Ako spracúvať osobné údaje v súlade so zásadou zákonnosti?

Ako spracúvať osobné údaje v súlade so zásadou zákonnosti?

Každé spracúvanie osobných údajov musí byť zákonné. Pre naplnenie tejto podmienky upravuje nariadenie GDPR v čl. 6 právne základy pre spracúvanie osobných údajov a v čl. 9 právne základy pre spracúvanie osobitnej kategórie osobných údajov.

K tomu, aby mohol prevádzkovateľ zákonným spôsobom spracúvať osobné údaje dotknutých osôb, musí mať primeraný právny základ.

Spracúvanie osobných údajov je zákonné, ak sa vykonáva na základe aspoň jedného z týchto právnych základov:
a)
dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov aspoň na jeden konkrétny účel,
b)
spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo na vykonanie opatrenia pred uzatvorením zmluvy na základe žiadosti dotknutej osoby,
c)
spracúvanie osobných údajov je nevyhnutné podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná,
d)
spracúvanie osobných údajov je nevyhnutné na ochranu života, zdravia alebo majetku dotknutej osoby alebo inej fyzickej osoby,
e)
spracúvanie osobných údajov je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi, alebo
f)
spracúvanie osobných údajov je nevyhnutné na účel oprávnených záujmov prevádzkovateľa alebo tretej strany okrem prípadov, keď nad týmito záujmami prevažujú záujmy alebo práva dotknutej osoby vyžadujúce si ochranu osobných údajov, najmä ak je dotknutou osobou dieťa; tento právny základ sa nevzťahuje na spracúvanie osobných údajov orgánmi verejnej moci pri plnení ich úloh.

 

Na to, aké právne základy preukážete Záznamom o spracovateľských  činnostiach, ktorý je potrebné pravidelne aktualizovať, v prípade nejakej zmeny v dokumente.

V praxi Vám však vie zodpovedať viacero otázok, najmä – aký právny základ je potrebný pre to – ktoré spracúvanie osobných údajov, ktoré osoby sú považované za dotknuté, aké subjekty môžete považovať za príjemcov, po akú dobu ste povinní osobné údaje uchovávať.

V prípade, ak spracúvate osobné údaje na základe právneho základu – súhlasu dotknutej osoby – je potrebné, aby pred začatím spracúvania Vám konkrétna dotknutá  osoba udelila súhlas na takéto spracúvanie.

Nariadenie GDPR ako i zákon stanovujú pravidlá, čo všetko má takýto súhlas obsahovať a o čom je potrebné konkrétnu dotknutú osobu udeľujúcu súhlas so spracovaním jej údajov poučiť.

Dotknutá osoba musí udeliť súhlas jednoznačným prejavom vôle. Nevyžaduje sa, aby v každom prípade súhlas udelila písomne s vlastnoručným podpisom. Za riadne udelený súhlas sa považuje i zakliknutie políčka na webe, vedľa konkrétneho textu, ktorý sa po rozkliknutí zobrazí celý, ako i napr. zaradením do súťaže (tu musí byť už v podmienkach uvedené náležitosti, že zapojením sa do súťaže, alebo napísaním komentára pod príspevok udeľujete súhlas). Pri voľbe spôsobu udelenia súhlasu od dotknutej osoby dbajte okrem iného najmä na to, aby ste udelenie súhlasu dotknutou osobou vedeli preukázať.

Doba, na ktorú je súhlas udelený musí byť určená a určitá. Nesmieme žiadať súhlas na spracovanie osobných údajov na dobu neurčitú.

Táto doba musí byť primeraná účelu spracúvania osobných údajov tak, aby boli naplnené všetky ostatné zásady spracúvania osobných údajov, najmä zásada minimalizácie osobných údajov.

Ak vás zaujímajú ďalšie povinnosti súvisiace s GDPR firmy, prečítajte si ostatné články na našom blogu!

OCHRANA OSOBNÝCH ÚDAJOV