Co Vás zrovna
zajímá.
Menu

Zpracování osobních údajů na základě oprávněného zájmu

Dle nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „GDPR“) je možné zpracovávat osobní údaje subjektů údajů – fyzických osob – na základě alespoň jednoho či více z šesti právních titulů. Jedním z těchto právních titulů je i oprávněný zájem.

Evropský sbor pro ochranu osobních údajů (European Data Protection Board) (dále jen „EDPB“) přijal dne 9. října 2024 Pokyny ke zpracování osobních údajů na základě oprávněného zájmu (dále jen „Pokyny“), dostupné zde, ve smyslu ustanovení čl. 6 odst. 1 písm. f) GDPR, které jsou nezávaznou metodologickou a výkladovou pomůckou pro správce osobních údajů, kteří zpracovávají osobní údaje právě z právního titulu oprávněného zájmu.

Právní tituly
Právními tituly dle GDPR jsou následující:

  • subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů;
  • zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů;
  • zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje;
  • zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby;
  • zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce;
  • zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě.

Správci osobních údajů běžně inklinují k nesprávnému posouzení a chybné identifikaci právního titulu, na jehož základě zpracovávají osobní údaje, v důsledku čehož dochází v četných případech ke zpracování osobních údajů v rozporu s právními předpisy.

Za všeobjímající právní titul pro zpracování osobních údajů bývá správci mylně považováno právě zpracování na základě oprávněných zájmů správce či třetí osoby, tedy dle čl. 6 odst. 1 písm. f) GDPR, ke kterému se správci nesprávně uchylují v případech, kdy jim nesvědčí jiný právní titul, a kdy bez dalšího prohlásí zpracování osobních údajů za nezbytné pro naplnění tvrzeného oprávněného zájmu.

Takový postup je ovšem v rozporu se stěžejním principy GDPR, tedy principu minimalizace zpracování osobních údajů a nezbytnosti legitimních důvodů pro zpracování.

Oprávněný zájem správce či třetí strany
Zpracování osobních údajů na základě oprávněného zájmu správce je v souladu s GDPR a Pokyny možné výhradně za současného splnění tří podmínek:

  1. zpracováním je sledován oprávněný, legitimní zájem správce či třetí strany;
  2. zpracování je nezbytné pro naplnění oprávněného zájmu správce či třetí strany; a
  3. zájmy nebo základní práva a svobody subjektu údajů nemají přednost před legitimními zájmy správce či třetí strany.

V souladu s Pokyny by správci měli posoudit a vyhodnotit naplnění výše uvedených podmínek ještě před tím, než započnou zpracovávat osobní údaje, a Pokyny tento postup dělí do tří postupných, na sebe navazujících fází, resp. kroků.

Prvním krokem při posouzení, zdali lze zpracovávat osobní údaje z titulu čl. 6 odst.  písm. f) GDPR, je ověření existence tzv. oprávněného zájmu správce či třetí osoby. V případě paralelní existence oprávněných zájmů je správce povinen tyto posuzovat individuálně.

Přestože definici oprávněného zájmu jako takového v GDPR nenajdeme, lze úmysl zákonodárce dovodit z části odůvodnění GDPR, kdy vodítkem může být též judikatura Soudního dvora Evropské unie (dále jen „SDEU“). Pokyny v souladu s výše uvedeným shrnují a upřesňují požadavky na kvalitu oprávněného zájmu správce či třetí strany.

Pokyny předkládají tři základní požadavky, které musí být splněny, aby bylo možné označit zájem správce osobních údajů nebo třetí strany za oprávněný, kdy oprávněný zájem musí být:

  1. legální;
  2. přesně či dostatečně určitě vymezený;
  3. skutečný.

Oprávněný zájem správce či třetí strany musí být v první řadě v souladu s právními předpisy členských států a Evropské unie. Přestože v právních předpisech nenajdeme seznam „dovolených“ oprávněných zájmů, z judikatury SDEU lze některé aprobované oprávněné zájmy dovodit. Těmito jsou příkladem přístup k informacím online, zajištění nepřetržitého fungování veřejně přístupných internetových stránek, získání osobních údajů osoby, která poškodila něčí majetek, za účelem uplatnění žaloby na náhradu škody, ochrana majetku, zdraví a života spoluvlastníků budovy, zlepšování výrobků a posuzování úvěruschopnosti osob a další.

Oprávněný zájem správce či třetí strany musí být dále též přesně definovaný a dostatečně určitě vymezený. Významem tohoto požadavku je nezbytnost pro následné vážení každého jednoho oprávněného zájmu oproti základním právům a svobodám subjektů údajů.

V neposlední řadě je pro posouzení oprávněnosti zájmů správce či třetí strany nezbytné, aby artikulované oprávněné zájmy měly základ v realitě, tedy nesmí být arbitrární, spekulativní či hypotetické, a tedy musí být ve chvíli zpracování osobních údajů existující a skutečné.

Nezbytnost pro dosažení oprávněných zájmů správce či třetí strany
Pro založení zpracování na titulu oprávněného zájmu dle čl. 6 odst. 1 písm. f) GDPR je nutné, aby bylo zpracování osobních údajů skutečně nezbytné pro dosažení oprávněných zájmů správce či třetí strany, jež správce dostatečně přesně a určitě vymezil v předcházejícím kroku (kroku 1).

