Kedy možno spracúvať osobné údaje?

Odpoveď

Vaša spoločnosť/organizácia môže osobné údaje spracúvať iba za týchto okolností:

• so  súhlasom od dotknutých jednotlivcov;
• ak existuje zmluvný záväzok (zmluva medzi vašou spoločnosťou/organizácioua klientom);
• na splnenie právneho záväzku (podľa práva EÚ alebo vnútroštátneho práva);
• keď je spracúvanie nevyhnutné na plnenie úlohy realizovanej vo verejnom záujme (podľa práva EÚ alebo vnútroštátneho práva);
• na ochranu životne dôležitých záujmov jednotlivca;
• pre oprávnené záujmy vašej organizácie, ale len ak najskôr overíte, či nie sú závažne ovplyvnené práva a slobody osoby, ktorej údaje sa spracúvajú. Ak záujmy danej osoby prevažujú vaše záujmy, nemožno údaje spracúvať na základe oprávneného záujmu. Posúdenie toho, či oprávnené záujmy vašej spoločnosti/organizácie  na spracúvaní prevažujú záujmy dotknutých osôb, závisí od konkrétnych okolností prípadu.

Príklady

Súhlas
Vaša spoločnosť/organizácia ponúka hudobnú aplikáciu a žiada od občanov súhlas, aby  mohlaspracúvať ich hudobné preferencie a mohla im tak navrhovať prispôsobené piesne a možné koncerty k nim.

Zmluvný záväzok
Vaša spoločnosť/organizácia  na internete predáva svoj tovar. Môže spracúvať údaje, ktoré sú nevyhnutné na uskutočnenie úkonov, ktoré si vyžiada jednotlivec pred uzatvorením zmluvy a na výkon zmluvy. Môže teda spracúvať meno, doručovaciu adresu, číslo kreditnej karty (ak sa platí kartou) atď.

Právny záväzok
Vlastníte spoločnosť, ktorá má zamestnancov. Ak chcete zabezpečiť pokrytie sociálnym poistením, z práva vám vyplýva povinnosť poskytovať osobné údaje (napr. týždenný príjem vašich zamestnancov) príslušnému orgánu.

Verejný záujem
Príklad: profesijné združenie, ako je advokátska komora alebo lekárska komora, ktorej bola udelená úradná právomoc, môže viesť disciplinárne konanie proti niektorým svojim členom.

Životne dôležité záujmy osoby
Nemocnica lieči pacienta po závažnej cestnej nehode. Nemocnica  nepotrebuje jeho súhlas, aby vyhľadala číslo jeho preukazu totožnosti a skontrolovala, či sa táto osoba nachádza vo jej databáze, s cieľom nájsť predchádzajúcu lekársku anamnézu alebo kontaktovať najbližších príbuzných.

Oprávnené záujmy vašej organizácie
Vaša spoločnosť/organizácia  zaisťuje  bezpečnosť svojej siete tak, že monitoruje, ako jej zamestnanci používajú zariadenia IT. Vaša spoločnosť/organizácia  môže tieto osobné údaje oprávnene spracúvať iba na tento účel, a to len vtedy, keď je vybratá najmenej rušivá metóda, pokiaľ ide o súkromie a práva na ochranu údajov vašich zamestnancov, napr. tak, že obmedzíte prístup na určité webové lokality. (Upozorňujeme, že takýto postup nie je možný v členských štátoch EÚ, ktorých vnútroštátne právo ustanovuje prísnejšie pravidlá spracúvania v kontexte zamestnania).

Odkazy

• článok 6 a odôvodnenia 40 – 49 GDPR
• stanovisko pracovnej skupiny pre ochranu údajov zriadenej podľa článku 29 č. 06/2014 k pojmu legitímne záujmy prevádzkovateľa podľa článku 7 smernice 95/46/ES

Examples

Consent

Your company/organisation offers a music app and ask for citizens’ consent to process their musical preferences in order to suggest tailored songs and possible concerts to them. 

Contractual obligation
Your company/organisation sell goods online. It can process data that is necessary to take steps at the request of the individual prior to entering into the contract and for the performance of the contract. So you can process the name, delivery address, credit card number (if payment by card), etc.

Legal obligation
You own a company with employees. In order to obtain social security cover, the law obliges you to provide personal data (for example weekly income of your employees) to the relevant authority.

Public interest
Example: a professional association such as a bar association or a chamber of medical professionals vested with an official authority to do so may carry out disciplinary procedures against some of their members.

Vital interests of a person
A hospital is treating a patient after a serious road accident; the hospital doesn't need his consent to search for his ID to check whether that person exists in the hospital's database to find previous medical history or to contact his next of kin.

Your organisation’s legitimate interests
Your company/organisation ensures its network security by monitoring the use of its employees’ IT devices. Your company/organisation may legitimately process personal data for that purpose, only if the least intrusive method is chosen as regards the privacy and data protection rights of your employees, for example, by limiting the accessibility of certain websites. (Note that this can’t be done in EU Member States where national law sets out stricter rules for processing in the employment context).