Správci údajů se musí spoléhat na „právní základ“, aby mohli zpracovávat osobní údaje zákonným způsobem. Je nezbytné určit vhodný právní základ, protože může být spojen se zvláštními požadavky (např. souhlas musí být svobodný, konkrétní, informovaný a jednoznačný) a mít důsledky pro práva jednotlivců (např. právo na přenositelnost se použije pouze tehdy, je-li právním základem souhlas nebo smlouva).
Na této stránce naleznete další informace o různých právních základech podle nařízení GDPR. Další informace o právech, která se uplatňují podle právního základu.
Jaké jsou možné právní základy podle nařízení GDPR?
Správci údajů mohou zpracovávat osobní údaje pouze v jedné z následujících situací:
- se souhlasem dotčených osob
- pokud existuje smluvní závazek (smlouva mezi vaší organizací a jednotlivcem)
- splnění právní povinnosti podle právních předpisů EU nebo vnitrostátních právních předpisů
- pokud je zpracování nezbytné pro splnění úkolu prováděného ve veřejném zájmu podle právních předpisů EU nebo vnitrostátních právních předpisů
- chránit životně důležité zájmy jednotlivce
- oprávněných zájmů vaší organizace (s výjimkou případů, kdy nad nimi převažují zájmy nebo základní práva jednotlivců)
Obecné nařízení o ochraně osobních údajů navíc stanoví další podmínky pro zpracování citlivých údajů
Souhlas
Vaše organizace se může rozhodnout spoléhat na souhlas se zpracováním osobních údajů.
Pokud správce údajů používá souhlas jako právní základ pro zpracování osobních údajů, musí zajistit, aby byl tento souhlas svobodný, informovaný, konkrétní a jednoznačný. To znamená, že fyzické osoby musí mít skutečně svobodnou volbu, zda se zpracováním svých osobních údajů souhlasí, či nikoli. Potřebují dostatečné informace, aby porozuměli tomu, které údaje jsou zpracovávány, za jakým účelem a jak se, tak děje. Musí mít také možnost svůj souhlas svobodně odvolat (bez jakýchkoli negativních důsledků), pokud později změní názor.
Pokud organizace musí údaje zpracovávat a nemůže skutečně umožnit fyzickým osobám odvolat svůj souhlas, znamená to, že souhlas není vhodným právním základem pro zpracování a je třeba posoudit, zda by mohl být použitelný jiný právní základ.
Podmínky souhlasu
Zdarma
Souhlas je svobodný, pokud jednotlivci mohou svůj souhlas odmítnout a odvolat. A to bez rizika vnějšího tlaku nebo negativních důsledků. Fyzické osoby musí mít rovněž právo svůj souhlas kdykoli odvolat. Tento proces musí být jednotlivcům usnadněn (stejně snadno, jako tomu bylo při jeho poskytování). Odvolání souhlasu nesmí mít vliv na zpracování osobních údajů fyzické osoby, které bylo provedeno před tímto odvoláním, pokud byl souhlas stále platný.
Zaměstnanci například v zásadě nebudou moci svobodně udělit souhlas se zpracováním prováděným jejich zaměstnavatelem, neboť mohou mít pocit, že nejsou schopni žádost svého zaměstnavatele odmítnout.
Konkrétní
Aby byl souhlas platný, musí být také ‚konkrétní‘, a to pro účel zpracování. Tato podmínka úzce souvisí s podmínkou informovaného souhlasu. Fyzické osoby musí být o konkrétních účelech informovány jasným a snadno srozumitelným jazykem, aby měly jasnou představu o tom, pro jaké účely jsou jejich údaje zpracovávány. To také znamená, že pokud se změní účely zpracování nebo pokud budou přidány další operace zpracování, měly by být fyzické osoby znovu požádány o souhlas. Obdobně, pokud má operace zpracování více účelů, měl by být pro každý z nich udělen souhlas.
