Zákonnost zpracování osobních údajů: Obvyklá úskalí a klíčové poznatky z rozhodnutí českého Úřadu pro ochranu osobních údajů - část I

Czech Republic
Available languages: EN

Zásada zákonnosti znamená, že veškeré zpracování osobních údajů musí být v souladu se zákonem a založeno na platném právním základě, jako je plnění smlouvy, splnění právních povinností, ochrana životně důležitých zájmů nebo veřejný zájem. Pokud se žádný z těchto titulů neuplatní, musí správce buď získat souhlas subjektu údajů, nebo prokázat, že jeho oprávněné zájmy nebo oprávněné zájmy třetí strany převažují nad právem jednotlivce na soukromí.

Navzdory jasným právním požadavkům jsou chyby stále velmi časté. Na základě rozhodovací praxe českého Úřadu pro ochranu osobních údajů (ÚOOÚ) jsme pro vás připravili výběr nejčastějších chyb, kterými dochází k porušování  zákonnosti zpracování údajů. Zde jsou první tři z nich. Další se dozvíte v příštím článku.

Přehlížení širší zákonnosti

Zákonné zpracování údajů se neomezuje pouze na soulad s GDPR, ale vyžaduje také dodržování dalších právních předpisů. Správci se někdy zaměřují na požadavky GDPR a opomíjejí požadavky stanovené dalšími zákony.

V mnoha případech UOOU uložil pokuty za nedodržení zákonů, které se přímo dotýkají zpracování konkrétních osobních údajů. Například kopírování občanských průkazů vyžaduje souhlas podle zákona o občanských průkazech a ukládání jiných než nezbytných souborů cookies vyžaduje předchozí souhlas návštěvníka webu podle zákona o elektronických komunikacích.

V jiných případech nemusí zákony přímo upravovat zpracování osobních údajů, ale přesto ovlivňují jeho zákonnost. Například pobytové zařízení pro osoby v nouzi shromažďovalo zvláštní kategorie osobních údajů (tj. citlivé osobní údaje) za účelem poskytování sociálních služeb, přičemž zpracování těchto údajů opíralo o právní základ významného veřejného zájmu na základě práva, který se na zpracování citlivých údajů v zařízeních sociální péče uplatňuje.  Zařízení však nemělo požadované veřejnoprávní oprávnění nezbytné k poskytování sociálních služeb, čímž se tento právní základ nemohl použít. Tímto byla porušena širší zásada zákonnosti a UOOU za to uložil pokutu.

Organizace musí zajistit, aby před zpracováním osobních údajů dodržovaly všechny platné zákony - nejen GDPR.  Pro dodržování zásady zákonnosti je zásadní mít vše v pořádku.

Chybná interpretace nezbytnosti

S výjimkou souhlasu je požadavek nezbytnosti součástí všech právních základů pro zpracování údajů. Správci mohou zpracovávat pouze údaje, které jsou nezbytné k dosažení účelu zpracování, nikoliv jen proto, že jsou součástí jimi zvolené metody jeho dosahování. Jinými slovy, údaje by neměly být zpracovávány jen proto, že organizace provozuje svou činnost určitým způsobem. Existuje mnoho případů, kdy správci údajů zpracovávají informace, které ke své činnosti nutně nepotřebují.

Nepotřebné údaje jsou pak zpracovávány bez platného právního základu. ÚOOÚ například pokutoval poskytovatele ubytování, kteří skenovali nebo kopírovali celé doklady totožnosti zahraničních hostů, aby splnili ohlašovací povinnost vůči policii, v domnění, že údaje zpracovávají za účelem splnění právních povinností. Formulář pro hlášení však požaduje pouze konkrétní údaje, jako je číslo cestovního dokladu a číslo víza. Ke splnění této povinnosti tedy stačí nahlédnout do daného dokladu nebo víza nahlédnout a potřebné údaje si poznamenat - není třeba je uchovávat.

Správci musí kriticky posoudit, zda lze jejich činnosti provádět s menším množstvím osobních údajů nebo bez nich, a omezit zpracování pouze na to, co je skutečně nezbytné.

Nadužívání souhlasu

Souhlas je jako právní základ pro zpracování často nadužíván. Mnoho správců mylně považuje souhlas za univerzální pojistku, ale tak tomu není. Pokud se uplatní jiný právní základ, je vyžadování souhlasu nejen nadbytečné, ale i nezákonné.

Dobrým příkladem je společnost, která byla pokutována za to, že na svých webových stránkách použila elektronický formulář k uzavření smlouvy, v němž byli uživatelé vyzváni, aby zaškrtli políčko, že souhlasí se zpracováním svých osobních údajů. Společnost se domnívala, že má souhlasem vše ošetřeno, ale UOOU při kontrole odhalil opak. Údaje shromážděné na webových stránkách byly nezbytné pro plnění smlouvy, jejíž stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost subjektu údajů, a tedy společnost měla pro jejich zpracování platný právní základ a souhlas byl nadbytečný. V tomto případě platí, že méně je často více.

Použití souhlasu pro zpracování údajů je často zbytečné a může být nezákonné, pokud se na dané zpracování uplatní jiný právní základ.

Zůstaňte s námi

V příštím článku odhalíme další tři časté chyby, které mohou mít negativní vliv na zákonné zpracování údajů. Nenechte si ho ujít!

Pokud máte jakékoli dotazy týkající se ochrany údajů, obraťte se na naše odborníky.