Oprávněný zájem podle GDPR

Účelem tohoto článku není obsáhnout vše, co by bylo dobré vědět o GDPR. Zaměřuje se na jednu vybranou otázku: Jaké jsou podmínky zpracovávání osobních údajů na základě oprávněného zájmu provozovatele nebo třetí osoby ?

Vycházíme v něm ze samotného znění GDPR, diskuze v odborných publikacích a z užitečné publikace vydané Data Protection Network, která se jmenuje Legitimate interest Guidance a je dostupná na této stránce : https://www.dpnetwork.org.uk/dpn-legitimate-interests-guidance/. Upozorňujeme, že Data Protection Network je soukromá asociace a ne veřejný orgán oprávněný vykládat právní předpisy, není tedy možné ani jejich názory, ani tento článek brát jako závazný výklad právních předpisů.

Právní základy zpracovávání podle GDPR

 

GDPR ve svém článku 6 definuje šest právních základů /titulů/ na zpracovávání osobních údajů. Jen v případě, že je provozovatel způsobilý prokázat jeden z nich, může být zpracovávání osobních údajů vůbec považované za zákonné.

Těmito tituly jsou :

-dotčená osoba vyjádřila souhlas se zpracováním svých osobních údajů

-zpracování je nevyhnutelné pro plnění smlouvy, smluvní stranou kterou je dotčená osoba, nebo aby na základě žádosti dotčené osoby vykonali opatření před uzavřením smlouvy

-zpracování je nevyhnutelné pro splnění zákonných povinností provozovatele

-zpracování je nevyhnutelné, aby se ochránily životně důležité zájmy dotčené osoby nebo jiné fyzické osoby

-zpracování je nevyhnutelné pro splnění úkolu realizovaného ve veřejném zájmu nebo při výkonu veřejné moci svěřené provozovateli

-zpracování je nevyhnutelné pro účely oprávněných zájmů, které sleduje provozovatel nebo třetí strana, s vyjímkou případů, kdy nad těmito zájmy převažují zájmy nebo základní práva a svobody dotčené osoby, které si vyžadují ochranu osobních údajů, zvláště když je dotčenou osobou dítě ( tuto možnost nemají orgány věřejné správy při plnění úkolů ).

 

V ČR se dodnes často považoval souhlas dotčené osoby za všelék. Souhlasy se používaly i tam, kde to vůbec nebylo vhodné ( například v pracovní smlouvě ). Často se souhlas doplňoval do běžných obchodních smluv, souhlas na marketingové účely se získával formou spotřebitelských soutěží v tisku, v obchodech nebo na internetu.

Podle GDPR se ale podmínky k souhlasu zpřísňují, souhlasy musí být zejména svobodně dané, informované, jasné a srozumitelné a oddělené od ostatních informací v dokumentech. Nejvýznamnější změnou podle GDPR je povinnost provozovatele zajistit, aby se souhlas dal kdykoliv odvolat a to stejně jednoduše jako byl udělený. To kromě jiného znamená, že i weby a aplikace, které získávají souhlasy, by měly být doplněny o nástroje na odvolání souhlasu a informace o odvolání by měly být součástí všech písemností, pomocí kterých se souhlas získává.

Důsledkem odvolání souhlasu je potom povinnost provozovatele osobní údaje dotčené osoby automaticky vymazat ( čl.17 ods.1 písm.b) GDPR) a pokud byly údaje zveřejněné, také zajistit, aby byly jejich kopie a odkazy na ně, vymazané i u jiných provozovatelů, kteří je od nich převzali (tzv. Právo být zapomenut).

Změna podmínek pro získávání souhlasu a riziko odvolání souhlasu budou motivovat k tomu, aby se přezkoumaly jiné právní základy, a to zejména zpracovávané na základě tzv. oprávněného zájmu. Přestože právě tento základ může být v mnohých případech vhodným řešením, na jeho uplatnění se vztahuje více podmínek.