Obecně platí, že zájem, který správce sleduje, by měl mít vazbu na skutečné činnosti správce. Vedle oprávněného zájmu správce mohou být sledovány oprávněné zájmy jedné či více třetích stran, kdy všechny tyto zájmy musí být individuálně váženy oproti základním právům a svobodám subjektů údajů.

Zpracování osobních údajů však musí být bezpodmínečně nezbytné pro dosažení artikulovaného zájmu správce či třetí strany, tedy zdali při zpracování údajů nelze v praxi rozumně dosáhnout zájmu stejně účinně jinými alternativními a méně invazivními prostředky, které představují menší zásah do základních práv a svobod subjektů údajů. Připomínáme, že v tomto kroku by měl správce posoudit přijetí vhodných opatření, jimiž zajistí dodržení základních principů zpracování, tj. např. minimalizace zapracování.

V této souvislosti doplňujeme, že osobní údaje mohou být následně zpracovávány i za jiným účelem, než za kterým byly zprvu shromážděny, ovšem platí, že takové zpracování musí být slučitelné s účely, pro něž byly osobní údaje původně shromážděny, zejm. musí být posouzeno:

  1. jakákoli vazba mezi účely, kvůli nimž byly osobní údaje shromážděny, a účely zamýšleného dalšího zpracování;
  2. okolnosti, za nichž byly osobní údaje shromážděny, zejména pokud jde o vztah mezi subjekty údajů a správcem;
  3. povaha osobních údajů, zejména zda jsou zpracovávány zvláštní kategorie osobních údajů nebo osobní údaje týkající se rozsudků v trestních věcech a trestných činů;
  4. možné důsledky zamýšleného dalšího zpracování pro subjekty údajů;
  5. existence vhodných záruk, mezi něž může patřit šifrování nebo pseudonymizace.

Nadřazenost zájmů správce nad zájmy a základními právy a svobodami subjektů údajů
Posledním krokem při posouzení právního titulu oprávněného zájmu pro zpracování osobních údajů je porovnání zájmů správce či třetí strany a zájmů a základních práv a svobod subjektů údajů, které se realizuje prostřednictvím metodologického postupu, tzv. „balančního testu“, kdy správce oproti sobě váží své oprávněné zájmy (nebo oprávněné zájmy třetí strany) a zájmy, základní práva a svobody subjektů údajů.

V rámci tzv. balančního testu by měl správce posoudit zejména následující:

  1. zájmy, základní práva a svobody subjektů údajů;
  2. dopad zpracování na subjekty údajů, a to včetně (i) povahy zpracovávaných údajů, (ii) kontextu zpracování a (iii) případných dalších důsledků zpracování;
  3. přiměřená očekávání subjektů údajů; a
  4. konečné vyvážení protichůdných práv a zájmů, včetně možnosti dalších zmírňujících opatření.

Při vyhotovení balančního testu by měl správce pamatovat zejména na to, že jeho účelem není zcela vyloučit jakýkoliv zásah do sféry subjektu údajů, nýbrž posoudit, zdali je tento zásah vzhledem ke kontextu zpracování přiměřený a zdali oprávněné zájmy a základní práva a svobody subjektu údajů nepřevažují nad oprávněnými zájmy správce či třetí strany.

V případě, že správci vyjde balanční text jako negativní, tedy že zájmy a základní práva a svobody subjektu převažují nad zájmy správce, správce se nesmí uchýlit ke zpracování osobních údajů na základě titulu z čl. 6 odst. 1 písm. f) GDPR. V případě, že balanční text bude vyhodnocen jako hraniční, měl by správce uvážit přijetí opatření za účelem snížení zásahu zpracování do sféry subjektu údajů.

Závěrem
Navzdory tomu, že zpracování osobních údajů z titulu oprávněného zájmu správce či třetí strany je mezi laickou veřejností považováno (společně s titulem souhlasu subjektu údajů, o kterém tento článek nepojednává) za všeobjímající právní titul, na jehož základě lze zpracovávat osobní údaje víceméně po vůli správce, když správci jiný titul nesvědčí, opak je pravdou.

Zpracování na základě oprávněného zájmu správce či třetí strany je možné pouze v omezených případech, za splnění specifických podmínek a předchází mu rozsáhlé posouzení souladu s právními předpisy, které čítá několik kroků.

V případě jakýchkoli Vašich dotazů k tomuto tématu či jiné problematice týkající se zpracování osobních údajů se na nás neváhejte obrátit. 

 

Mgr. Jakub Málek, managing partner – malek@plegal.cz 

Mgr. Kateřina Vyšínová, advokátní koncipientka – vysinova@plegal.cz 

 

www.peytonlegal.cz  

 

20. 3. 2025

 

 

Zpět na články

Souvísející články

27. 03. 2025

Jak správně vymezit předmět podnikání společnosti v obchodním rejstříku?

Číst více
17. 03. 2025

Flexinovela zákoníku práce a dalších předpisů

Číst více