Eurofondy Dobrý starosta Dobrý riaditeľ Literatúra Pohotovosť

Metodické usmernenie č. 2/2018 Zákonnosť spracúvania

Podľa § 81 ods. 2 písm. d) zákona o ochrane osobných údajov Úrad na ochranu osobných údajov Slovenskej republiky vydáva toto metodické usmernenie.

ÚRAD NA OCHRANU OSOBNÝCH ÚDAJOV SLOVENSKEJ REPUBLIKY
Hraničná 12, 820 07 Bratislava 27

_____________________________________________________________________________________________________

č.00204/2018-Op-2

Metodické usmernenie č. 2/2018 Zákonnosť spracúvania

Podľa § 81 ods. 2 písm. d) zákona č. 18/2018 Z. z. Úrad na ochranu osobných údajov Slovenskej republiky (ďalej len „úrad“) vydáva toto metodické usmernenie.

ÚVOD

Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej len ,,Nariadenie“) upravuje zásady spracúvania osobných údajov v čl. 5 ods. 1. V zákone č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len ,,zákon č. 18/2018 Z. z.“) sú zásady spracúvania premietnuté do ustanovení § 6 až § 12. Tieto základné princípy v zásade reflektujú doterajšiu právnu úpravu ochrany osobných údajov, pričom Nariadenie a zákon č. 18/2018 Z. z. jednotlivé zásady precizujú a stanovujú
konkrétnejšie pravidlá pre prevádzkovateľov. Zásady sa prelínajú celým Nariadením a zákonom č. 18/2018 Z. z. a ovplyvňujú výklad jednotlivých ustanovení, ako aj ich správnu
aplikáciu.

Zákonnosť možno označiť za jeden z najdôležitejších princípov ochrany osobných údajov. Táto zásada vyjadruje a obsahuje podmienku, že spracúvanie osobných údajov fyzickej osoby je zákonné iba vtedy a iba v tom rozsahu, keď je splnená aspoň jedna z podmienok podľa čl. 6 ods. 1 Nariadenia /§ 13 ods. 1 zákona č. 18/2018 Z. z., teda spracúvanie musí byť založené na legitímnom, legálnom právnom základe.

Zásada zákonnosti tiež vyjadruje požiadavku na spravodlivé a zákonné spracúvanie, čo znamená, že spracúvanie nesmie byť v rozpore (musí byť v súlade) nielen so samotným
Nariadením/zákonom č. 18/2018 Z. z., ale musí byť v súlade s právom únie, právom členského štátu a dobrými mravmi, aby nedošlo k porušeniu základných práv a slobôd dotknutých osôb, najmä k porušeniu ich práva na zachovanie ľudskej dôstojnosti, alebo k iným neoprávneným zásahom do jej práva na súkromie.

Čl. 5 ods. 1 písm. a) Nariadenia Osobné údaje musia byť spracúvané zákonným spôsobom, spravodlivo a transparentne vo vzťahu k dotknutej osobe (,,zákonnosť, spravodlivosť a transparentnosť“).

§ 6 zákona č. 18/2018 Z. z. Osobné údaje možno spracúvať len zákonným spôsobom a tak, aby nedošlo k porušeniu základných práv dotknutej osoby.

1.1 Čo znamená právny základ spracúvania osobných údajov?

Prevádzkovateľ musí pre každý účel spracúvania osobných údajov disponovať primeraným právnym základom v súlade s čl. 6 ods. 1 Nariadenia /§ 13 ods. 1 zákona č. 18/2018 Z. z., ktorý vymedzuje podmienky, za ktorých je spracúvanie zákonné. Právnym základom rozumieme z pohľadu ochrany osobných údajov dôvod, ktorý umožňuje prevádzkovateľovi vykonávať jednotlivé spracovateľské operácie s osobnými údajmi dotknutých osôb (napr. oprávnený záujem prevádzkovateľa na ochranu svojho majetku, zákon č. 311/2001 Z. z. Zákonník práce v znení neskorších predpisov). Osobné údaje môže prevádzkovateľ spracúvať na rôzne účely, pričom pre každý takýto účel musí mať vhodný/adekvátny právny základ.