Oprávněný zájem jako právní základ zpracovávání

 

GDPR umožňuje osobní údaje sbírat a zpracovávat i tehdy, kdy je to „ nevyhnutelné pro účely oprávněných zájmů, které sleduje provozovatel nebo třetí strana „. Podmínkou však je, aby nad těmito zájmy nepřevažovaly zájmy nebo základní práva a svobody dotčené osoby, zejména jestli jeli jím dítě (čl. 6 ods. 1 písm.f) GDPR). GDPR tedy stanovuje více podmínek na uplatnění oprávněného zájmu než právního základu zpracovávání :

-zpracovávání musí být nevyhnutelné

-záměr provozovatele nebo třetí osoby musí být oprávněný, a

-musí existovat rovnováha mezi oprávněným zájmem provozovatele nebo třetí osoby, na kterou se odvolává a zájmy nebo základními právami a svobodami dotčené osoby ( jestli zájmy dotčené osoby převažují, potom toto zpracovávání bude nezákonné).

Dotčená osoba může proti tomu, aby byly její údaje zpracovávané na základě oprávněného zájmu namítat, na toto právo jí musí provozovatel upozornit. V případě, že se data sbírají online, je potřeba, aby právo námítat bylo dostupné automatickými prostředky (čl.21 ods.5 GDPR).

Pokud má dotčená osoba námitky ohledně zpracování na základě oprávněného zájmu, není důsledkem námitky povinnost provozovatele tyto údaje hned vymazat, jako by to bylo v případě odvolaného souhlasu. V případě námitky má provozovatel povinnost „omezit zpracovávání“ těchto údajů ( ekvivalent toho, co se podle starých předpisů označovalo jako „ blokování údajů „). Následně má provozovatel povinnost prokázat, že má oprávněné důvody na zpracování, které převažují nad zájmy, právami a svobodami dotčené osoby (čl.21 ods.1 a čl.18 ods.1 písm.d) GDPR). V případě námitky proti zpracování na základě oprávněného zájmu má tedy provozovatel možnost svůj oprávněný zájem prokázat a obhájit. V případě, že se mu to nepodaří, následuje povinnost výmazu a další povinnosti, podobně jako při odvolání souhlasu. Dotčená osoba může také podat stížnost Úřadu na ochranu osobních údajů, pokud provozovatel nepostupoval podle ní v souladu s předpisy.

Vyjímkou však je, pokud se údaje zpracovávají za účelem přímého marketingu. Tehdy je námitka dotčené osoby konečná a znamená povinnost provozovatele tyto údaje přestat na daný účel využívat (Článek 31 ods.3 GDPR) a má povinnost je vymazat (čl.17 ods.1 písm.c) GDPR). Přímý marketing sice přímo preambule GDPR definuje jako oprávněný zájem, ale důsledky námitky jsou přísnější.

Co tedy vlastně může být oprávněným zájmem ? GDPR je předpisem jiného typu, než na jaké jsme byli zvyklí a neobsahuje výpočty možností, povinností ani přesné definice. Přesto vznikají oficiální (např. ze strany Pracovní skupiny 21) nebo neoficiální ( např. spomínané Usměrnění DPN) výklady jeho ustanovení.

Existují situace, v kterých bude celkem jasné, jaký je oprávněný zájem provozovatele, a proč převažuje nad zájmem dotčené osoby. Například, když provozovatel kontroluje vstup do svých prostor za účelem ochrany majetku, bude na první pohled jasné, že oprávněný zájem na získání údajů má (ochrana majetku). Avšak i v takovém jednoznačném případě by se měl připravit na to, že bude muset svoje právo obhájit v případě námitky a tedy opravdu zpracovávat jen údaje, které jsou nevyhnutelné (minimalizace údajů) a na nezbytnout dobu (minimalizace času).

Jak ale postupuje provozovatel v případech, kdy oprávněný zájem není tak jednoznačný a zřejmý ?

Podle směrnice DPN , každý provozovatel, který se chce spolehnout na „ oprávněný zájem „ jako na právní základ zpracovávání osobních údajů, by si měl na začátku udělat tři zkoušky či testy :

-Test oprávněnosti zájmu:

Je zájem, kvůli kterému údaje zpracovávám skutečně oprávněný zájem.

