmé, že spracovanie je nevyhnutné; alebo
  • Ak existuje alternatíva, ale bude to vyžadovať neprimerané úsilie, spracovanie môže byť stále potrebné; alebo
  • Ak existuje viacero spôsobov na dosiahnutie cieľa, potom posúdenie vplyvu ochrany údajov malo určiť ktoré prostriedky spracovania najmenej zasahujú práva iných osôb (sú najmenej rušivé).

 

Odporúčanie a poznámky AKRP:

Tu by mal prevádzkovateľ zauvažovať a rozviesť, či existuje alternatíva k spôsobu spracúvania, ktorý zvolil. Pri kamerovom systéme by ňou napríklad mohla byť strážna služba. Mal by zvážiť a porovnať tieto alternatívy so spôsobom, ktoré zvolil, a zvážiť, či by vyžadovali neprimerané úsilie alebo nie. Za neprimerané úsilie pre tento bod považujeme aj neprimerane vyššie náklady, než má zvolená alternatíva za to za porovnateľného zásahu do práv tretích osôb (analogicky s existujúcim usmernením Výboru pre ochranu osobných údajov o transparentnosti).

Ak sú alternatívy možné a nevyžadujú neprimerané úsilie, potom by mal prevádzkovateľ zvoliť tú z alternatív, ktorá najmenej zasahuje do práv tretích osôb. Mal by teda v praxi v tomto bode zdôvodniť, že alternatíva, ktorú zvolil je práve tá najmenej rušivá z porovnateľných alternatív.

Ďalšou otázkou, ktorá podľa nášho názoru tak trocha chýba v tejto časti, je určenie rozsahu osobných údajov, ktoré sa spracúvajú. Vieme, že podľa GDPR platí zásada minimalizácie, a teda je potrebné obhájiť aj to, že sa údaje spracúvajú v minimálnom rozsahu, ktorý je nevyhnutný na dosiahnutie účelu. Táto otázka je predmetom aj časti C, ale aspoň v stručnej časti odpovede by mala byť zohľadnená aj v časti B.

 

ČASŤ C: TEST VYVÁŽENOSTI

 

Otázka C.1:

Môže dotknutá osoba očakávať, že sa jej údaje budú spracúvať?

 

Usmernenie DPN:

Ak by dotknutá osoba neočakávala, že sa spracovanie uskutoční, toto by mohol byť hlavný dôvod, pre ktorý jej záujmy prevážia záujmy prevádzkovateľa. Posúďte  očakávania dotknutých osôb, bude táto spracovateľská činnosť v rámci ich rozumných očakávaní? Boli informovaní? Posúďte dôkazy, ktoré by ste mohli mať o ich očakávaniach, že toto spracovanie nastane

 

Odporúčanie a poznámky AKRP:

Toto je z pohľadu váhy jeden z najzásadnejších bodov testu, ako naznačuje aj usmernenie DPN. Vychádza to priamo z GDPR, ktoré v bode 47 Preambuly uvádza:

Oprávnené záujmy prevádzkovateľa vrátane prevádzkovateľa, ktorému môžu byť tieto osobné údaje poskytnuté, alebo tretej strany môžu poskytnúť právny základ pre spracúvanie, ak nad nimi neprevažujú záujmy alebo základné práva a slobody dotknutej osoby, pričom sa zohľadnia primerané očakávania dotknutých osôb na základe ich vzťahu k prevádzkovateľovi. Takýto oprávnený záujem by mohol existovať napríklad vtedy, keby medzi dotknutou osobou a prevádzkovateľom existoval relevantný a primeraný vzťah, napríklad keby bola dotknutá osoba voči prevádzkovateľovi v postavení klienta alebo v jeho službách. Existencia oprávneného záujmu by si v každom prípade vyžadovala dôkladné posúdenie vrátane posúdenia toho, či dotknutá osoba môže v danom čase a kontexte získavania osobných údajov primerane očakávať, že sa spracúvanie na tento účel môže uskutočniť. Záujmy a základné práva dotknutej osoby by mohli prevážiť nad záujmami prevádzkovateľa údajov najmä vtedy, ak sa osobné údaje spracúvajú za okolností, keď dotknuté osoby primerane neočakávajú ďalšie spracúvanie.

Toto posúdene teda zahŕňa to, či je daná osoba vopred informovaná o tom, že sa jej osobné údaje môžu spracúvať, či je podobné spracúvanie obvyklé, či je medzi ňou a prevádzkovateľom určitý bližší vzťah a môže spracúvanie očakávať. Pri kamerovom systéme práve na posilnenie oprávneného záujmu slúži aj riadne označenie priestorov. Pri iných spôsoboch je potrebné dbať na včasné a preukázateľné poskytnutie informácií podľa čl. 12-14 GDPR. Je zrejmé, že pokiaľ dotknutá osoba nemôže primerane očakávať, že sa jej údaje budú spracúvať, je veľmi oslabené postavenie prevádzkovateľa a pravdepodobne jeho test oprávneného záujmu nebude dostatočne presvedčivý (a pri objektívnom posúdení prevádzkovateľom by ani on sám nemal svoj záujem považovať za oprávnený). Ako príklad „neoprávneného“ záujmu môžeme uviesť, ak by napríklad prevádzkovateľ kaderníckeho salónu bez upozornenia  zaznamenával a vyhodnocoval rozhovory zákazníčok s kaderníčkami a následne tieto informácie používal na cielenie reklamy alebo ich poskytoval iným prevádzkovateľom. Akokoľvek absurdne tento príklad znie, v elektronických službách je pomerne časté, že sa prostredníctvom cookies a iných nástrojov zbierajú o užívateľovi informácie nesúvisiace so službou a na účely, ktoré sú výlučne na prospech prevádzkovateľa a nie užívateľa. Takéto spracúvanie by teda tiež nemalo úspešne prejsť testom oprávneného záujmu a prevádzkovateľ by mal od neho upustiť, najmä s ohľadom na neexistenciu očakávania dotknutej osoby, že sa takto jej údaje spracúvajú.

