SK

Právne základy spracúvania osobných údajov podľa GDPR

Právne základy, na základe ktorých môžete spracúvať osobné údaje fyzických osôb, sa od 25. mája 2018 výrazne zmenia. Niektoré právne základy podľa platnej slovenskej právnej úpravy sa budú používať aj od mája 2018, niektoré však GDPR ruší a zavádza nový právny základ „oprávnený záujem“. S nástupom účinnosti GDPR bude treba vykonať revíziu právnych základov informačných systémov, v ktorých spracúvate osobné údaje.

 

Ktoré právne základy pozná zákon č. 122/2013 Z. z. v znení neskorších predpisov?

V súčasnosti platný slovenský zákon č. 122/2013 Z. z. o ochrane osobných údajov v znení neskorších predpisov pozná tieto právne základy, na základe ktorých je možné spracúvanie osobných údajov:

  • súhlas dotknutej osoby,
  • osobitný zákon,
  • zmluva,
  • priamy marketing v poštovom styku,
  • ďalšie spracúvanie už zverejnených údajov,
  • jednorazový vstup do priestorov,
  • monitorovanie priestorov prístupných verejnosti.

Upozornenie:

Právne základy, ktoré pozná súčasný zákon č. 122/2013 Z. z. v znení neskorších predpisov (súhlas, zmluva) sa budú používať aj od 25. mája 2018, odkedy bude účinné GDPR.

Kedy je spracúvanie osobných údajov podľa GDPR zákonné?

Spracúvanie osobných údajov je podľa GDPR zákonné iba vtedy a v tom rozsahu, keď je splnená aspoň jedna z týchto podmienok:

  1. dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov na jeden alebo viaceré konkrétne účely,
  2. spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba,
  3. spracúvanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa,
  4. spracúvanie je nevyhnutné, aby sa ochránili životne dôležité záujmy dotknutej osoby alebo inej fyzickej osoby,
  5. spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi,
  6. spracúvanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana.

Nové právne základy podľa GDPR

GDPR zavádza nové právne základy:

  • zákonnú povinnosť a
  • oprávnený záujem.

Podstatná zmena od mája 2018 nastane v právnych základoch, ktoré vychádzajú z osobitných zákonov. V súčasnosti zákon č. 122/2013 Z. z. v znení neskorších predpisov ustanovuje, že prevádzkovateľ môže spracúvať osobné údaje bez súhlasu dotknutej osoby na základe osobitného zákona. Nerozlišuje pritom, či ide o oprávnenie alebo povinnosť prevádzkovateľa. Podľa GDPR je spracúvanie možné len vtedy, ak je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa, teda ide o právny základ zákonná povinnosť.

Informačné systémy, ktorých právnym základom bola povinnosť prevádzkovateľa spracúvať osobné údaje na základe osobitného zákona, budú spadať pod právny základ „zákonná povinnosť“.

Príklad – právny základ „zákonná povinnosť“:

Zamestnávateľ je povinný po uzatvorení pracovného pomeru prihlásiť zamestnanca do sociálnej a zdravotnej poisťovne. Prihlásenie je povinné zo zákona. V tomto prípade sa nevyžaduje súhlas zamestnanca, lebo poskytnutie osobných údajov zamestnancov vyslovene prikazuje zákon (zákon o sociálnom poistení a zákon o zdravotnom poistení). Právnym základom je jednoznačne “zákonná povinnosť”.

V prípade informačných systémov, ktorých právnym základom bolo len oprávnenie prevádzkovateľa spracúvať osobné údaje na základe osobitného zákona, bude treba použiť právny základ „oprávnený záujem“. Pri tomto právnom základe je potrebné vykonať takzvaný test proporcionality, pri ktorom je potrebné v právnej analýze posúdiť, či prevažujú práva prevádzkovateľa na spracúvanie osobných údajov dotknutej osoby nad právami na ochranu jej osobnosti.

Príklad – právny základ „oprávnený záujem“:

Podľa § 9 ods. 3 zákona č. 182/1993 Z. z. o vlastníctve bytov a nebytových priestorov je správca bytového domu oprávnený na účel ochrany majetku vlastníkov bytov a nebytových priestorov v dome zverejňovať zoznam vlastníkov bytov a nebytových priestorov v dome, ktorí majú úhrnnú výšku nedoplatkov na preddavkoch do fondu prevádzky, údržby a opráv domu a na úhradách za plnenie aspoň 500 eur. Zákon nehovorí, že správca je povinný, ale oprávnený zverejňovať ho. Správca domu v tomto prípade použije od mája 2018 právny základ „oprávnený záujem“, nie „osobitný zákon“ ako je to podľa súčasne platného zákona č. 122/2013 Z. z v znení neskorších predpisov.

