Potřebujete konzultaci?+420 720 153 593
Nabídka našich kurzů
% Slevy %DotacePRINCE2®ITIL®Artificial IntelligenceDalší standardy
> > Ani oprávněný zájem nezachrání vše

Ani oprávněný zájem nezachrání vše

  • Datum: 10.03.2025
  • Autor: František Nonnemann

Oprávněný zájem je oblíbeným právním titulem pro zpracování osobních údajů. Často i pro velmi extenzivní využití dat. Kdy lze oprávněný zájem využít a kdy už ne? Za co padají pokuty?

Pod pojem zpracování osobních údajů spadá velká většina činností a aktivit, které využívají informace o konkrétních lidech, fyzických osobách. Nejen údaje, které je přímo identifikují, ale i další data, která konkrétních a určitelných lidí týkají.

Oba pojmy, osobní údaj i zpracování údajů, jsou navíc v praxi dozorovými orgány i soudy vykládány značně rozšiřujícím způsobem. Osobní údaj je či může být prakticky vše, od IP adresy, přes VIN kód vozidla, až po informace o výsledku vědomostního testu.

Obecné nařízení o ochraně osobních údajů (GDPR) pro zpracování osobních dat stanoví několik základních principů, které musí dodržovat každý správce osobních údajů. Jedním z těchto principů je i zásada zákonnosti (legality) zpracování. Správce musí pro zpracování osobních údajů za konkrétním účelem (obsluha klientů, marketing, analýza dat, předcházení podvodům atd.) disponovat jedním z právních důvodů, jak je vymezuje GDPR. Jedná se typicky o zpracování nezbytné pro plnění smlouvy se subjektem údajů, pro dodržení právní povinnost správce, zpracování založené na souhlasu dotčené osoby nebo na oprávněném zájmu dané organizace.

Co když správce zpracovává osobní údaje bez právního titulu? Například tvrdí, že zpracování probíhá na základě souhlasu, ale souhlas není platný, protože klienti či zaměstnanci byli k jeho udělení nuceni nebo ani nevěděli, že souhlas na straně 15 obchodních podmínek udělují? V takovém případě je celé zpracování od počátku protiprávní. To lze jen obtížně zpětně napravit. Správci proto hrozí nejen vysoká pokuta, ale i závazný pokyn zpracování zastavit a nelegálně získaná data vymazat. A kromě toho také žaloby od dotčených osob, do jejichž soukromí správce takto protiprávně zasáhl.

Oprávněný zájem: Miláček davu

V praxi je jako právní důvod ke zpracování údajů velmi oblíbený tzv. oprávněný zájem. Proč? Protože pro jeho využití stačí „jenom“ vyhodnotit, že oprávněný zájem správce na využití údajů za určitým účelem (marketing, zabezpečení, analytika) převáží nad právy dotčených osob. V praxi se používá pojem balanční test, protože správce by měl vyvážit a posoudit (balancovat) svůj zájem s právy subjektů údajů.

O zpracování údajů na základě oprávněného zájmu jsou dotčené osoby pouze informovány v obecných informacích o zpracování osobních údajů (informační memorandum). Není nutné jim to dávat individuálně na vědomí, správce nepotřebuje ani jejich souhlas atd.

Typické chyby při využití oprávněného zájmu

Oprávněný zájem pokryje řadu legitimních účelů zpracování. I GDPR uvádí, že správce může mít oprávněný zájem na zpracování osobních údajů například za účelem přímého marketingu nebo předcházení a zamezení podvodům.

Ani oprávněný zájem však nezachrání vše a neochrání správce automaticky před pokutou nebo jiným postihem.

Chyby a nejasnosti spojené s aplikací oprávněného zájmu můžeme rozdělit do dvou skupin: Nesprávné či účelové provedení balančního testu, který správci „vyšel správně“, ačkoliv je zásah do práv subjektu údajů zjevně nepřiměřený. Druhou oblastí pak je neplnění dalších povinností souvisejících s využitím a aplikací oprávněného zájmu.

Špatné vyhodnocení oprávněného zájmu

Přílišné spoléhání se na oprávněný zájem a jen formální provedení balančního testu může vést k tomu, že správce vyhodnotí svůj oprávněný zájem jako dostatečný i tam, kde to zjevně nedává smysl. Proč? Protože zásah do práv dotčených osob je tak značný, že jej zájem na straně správce nemůže bez dalšího převážit. 

O tom, že se v praxi jedná o poměrně častý problém, svědčí i případy pokut z různých evropských zemí.

Naposledy se o tom přesvědčila mediální skupina Expressen Lifestyle ze Švédska. Ta pořizovala poměrně detailní profily svých klientů a pak je prodávala, aby je mohli marketingově vytěžit i jejich obchodní partneři. Toto zpracování opírala právě o svůj oprávněný zájem. Švédský dozorový úřad však byl jiného názoru. Konstatoval, že v tomto případě komerční zájem mediální skupiny rozhodně nepřevažuje nad právy jejich klientů, jinými slovy že oprávněný zájem není dostatečný právní titul k takovému zpracování osobních dat. A správci za to udělil pokutu ve výši zhruba 30 milionů Kč.  

Na případy, kdy je oprávněný zájem vykládán příliš extenzivně, ale poukazuje i český Úřad pro ochranu osobních údajů ve své výroční zprávě. Potvrzují to i nedávné případy z dalších zemí, například pokuta pro provozovatele registru ekonomických informací z Belgie ve výši 175.000 EUR nebo skutečně mimořádně vysoká pokuta 310 milionů EUR pro sociální síť LinkedIn, kterou jí irský dozorový úřad uložil právě za protiprávní profilování klientů za účelem personalizovaného marketingu.  