 

Otázka C.2:

Zvyšuje spracúvanie hodnotu služby alebo tovaru, ktoré dotknutá osoba využíva?

 

Usmernenie DPN:

Ak spracovanie zvyšuje hodnotu pre dotknutej osoby, toto môže posilniť odôvodnenosť oprávneného záujmu.

 

Odporúčanie a poznámky AKRP:

Spracúvanie, ktoré je na prospech dotknutej osoby samotnej a nie výlučne na prospech prevádzkovateľa, bude mať vyšší „ranking“ pri hodnotení oprávneného záujmu. To platí najmä pre elektronické služby. Cielenie reklamy môže byť tiež na prospech dotknutej osoby, ak sa jej zobrazuje reklama pre ňu relevantná. Kamerový systém nezaručuje len bezpečnosť majetku (tovaru) prevádzkovateľa, ale aj jeho zamestnancov a zákazníkov (pred bezpečnostnými incidentami, útokmi, vreckovými krádežami apod.) Prevádzkovateľ by sa mal zamyslieť, aké výhody má spracúvanie pre dotknutú osobu.

 

Otázka C.3:

Je pravdepodobné, že spracúvanie negatívne ovplyvní práva dotknutej osoby alebo jej záujmy?

 

Usmernenie DPN:

V tejto súvislosti by sa malo zvážiť, či by spracovanie mohlo viesť k diskriminácii, finančným stratám, poškodeniu dobrého mena, porušeniu mlčanlivosti alebo profesného tajomstva alebo mať za dôsledok akékoľvek iné ekonomické alebo sociálne znevýhodnenie. (Upozorňujeme, že toto nie je vyčerpávajúci zoznam). Znemožňuje spracúvanie kontrolu dotknutej osoby nad jej osobnými údajmi? (Pozri bod 75 preambuly GDPR).

 

Odporúčanie a poznámky AKRP:

Usmernenie UPN tu je pomerne stručné, práve toto je však jeden z najzložitejších bodov testu oprávneného záujmu. Jedna vec je, zdôvodniť oprávnenosť záujmu, druhá, rovnako dôležitá, je vyhodnotiť, či základné práva a slobody alebo záujmy dotknutej osoby neprevažujú nad oprávneným záujmom

Na ten účel je potrebné najprv vedieť, čo je vlastne  základnými právami a slobodami dotknutej osoby a čo môžu byť jej záujmy.

Samotné GDPR ustanovuje v čl. 1 ods. 2 svoj účel nasledovne:

  1. Týmto nariadením sa chránia základné práva a slobody fyzických osôb, najmä ich právo na ochranu osobných údajov.

Právo na ochranu osobných údajov je základné právo podľa čl. 8 Charty základných práv Európskej únie.

Charta základných práv Európskej únie (viď https://eur-lex.europa.eu/legal-content/SK/TXT/HTML/?uri=CELEX:12012P/TXT&from=SK)  chráni aj množstvo ďalších práv a slobôd, predovšetkým nasledujúce:

právo na ľudskú dôstojnosť (čl.1), právo na život (čl. 2), právo na nedotknuteľnosť osoby (čl. 3), právo na slobodu a bezpečnosť (čl. 6), právo na rešpektovanie súkromného a rodinného života, obydlia a komunikácie (čl. 7), právo na ochranu osobných údajov (čl. 8), právo uzavrieť manželstvo a založiť rodinu (čl. 9), slobodu myslenia, svedomia a náboženského vyznania (čl. 10), slobodu prejavu a právo na informácie (čl. 11), slobodu zhromažďovania a združovania (čl. 12), slobodu umenia a vedeckého bádania (čl. 13), právo na vzdelanie (čl. 14), slobodnú voľbu povolania a právo na prácu (čl. 15), slobodu podnikania (čl. 16) a pod.

Pre účely aplikácie GDPR, ktoré v niektorých bodoch používa pojem „základné práva a slobody“ a v iných „práva a slobody“ sa slovenský Úrad na ochranu osobných údajov obrátil na Európsku komisiu so žiadosťou o definovanie, ktoré práva a slobody sú “základné”. Túto komunikáciu môžete nájsť na stránke úradu  a je užitočná aj ako podrobný zoznam práv a slobôd. Viď https://dataprotection.gov.sk/uoou/sites/default/files/otazka_uoou.pdf  Z odpovede Európskej komisie (dostupná na https://dataprotection.gov.sk/uoou/sites/default/files/odpoved_ek_0.pdf) vyplýva, že by sa mali brať do úvahy všetky práva ustanovené Chartou základných práv a slobôd Európskej únie.

Najčastejšie dotknutým právom bude nepochybne právo na súkromie. Sledovanie osoby, zaznamenávanie jej elektronickej komunikácie, nákupov, správania a pod. môže byť (s ohľadom na dôsledky a účely) obmedzením aj niektorého z iných práv, obmedzením práva na súkromie bude však takmer vždy. Preto v tomto bode bude potrebné vždy zobrať minimálne do úvahy právo na ochranu súkromia a vyhodnotiť, ako je ovplyvnené spracúvaním. V ďalších bodoch sa potom vyhodnocuje, či je zásah primeraný.

