Úřad pro ochranu osobních údajů


International


Vyhledávání

 

Základní odkazy


Cesta: Titulní stránka

 

4. Zásady a právní důvody zpracování

 

 
 

Na jakých zásadách je obecné nařízení postaveno?


Zásady lze ve stručnosti shrnout na:

  • zákonnost, korektnost, transparentnost - správce musí zpracovávat osobní údaje na základě nejméně jednoho právního důvodu a vůči subjektu údajů transparentně a korektně,
  • omezení účelu - osobní údaje musí být shromažďovány pro určité a legitimní účely a nesmějí být zpracovávány neslučitelným způsobem s těmito účely,
  • minimalizace údajů - osobní údaje musí být přiměřené a relevantní ve vztahu k účelu, pro který jsou zpracovávány,
    přesnost - osobní údaje musí být přesné,
  • omezení uložení - osobní údaje by měly být uloženy ve formě umožňující identifikaci subjektu údajů jen po nezbytnou dobu pro dané účely, pro které jsou zpracovávány,
  • integrita a důvěrnost - technické a organizační zabezpečení osobních údajů.

Jednotlivé zásady jsou rozvinuty v článku 5 odst. 1 obecného nařízení. Vymezení, resp. dodržování těchto zásad, je pro správce zásadní, nejen z toho důvodu, že to jsou de facto zároveň povinnosti, ale i proto, že v článku 5 odst. 2 obecného nařízení je stanovena odpovědnost správce za jejich dodržování a zároveň povinnost správce být schopen dodržování těchto zásad (povinností) doložit. Jde o vyjádření tzv. principu odpovědnosti správce. K prokazování souladu s těmito zásadami budou sloužit záznamy o činnostech zpracování a též kodexy a osvědčení.

Zásady zpracování zároveň můžeme označit za základní stavební kameny každého zpracování. Jde o souhrn zásad, které musí být při zpracování osobních údajů dodržovány.


Co se rozumí právními důvody zpracování osobních údajů?

Právní důvody zpracování osobních údajů znamenají oprávnění správce osobní údaje zpracovávat. Právní důvody tak jsou nezbytným předpokladem, aby vůbec mohlo být hovořeno ze strany správce o legálním zpracování, jelikož pokud by správce nedisponoval řádným právním důvodem ke zpracování osobních údajů, bylo by dále nerozhodné, zdali plní ostatní povinnosti, jelikož by osobní údaje zpracovával nezákonně a musel by osobní údaje zlikvidovat.

Je důležité vědět, že i osobní údaje může správce zpracovávat pro různé účely, přičemž pro každý účel potřebuje právní důvod zpracování osobních údajů. Zpracování osobních údajů se vždy váže k účelu, na základě kterého se určí právní důvod zpracování. Není vyloučeno, že „jedny“ osobní údaje (nebo jejich určitý souhrn) bude správce zpracovávat pro různé účely, přičemž tyto účely mohou v čase vznikat či zanikat, aniž by to představovalo povinnost osobní údaje likvidovat. Povinnost likvidace osobních údajů nastane v případě, kdy správce pozbude poslední právní důvod ke zpracování osobních údajů.


Jaké jsou právní důvody zpracování osobních údajů subjektu údajů?

Osobní údaje lze zpracovávat, pokud je přítomen alespoň jeden z těchto právních důvodů:

  • subjekt údajů udělil souhlas pro jeden či více konkrétních účelů,
  • zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů,
  • zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje,
  • zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby,
  • zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce,
  • zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů.


Co znamená souhlas se zpracováním osobních údajů?

Souhlas (viz definice článek 4 odst. 1 bod 11 obecného nařízení) je svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů. Jde o aktivní a dobrovolný projev vůle subjektu údajů, ke kterému nesmí být nucen.

Souhlas je jedním z právních důvodů, na základě kterého může správce osobní údaje zpracovávat a nastupuje tehdy, pokud zpracování nelze podřadit pod účely, pro které není nutné souhlas vyžadovat.

Souhlas se vždy poskytuje k určitému účelu zpracování, který musí subjekt údajů znát.

Souhlas je odvolatelný. Nikoli vždy odvolání souhlasu znamená povinnost správce osobní údaje zlikvidovat, jelikož odvolání souhlasu se děje k určitému účelu, pro který jsou osobní údaje zpracovávány, přičemž správce může osobní údaje zpracovávat pro jiné účely, pro které využije jiný právní důvod zpracování než souhlas subjektu údajů. Jinými slovy, v případě odvolání souhlasu je správce povinen přestat zpracovávat osobní údaje pro účely definované v souhlasu. Pokud souhlas byl jediným právním důvodem zpracování, bude zpravidla následovat i likvidace osobních údajů.

Pracovní skupina WP29 vydala k tématu svá vodítka.


Musím mít ke každému zpracování osobních údajů souhlas subjektu údajů?

Ne, nemusíte. Zejména tam, kde je zpracování nezbytné pro plnění smlouvy se subjektem údajů či k plnění právní povinnosti se souhlas se zpracováním osobních údajů nevyžaduje. Souhlas se nevyžaduje ani k dalším účelům zpracování, které jsou uvedeny výše (vyjma prvního bodu). V případě zpracování pro účely, které nelze podřadit pod výše uvedené účely, je nutné zpracování provádět na základě souhlasu subjektu údajů.

Souhlas subjektu údajů není vyžadován pro účely zpracování nezbytné např. pro dodání zboží v rámci objednávky v e-shopu nebo pro zpracování osobních údajů zaměstnanců pro pracovněprávní účely (pro plnění pracovní smlouvy či plnění zákonem stanovených povinností ze strany zaměstnavatele).