Prevádzkovateľ je povinný určiť si právny základ ešte pred samotným začatím spracúvania, pričom si môže zvoliť ktorýkoľvek z právnych základov, ak spĺňa podmienky preň
vymedzené, ale musí zvážiť právne dôsledky určenia si konkrétneho právneho základu, čo znamená prevádzkovateľ musí dbať na prispôsobenie jeho použitia na konkrétnu
spracovateľskú činnosť a k svojmu vlastnému prostrediu.

1.2 Zákonnosť spracúvania údajov

Zásada zákonnosti je bližšie precizovaná najmä v čl. 6 Nariadenia/§ 13 zákona č. 18/2018 Z. z. Toto ustanovenie taxatívne vymenúva podmienky, za ktorých je spracúvanie
zákonné:

  1. súhlas dotknutej osoby so spracúvaním osobných údajov,
  2. spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo v rámci predzmluvných vzťahov,
  3. spracúvanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľaV kontexte § 13 ods. 1 písm. c) zákona č. 18/2018 Z. z. je spracúvanie zákonné, ak tak ustanovuje osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná.,
  4. spracúvanie je nevyhnutné, aby sa ochránili životne dôležité záujmy dotknutej osoby alebo inej fyzickej osoby,
  5. spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verenej moci,
  6. oprávnený záujem prevádzkovateľa alebo tretej strany.

Prevádzkovatelia, na ktorých činnosť sa vzťahuje právna úprava Nariadenia by nemali opomínať, že v 4. časti zákona č. 18/2018 Z. z., ktorá je záväzná pre všetky subjekty sú upravené osobitné situácie zákonného spracúvania, ktoré vychádzajú zo splnomocňujúcich ustanovení Nariadenia, v rámci ktorých členské štáty mali možnosť ponechať si v platnosti, alebo naopak zaviesť konkrétnejšie ustanovenia za účelom uvedenia práva na ochranu osobných údajov do súladu so špecifikáciami, príznačnými, pre ten-ktorý právny poriadok, či už v oblasti slobody prejavu a práva na informácie, spracúvania osobných údajov zamestnancov a pod. Ustanovenia § 78 zákona č. 18/2018 Z. z. nepredstavujú samostatné právne základy spracúvania, ale upravujú podmienky, resp. predpoklady, za ktorých je spracúvanie zákonné.

1.3 Tri typy osobných údajov

  • všeobecné (bežné) osobné údaje (napr. meno, priezvisko, rodné číslo),
  • osobitné kategórie osobných údajov, ktoré sú taxatívne vymedzené v čl. 9 ods. 1 Nariadenia/§ 16 ods. 1 zákona č. 18/2018 Z. z. Za osobitnú kategóriu osobných údajov sa už podľa novej právnej úpravy ochrany osobných údajov nepovažuje rodné číslo, ale požíva rovnakú zákonnú ochranu vrátane zákazu zverejňovania rodného čísla, s výnimkou prípadu ak dotknutá osoba sama rodné číslo zverejní a takisto fotografia, pokiaľ nie je vyhotovená na účely spracúvania osobitnej kategórie osobných údajov, sa nepovažuje za údaj osobitnej kategórie,
  • osobné údaje týkajúce sa uznania viny za trestné činy a priestupky.

V prípade spracúvania osobitnej kategórie osobných údajov je potrebné uviesť, že ich spracúvanie sa vo všeobecnosti zakazuje, pokiaľ sa neuplatní niektorá z podmienok v zmysle čl. 9 ods. 2 Nariadenia/§ 16 ods. 2 zákona č. 18/2018 Z. z., za ktorých je spracúvanie osobitnej kategórie osobných údajov dovolené, pričom prevádzkovateľ nesmie opomenúť, že pre samotné spracúvanie musí zároveň disponovať primeraným právnym základom v súlade s čl. 6 ods. 1 nariadenia/§ 13 ods. 1 zákona č. 18/2018 Z. z.

2. SúhlasBližšie k tomuto právnemu základu - Usmernenie pracovnej skupiny WP 29 k súhlasu podľa Nariadenia 2016/679. Úrad pripravuje k súhlasu aj samostatné metodické usmernenie.