Pokiaľ ide o záujmy, tu odkazuje usmernenie (ale aj odpoveď Európskej komisie) na bod 75 Preambuly GDPR, v ktorom sa uvádzajú riziká pre dotknuté osoby, ktoré by mohli v dôsledku spracúvania vzniknúť. Možno teda analogicky vykladať toto usmernenie tak, že „záujem“ dotknutej osoby je, aby žiadne z týchto rizík nenastali. Prevádzkovateľ by mal preto v tomto bode a v nasledujúcich (najmä bod 5 v tejto časti) posúdiť, či niektoré z rizík spracúvaním vznikne alebo sa zvýši:

„Riziko pre práva a slobody fyzických osôb s rôznym stupňom pravdepodobnosti a závažnosti môžu vyplývať zo spracúvania osobných údajov, ktoré by mohlo viesť k ujme na zdraví, majetkovej alebo nemajetkovej ujme, a to najmä ak spracúvanie môže viesť k diskriminácii, krádeži totožnosti alebo podvodu, finančnej strate, poškodeniu dobrého mena, strate dôvernosti osobných údajov chránených profesijným tajomstvom, neoprávnenej reverznej pseudonymizácii alebo akémukoľvek inému závažnému hospodárskemu alebo sociálnemu znevýhodneniu; ak by dotknuté osoby mohli byť pozbavené svojich práv a slobôd alebo im bolo bránené v kontrole nad svojimi osobnými údajmi; ak sa spracúvajú osobné údaje odhaľujúce rasový alebo etnický pôvod, politické názory, náboženstvo alebo filozofické názory a členstvo v odborových organizáciách, a ak sa spracúvajú genetické údaje, údaje týkajúce sa zdravia či údaje týkajúce sa sexuálneho života alebo uznania viny zo spáchania trestného činu a priestupku či súvisiacich bezpečnostných opatrení; ak sa posudzujú osobné aspekty, najmä ak sa analyzujú alebo predvídajú aspekty týkajúce sa výkonnosti v práci, majetkových pomerov, zdravia, osobných preferencií alebo záujmov, spoľahlivosti alebo správania, polohy alebo pohybu, s cieľom vytvoriť alebo používať osobné profily; ak sa spracúvajú osobné údaje zraniteľných fyzických osôb, najmä detí; alebo ak spracúvanie zahŕňa veľké množstvo osobných údajov a má dôsledky na veľký počet dotknutých osôb.“

 

Otázka C.4:

Naruší alebo znemožní spracovanie práva dotknutých osôb alebo ich uplatnenie?

 

Usmernenie DPN:

Ak by spracovanie narušilo alebo znemožnilo schopnosť uplatňovať tieto práva v budúcnosti, to by mohlo narušiť rovnováhu práv.

 

Odporúčanie a poznámky AKRP:

Ak sa v bode 3 identifikovalo, že sú dotknuté niektoré základné slobody dotknutej osoby, v tomto bode by bolo potrebné rozobrať podrobnejšie, ako sú dotknuté, aký vplyv spracúvania možno očakávať, v akom čase a pod. S ohľadom na formuláciu otázky, je potrebné najmä odpovedať na to, či spracúvanie neovplyvni práva dotknutej osoby na dlhší čas, do budúcnosti, či ich nejakým spôsobom trvalo nelimituje.

 

Otázka C.5:

Je pravdepodobné, že spracovanie spôsobí dotknutej osobe neočakávané poškodenie alebo ohrozenie?

 

Usmernenie DPN:

Nie je.

 

Odporúčanie a poznámky AKRP:

Tu by bolo vhodné popísať podrobnejšie, aká je miera pravdepodobnosti niektorého z rizík (rozporu so záujmom dotknutej osoby), identifikovaného v bode 3 vyššie.

 

Otázka C.6:

Nastalo by neočakávané poškodenie alebo ohrozenie, ak by sa spracúvanie neuskutočnilo?

 

Usmernenie DPN:

Nie je.

 

Odporúčanie a poznámky AKRP:

V tomto bode sa sústredíme na dotknuté osoby. Je vhodné prejsť znova zoznam rizík podľa bodu 75 Preambuly z opačnej strany, teda odpovedať na otázku: zvýšilo by sa niektoré tu uvedené riziko, ak by sa spracúvanie neuskutočnilo?

Napríklad: Kontrola identity návštevy v zdravotníckom zariadení. Na jednej strane, zasahuje do súkromia dotknutej osoby. Na druhej strane, vylučuje to, aby sa v zdravotníckom zariadení pohybovali osoby, ktoré tam nemajú dôvod byť, zároveň slúži na to, aby sa vylúčil prístup nepovolanej osoby do priestorov, kde sa poskytuje zdravotnícka starostlivosť a uchováva dokumentácia – slúži teda zároveň aj na zmiernenie rizík pre dotknuté osoby.

 

Otázka C.7:

Poškodilo by prevádzkovateľa, ak by sa spracovanie neuskutočnilo?

 

Usmernenie DPN:

Malo by na prevádzkovateľa negatívny organizačný alebo obchodný dopad, ak by sa spracovanie neuskutočnilo?

 

Odporúčanie a poznámky AKRP:

Toto ustanovenie nadväzuje na bod 5 v časti A – teda dôležitosť spracúvania pre prevádzkovateľa. V tomto bode možno podrobnejšie rozvinúť negatívne vplyvy pre prevádzkovateľa. Samozrejme, ak je spracúvanie samotným predmetom činnosti prevádzkovateľa (napríklad spracúvanie informácií o lokalite pre aplikáciu poskytujúcu navigáciu v reálnom čase), nespracúvanie by malo kritický dopad. V iných prípadoch by však mohlo mať iba minimálny alebo triviálny dopad. Úroveň negatívneho dopadu nespracúvania na prevádzkovateľa bude potrebné v závere porovnať s úrovňou dopadu na dotknuté osoby podľa vyššie uvedených bodov tejto časť B.  a vyhodnotiť ich pomer.