-Test nevyhnutelnosti:

Jaké údaje budu zpracovávat, abych mohl prokázat, že jejich zpracovávání je nevyhnutelné pro účel konkrétního oprávněného zájmu?

-Test rovnováhy:

Je oprávněný zájem dost silný, aby vyvážil omezení zájmů, práv a svobod dotčené osoby ?

 

Prvním předpokladem a základním krokem je, aby provozovatel oprávněný zájem jasně pojmenoval, popsal a vyhodnotil. Oprávněný zájem nemusí být zájmem samotného provozovatele, může jít i o zájem třetí strany – klienta provozovatele nebo i samotné dotčené osoby. Nelze se však v žádném případě spolehnout na to, že si nějaký oprávněný zájem najdu, když budu muset. Oprávněný zájem musí být srozumitelný, zákonný, nesmí být nejasný nebo vágní. Identifikovat právní základ a účel zpracovávání musí provozovatel už v povinné informaci dotčené osobě o zpracovávání jejích údajů ( viz. Článek 13 ods.1 písm.c) resp,čl.14 ods.1 písm.c) GDPR). Tuto informaci mu musí poskytnout při sběru údajů, když má údaje z jiného zdroje potom nejpozději do jednoho měsíce, od kdy začal údaje zpracovávat nebo při první komunikaci. Dokonce, podle usnesení pracovní skupiny 29 o transparentnosti, by měl v informaci dotčenou osobu provozovatel uvědomit o tom, že o oprávněnosti zájmu vypracoval test a poskytnout z něj základní informace nebo jí informovat, kde může do testu nahlédnout nebo si ho vyžádat.

 

Určit oprávněný zájem a definovat konkrétní účely zpracovávání by měl provozovatel tedy ještě dřív, než začne údaje sbírat. Musí totiž umět prokázat, že existenci oprávněného zájmu zkoumal a vyhodnotil, že jeho oprávněný zájem prošel v testech oprávněnosti, nevyhnutelnosti a rovnováhy. V některých případech, kdy je riziko pro dotčené osoby vyšší, bude dokonce potřeba před začátkem zpracovávání provézt také tzv. „posouzení vlivu na ochranu údajů“ ( Data impact analysis neboli DIA ), což je složitější proces, který přesněji definuje článek 35 GDPR. Také v případech, kdy se takové složité posouzení nevyžaduje, měl by provozovatel už před započetím zpracovávání prokázat, že splnil podmínky podle GDPR. Ideálně by tedy měl připravit materiál, kde popíše oprávněný zájem, jaké údaje pro něj zpracovává a jak vyhodnotil rovnováhu oprávněného zájmu a zájmu dotčených osob.

 

Jak hodnotit oprávněný zájem, aby to bylo v souladu s GDPR

 

Samotný text GDPR dává několik návodů a vysvětlení, pokud jde o získání a definování oprávněného zájmu. Normativní text je poměrně strohý, víc podrobností můžeme najít v Preambuli nařízení, zejména v bodech 47-50.

Přímý marketing

Podle bodu 47 preambule, zpracovávání údajů pro účely přímého marketingu můžeme považovat za oprávněný zájem. Samozřejmě i v takovém případě musí být provozovatel schopen prokázat, že jeho zájem a zájem dotčené osoby jsou v rovnováze. Platí, že v případě námitky se musí takto zpracovávané údaje bezodkladně vymazat a dále nepoužívat.

Předcházení podvodům

Podobně to platí pro předcházení podvodům. Zpracovávání osobních údajů nevyhnutelně potřebné k předcházení podvodům se podle bodu 47 považuje za oprávněný zájem. Na rozdíl od přímého marketingu, námitka v tomto případě neznamená ukončení zpracovávání ani výmaz, ale postupuje se při ní jako při jakékoliv jiné námitce ( zpracovávání se omezí, provozovatel může prokázat splnění podmínek zpracovávání ).

