Nový BLOG: Prečítali a zosumarizovali sme pravidlá pre spracúvanie osobných údajov na základe zmluvy s dotknutou osobou, ktoré pripravil Európsky výbor pre ochranu údajov. Veľmi poučné čítanie pre tých čo zbierajú a spracúvajú údaje v súvislosti dodaním tovarov a služieb koncovým zákazníkom. Výbor zodpovedal napríklad aj otázky o marketingu, profilovaní či skvalitňovaní služieb.

EDPB predstavil pravidlá pre spracúvanie údajov na základe zmluvy

Európsky výbor pre ochranu údajov sprístupnil na verejnú debatu text Stanoviska 2/2019 o spracúvaní osobných údajov podľa článku 6 odsek 1 písmeno b) GDPR Zatiaľ je k dispozícii iba v anglickej verzii, ale z celkovo štrnástich strán sme pripravili výpis hlavných myšlienok, ktoré sa najviac dotknú praktického nakladania s osobnými údajmi spracúvanými podľa právneho základu, ktorý ľudovo označujeme ako „zmluvu“.

V prípade tohto právneho základu nepotrebuje prevádzkovateľ súhlas dotknutej osoby . Veľmi zjednodušene povedané, vystačí si aj s textom zmluvy medzi ním a dotknutou osobou. Takéto spracúvanie je samozrejme limitované tak rozsahom údajov potrebnými na plnenie zmluvy ako aj samotným použitím dát, ktorým je samotné plnenie zmluvy a úkony s ním priamo súvisiace. Činnosti presahujúce zmluvný rámec je nutné legitimizovať iným právnym základom, ktorým môže byť napríklad súhlas dotknutej osoby, právny predpis určujúci zákonnú povinnosť či oprávnený záujem prevádzkovateľa.

Všeobecné poznámky

  • bez ohľadu na právny základ, každý prevádzkovateľ je viazaný základnými zásadami spracúvania osobných údajov (niektoré si vypichneme v nasledujúcich bodoch);
  • zákonnosť spracúvania stojí a padá na platnosti zmluvy v zmysle záväzkového práva (v prípade detí sa prihliada na spôsobilosť vstupovať do záväzkových vzťahov podľa práva členského štátu);
  • účel musí byť jasne špecifikovaný, pričom vágne frázy typu „zvyšovanie spokojnosti zákazníkov“, „marketingové účely“, IT bezpečnosť“ alebo „budúci výskum“ spravidla neprejdú bez dodatočného upresnenia;
  • pre citlivé údaje uvedené v článku 9 odsek 1 GDPR (rasa, etnický pôvod, politické názory, náboženstvo, zdravotné údaje,…) zmluva ako právny základ nestačí a prevádzkovateľ musí mať výslovný súhlas dotknutej osoby alebo uplatní niektorú z ďalších výnimiek podľa druhého odseku tohto článku;
  • keďže sa bavíme o spracúvaní nevyhnutnom pre plnenie zmluvy alebo zavedenie predzmluvných vzťahov, musí ísť o skutočne objektívnu potrebu (skúška správnosti sa robí otázkou či ako prevádzkovateľ dokážem plniť aj bez týchto údajov);
  • pri posudzovaní objektívnej nevyhnutnosti musí prevádzkovateľ prihliadať aj fundamentálne právo na ochranu súkromia a osobných údajov ako aj možnosti dosiahnuť svoj cieľ menej invazívnym spôsobom;
  • nestačí len spomenúť, že na účely zmluvy sa zbierajú údaje, ale potreba spracúvania údajov musí vyplývať zo praktickej podstaty zmluvného plnenia a objektívnej nutnosti;
  • prevádzkovateľ si musí byť vedomý toho, že bude preukazovať nevyhnutnosť spracúvania vo vzťahu k vzájomne dohodnutému účelu a mal by brať do úvahy rozumové možnosti priemernej dotknutej osoby;

Príklad 1: eshop zbiera údaje o doručovacej adrese pre účely doručenia tovaru, no v prípade osobného odberu je tento údaj zbytočný.

Príklad 2: eshop chce vyskladať profil zákazníka na základe jeho návštev internetovej stránky, no pre účely realizácie samotného predaja tovaru to nevyhnutné nie je (ani keby to výslovne spomenuli v zmluve).