Jaké jsou podmínky udělení souhlasu se zpracováním osobních údajů?

Aby bylo možné dosáhnout svobodnosti, konkrétnosti, informovanosti a jednoznačnosti projevu vůle subjektu údajů, stanovuje obecné nařízení v článku 7 podmínky vyjádření souhlasu. Zásadní je tzv. odlišitelnost souhlasu, což znamená, že souhlas musí být odlišen od jiných skutečností, ke kterým se subjekt údajů vyjadřuje. Pro názornost, souhlas tak musí být oddělený např. od smlouvy či obchodních podmínek, resp. již není možné, aby byl jejich nedílnou součástí. Zároveň nesmí být uzavření smlouvy (např. na poskytnutí služby) podmiňováno poskytnutím souhlasu se zpracováním osobních údajů. Je však samozřejmé, že v závislosti na službě či výrobku bude správce muset zpracovávat (bez souhlasu) určité množství osobních údajů subjektu údajů právě pro účely plnění smlouvy či plnění zákonem stanovené povinnosti, což činí bez souhlasu subjektu údajů.


Je souhlas odvolatelný?

Subjekt údajů má právo svůj souhlas kdykoli odvolat, na což by měl být správce připraven, a to i na jeho další kroky s odvoláním souhlasu spojené (např. provedení likvidace osobních údajů). Odvoláním není dotčena zákonnost zpracování vycházejícího ze souhlasu, který byl dán před jeho odvoláním. Je nutné si uvědomit, že souhlas byl dáván k určitým účelům a odvolání souhlasu nemusí vždy představovat pro správce povinnost osobní údaje zlikvidovat, ale bude představovat pro správce pouze povinnost přestat osobní údaje zpracovávat pro určitý účel, ke kterému byl souhlas udělen. Stejně tak i v případě, kdy správce použil souhlas pro případy, kdy mu svědčí jiný právní důvod zpracování osobních údajů, neznamená odvolání souhlasu (tedy úkonu, který nebyl nezbytný pro zpracování) povinnost osobní údaje zlikvidovat či je přestat zpracovávat např., pokud osobní údaje musí mít pro zákonem stanovené účely.


Jak to bude se současnými souhlasy za použitelnosti obecného nařízení?

Obecné nařízení v recitálu 171 předpokládá přechod souhlasu, avšak s podmínkou, že souhlas byl udělen způsobem a v souladu s podmínkami obecného nařízení. To bude pro mnoho správců problematické, jelikož jimi získávaný souhlas nebude splňovat podmínky stanovené v článku 7 obecného nařízení, například podmínku odlišitelnosti souhlasu (souhlas nesmí být neoddělitelnou součástí obchodních podmínek) či podmínku nepodmiňovat poskytnutí služby vyžadováním udělení souhlasu se zpracováním osobních údajů. Presumovaný souhlas, který někteří správci využívali (typicky v oblasti finančních služeb, velcí poskytovatelé energií či telefonní operátoři), nepřejde do použitelnosti obecného nařízení. Na  poskytování služeb to však nemůže mít žádný vliv. Případné vyžadování udělení nového souhlasu nesmí být prezentováno jako povinnosti pro subjekt údajů.


Můžu zpracovávat osobní údaje zveřejněné na internetu?

V některých případech, zejména v zákonem stanovených případech, musí subjekt údajů strpět jejich zveřejnění např. ve veřejném rejstříku, čímž je i dán účel jejich zveřejnění (např. publicita podnikání, veřejnost katastru nemovitostí atd.). Osobní údaje ve veřejném rejstříku jsou zveřejněny na základě zákona, jelikož tak zákon stanoví (typicky např. živnostenský rejstřík, obchodní rejstřík, katastr nemovitostí). Skutečnost, že je stanovena veřejnost rejstříku, neznamená, že zveřejněné osobní údaje lze dále neomezeně přebírat a zpracovávat, např. jejich dalším zveřejňováním a tím na nich profitovat. Je nutné si uvědomit, že i další zveřejňování údajů z veřejných rejstříků je zpracováním osobních údajů a k tomu musí správci svědčit právní důvod, tj. zákonem předpokládané oprávnění. Jelikož obecné nařízení oproti zákonu č. 101/2000 Sb., o ochraně osobních údajů, neobsahuje ekvivalent právního důvodu oprávněně zveřejněné osobní údaje, který je v zákoně o ochraně osobních údajů obsažen v § 5 odst. 2 písm. d), bude další zveřejňování z veřejných rejstříků převzatých osobních údajů za použitelnosti obecného nařízení problematické, jelikož správce bude muset využít některý z právních důvodů v článku 6 odst. 1 obecného nařízení.

Obdobná situace je i u osobních údajů, které subjekty údajů dobrovolně zveřejňují na internetu za určitým účelem. Ani tyto údaje, byť jsou dobrovolně zveřejněné, nelze bez dalšího zpracovávat, jelikož i v tomto případě by správce neměl právní důvod k jejich zpracování. Veřejnost údajů nikdy a priori neznamená možnost jejich dalšího bezmezného zpracovávání.

 
Zodpovídá: Mgr. Vojtěch Marcín
Vytvořeno / změněno: 27.10.2017 / 5.3.2018

 
 
 

Nacházíte se v módu "Bez grafiky", takže vidíte tuto stránku bez zdobné grafiky a pokročilého formátování. Pokud váš prohlížeč podporuje CSS2, můžete se přepnout do grafického módu.


Copyright © 2013 Úřad pro ochranu osobních údajů. Všechna práva vyhrazena.
web & design , redakční systém