Například streamingová služba shromažďuje osobní údaje svých klientů, aby jim nabídla přizpůsobené návrhy prohlížení. Po určité době se streamingová služba rozhodne sdílet osobní údaje svých klientů s třetími stranami, aby mohly klientům zasílat cílenou reklamu na základě jejich návyků při sledování obsahu. Vzhledem k tomu, že se jedná o nový účel, bude muset streamingová služba požádat své klienty o souhlas.
Informovaný
Při žádosti o souhlas od fyzické osoby musí vaše organizace zajistit, aby tato žádost byla fyzické osobě sdělena srozumitelnou a snadno přístupnou formou za použití jasného a jednoduchého jazyka. Měly by být poskytnuty informace o účelech, totožnosti správce, kategoriích údajů, příjemcích a právu odvolat souhlas.
Jednoznačný
Aby byl souhlas jednoznačný, měla by existovat jasná potvrzující akce (bez předem zaškrtnutých políček a provedená odděleně od platných všeobecných podmínek).
Doporučuje se souhlas v přiměřených intervalech obnovovat. Kromě toho musíte být schopni prokázat, že fyzická osoba, jejíž údaje jsou zpracovávány, udělila svůj souhlas, například písemným (nebo podepsaným) prohlášením nebo úmyslným jednáním, jako je zaškrtnutí příslušného políčka.
Podmínky vztahující se na udělení souhlasu dětmi
Jako správce údajů byste měli vynaložit přiměřené úsilí, abyste zkontrolovali věk jednotlivce.
U dětí ve věku 16 let a více se má za to, že mohou udělit svůj vlastní souhlas.
U dětí mladších 16 let musí vaše organizace požádat o souhlas zákonného zástupce nebo rodiče dítěte. V takovém případě byste museli vynaložit přiměřené úsilí, abyste ověřili, že osoba, která souhlasí jménem dítěte, má rodičovskou odpovědnost.
Je ovšem nutné upozornit, že obecné nařízení o ochraně osobních údajů dává zemím EU možnost stanovit prostřednictvím vnitrostátních právních předpisů věkovou hranici pro udělení souhlasu mezi 13. a 16. rokem věku dítěte, pokud jsou služby poskytovány prostřednictvím internetu. Proto se doporučuje, abyste si ověřili své vnitrostátní předpisy týkající se této záležitosti.
Pokud děti mohou udělit souhlas, měl by být jazyk používaný ke sdělování informací týkajících se služby přizpůsoben jejich věku.
Plnění smlouvy
Zpracování osobních údajů fyzické osoby za účelem plnění smlouvy je platným právním základem, například v následujících případech:
- Vaše organizace musí zpracovávat osobní údaje jednotlivce, aby mohla poskytovat službu.
- Potenciální klient nebo zákazník vás požádal, abyste něco udělali předtím, než uzavřete smlouvu s vaší organizací. Například může chtít obdržet cenovou nabídku na služby, které poskytujete, pro které možná budete muset zpracovat některé z jejich osobních údajů.
Zpracování musí být nezbytné pro plnění smlouvy. V praxi to znamená, že vaše organizace nemůže pokračovat v plnění smlouvy nebo služby bez dotčených osobních údajů.
Doporučuje se, aby vaše organizace zdokumentovala důvody, proč je zpracování osobních údajů nezbytné pro plnění smlouvy.
Kromě toho byste se měli pokusit shromáždit co nejmenší množství osobních údajů nezbytných k plnění smluvní služby nebo k provedení příslušných předsmluvních kroků.
Zejména nemůžete smlouvu použít k umělému rozšiřování kategorií osobních údajů nebo typů operací zpracování. Spíše byste měli zajistit, aby existovalo skutečné vzájemné porozumění, na základě očekávání průměrného jednotlivce, o smluvním účelu už při uzavírání smlouvy.
Tento právní základ se může vztahovat i na určitá opatření, která souvisejí se smluvní zárukou a na určitá opatření, která lze rozumně předvídat a která jsou nezbytná v rámci běžného smluvního vztahu. Jedná se např. o zasílání formálních upomínek o neuhrazených platbách, oprava chyb nebo zpoždění při plnění smlouvy.