Ktoré právne základy spracúvania osobných údajov GDPR ruší?

GDPR ruší nasledovné právne základy spracúvania osobných údajov:

  • právny základ „priamy marketing v poštovom styku“,
  • právny základ „ďalšie spracúvanie už zverejnených údajov“,
  • právny základ „jednorazový vstup“,
  • právny základ „monitorovanie priestorov prístupných verejnosti“.

V prípade spracúvania uvedených osobných údajov bude musieť prevádzkovateľ použiť iný právny základ v zmysle GDPR ako je napr. „oprávnený záujem“ alebo „súhlas dotknutej osoby“.

Príklad – právny základ „oprávnený záujem“:

Identifikácia a overenie totožnosti návštevy pri jednorazovom vstupe do priestorov prevádzkovateľa môžeme považovať za oprávnený záujem prevádzkovateľa pri ochrane svojho majetku, zdravia a práv svojich zamestnancov. Z toho dôvodu po právnej analýze pravdepodobne budeme môcť použiť právny základ „oprávnený záujem“, namiesto právneho základu podľa zákona č. 122/2013 Z. z., ktorým bol „jednorazový vstup“. V takom prípade súhlas dotknutej osoby nebude potrebný.

Právny základ „súhlas dotknutej osoby“ podľa GDPR

Ak je spracúvanie osobných údajov založené na súhlase dotknutej osoby, súhlas musí byť jednoznačný a aktívny prejav jej vôle.

Súhlas musí byť formulovaný v zrozumiteľnej a ľahko dostupnej forme, jasne a jednoducho.

Prevádzkovateľ musí vedieť preukázať, že dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov, a to aj v prípade, keď ho dotknutá osoba vyjadrila len ústnym vyhlásením. Prevádzkovateľ nie je oprávnený použiť súhlas daný na jeden účel na iný účel, ani spájať viaceré odlišné účely spracúvania osobných údajov do jedného súhlasu.

Súhlas nesmie byť zapracovaný napríklad do textu obchodných podmienok. Nesmie byť podmienený poskytnutím služby či dodaním tovaru. Výnimkou môže byť len prípad, že je súhlas na plnenie obchodnej zmluvy, dodanie tovaru či poskytnutie služby nevyhnutný.

Dotknutá osoba má právo kedykoľvek odvolať svoj súhlas. Odvolanie súhlasu musí byť také jednoduché ako jeho poskytnutie.

GDPR určuje špecifické podmienky pre súhlas so spracúvaním osobných údajov dieťaťa. Spracúvanie osobných údajov dieťaťa na základe jeho súhlasu je zákonné, ak má dieťa aspoň 16 rokov. Pri spracúvaní osobných údajov maloletého do 16 rokov, musí dať preukázateľný súhlas jeho zákonný zástupca alebo zákonný opatrovník.

Upozornenie:

Podľa GDPR už nebude možné používať predbežne označené políčka na získanie súhlasu so spracúvaním osobných údajov, ani používať formuláciu súhlasu predpokladajúcu automatické poskytnutie súhlasu. Dotknutá osoba bude musieť vykonať prejav súhlasu aktívnym zaškrtnutím políčka, nesmie byť k súhlasu žiadnym spôsobom nútená a musí mať možnosť jednoduchým spôsobom súhlas kedykoľvek odvolať.

Autorka: Ing. Marcela Ilavská

TIP PRE VÁS: 

Pripravte sa s nami na aplikáciu nového nariadenia v praxi už teraz a zosúlaďte súčasné súhlasy s požiadavkami GDPR v predstihu!

GDPR nie je strašiak, ktorého sa treba báť. Väčšina firiem zaoberajúcich sa ochranou osobných údajov znepokojuje hrozbami vysokých pokút.  Áno, pokuty pri nepripravenosti a nedôslednom uplatňovaní pravidiel GDPR skutočne hrozia. To je neodškriepiteľný fakt!

Naša stratégia je iná: pomôžeme sa vám vo všetkom zorientovať! Spravíme vám analýzu a vypracujeme bezpečnostný plán. Implementácia GDPR tak bude pre vás celkom jednoduchá!

My na tom zapracujeme a vy môžete svoj čas venovať dôležitejším veciam vo svojom podnikaní.

Objednajte si u nás nezáväznú Rozdielovú analýzu! 

Posúdime (ne)súlad vašich IS s novým nariadením, predložíme konkrétne návrhy na realizáciu primeraných opatrení na zabezpečenie súladu.