 

Otázka C.8:

Prípadne, poškodilo by niektorú tretiu stranu, ak by sa spracovanie neuskutočnilo?

 

Usmernenie DPN:

Malo by na niektorú tretiu stranu negatívny organizačný alebo obchodný dopad, ak by sa spracovanie neuskutočnilo?

 

Odporúčanie a poznámky AKRP:

Toto ustanovenie nadväzuje na bod 6 v časti A – teda dôležitosť spracúvania pre tretiu stranu, ako je prevádzkovateľ alebo dotknutá osoba, teda tretiu stranu, ktorá získava informácie o osobných údajov alebo benefituje z ich spracovania.

V tomto bode možno podrobnejšie rozvinúť negatívne vplyvy prípadného nespracúvania osobných údajov pre tretie osoby, či už konkrétne – zmluvných partnerov prevádzkovateľa alebo verejnosť.

V príklade uvedenom vyššie, napríklad informácie o lokalizácii ostatných vozidiel umožňujú navigácii v reálnom čase informovať ostatných vodičov o zápchach a prekážkach v premávke. Rovnako úroveň negatívneho dopadu nespracúvania na tretie osoby bude potrebné v závere porovnať s úrovňou dopadu na dotknuté osoby  a vyhodnotiť ich pomer.

 

Otázka C.9:

Je spracovanie v záujme osoby, ktorej osobné údaje sa spracúvajú?

 

Usmernenie DPN:

Sústreďte sa na prípadné benefity.

 

Odporúčanie a poznámky AKRP:

Toto ustanovenie pridáva na váhu oprávneného záujmu prevádzkovateľa aj prípadné benefity pre dotknuté osoby. Na to, aby bol záujem oprávnený, je vhodné identifikovať a odôvodniť čo možno najviac benefitov pre dotknutú osobu, ak existujú. Toto ustanovenie je mierne duplicitné s otázkou 6 v tomto bode C, ale na rozdiel od negtív „nespracúvania“ by sa tu mali uviesť pozitíva spracúvania.

 

Otázka C.10:

Sú záujmy dotknutej osoby v súlade s tým, kto posudzuje svoj oprávnený záujem na spracovaní (prevádzkovateľom)?

 

Usmernenie DPN:

Aké sú prínosy pre dotknutú osobu alebo pre spoločnosť?

 

Odporúčanie a poznámky AKRP:

Tu sa naše odporúčanie odchyľuje od usmernenia DPN. Toto ustanovenie by malo predovšetkým objasniť, či sú záujmy dotknutej osoby a prevádzkovateľa vzájomne zlučiteľné alebo sú protikladné (antagonistické). Závisí to samozrejme najmä od vzťahu prevádzkovateľa a dotknutej osoby, ktorý sa tiež popisuje nižšie, najmä od toho, či prevádzkovateľ nejako kontroluje dotknutú osobu, môže mať na jej život vplyv, ktorý je dôležitý alebo negatívny.

Napríklad v prípade spomenutého kamerového systému, môžu byť záujmy dotknutej osoby a prevádzkovateľa v protiklade vtedy, ak je kamerový systém inštalovaný na miestach, kde môže táto osoba oprávnene očakávať zvýšenú mieru súkromia a kde je nízke riziko ohrozenia jej bezpečnosti (napríklad uzavretá kabína na prezliekanie) a kde jej na druhej strane, v prípade spracúvania osobných údajov (napríklad podobizne) hrozí zvýšené riziko ohrozenia jej záujmov (zo záujmov uvedených v bode 75 preambuly GDPR spomeňme napríklad riziko poškodenia dobrého mena zverejnením súkromných záberov).  Samozrejme, o čo je vyšší súlad záujmu prevádzkovateľa a dotknutej osoby, o to je väčšia váha oprávnenosti záujmu.

 

Otázka C.11:

Aké je prepojenie medzi dotknutou osobou a prevádzkovateľom?

 

Usmernenie DPN:

Identifikácia prepojenia:

Existujúci zákazník

  • bývalý zákazník
  • Zamestnanec alebo dodávateľ služieb
  • Klient (obchodný)
  • Možný klient (ešte nenakupoval)
  • Dodávateľ tovaru
  • Nič z toho

 

Odporúčanie a poznámky AKRP:

V tomto bode DPN odporúča presne definovať charakter vzťahu medzi dotknutou osobou a prevádzkovateľom. Na podporu oprávnenosti záujmu totiž je, ak je medzi prevádzkovateľom a dotknutou osobou určitý regulovaný vzťah, na druhej strane na ťarchu oprávneného záujmu je, ak sa zbierajú a spracúvajú osobné údaje dotknutých osôb náhodne alebo plošne, bez existencie zmluvného vzťahu (napríklad monitorovaním verejného priestoru).

 

Otázka C.12:

Aký je charakter údajov, ktoré sa majú spracovať? Majú údaje tohto druhu v GDPR špeciálnu ochranu?

 

Usmernenie DPN:

Aké typy osobných údajov sa spracúvajú napr. kontaktné údaje, finančné údaje atď.? Sú to údaje týkajúce sa dieťaťa? Pri spracúvaní osobitných kategórií osobných údajov sa okrem zákonného základu podľa článku 6 musí uviesť aj podmienka (výnimka) podľa článku 9.

 

Odporúčanie a poznámky AKRP:

GDPR obsahuje osobitnú úpravu – čl. 9 – ktorá sa týka tzv. osobitných kategórií osobných údajov, ide o údaje ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie alebo členstvo v odborových organizáciách, a spracúvanie genetických údajov, biometrických údajov na individuálnu identifikáciu fyzickej osoby, údajov týkajúcich sa zdravia alebo údajov týkajúcich sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby.