Tento výše uvedený právní základ se však nepoužije, pokud si přejete zpracovávat osobní údaje fyzické osoby pro marketingové účely, předcházení podvodům, cílenou reklamu nebo jiné účely související s obchodním modelem vaší organizace. V takových případech mohou být k dispozici jiné právní základy, jako je souhlas nebo oprávněný zájem, pokud jsou splněna příslušná kritéria.
Právní předpisy mohou také ukládat zpracování osobních údajů, a to i po ukončení smlouvy (například vedení záznamů pro účetní účely).
Smlouva musí být samozřejmě v souladu i podle platného práva.
V praxi
- Jste společnost, která prodává oblečení, a to jak online, tak v obchodě. Možná budete muset zpracovat některé osobní údaje svých zákazníků, jako jsou údaje o kreditní kartě, abyste mohli zpracovat nákupy vašich zákazníků za vaše oblečení. V takovém případě může být zpracování osobních údajů zákazníků nezbytné pro plnění smlouvy.
- Jste společnost, která nabízí pojištění domácnosti. Potenciální zákazník požádal o cenovou nabídku na své domácí pojištění. Některé z jejich osobních údajů mohou být nezbytné k tomu, abyste jim poskytli přesnou cenu za pojištění domácnosti.
- Jste firma, která prodává knihy, které si někteří vaši zákazníci koupili. Když tito zákazníci zakoupili tyto knihy, možná jste shromáždili některé jejich osobní údaje, které byly nezbytné pro zpracování transakce. Nyní chcete zpracovat osobní údaje těchto zákazníků, včetně údajů o jejich předchozích nákupech, a doporučit jim další knihy, které by se jim mohly líbit. Na zpracování osobních údajů pro plnění smlouvy se nemůžete spoléhat jako na právní základ, protože zpracování údajů zákazníků pro účely reklamy na jiné knihy není pro plnění smlouvy nezbytné.
- Vaše společnost proto bude muset požádat zákazníky o souhlas, aby jim mohla inzerovat jiné knihy, nebo se v závislosti na okolnostech může spolehnout na svůj oprávněný zájem.
Plnění právní povinnosti správce
Obecné nařízení o ochraně osobních údajů stanoví další právní základ. Tím je: ‚je to nezbytné pro splnění právní povinnosti, které podléhá správce osobních údajů‘.
Na tento právní základ se lze spolehnout, pokud je určité organizaci operace zpracování uložena právními předpisy EU nebo vnitrostátními právními předpisy.
Konkrétně musí být splněny čtyři podmínky:
- právní povinnost musí být vymezena právními předpisy EU nebo vnitrostátními právními předpisy, které se na správce vztahují
- tato právní ustanovení musejí stanovit jasnou a konkrétní povinnost zpracovávat tyto osobní údaje
- tato ustanovení musí přinejmenším vymezovat účely zpracování
- tato povinnost by měla být uložena správci osobních údajů, a nikoli subjektům údajů.
Nejsou-li tyto podmínky splněny, nemůže být zpracování založeno na právní povinnosti a je třeba hledat jiný právní základ.
Nařízení GDPR stanoví mnoho různých okolností, za nichž jsou správci údajů ze zákona povinni zpracovávat osobní údaje svých zákazníků nebo klientů.
Zaměstnavatelé například obvykle potřebují zpracovávat osobní údaje svých zaměstnanců pro účely sociálního zabezpečení nebo podnik často potřebuje zpracovávat osobní údaje svých klientů nebo zákazníků pro daňové účely.
Přečtěte si více
Životně důležité zájmy jednotlivce
Na zpracování údajů za účelem ochrany životně důležitých zájmů jednotlivce se lze spolehnout pouze ve vzácných a specifických případech. Tak tomu může být například v případě, že potřebujete zpracovávat osobní údaje za účelem ochrany života někoho jiného. Na základě obecného nařízení o ochraně osobních údajů je však tento právní základ co do rozsahu velmi omezený a lze se na něj spolehnout pouze v případě mimořádných událostí.