Relevantní a přiměřený vztah a přiměřené očekávání

Bod 47 přidává i další kritéria oprávněného zájmu . Při zpracovávání oprávněného zájmu je třeba zohlednit přiměřené očekávání dotčené osoby, vzhledem k jejímu vztahu k provozovateli. Jako příklad uvádí, že takové očekávání (tedy, že se její údaje mohou zpracovávat ) může mít osoba, pokud je mezi ní a provozovatelem relevantní a přiměřený vztah, zejména když je v postavení klienta provozovatele nebo se jí poskytují služby. Z toho vyplývá, že když existuje mezi  provozovatelem a dotčenou osobou smluvní vztah, nemusí provozovatel zpracovávat výhradně údaje potřebné k plnění smlouvy (jako jednoho právního základu ), ale může zpracovávat i jiné údaje, které zpracovává za účelem svého oprávněného zájmu ( jiného než smluvního), například také marketingu, analytiky apod., za předpokladu, že takové zpracovávání může dotčená osoba přiměřeně očekávat. Seznam údajů by ale měl být pečlivě rozdělený podle těchto různých právních základů, protože zpracovávání na záklaě oprávněného zájmu podléhá jiným pravidlům GDPR ( například spomínaného práva na námitku ) než zpracovávané údaje pro účely plnění smluv ( tam je zase například právo na přenositelnost ).

Vnitroskupinové přenosy

V bodě 48 preambule GDPR poskytuje možnost, že v případě skupiny propojených společností může existovat oprávněný zájem pro vnitroskupinové přenosy dat zaměstnanci nebo zákazníkovi. Samozřejmě, všechny pravidla pro přenos údajů musí být dodržené i v tomto případě a platí zde zásady minimalizace údajů a doby zpracovávání.

Bezpečnost sítě a informační bezpečnost

Podle bodu 49 preambule, je oprávněným zájmem také zajistění bezpečnosti sítě a informační bezpečnosti.GDPR ji definuje jako schopnost sítě nebo informačního systému odolávat poruchám nebo nezákonným nebo úmyslným činům, které narušují dostupnost, pravost, integritu a důvěrnost uchovávaných nebo přenesených osobních údajů, bezpečnost souvisejících služeb nabízejících se nebo dostupných prostřednictvím těchto sítí. Na tento právní nárok se podle GDPR mohou odvolat hlavně orgány veřejné moci, jednotky reakce na nouzové počítačové situace ( CERT ), jednotky pro řešení počítačových incidentů ( CSIRT ), poskytovatelé elektronických komunikačních sítí a služeb a poskytovatelé bezpečnostních technologií a služeb.

Test oprávněnosti zájmu

Pokud oprávněný zájem není takto výslovně definovaný v GDPR, potom by měl provozovatel udělat trojstupňový test oprávněného zájmu, tedy

  1. zjistit, jestli oprávněný zájem existuje,
  2. posoudit, jestli je zpracovávání konkrétních údajů nevyhnutelné k jeho dosažení, a
  3. vykonat test rovnováhy, tedy zjistit jestli zájmy, práva a svobody dotčené osoby nepřevažují nad zájmy provozovatele.

V prvním bodě by měl provozovatel jasně definovat oprávněný zájem, určit jestli jde o zájem jeho nebo třetí osoby. Samozřejmě, žádný zájem, který není v souladu s právními předpisy nebo není dovolený, nemůže být považován za oprávněný zájem.

V druhém bodě by se měl provozovatel zabývat „ nevyhnutelností“ zpracovávání údajů k dosažení cíle, který si určil. Nestačí, aby zpracovávání k tomuto účelu bylo vhodné, obvyklé nebo žádoucí, měl by být schopen prokázat, že zpracovávání je skutečně nevyhnutelné. Toho dosáhne zejména tím, že přesvědčivě odpoví na otázky : Mohu dosáhnout svého cíle (naplnit oprávněný zájem) také jinak než zpracováváním údajů ? Potřebuji všechny údaje, které chci sbírat na dosažení cíle ? V případě, že existuje víc možností, jak cíle dosáhnout, ještě stále může být zpracovávání údajů nezbytné, pokud by alternativní způsoby vyžadovaly nepřiměřené úsilí nebo náklady. Když existuje víc způsobů a při všech se zpracovávají údaje, měl by provozovatel vyhodnotit dopady zpracovávání a podle nich volit postup s nejmenším dopadem na práva a zájmy dotčených osob.