Pre tieto osobitné kategórie platí, že okrem právneho základu podľa čl. 6 GDPR je pre ne potrebné preukázať aj jednu z výnimiek podľa čl. 9 ods. 2 GDPR. Tie je vhodné uviesť priamo v teste.

Na to, aby oprávnený záujem odôvodňoval spracúvanie aj tohto typu údajov, bude musieť byť „silnejší“ mať vyššiu váhu, ako napríklad pre spracúvanie bežných kontaktných alebo zákazníckych údajov.

Osobitným typom osobného údaja svojho druhu, podľa slovenských predpisov, je aj rodné číslo, ktorému je priznaná osobitná ochrana podľa § 78 ods. 4 zákona 18/2018 Z.z. o ochrane osobných údajov. Ten umožňuje jeho spracúvanie len ak je to „nevyhnutné“, oprávnený záujem by takomto prípade mal dostatočne odôvodňovať nevyhnutnosť.

Ďalším osobitným typom osobných údajov sú osobné údaje detí (podľa slovenskej úpravy sú nimi fyzické osoby do 16 rokov).

Osobitným typom môžu byť aj osobné údaje zamestnancov, vzhľadom na nerovnovážny vzťah zamestnávateľa a zamestnanca (čl. 88 GDPR a usmernenie Pracovnej skupiny 29 (teraz už Európskeho výboru pre osobné údaje) k súhlasu (dostupné v slovenčine napríklad tu: https://dataprotection.gov.sk/uoou/sites/default/files/usmernenia_k_suhlasu.pdf).

Ak teda spracúvané údaje zahŕňajú niektorý z týchto typov údajov, bude potrebné osobitne „posilniť“ váhu oprávneného záujmu, aby ho neprevážili práva dotknutej osoby.

 

 

Otázka C.13:

Je nejaký dvojstranný vzťah medzi osobou, ktorej údaje sa spracúvajú a prevádzkovateľom? Ak áno, ako je tento vzťah blízky?

 

Usmernenie DPN:

Ak existuje trvalý vzťah, alebo dokonca formálnejší vzťah, môže existovať vyššia miera očakávania zo strany dotknutej osoby, že jej informácie budú spracované prevádzkovateľom. Platí však tiež opak, čo ale závisí od účelu spracovania.

 

Zvážte povahu vzťahu, je:

  • Pokračujúci
  • Opakovaný
  • Jednorazový
  • Vzťah nie je alebo sa skončil

Odporúčanie a poznámky AKRP:

Táto otázka opakuje, čo už bolo pravdepodobne riešené v otázke C.11 vyššie. V tomto bode sa zameriavame na písomné alebo ústne dohody, ak existujú a na obsah ustanovení o osobných údajov a účeloch ich spracúvanie, ak sú nejaké pravidlá dohodnuté. Existencia dvojstranného vzťahu, ideálne zmluvného, je posilnením oprávneného záujmu a zvyšuje mieru, v ktorej môže dotknutá osoba spracúvanie očakávať.

 

 

Otázka C.14:

Sú osobné informácie získané priamo od dotknutej osoby alebo získané nepriamo?

 

Usmernenie DPN:

Zvážte, či boli zhromaždené osobné údaje:

  • priamo
  • nepriamo
  • kombináciou oboch prístupov

Ak boli informácie získané priamo od dotknutej osoby, treba sa zamerať aj na riadne, spravodlivé a transparentné oznámenie o spracovaní, vzťah s dotknutou osobou a jeho očakávania pokiaľ ide spracúvanie údajov. Ak boli údaje zhromaždené priamo a vyššie uvedené prvky sú pozitívne, môže to zavážiť v prospech operácie spracovania. V prípade, že osobné údaje nie sú zhromažďované priamo, bude potrebné preukázať presvedčivejší Oprávnený záujem. Závisí to aj od kontextu spracovania a aký má prevádzkovateľ dvojstranný vzťah s dotknutou osobou.

 

Odporúčanie a poznámky AKRP:

Pre tento bod je usmernenie pomerne jasné. Ak sú údaje získané priamo od dotknutej osoby, o to lepšie pre váhu oprávneného záujmu. Naopak, údaje získavané nepriamo, od tretej osoby, znižujú očakávanie dotknutej osoby (aspoň pokiaľ nebola pri ich získavaní riadne informovaná) a môžu „oslabiť“ presvedčivosť oprávneného záujmu.

 

Otázka C.15:

Existuje nejaký nepomer moci medzi prevádzkovateľom  a dotknutou osobou?

 

Usmernenie DPN:

Ak organizácia má dominantné postavenie, prevádzkovateľ má väčšiu zodpovednosť dbať na ochranu záujmov a práv dotknutej osoby. Prevádzkovateľ bude musieť zvážiť, ako riešiť akúkoľvek nerovnováhu moci, aby sa zabezpečilo, že práva dotknutých osôb nebudú negatívne ovplyvnené.

 

Odporúčanie a poznámky AKRP:

Typickým príkladom je vzťah zamestnávateľa (prevádzkovateľa) a zamestnanca. Ako sme spomínali vyššie, aj Európsky výbor pre osobné údaje vo svojom usmernení k súhlasu zdôrazňuje, že pre spracúvanie osobných údajov zamestnancov by mali platiť prísnejšie pravidlá, vzhľadom na to, že v realite zamestnanec môže mať obavu z postihu v prípade, ak napríklad nedá súhlas na spracúvanie svojich údajov, v kontexte oprávneného záujmu potom napríklad, ak by mal uplatniť námietku.

