Kdy mohou být osobní údaje zpracovávány?

Odpověď

Vaše společnost/organizace může osobní údaje zpracovávat pouze za následujících okolností:

• se souhlasem příslušných fyzických osob,
• existuje-li smluvní závazek (smlouva mezi vaší společností/organizací a klientem),
• za účelem dodržení právní povinnosti (podle právních předpisů EU nebo vnitrostátních právních předpisů),
• je-li zpracování nezbytné pro splnění úkolu prováděného ve veřejném zájmu (podle právních předpisů EU nebo vnitrostátních právních předpisů),
• pro ochranu životně důležitých zájmů fyzické osoby,
• pro oprávněné zájmy vaší organizace, ale pouze po ujištění se, že nejsou závažně dotčena základní práva a svobody osoby, jejíž osobní údaje zpracováváte. Pokud práva dotyčného převažují nad vašimi zájmy, pak zpracování údajů na základě oprávněných zájmů není možné. Posouzení toho, zda oprávněné zájmy vaší společnosti/organizace pro zpracování převažují nad zájmy dotčených osob, závisí na individuálních okolnostech případu.

Příklady

Souhlas
Vaše společnost/organizace nabízí hudební aplikaci a požaduje souhlas občanů se zpracováním jejich hudebních preferencí, aby jim mohla předkládat přizpůsobené nabídky skladeb a možných koncertů.

Smluvní závazek
Vaše společnost/organizace prodává zboží přes internet. Může zpracovávat údaje, které jsou nezbytné pro provedení kroků na vyžádání příslušné fyzické osoby před uzavřením smlouvy a pro plnění smlouvy. Můžete tedy zpracovat jméno, dodací adresu, číslo platební karty (při platbě kartou) atd.

Právní povinnost
Vlastníte společnost se zaměstnanci. Pro získání sociálního zabezpečení vám zákon ukládá poskytovat příslušnému orgánu osobní údaje (např. týdenní příjem vašich zaměstnanců).

Veřejný zájem
Příklad: profesní sdružení, například stavovská organizace advokátů nebo komora zdravotnických pracovníků k tomu pověřená veřejnou mocí, může proti některým svým členům vést disciplinární řízení.

Životně důležité zájmy osoby
Nemocnice ošetřuje pacienta po vážné dopravní nehodě; nemocnice nepotřebuje jeho souhlas s vyhledáním jeho totožnosti s cílem zjistit, zda tato osoba existuje v databázi nemocnice, aby mohla být zjištěna pacientovu anamnéza nebo kontaktováni jeho nejbližší příbuzní.

Oprávněné zájmy vaší organizace
Vaše společnost/organizace zajišťuje zabezpečení své sítě, a proto monitorujete, jak její zaměstnanci využívají IT zařízení. Vaše společnost/organizace může osobní údaje pro tento účel oprávněně zpracovávat pouze v případě, že vybere nejméně rušivou metodu, pokud jde o práva na ochranu soukromí a osobních údajů vašich zaměstnanců, například omezením dostupnosti některých webových stránek. (Upozorňujeme, že toto nelze provádět v členských státech EU, ve kterých vnitrostátní právní předpisy stanoví přísnější pravidla pro zpracovávání v kontextu zaměstnání).

Odkazy

• Článek 6 a odůvodnění 40 až 9 GDPR
• Stanovisko pracovní skupiny 06/2014 zřízené podle článku 29 k pojmu oprávněných zájmů správce údajů podle článku 7 směrnice 95/46/ES

Consent

Your company/organisation offers a music app and ask for citizens’ consent to process their musical preferences in order to suggest tailored songs and possible concerts to them. 

Contractual obligation
Your company/organisation sell goods online. It can process data that is necessary to take steps at the request of the individual prior to entering into the contract and for the performance of the contract. So you can process the name, delivery address, credit card number (if payment by card), etc.

Legal obligation
You own a company with employees. In order to obtain social security cover, the law obliges you to provide personal data (for example weekly income of your employees) to the relevant authority.

Public interest
Example: a professional association such as a bar association or a chamber of medical professionals vested with an official authority to do so may carry out disciplinary procedures against some of their members.

Vital interests of a person
A hospital is treating a patient after a serious road accident; the hospital doesn't need his consent to search for his ID to check whether that person exists in the hospital's database to find previous medical history or to contact his next of kin.

Your organisation’s legitimate interests
Your company/organisation ensures its network security by monitoring the use of its employees’ IT devices. Your company/organisation may legitimately process personal data for that purpose, only if the least intrusive method is chosen as regards the privacy and data protection rights of your employees, for example, by limiting the accessibility of certain websites. (Note that this can’t be done in EU Member States where national law sets out stricter rules for processing in the employment context).

• Article 6 and Recitals (40) to (49) of the GDPR
• Article 29 Working Party Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/E