Další povinností související s oprávněným zájmem

Správné, férové a doložitelné vyhodnocení oprávněného zájmu je ovšem jen jednou z povinností, která je s uplatněním tohoto právního titulu spojena. I když správce provede balanční test skutečně objektivně, musí plnit i další povinnosti, aby se vyhnul porušení GDPR a hrozbě pokuty. 

O jaké povinnosti se jedná? 

  • Správce by měl svůj postup a výsledek balančního testu dokumentovat. Proč? Aby ho byl schopen doložit a svůj postup obhájit, například při kontrole ze strany dozorového úřadu nebo při auditu.

  • O zpracování osobních údajů na základě oprávněného zájmu je správce povinen transparentně informovat dotčené osoby. A být schopen toto plnění informační povinnosti také doložit.

  • Je rovněž nezbytné nastavit proces pro příjem a přezkum námitky subjektu údajů proti zpracování jeho dat na základě oprávněného zájmu. Toto právo upravuje čl. 21 GDPR. Správce by měl námitku nejen přijmout, ale také objektivně posoudit, zda v konkrétním případě skutečně jeho oprávněný zájem na zpracování dat převažuje nad právy toho, kdo námitku podal. Výsledek posouzení je rovněž vhodné dokumentovat.

  • Správce je povinen evidovat právní důvody pro jednotlivé účely v záznamech o činnostech zpracování vedených podle čl. 30 GDPR. Pozor, tyto záznamy si často vyžádá dozorový úřad či audit jako první podklad, i proto je vhodné skutečně dbát na jejich aktuálnost a úplnost.

Je vaše organizace v bezpečí?

Oprávněný zájem je jeden z několika možných právních důvodů pro legální zpracování osobních údajů. Jako takový je vhodný pro řadu situací a účelů zpracování, například ochranu kritických zájmů správce, zabezpečení dat, předcházení podvodům či jinému protiprávnímu jednání, někdy i pro základní marketing.

Tento právní důvod se však nehodí pro každé využití dat. Formalistické provádění balančního testu, jeho nedostatečné dokumentování či neplnění informační povinnosti mohou velmi snadno vést k porušení GDPR a pokutě.

Víte, a máte zdokumentováno, pro jaké využití dat vaše organizace spoléhá na oprávněný zájem?

Vědí to také vaši klienti a zaměstnanci?

Článek je publikován rovněž na doméně GDPR.cz.

Štítky
GDPRPokutaSoukromíOsobní údaje

Nejčtenější články

Štítky
comptia (1)Simulation (1)AI Act (15)Management (56)Data (24)BPMN (1)Program Manager (4)Compliance (84)Video MasteClass (1)ISO 27701 (1)ISO/IEC 27001 (3)Six Sigma (2)Whistleblowing (17)BOZP (1)Kanban (3)DPIA (1)Portfolio Manager (1)SCRUM (9)Compliance Officer (32)it4it (1)ePrivacy (27)Tip (1)ISO 20000 (1)IPMA (1)Business Continuity (1)Osobní údaje (45)Axelos (6)AI (22)ISO (16)IT Security (5)Marketing (11)ESG (5)Identifikace (3)Lean (3)MoP (7)CMS (1)GDPR (133)Gamification (1)TOPO (1)Byznys (1)TOGAF (6)ITIL (22)Mediální komunikace (2)EU (1)HR (5)Agile (6)Risk Manager (1)korporace (8)Ethical Hacking (2)business (1)POVEZ (2)DevOps (7)Artificial Intelligence (1)P3O (7)MSP (9)Komunikace (2)Data Protection Officer (52)Porsche (1)Biometrika (2)ISO45001 (3)MoR (4)EC Council (1)Digitalizace (15)Whistleblowing Officer (9)DORA (15)AI (3)ISO 27002 (1)PeopleCert (6)eIDAS (3)ArchiMate (5)Management of Risk (1)ITIL 4 (8)Media MasterClass (1)Business Analýza (1)Zpracovatel osobních údajů (3)Risk (2)BABOK (1)BCM (2)g2g3 (1)workshop (1)ITSM (11)PRINCE2 (28)OHSAS (1)ZoKB (7)Dotace (2)Kybernetická bezpečnost (21)Tisková zpráva (3)P3M3 (1)Business Simulation (4)Sankce (1)gaming works (1)Správce osobních údajů (3)SAFe (2)ISO 37301 (2)AML (4)DPO (11)MasterClass (1)AgileSHIFT (3)PMI (1)ISMS (30)NIS2 (19)Kritická infrastruktura (4)IT (7)Pověřenec pro ochranu osobních údajů (59)IT Service (4)ISO42001 (1)Soukromí (14)Grab@Pizza (1)Media (2)Enterprise Architect (5)Business Analytik (1)Project Manager (16)ISO 22301 (1)Ochrana osobních údajů (44)Pokuta (20)Hospodářská soutěž (1)eGovernment (1)Regulace (30)PRINCE2® (1)ISO27701 (3)Risk Management (2)ITIL4 (1)ISO 27001 (1)ISO 9001 (3)

Chcete získat dárek k narozeninám?

Nabídka kurzů

Hlavní nabídka

Certifikace

Společnost TCOX

Naše centrála

Křižíkova 2136/2a, Praha 1, Nové město, 110 00+420 720 153 593

Sledujte nás

Tayllorcox aplikace

Stáhněte si naši aplikaci

Stáhnout v App StoreStáhnout v Google Play