Potom nastupuje test rovnováhy, tedy zjišťování zda práva, zájmy a svobody dotčené osoby, kterých se zpracovávání dotkne, nepřeváží oprávněný zájem provozovatele či třetí osoby. Podle DPN by se měl provozovatel snažit v tomto testu postupovat nestranně.

Musí při tom vzít v úvahu hlavně

-povahu dotčených zájmů

-dopad zpracování

-zabezpečení, které implementuje.

 

Povaha dotčených zájmů

Při testu by se mělo zohlednit přiměřené očekávání dotčené osoby, jak naznačuje preambule GDPR. Může určitá osoba jako klient přiměřeně očekávat, že o něm budu zpracovávat konkrétní údaj ? Pokud ano, potom to vzala do úvahy už když se rozhodla stát mým klientem nebo se mnou založit jiný vztah. Když takové očekávání nemůže mít, potom je třeba v testu rovnováhy přikládat jejím zájmům větší váhu.

Zohlednit by se měl také typ údajů, které zpracovávám. Zvláště přísně by se měly posoudit osobní údaje dětí (podle GDPR je dítětem osoba do 16 let věku), zájmy kterých jsou vždy silněji chráněné. Stejně silnější ochraně podléhají, a tedy větší váhu mají citlivé údaje, tedy například údaje o zdravotním stavu, rase, náboženství nebo filozofických názorech nebo o sexuálních preferencích. Jejich zpracování dokonce GDPR zakazuje pokud není splněna jedna z vyjímek.

Dále je testu potřeba podrobit samotný zájem. V čí prospěch směřuje tento oprávněný zájem ? Je to jen zájem provozovatele nebo je zároveň také zájmem dotčené osoby ( například se zpracováváním údajů se zlepší nabízené služby nebo pohodlí při jejich používání) ?

Dopad zpracování

Jaký má zpracování dopad na dotčenou osobu ? Hrozí jí nějaká škoda nebo ztráta v důsledku zpracování ? Co v případě úniku údajů, hrozí jí zvýšené riziko ? Zvažuje se zveřejnění těchto údajů ? Jaké je postavení provozovatele – má významné postavení na trhu a jeho rozhodnutí podstatně ovlivní dotčenou osobu nebo jiné osoby ? Jde o dotčené osoby, které jsou zvláště chráněné, jako jsou například děti nebo jsou považovány za více zranitelné, jako například zaměstnanci ? Bude se dělat profilování ?

Rizika pro dotčené osoby znovu objasňuje preambule GDPR, podle které je rizikové hlavně zpracování, v důsledku kterého může dojít k újmě na zdraví, majetkové nebo nemajetkové újmě, a to zejména kdy zpracování může vézt k diskriminaci, krádeži totožnosti nebo podvodu, finanční ztrátě, poškození dobrého jména, ztrátě důvěryhodnosti osobních údajů chráněných profesním tajemstvím, neoprávněné reverzní pseudonymizaci nebo jakémukoliv jinému závažnému hospodářskému nebo sociálnímu znevýhodnění, nebo kdy by dotčené osoby mohly být zbaveny svých práv a svobod nebo jim bylo bráněno v kontrole nad svými osobními údaji.

Zabezpečení

Jak jsou údaje chráněné, jaké je zabezpečení ? Budou se údaje poskytovat dalším osobám nebo zveřejňovat ? Budou v takovém případě údaje anonymizované nebo pseudonymizované ?