Ďalším možným prípadom môže byť napríklad vyhodnocovanie správania klientov zdravotnými poisťovňami, kedy by určité zistené správanie (napríklad fajčenie, nezaočkovanie) spôsobovalo uplatnenie odlišných pravidiel alebo postupov (spoluúčasť na nákladoch zdravotnej starostlivosti a pod.) V takom prípade by tiež mohlo existovať dominantné postavenie organizácie voči dotknutej osobe.

 

 

Otázka C.16:

Je pravdepodobné, že dotknutá osoba môže očakávať, že sa jeho údaje použijú na takýto účel?

 

Usmernenie DPN:

  • Áno,
  • Nie
  • Nie je to isté

Vzhľadom na vzťahy medzi stranami, poskytovanými službami / produktmi vrátane dostupných informácií, môže dotknutá osoba rozumne očakávať alebo predpokladať, že ich údaje budú použité na tieto alebo súvisiace účely? Čím silnejšie očakávame, tým väčšia je šanca že Oprávnený záujem je dostatočný.

 

Odporúčanie a poznámky AKRP:

Už vo vyššie uvedených bodoch sme riešili, či môže dotknutá osoba predpokladať, že sa jej osobné údaje zbierajú. V tomto bode je potrebné doplniť informácie o tom, či si je dostatočne vedomá účelu na ktorý sa zbierajú a teda ako môžu byť použité.

Podľa GDPR je možné, v určitých prípadoch a za stanovených okolností, použiť získané údaje na účel zlučiteľný s pôvodným účelom, v tomto teste je však potrebné sa zaoberať aj tým, či je takýto prípadný „doplnkový“ účel rozumne očakávaný zo strany dotknutej osoby. Samozrejme, je tiež relevantné, či je dotknutá osoba dostatočne informovaná podľa čl. 12-14 GDPR.

 

Otázka C.17:

Môže byť spracovanie vnímané ako narušenie súkromia alebo nevhodné? Konkrétne, môže to za také považovať dotknutá osoba alebo sa to javiť vzhľadom na povahu vzťahu?

 

Usmernenie DPN:

Spracovanie by nemalo byť neprimerane rušivé – narušenie súkromného života dotknutej osoby môže byť odôvodnené na základe povahy vzťahu alebo osobitných okolností. Avšak čím väčšie je narušenie súkromia, či už o tom dotknutá osoba vie alebo nie, o to závažnejší by mal byť Oprávnený záujem a tým viac sa pri posudzovaní rovnováhy prihliada na práva dotknutej osoby. Posúďte, ako sa spracovávajú údaje (napr. vo veľkom rozsahu, data mining, vyhľadávanie,  sprístupňovanie veľkému množstvu ľudí alebo zverejnenie).

 

Odporúčanie a poznámky AKRP:

Aj v tomto bode je usmernenie DPN dostatočne jasné. Zásah do súkromia je o to vyšší, o čo viac údajov sa spracúva, o čo dôvernejšie údaje ide, ale miera narušenia závisí aj od toho, ako sa tieto údaje použijú. Samozrejme zverejnenenie alebo sprístupnenie údajov veľkému množstvu ľudí je najsilnejším zásahom do súkromia. Zverejnenie na základe oprávneného záujmu bude teda odôvodnené len vo výnimočných prípadoch.

Tu by sa zrejme, s ohľadom na precedensy z oblasti ochrany osobnosti, malo zvažovať aj to, či je dotknutá osoba verejne činná, či ide o politika alebo inú verejne známu osobnosť, vzhľadom na to, že ich právo na súkromie môže byť už z titulu ich funkcie užšie ako právo inej osoby. Najširšie právo na súkromie budú mať deti

 

Otázka C.18:

Poskytuje sa dotknutej osobe transparentná a férová informácia o spracovaní a ak áno, ako? Poskytuje sa dostatočne vopred a jasne určuje účely sprostredkovania?

 

Usmernenie DPN:

Pamätajte si, že čím viac nezvyčajné, neočakávané alebo rušivé spracovanie, tým dôležitejšie je,  aby dotknutá osoba o spracovaní vedela. Najmä v prípadoch, ak ide o spracúvanie na právnom  základe oprávneného záujmu.

 

Odporúčanie a poznámky AKRP:

V tomto bode je zrejmé silné prepojenie medzi „testom“ oprávneného záujmu, a oznámením dotknutej osobe podľa čl. 12-14 GPDR. Prevádzkovateľ by mal v tomto teste uviesť, že a ako poskytuje plný rozsah informácií dotknutej osobe.

O čo jasnejšou, jednoduchšou, prehľadnejšou ale zároveň presnou informáciou bude prevádzkovateľ dopredu oznamovať dotknutej osobe nie len to, aké jej osobné údaje spracúva ale aj to, na aký účel/účely to robí, o to viac sa môže v tomto teste spoľahnúť na to, že dotknutá osoba môže spracúvanie

očakávať. Inými slovami, ak sa chce prevádzkovateľ spoliehať na oprávnený záujem, je pre neho mimoriadne dôležité, riadne vopred preukázateľne o spracúvaní informovať dotknuté osoby.

Samozrejme, sú prípady, kedy nie je adresné informovanie vopred možné (napríklad sa spracúvajú už zverejnené osobné údaje analýzou z verejných zdrojov). Vtedy môže prevádzkovateľ využiť zákonnú výnimku z povinnosti adresného informovania (napr. čl. 14 ods. 5 písm. b) GDPR) ale v takom prípade musí informácie zverejniť.

