GDPR v praxi

Jednou zo základných povinností, ktorá z GDPR prevádzkovateľom vyplýva je aj vypracovanie internej dokumentácie v súlade s GDPR. V ponuke na trhu sú rôzne vzorové dokumenty, avšak presný obsah a rozsah dokumentácie je možné určiť iba na základe podrobnej analýzy jednotlivých spracovateľských operácií u prevádzkovateľa vrátane analýzy účelov spracúvania, právnych titulov spracúvania, nutnosti spracúvania jednotlivých kategórii osobných údajov a podobne. Z tohto dôvodu, dokumentácia, ktorá je vhodná pre jedného prevádzkovateľa nemusí byť (a pravdepodobne ani úplne nebude) vhodná pre iného prevádzkovateľa. 

Mnohí prevádzkovatelia navyše aj naďalej používajú tzv. bezpečnostný projekt podľa už neúčinnej právnej úpravy. GDPR dokumentáciu nie je povinné iba vypracovať v súlade s aktuálnou právnou úpravou, ale je potrebné ju aj podľa potreby aktualizovať a dopĺňať. 

Osobné údaje je možné spracúvať iba na vymedzený účel (prípadne viaceré účely) a iba na konkrétnom právnom základe. Právnym základom spracúvania osobných údajov podľa GDPR je aj súhlas dotknutej osoby so spracúvaním osobných údajov. 

Pri spracúvaní osobných údajov sa v praxi často stáva, že prevádzkovateľ niekedy iba „pre istotu“ žiada od dotknutej osoby súhlas so spracúvaním jej osobných údajov aj ak v danom prípade nie je súhlas so spracúvaním osobných údajov potrebný, pretože spracúvanie sa uskutočňuje na inom právnom základe. 

Častým prípadom nesprávnej aplikácie právnej úpravy súhlasu so spracúvaním osobných údajov je zahrnutie doložky o udelení súhlasu do rôznych zmlúv. Stretli sme sa napr. s prípadom, že predávajúci pri predaji nehnuteľnosti požaduje, aby kupujúci v rámci kúpnej zmluvy udelil predávajúcemu súhlas so spracúvaním jeho osobných údajov uvedených v znení kúpnej zmluvy. Osobné údaje kupujúceho nevyhnutné na uzavretie kúpnej zmluvy pritom môže predávajúci spracúvať bez udelenia súhlasu, keďže spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba. 

Pred každým spracúvaním osobných údajov je preto potrebné zamyslieť sa nad tým, aký je v konkrétnom prípade účel spracúvania osobných údajov a na akom právnom základe je možné predmetné osobné údaje spracúvať. 

Ďalším príkladom, kedy nie je potrebný súhlas so spracúvaním osobných údajov je uplatnenie právneho základu, ktorým je oprávnený záujem prevádzkovateľa. Pokiaľ teda prevádzkovateľ spracúva osobné údaje na základe toho, že spracúvanie osobných údajov je nevyhnutné na účely oprávnených záujmov prevádzkovateľa alebo tretej strany, nie je potrebný súhlas dotknutej osoby so spracúvaním jej osobných údajov. 

V prípade tohto právneho základu je vždy potrebné posúdiť, či nad oprávneným záujmom prevádzkovateľa alebo tretej strany neprevažujú záujmy alebo základné práva a slobody dotknutej osoby. Takéto posúdenie sa vykonáva prostredníctvom tzv. testu oprávneného záujmu (alebo niekedy označovaného aj ako balančný test) na uskutočnenie ktorého sa v praxi často zabúda. 

Pri spracúvaní osobných údajov je potrebné myslieť aj na to, že podľa GDPR je zakázané spracúvanie tzv. citlivých osobných údajov, medzi ktoré patria údaje týkajúce sa rasového alebo etnického pôvodu, politických názorov, náboženského alebo filozofického presvedčenia alebo údaje o členstve v odborových organizáciách, genetické údaje, biometrické údaje na individuálnu identifikáciu fyzickej osoby, údaje týkajúce sa zdravia alebo sexuálneho života a sexuálnej orientácie fyzickej osoby. 

GDPR zároveň upravuje niekoľko výnimiek, na základe ktorých je spracúvanie takýchto údajov dovolené. Prvou z výnimiek je, že spracúvanie citlivých osobných údajov je možné, ak dotknutá osoba vyjadrila výslovný súhlas so spracúvaním takýchto osobných údajov na jeden alebo viacero účelov. V spracúvaní osobných údajov je teda v praxi vždy potrebné posúdiť, či nie je potrebné aplikovať osobitnú úpravu pre spracúvanie osobitných kategórií osobných údajov.