Účel a právní základ zpracování

Stanovení účelu patří k základním kamenům zpracování osobních údajů. Jde o startovní bod pro jakékoli další úvahy a hodnocení. Účel zpracování musí být vždy legitimní, spravedlivý a nesmí neodůvodněně zasahovat do soukromí a práv dotčených osob. Abychom vám usnadnili vyplňování našeho Privatry generátoru zásad, napsali jsme na téma účelu a právního základu zpracování následující článek doplněný i o konkrétní příklady.

Osobní údaje musejí být shromažďovány a zpracovávány pro dostatečně určitý a výslovně vyjádřený účel.

Pro jiný než výslovně vyjádřený účel je možné údaje zpracovávat, pokud je tento účel slučitelný a přiměřený s ohledem zejména na:

  • jakoukoli vazbu mezi účely;
  • okolnosti, za nichž byly osobní údaje shromážděny, zejména pokud jde o vztah mezi subjekty údajů a správcem;
  • povahu osobních údajů, zejména pokud se jedná o citlivé údaje;
  • možné důsledky zamýšleného dalšího zpracování pro subjekty údajů;
  • existenci vhodných záruk, mezi něž může patřit šifrování nebo pseudonymizace.

Rozšíření zpracování na jiný účel, než ke kterému byly osobní údaje shromážděny, ovšem neplatí pro zpracování, které je založeno na souhlasu osob nebo na zákonném zmocnění. V těchto případech je třeba se striktně držet mantinelů vymezených původním účelem zpracování. Eventuálně si získat souhlas nový, který pokryje i jiné účely zpracování. Vždy je také třeba myslet na to, že o jakékoli změně účelu zpracování musí správce dotčené osoby informovat.


Jakmile jste si jistí, že máte legitimní účel zpracování je nezbytné připojit k tomuto účelu některý z právních důvodů vyjmenovaných v GDPR. Tyto důvody v zásadě znamenají oprávnění správce osobní údaje zpracovávat. Bez řádného důvodu by zpracování bylo nezákonné a správce by je nesměl provádět.

Zpracování je zákonné, pokud je založeno na alespoň jednom z následujících důvodů:

  1. subjekt údajů udělil souhlas pro jeden či více konkrétních účelů;
  2. zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů;
  3. zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje;
  4. zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby;
  5. zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce;
  6. zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů.

V případě, že právní základ zanikne nebo odpadne v průběhu zpracování údajů, musí správce osobní údaje přestat pro daný účel zpracovávat a případně je musí i zlikvidovat.


Příklad:
Klient odvolá svůj souhlas k použití osobních údajů pro zasílání marketingových nabídek v rámci skupiny společností. Jakmile správce ztratí souhlas dotčené osoby, pro tento účel již nadále nesmí údaje klienta používat a musí mu přestat zasílat jakékoli marketingové nabídky.


Pro každý jednotlivý účel musí být dán alespoň jeden z právních důvodů uvedených výše. Shromážděné osobní údaje lidí můžou být zpracovávány pro více různých účelů za předpokladu, že ke každému z nich existuje právní důvod a že dotčeným osobám jsou tyto účely transparentně sděleny a vysvětleny. Jednotlivé účely zpracování mohou být spojeny s rozdílnou dobou nezbytnou pro uchování údajů. Zánik některého z účelů přitom nemá vliv na zpracování osobních údajů v rámci ostatních, stále aktuálních a legitimních důvodů (a to i když zahrnují stejné údaje jako zaniklý účel). Ve chvíli, kdy zanikne nebo odpadne poslední legitimní účel nebo správce pozbude poslední právní důvod zpracování, zaniká i možnost dále zpracovávat související osobní údaje.


Příklad:
Pojišťovna zpracovává informace o majetku klienta za účelem vyplacení plnění pro případ požáru (právní základ: plnění smlouvy). Po vyplacení peněz nicméně odhalí pojistný podvod a informace o majetku použije v rámci soudního řízení k prokázání svých tvrzení (právní základ: oprávněné zájmy).