Mala by platiť priama úmera – čím je oprávnený záujem prevádzkovateľa viac zameraný na jeho vlastný prospech a nie na prospech dotknutej osoby, o to dôležitejšie by malo byť vopred informovať dotknuté osoby o spracúvaní, aby mali možnosť rozhodnúť sa, či s prevádzkovateľom vstúpia do právneho vzťahu a údaje mu poskytnú.

 

Otázka C.19:

Môže dotknutá osoba kontrolovať spracovateľskú činnosť alebo jednoduchým spôsobom voči nej namietať?

 

Usmernenie DPN:

  • Áno (v časti D rozpíšte ako)
  • Nie
  • Čiastočne

Ak sa dotknutej osobe poskytne zvýšená kontrola alebo jej prvky, môže to prevádzkovateľovi pomôcť spoľahnúť sa na Oprávnený záujem, aj ak inak by sa nemohol. Ak nie je možná individuálna kontrola, vysvetlite prečo.

 

Odporúčanie a poznámky AKRP:

V tomto bode je potrebné sa venovať možnostiam dotknutej osoby spracúvanie „kontrolovať“ v zmysle, sama rozhodnúť, čo sa bude spracúvať, a možnosti proti spracúvaniu „namietať“.

Podľa čl. 21 GDPR má každá dotknutá osoba právo namietať proti spracúvaniu osobných údajov z dôvodov, týkajúcich sa jej konkrétnej situácie, ak ide o spracúvanie na základe oprávneného záujmu.

Na toto právo musí byť upozornená najneskôr pri prvej komunikácii a toto právo musí byť prezentované jasne a oddelene od ostatných informácií.   V súvislosti s používaním služieb informačnej spoločnosti môže dotknutá osoba uplatňovať svoje právo namietať automatizovanými prostriedkami s použitím technických špecifikácií.

V tomto bode by sa teda mal prevádzkovateľ zameriavať na to, ako na právo namietať upozorňuje, ako sa právo namietať uplatňuje – má pripravené formuláre, obsahuje jeho platforma možnosť namietať automatizovanými prostriedkami? – a tiež ako o námietkach rozhoduje.

Technické špecifikácie – settings – môžu byť považované za dostatočný spôsob na uplatnenie námietky napríklad vtedy, ak sa ich použitím ďalšie spracúvanie zastaví (napríklad cookies settings).

Rovnako takéto nastavenia môžu byť popísané v tomto bode ako druhá možnosť, neupravená GDPR ale poskytnutá prevádzkovateľom, aby dotknutá osoba mohla sama riadiť, aké údaje sa o nej zbierajú a na aké účely (napríklad nastavenia užívateľa, alebo jeho súkromia v platforme a pod.)

Tento bod je určený práve na uvedenie takýchto možností dotknutej osoby, ich konkrétny popis potom usmernenie predpokladá v ďalšej časti dokumentu „Zmiernenie dopadu a kompenzácia”).

 

Otázka C.20:

Môže sa rozsah spracúvania nejako znížiť, aby sa znížili/zmiernili riziká alebo možné poškodenie súkromia?

 

Usmernenie DPN:

Ak áno uveďte, ako to chcete robiť v ďalšej časti “Zmiernenie dopadu a kompenzácia” Ide o podobnú koncepciu ako pri hodnotení vplyvu spracovania údajov (DPIA). Ak DPIA môže zistiť potenciálne poškodenie súkromia, umožňuje organizácii aj zmiernenie rizika prispôsobením alebo zmenou rozsahu činnosti. To isté platí pre test oprávneného záujmu (LIA). Ak dospejete k záveru, že spracovanie predstavuje riziko pre súkromie, spracovanie môže byť obmedzené alebo prispôsobené tak, aby sa znížil potenciálny vplyv.

 

Odporúčanie a poznámky AKRP:

V súlade so zásadou minimalizovania by mal prevádzkovateľ spracúvať len minimálny potrebný rozsah osobných údajov. Tu by mal zdôvodniť, prečo je rozsah spracúvania už minimálny, prípadne ako umožňuje dotknutej osobe obsah minimalizovať.

Usmernenie DPN zaujíma trochu iné stanovisko, hovorí tu skôr o „dodatočnom korigovaní“ rozsahu v samotnom teste oprávneného záujmu. K tomu však, predpokladám, nebude dochádzať. Ak prevádzkovateľ zistí, že jeho oprávnený záujem v teste neobstojí, pravdepodobne skoriguje svoje východiská (napríklad rozsah spracúvaných údajov) a následne vykoná nový test s novými vstupnými údajmi.

 

ČASŤ D: BEZPEČNOSTNÉ A KOMPENZAČNÉ OPATRENIA

Otázka D.1:

Aké bezpečnostné a kompenzačné opatrenia používate?

 

Usmernenie DPN:

Bezpečnostné a kompenzačné opatrenia zahŕňajú rad opatrení, ktoré sa môžu zaviesť na ochranu dotknutej osoby, alebo na zníženie akýchkoľvek rizík alebo možných negatívnych vplyvov spracovania. Pravdepodobne boli identifikované prostredníctvom hodnotenia vplyvu na súkromie vykonaného vo vzťahu k navrhovanej činnosti. Napríklad: minimalizácia údajov, deidentifikácia, technické a organizačné opatrenia, ochrana súkromia od počiatku (vymazanie údajov automaticky po určitom čase), zvýšenie transparentnosti, dodatočné vrstvy šifrovania, multifaktorová autentifikácia, retencia, obmedzený prístup, možnosti opt-out. Hashing, salting a iné technické bezpečnostné metódy používané na ochranu údajov.

Uveďte opis všetkých kompenzačných kontrol, ktoré už existujú alebo sa zavedú, aby sa zachovali práva dotknutej osoby.