Výsledek testu

Směrnice DPN obsahuje jako přílohu dotazník, který může provozovatel použít při testu oprávněného zájmu. Jsou v něm zahrnuté otázky, které by si měl provozovatel položit. Je třeba ale upozornit, že nejde o žádný exaktní test ani neobsahuje bodování odpovědí. Výsledky by si měl provozovatel sám vyhodnotit podle svých zkušeností a podle návodů daných v GDPR a ve směrnici.

Co však v případě, že provozovatel udělá test, ale test má negativní výsledek, provozovatel tedy zjistí, že zájmy oprávněné osoby převáží jeho oprávněný zájem ? No, může ještě zvážit, jestli například nezredukuje počet a druh sbíraných údajů nebo vypustí některé operace, které s nimi provádí. Pokud ani v takovém případě výsledek testu nebude v prospěch jeho oprávněného zájmu, nebude moct tento právní základ použít.

Příklady některých konkrétních oprávněných zájmů

Už jsme vzpomenuli, že některé oprávněné zájmy jako takové definuje přímo GDPR (například předcházení podvodům, přímý marketing, počítačová bezpečnost). Doplňme několik dalších příkladů, jak by mohly konkrétně vypadat oprávněné zájmy podle DPN.

 

Zjištění věku

Některé služby poskytované provozovatelem mohou být omezené věkem (dostupné pouze pro dospělé). Také GDPR stanovuje přísnější podmínky zejména pro souhlasy s použitím osobních údajů pro děti do 16 let. Zjištění věku zákazníka služby proto zřejmě může být oprávněným zájmem provozovatele takové služby.

Personalizace

Některé služby mohou poskytovat přidaný komfort, když bude mít provozovatel dost informací na to, aby službu personalizoval, přizpůsobil potřebám zákazníka. Na personalizaci může potřebovat osobní údaje ( např. věk, pohlaví nebo lokalitu ). Je pravděpodobné, že personalizace, také vzhledem k tomu, že poskytuje komfort přímo dotčené osobě, by se měla považovat za oprávněný zájem.

Analytika

Samotné DPN ve směrnici hovoří o oprávněném zájmu zejména pro poskytovatele služeb na internetu, aby používali diagnostickou analytiku, aby sledovali počet návštěvníků, postů, zobrazení stránky nebo videa, hodnocení apod., aby optimalizovali svoje marketingové kampaně.

Při webové anylytice je třeba ale kromě GDPR vzít do úvahy i jiné předpisy, konkrétně tzv. Eprivacy Directive z r. 2002(2), úprava nebo nahrazení které novým nařízením se také připravuje a také implementaci do našeho práva Zákonem o elektronických komunikacích, které určují podmínky pro používání cookies jako analytických prostředků. Tyto podmínky se uplatňuji navíc k podmínkám podle GDPR, není možné se tedy spolehnout, že vykonaný test podle GDPR je dostatečný pro zpracovávání údajů, ale je potřeba splnit i podmínky podle ostatních předpisů.

Evidenční účely

Například pro provozovatele hotelů bude zřejmý zájem na tom, aby evidovali vstupy a odchody hostů a personálu z pokojů z dat vstupních karet. Účelem bude řešení případných sporů nebo nároků hostů nebo porušení předpisů ze strany personálu. Jiným účelem může být lepší organizace pobytu hosta a vylepšení jeho zákaznické zkušenosti. Tady je však potřeba se zamyslet nad tím, jak tyto údaje minimalizovat a jakou minimální dobu je uchovávat.

Monitorování

Obchodní společnost například ve svém call centru používá softvérové řešení, které anylyzuje data kvůli identifikaci opakovaných problémů a analýzu chování zákazníků a zaměstnanců. Pro tento účel zaznamenává a analyzuje telefonáty a používá je, aby zaměstnanci call center optimalizovali svou práci a lépe sloužili zákazníkům.Upozornění by se v tomto případě mělo poskytnout na začátku telefonického hovoru.