Súhlas so spracúvaním osobných údajov musí byť udelený slobodne a musí byť konkrétny, informovaný a jednoznačný. Podmienky poskytnutia súhlasu sú bližšie upravené
v čl. 7 Nariadenia/§ 14 zákona č. 18/2018 Z. z. Aby súhlas mohol byť považovaný za platný právny základ spracúvania mal by byť konkrétnou a informovanou indikáciou prianí dotknutej osoby. Ak sa správne používa, súhlas predstavuje nástroj, ktorý dotknutej osobe poskytuje kontrolu nad spracúvaním jej údajov. Ak sa používa nesprávne, kontrola je zdanlivá a súhlas predstavuje nevhodný právny základ pre spracúvanie. V zmysle už vyššie uvádzaných právnych dôsledkov zvolenia si právneho základu je potrebné v tomto kontexte uviesť, že dotknutá osoba má právo súhlas kedykoľvek odvolať a pred poskytnutím súhlasu musí byť dotknutá osoba o tomto práve informovaná.

V tejto súvislosti možno spomenúť aj pojem výslovný súhlas, ktorý je použitý napríklad pri spracúvaní osobitnej kategórie osobných údajov, alebo v prípade súhlasu so spracúvaním rodného čísla (za predpokladu, že súhlas je vhodným právnym základom spracúvania rodného čísla), ktorý musí byť výslovný. Z právneho hľadiska sa výslovným súhlasom rozumie vyjadrený súhlas. Každý súhlas so spracúvaním musí byť slobodný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia; alebo jednoznačného potvrdzujúceho úkonu (napr. nahratie fotografie na webové rozhranie dotknutou osobu), vyjadruje súhlas so spracúvaním osobných údajov, čo už ale za výslovný súhlas nemožno považovať. Možno teda predpokladať, že kľúčovým rozdielom medzi bežným a výslovným súhlasom je spôsob vyjadrenia súhlasu. Za výslovný súhlas sa nepovažuje súhlas, ktorý možno vyvodiť z konania dotknutej osoby. Výslovný súhlas sa najčastejšie poskytuje jednoznačným písomným prehlásením dotknutej osoby, ktoré táto vlastnoručne podpíše. Nie je to však jediný spôsob preukázania jeho získania, takýmto spôsobom môže byť tiež poskytnutie výslovného súhlasu prostredníctvom vyplnenia elektronického formuláru, zaslania e-mailu s elektronickým podpisom alebo naskenovania prehlásenia spoločne s podpisom. Takisto sa vhodným javí aj tzv. dvojfázové overovanie.

Príklad: Prevádzkovateľ zašle dotknutej osobe e-mail, že zamýšľa spracúvanie zdravotných záznamov a ak s tým dotknutá osoba súhlasí, má prevádzkovateľovi zaslať odpoveď „Súhlasím“, pričom následne si túto skutočnosť prevádzkovateľ overí aj formou sms – zaslaním verifikačného kódu pre potvrdenie súhlasu.

V aplikačnej praxi sa Úrad často stretáva s nesprávnym používaním súhlasu, najmä v situáciách kedy osobitný zákon priamo ukladá dotknutej osobe povinnosť poskytnúť osobné údaje zákonom vymedzenému subjektu, alebo v prípade získavania súhlasu so spracúvaním osobných údajov za účelom uzatvorenia a plnenia zmluvy. Získavanie súhlasu dotknutej osoby so spracúvaním jej osobných údajov je v takýchto prípadoch nadbytočné a pre dotknutú osobu zmätočné, nakoľko prevádzkovateľ pre predmetné spracúvanie disponuje iným relevantným právnym základom, na ktorého použitie sa po odvolaní súhlasu dotknutej osoby bude pravdepodobne aj odvolávať. Úrad je toho názoru, že uvedený postup prevádzkovateľov má okrem iného za následok nepravdivé informovanie dotknutých osôb o práve odvolať súhlas v zmysle čl. 7 ods. 3 Nariadenia/§ 14 ods. 3 zákona č. 18/2018 Z. z., ako aj nedostatočné plnenie zákonnej informačnej povinnosti podľa čl. 13 alebo 14 Nariadenia/§19 alebo 20 zákona č. 18/2018 Z. z. Opätovne zdôrazňujeme, že je povinnosťou prevádzkovateľa založiť si spracúvanie osobných údajov na vhodnom/adekvátnom právnom základe, aby spracúvanie spĺňalo požiadavky zákonnosti.