V praxi
Vaše organizace nabízí raftingové výlety. Během jednoho z výletů, které jste organizovali, je jeden z účastníků vážně zraněn. V důsledku toho je účastník v bezvědomí a musí obdržet naléhavou lékařskou péči v nemocnici. Jako organizace možná budete muset sdělit (= zpracovat) osobní údaje dané fyzické osoby nemocnici, která ji potřebuje ošetřit, aby jí zachránila život. V této souvislosti musíte být schopni zpracovávat údaje této fyzické osoby, a to za účelem ochrany jejích životně důležitých zájmů.
Veřejný zájem
V některých konkrétních případech může být vaše organizace schopna zpracovávat osobní údaje fyzických osob za účelem plnění úkolu ve veřejném zájmu. V tomto případě musí mít zpracování základ v právu EU nebo ve vnitrostátním právu. Jeho účel musí být určen na tomto právním základě nebo musí být nezbytný pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce údajů. Tento právní základ proto může být relevantní zejména pro operace zpracování prováděné orgány veřejné moci za účelem plnění jejich úkolů.
V praxi
Vaše organizace je lékařská praxe, která zahrnuje zubního lékaře a praktického lékaře. Možná budete muset zpracovat osobní údaje zubního lékaře i praktického lékaře, abyste zajistili, že jejich kvalifikace a morální a etické chování splňují normy stanovené v zemi, kde se vaše lékařská praxe nachází.
Oprávněný zájem
Vaše organizace může být schopna zpracovávat údaje fyzických osob pro účely oprávněných zájmů za předpokladu, že tyto zájmy (např. obchodní, ochrana vašeho majetku apod.) nevytvářejí nerovnováhu na úkor práv a zájmů fyzických osob.
Zatímco obecné nařízení o ochraně osobních údajů a příslušná judikatura Soudního dvora Evropské unie (SDEU) uvádějí příklady oprávněných zájmů, jejich taxativní seznam neexistuje.
Musíte však zajistit, aby tento zájem splňoval určitý počet požadavků:
- musí být zákonný, jasná, skutečný a přítomný
- zpracování musí být nezbytné pro sledování tohoto zájmu
- oprávněný zájem musí zohledňovat práva jednotlivce na ochranu údajů, která nelze převážit. V souvislosti s tímto požadavkem musí správce zvážit svůj oprávněný zájem a zájmy nebo základní práva a svobody jednotlivců a musí rovněž zvážit, co mohou rozumně očekávat. Toto vyvažování musí být provedeno s ohledem na konkrétní podmínky, za nichž jsou tyto operace prováděny.
V praxi
Vedete renovační firmu. Jeden z vašich zákazníků zpochybňuje kvalitu renovace kuchyně a odmítá zaplatit účet v plné výši. Jako první krok předáte údaje o zákazníkovi svému právníkovi za účelem sjednání dohody se zákazníkem. Vzhledem k tomu, že zákazník stále odmítá zaplatit, zapojíte agenturu pro vymáhání pohledávek. Pouze předáváte osobní údaje nezbytné pro řízení agentuře pro vymáhání pohledávek a agentura provádí pouze omezené kontroly za účelem potvrzení kontaktních údajů zákazníka a zahájení soudního řízení.
Zatímco první krok může stále spadat do zpracování nezbytného pro plnění smlouvy, další přijaté kroky, jako je zapojení agentury pro vymáhání pohledávek, by mohly být považovány za legitimní zájem správce osobních údajů. Vzhledem k tomu, že opatření přijatá agenturou nejsou příliš rušivá a dopad na zákazníka je omezený, mohl by být vhodným právním základem oprávněný zájem.