 

Odporúčanie a poznámky AKRP:

Tu je usmernenie dostatočne podrobné na to, aby prevádzkovateľ vedel popísať opatrenia, ktoré prijal. Podľa usmernenia v bodoch 19 a 20 tu môže podrobnejšie rozviesť tiež možnosti dotknutej osoby namietať alebo riadiť spracúvanie svojich osobných údajov.v

 

Otázka D.2:

Plánujete používať nejaké ďalšie bezpečnostné a kompenzačné opatrenia?

 

Poznámka AKRP: Túto druhú otázku do testov oprávneného záujmu úmyselne nezaraďujem. Podľa GDPR by mal prevádzkovateľ so zreteľom na najnovšie poznatky, náklady na vykonanie opatrení a na povahu, rozsah, kontext a účely spracúvania, ako aj na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva a slobody fyzických osôb, primerané technické a organizačné opatrenia s cieľom zaistiť úroveň bezpečnosti primeranú tomuto riziku. Bolo by kontraproduktívne tu uvádzať opatrenia, ktoré prevádzkovateľ „zamýšľa“ ale zatiaľ nevykonáva. Buď poskytuje osobným údajom plnú ochranu v súlade s vyššie citovanou povinnosťou alebo nie. Ak nie, tak by to mal napraviť a nie „zamýšľať sa“ nad tým v teste oprávneného záujmu. Odôvodnenie by mohla mať táto otázka 2 v prípade odvetví, v ktorých je rýchly výskum, vývoj a napredovanie bezpečnosti. Tam by prevádzkovateľ mohol uviesť, ako testuje nové systémy a nové opatrenia, aby držal krok s „najnovšími poznatkami“.

 

 

ČASŤ D: VYHODNOTENIE TESTU A ZAZNAMENANIE VÝSLEDKU

 

Usmernenie DPN:

S použitím vašich odpovedí vyššie teraz zdokumentujte, či máte za to, že sa môžete spoľahnúť na oprávnený záujem pre svoje spracúvanie. Vysvetlite, napríklad v bodoch a odrážkach, prečo ste (prípadne nie ste) oprávnení sa spoľahnúť na tento právny základ. Mali by ste pri svojom závere vychádzať z otázok zodpovedaných v tomto dotazníku.

 

Odporúčanie a poznámky AKRP:

V našej praxi výsledok posúdenia vyzerá približne takto:

 

Tento test oprávneného záujmu má tri hlavné časti:

V časti A. je definovaný samotný oprávnený záujem (alebo viac záujmov) a skúma sa, či je tento záujem v súlade s definíciami a usmerneniami podľa GDPR, s právnymi predpismi a dostupnými usmerneniami Výboru pre ochranu osobných údajov.

Prevádzkovateľ v časti A. identifikoval tieto hlavné oprávnené záujmy:

Tieto oprávnené záujmy sú/nie sú výslovne formulované ani definované v samotnom GDPR, …. okrem toho prevádzkovateľ uvádza v časti A. viacero ustanovení Charty EÚ a GDPR, v ktorých sú definované princípy, v súlade s ktorými tieto oprávnené záujmy sú.

Podľa váhy oprávnených záujmov, považuje prevádzkovateľ oprávnený záujem s najväčšou váhou záujem č. ……, lebo ……  Ďalšie poradie oprávnených záujmov podľa váhy je nasledovné….

V časti B. prevádzkovateľ vykonal test nevyhnutnosti, teda zistenie, či je spracovanie osobných údajov spôsobom, akým to robí na dosiahnutie oprávnených záujmov podľa časti B. nevyhnutné.

Konštatoval tu, že toto spracovanie je  nevyhnutné, pretože — porovná alternatívy …. venuje sa miere zásahu do súkromia …..

V časti C. prevádzkovateľ rozsiahlo posúdil všetky okolnosti, z ktorých vyplýva primeranosť a vyváženosť medzi oprávnenými záujmami identifikovanými v časti A. a právami a slobodami dotknutej osoby, predovšetkým jej právom na súkromie a právom na ochranu osobných údajov.

Zistil, že sú obmedzené tieto základné práva dotknutej osoby ….. Miera ich obmedzenia je [nízka, zvýšená, vysoká, podstatná].

Zistil, že môžu byť dotknuté tieto ich záujmy …. [Toto riziko je nízke, zvýšené, vysoké, podstatné].

Ich obmedzenie je nevyhnutné na dosiahnutie týchto oprávnených záujmov….

Ak by k spracúvaniu nedošlo boli by dotknuté tieto záujmy prevádzkovateľa/tretej osoby …….

Pre dotknuté osoby sú k dispozícii tieto kompenzačné možnosti a zmiernenia dopadov: …

Vzhľadom na veľkú váhu oprávneného záujmu [….] a po starostlivom zvážení všetkých okolností uvedených v jednotlivých bodoch časti C. ako aj kompenzačných opatrení v časti D. dospel prevádzkovateľ k záveru, že práva a slobody dotknutej osoby neprevažujú nad oprávnenými záujmami prevádzkovateľa a predovšetkým oprávnenými záujmami používateľov jeho služieb, ako sú definované v časti A posúdenia.

Na základe toho prevádzkovateľ dospel k rozhodnutiu, že je oprávnený spoľahnúť sa na oprávnené záujmy uvedené v časti A. ako na právny základ pre spracúvania osobných údajov dotknutých osôb v zmysle ustanovenia čl. 6 ods. 1 písm. f) GDPR.

 

 

 

Podpis [•]

Meno, priezvisko, funkcia [•]

Dátum [•]

Dátum revízie  [•]

 

 

 

 

Komentáre nie sú povolené.

Kalendár udalostí

<< okt 2024 >>
pusšpsn
30 1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31 1 2 3