  • spájanie viacerých služieb/zmlúv do balíka a postavenie dotknutej osoby do situácie „buď zober všetko alebo nič“ môže naraziť pri posudzovaní nevyhnutnosti vo vzťahu k individuálnej požiadavke dotknutej osoby (súhlas alebo oprávnený záujem prevádzkovateľ to však môže napraviť);
  • „zmluva“ ako právny základ nezahŕňa automaticky všetky situácie, ktoré pri životnom cykle zmluvného vzťahu môžu vzniknúť, určite však zahŕňa upomienky za zmeškané platby či upozornenia na porušenie zmluvy a s nimi spojené žiadosti o zjednanie nápravy (patrí sem aj zmluvná záruka a s ňou spojené úkony ovplyvňujúce aj dobu uchovávania údajov);
  • po skončení zmluvného vzťahu je rozumné očakávať, že spracúvanie viac nie je nevyhnutné na účely plnenia zmluvy (vo vzťahu k zásadám spracúvania by však výmena právneho základu za iný pôsobila nespravodlivo, s výnimkou existencie platného súhlasu podľa GDPR);
  • skončenie zmluvy je spájané s likvidáciou údajov, avšak nie v prípade existencie zákonnej povinnosti alebo nutnosti spracúvania údajov na preukazovanie, uplatňovanie či obhajovanie právnych nárokov (to už sú ale iné právne základy);
  • skončenie zmluvy nemá vplyv na spracúvanie pre oddelené účely s iným právnym základom, pokiaľ je v súlade s GDPR;

Príklad 3: zmluva skončí a dáta sú zlikvidované, prevádzkovateľ má však naďalej zákonnú povinnosť uchovávať účtovné doklady (dotknutá osoba o tom musí byť informovaná).

  • predzmluvné vzťahy sú samostatná kapitola a účelom spracúvania je práve uzavretie vyššie spomínanej zmluvy na žiadosť dotknutej osoby (sem sa nepočíta ani nevyžiadaná komunikácia ani vstupy tretej osoby);

Príklad 4: tento právny základ je v poriadku pre situáciu, keď dotknutá osoba zadá svoje PSČ na overenie dostupnosti služby v jej oblasti.

Príklad 5: inou situáciou je overenie totožnosti zákazníka v banke, keďže ide o zákonnú povinnosť a teda právnym základom je článok 6 odsek 1 písmeno c) GDPR.

A poďme ešte na konkrétne prípady spracúvania:

  • zvyšovanie spokojnosti zákazníkov – vo väčšine prípadov si so zmluvným právnym základom nevystačíme pre nedostatok nevyhnutnosti vo vzťahu k plneniu zmluvy, siahnúť však možno po súhlase alebo oprávnenom záujme (podmienkou je samozrejme balančný test a zistenie či nad záujmom prevádzkovateľa neprevažujú záujmy alebo základné práva a slobody dotknutej osoby);
  • predchádzanie podvodom – aj v tomto prípade spracúvanie prekračuje medze zmluvného právneho základu, no iná možnosť sa vo všeobecnosti nevylučuje (trebárs súhlas alebo oprávnený záujem);
  • online behaviorálna reklama
    • sledovanie a profilovanie za účelom zobrazovania reklamy sa často používa ako spôsob financovania online služieb, nezmestí sa však do podmienky nevyhnutnosti pre zmluvný vzťah s dotknutou osobou a to bez ohľadu na to, že prevádzka služby stojí a padá na zdrojoch z reklamy,
    • prevádzkovatelia proste musia požiadať o súhlas na používanie cookies (bodka),
    • ani vytváranie cieľových skupín (cez sledovanie a profilovanie jednotlivcov) pre účely zobrazovania reklamy nie je schodné cez zmluvný právny základ (opäť pre nedostatok zmluvnej nevyhnutnosti).
  • personalizácia obsahu – nemusí byť úplne mimo misu zmluvného právneho základu, pokiaľ:
      • vyplýva z povahy poskytovanej služby,
      • je súčasťou zmluvných podmienok,
      • dá sa predpokladať, že ho na základe informácií o službe očakáva aj priemerne zdatný používateľ.

Príklad 6: online služba ponúkajúca zobrazovanie správ z rôznych zdrojov na základe preferencií používateľa si vystačí aj so zmluvou ako právnym základom.

Príklad 7: ak vyhladávač ubytovacích služieb profiluje dotknutú osobu na základe jej výdavkov a na základe toho je upravuje výsledky vyhľadávania, bude potrebovať iný právny základ.

Príklad 8: na zmluvný právny základ sa nemôže spoliehať eshop zobrazujúci personalizovaný obsah podľa toho čo prezerali ostatní zákazníci.