Zpracování citlivých osobních údajů (osobních údajů zvláštní kategorie)
Další požadavky platí, pokud máte v úmyslu zpracovávat osobní údaje odhalující rasový nebo etnický původ, politické názory, náboženské nebo filozofické přesvědčení nebo členství v odborech a zpracovávat genetické údaje, biometrické údaje za účelem jedinečné identifikace fyzické osoby, údaje o zdravotním stavu nebo údaje týkající se sexuálního života nebo sexuální orientace fyzické osoby. Tyto zvláštní kategorie osobních údajů se označují také jako ‚citlivé údaje‘.
Zpracování ‚citlivých údajů‘ (osobních údajů zvláštní kategorie) je obecně zakázáno, s výjimkou následujících zvláštních případů.
- Fyzická osoba udělila výslovný souhlas se zpracováním svých citlivých údajů.
- Zpracování citlivých údajů je nezbytné k tomu, aby správce údajů mohl plnit své povinnosti, zejména v souvislosti se zaměstnáním, sociálním zabezpečením a sociální ochranou. Může se například stát, že správce údajů bude muset zpracovávat citlivé údaje určité osoby, aby mohl určit, zda má tato osoba nárok na určité dávky sociálního zabezpečení nebo pracovní stipendium.
- Zpracování citlivých údajů je nezbytné pro ochranu životně důležitých zájmů osoby, která není fyzicky nebo právně způsobilá udělit souhlas. Například pokud je osoba ponechána v bezvědomí v důsledku nehody a vyžaduje okamžitou lékařskou péči, může být nutné zpracovat jejich zvláštní kategorie osobních údajů, aby mohla být poskytnuta odpovídající lékařská péče.
- Zpracování citlivých údajů se provádí v souvislosti s legitimní činností nadace, sdružení nebo jiné neziskové organizace s politickým, filozofickým, náboženským nebo odborovým cílem a pouze pro zpracování osobních údajů jejich členů, bývalých členů nebo osob, které s nimi udržují pravidelný kontakt.
- Citlivé údaje byly zveřejněny samotnými jednotlivci (subjekty údajů).
- Zpracování citlivých údajů je nezbytné v souvislosti se soudním řízením.
- Zpracování citlivých údajů je nezbytné pro záležitosti významného veřejného zájmu.
- Zpracování citlivých údajů je nezbytné v souvislosti s preventivním nebo pracovním lékařstvím. Například posouzení citlivých údajů jednotlivce, jako jsou jeho zdravotní údaje, může být nezbytné k určení jeho pracovní schopnosti jako zaměstnance.
- Zpracování citlivých údajů je nezbytné pro záležitosti veřejného zdraví na základě právních předpisů EU nebo vnitrostátních právních předpisů. Například zpracování citlivých údajů jednotlivců může být nezbytné pro zajištění vysoké kvality zdravotní péče a vysoké kvality zdravotnických výrobků nebo pro boj proti vážným zdravotním hrozbám, jako jsou viry.
- Zpracování citlivých údajů je nezbytné pro účely archivace ve veřejném zájmu nebo pro vědecké, statistické, historické nebo výzkumné účely. Zpracování citlivých údajů může být například nezbytné pro poskytnutí přesných statistik o situaci dané země v určité oblasti.
Seznam pro zpracování citlivých osobních údajů
- Zeptejte se sami sebe, zda je pro zamýšlené zpracování nutné u dané fyzické osoby zpracovat osobní údaje zvláštní kategorie.
- Určete právní základ (= právní odůvodnění) pro zpracování takových osobních údajů fyzické osoby. Přečtěte si článek 6 GDPR.
- Určete, zda jsou dodrženy dodatečné podmínky pro zpracování osobních údajů zvláštní kategorie. Měli byste se odvolat na článek 9 GDPR.
- Určete rizika a záruky ochrany údajů, jako jsou technická a organizační opatření, která může vaše organizace potřebovat zavést při zpracování osobních údajů zvláštních kategorií u fyzických osob.
- Nezapomeňte vést záznamy o důvodech zpracování zvláštních kategorií osobních údajů fyzické osoby, o rizicích, která z toho mohou vyplynout, a o opatřeních, která jste zavedli ke zmírnění těchto rizik.