Logistika

Síť supermarketů potřebuje zjistit, kam je nejvýhodnější umístit distribuční body a jak umisťovat produkty do skladů.Obchod proto zpracovává údaje o zákaznících, aby předvídal budoucí odbyt. Může při tom například i doplnit data z externích zdrojů, aby obohatil zákaznické složky a poskytl podklady pro rozhodování.

Informace o dopravě

Společnosti, které poskytují informace o směřování dopravy, soukromé i veřejné, sbírají v reálném čase informace o dopravě na některých silnicích nebo úsecích. To umožňuje podstatně zlepšit efektivnost dopravy v hustě zalidněných oblastech. Informace se poskytují navigačním systémem a využívají je jednotlivci, veřejný sektor nebo komerční sektor. K těmto účelům se využívají údaje odeslané mobilními telefony, propojenými vozidly nebo jinými koncovými zařízeními.

 

Oznámení dotčené osobě

 

Už jsme mnohokrát zmínili, že provozovatel je povinný informovat dotčenou osobu o tom, že a k jakým účelům zpracovává její osobní údaje. Součástí této informace je také určení oprávněného zájmu a účelu, ke kterému údaje využívá. Také je součástí poučení dotčené osoby o jejích právech, včetně práva namítnout proti zpracovávání na základě oprávněného zájmu. Upozornění na právo namítnout musí být poskytnuté jasně a odděleně od ostatních informací (čl.21 ods.4 GDPR).

Příklady, jak by takové upozornění na právo namítat mohlo vypadat, obsahuje také směrnice DPN. Jde jen o část informece, protože ta musí obsahovat i další náležitosti podle GDPR (čl.13 a 14). Tato upozornění mohou, v případě online sbírání údajů, odkazovat na web stránky nebo podstránky, na které je možno se dostat klikem (vrstvení informací). V případě písemných dokumentů mohou odkazovat na přílohy, doporučila bych ale, aby všechny potřebné informace byly v takovém případě součástí jednoho balíku písemností.

Jak by tedy mohla znít část upozornění, která poskytuje informaci o oprávněném zájmu a právu námitky ? Například takto:

Zpracováváme Vaše osobní údaje k více oprávněným obchodním účelům ( oprávněným zájmům), zejména k následujícím účelům:

-zlepšení, přizpůsobení nebo personalizace našich služeb nebo naší komunikace s klienty, a to ve prospěch našich klientů

-identifikaci pokusů o podvod a k předcházení podvodům

-zlepšení bezpečnosti naší sítě a našich informačních systémů

-abychom porozuměli tomu, jak lidé interagují s naší webstránkou

-abychom Vám mohli zasílat oznámení, o kterých si myslíme, že by Vás mohla zajímat

-abychom vyhodnotili efektivitu propagačních kampaní a reklamy.

 

Při zpracovávání Vašich údajů k těmto účelům vždy respektujeme a dodržujeme Vaše práva při zpracovávání osobních údajů. Máte právo proti tomuto zpracovávání namítnout, a když tak chcete učinit, můžete tak učinit kliknutím sem. Berte však, prosím, na vědomí, že námitka může ovlivnit naší schopnost vykonávat va Váš prospěch výše uvedené úkony.

Oprávněný zájem jako právní základ zpracovávání osobních údajů je určitě užitečným nástrojem pro běžné fungování provozovatelů. Je však potřeba předtím, než se do takového zpracovávání pustíme, vyhodnotit, jestli oprávněný zájem a zpracovávání na jeho základě splňuje všechny podmínky, které pro něj ustanovuje GDPR.

Text byl sepsán RYBAKOVÁ a PARTNERS, S.R.O. a publikován zde se souhlasem autora.

 

  • Nařízení Evropského parlamentu a rady EÚ 2016/679 o ochraně fyzických osob při zpracovávání osobních údajů a volném pohybu takových údajů, kterým se ruší směrnice 95/46/ES
  • Směrnice Evropského parlamentu a Rady 2002/58/ES z 12.června 2002, týkající se zpracovávání osobních údajů a ochrany soukromí v sektoru elektronických komunikací (směrnicer o soukromí a elektronických komunikacích)