3. Zmluva

Prevádzkovateľ spracúva osobné údaje bez súhlasu dotknutej osoby, ak spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy, v ktorej vystupuje dotknutá osoba ako jedna zo zmluvných strán, alebo na vykonanie opatrenia pred uzatvorením zmluvy na základe žiadosti dotknutej osoby, teda v rámci predzmluvných vzťahov. Ustanovenie čl. 6 ods. 1 písm. b) Nariadenia/§ 13 ods. 1 písm. b) zákona č. 18/2018 Z. z. je potrebné vykladať striktne, nemá sa vzťahovať na situácie, keď spracúvanie nie je skutočne nevyhnutné na výkon zmluvy. To znamená, napríklad v prípade pracovnej zmluvy sa posudzuje nevyhnutnosť spracúvania osobných údajov dotknutých osôb, aby zmluvné strany splnili povinnosti uvedené v pracovnej zmluve.

4. Zákonná povinnosť

Podľa čl. 6 ods. 1 písm. c) Nariadenia je spracúvanie zákonné iba vtedy a iba v tom rozsahu, ak je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľaV kontexte § 13 ods. 1 písm. c) zákona č. 18/2018 Z. z., teda v prípade spracovateľských činností, ktoré nespadajú pod právo Európskej únie (pozri usmernenie Kedy Nariadenie kedy zákon o ochrane osobných údajov? https://dataprotection.gov.sk/uoou/sites/default/files/kedy_zakon_kedy_nariadeniepdff.pdf) je spracúvanie zákonné, ak tak ustanovuje osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná. . V súčasnosti je potrebné si vykladať predmetné ustanovenie v zmysle stanoviska Európskej komisie, ktorá zastáva názor, že tento právny základ spracúvania osobných údajov môže prevádzkovateľ využiť iba v prípade, ak ide o zákonnú povinnosť, nie oprávnenie, či možnosť zakotvenú v zákone. V osobitných právnych predpisoch tak spracúvanie je zadefinované príkazovou formou, ako zákonná povinnosť, vyjadrená napríklad: prevádzkovateľ je povinný spracúvať meno, priezvisko ..., prevádzkovateľ spracúva meno, priezvisko ..., zdravotná dokumentácia obsahuje ... . Zároveň je v čl. 6 ods. 3 Nariadenia stanovené, že sa musí jednať o zákonnú povinnosť, vyplývajúcu z práva Únie alebo práva členského štátu, teda nemôže ísť o povinnosť vyplývajúcu z práva tretej krajiny.

Príklad zákonnej povinnosti: Podľa § 99 zákona č. 311/2001 Z. z. Zákonník práce, zamestnávateľ je povinný viesť evidenciu pracovného času, práce nadčas, nočnej práce, aktívnej časti a neaktívnej časti pracovnej pohotovosti zamestnanca tak, aby bol zaznamenaný začiatok a koniec časového úseku, v ktorom zamestnanec vykonával prácu alebo mal nariadenú alebo dohodnutú pracovnú pohotovosť. Počas dočasného pridelenia zamestnávateľ vedie evidenciu podľa prvej vety v mieste výkonu práce dočasne prideleného zamestnanca.

Príklad zákonnej povinnosti: Podľa § 20 ods. 4 prvá veta zákona č. 245/2008 Z. z. o výchove a vzdelávaní (školský zákon) a o zmene a doplnení niektorých zákonov, základná škola vyžaduje pri zápise dieťaťa na plnenie povinnej školskej dochádzky osobné údaje podľa § 11 ods. 6 písm. a) prvého až šiesteho bodu a písm. b).

V podmienkach právneho poriadku Slovenskej republiky je v osobitných právnych predpisoch často spracúvanie osobných údajov zadefinované ako možnosť, nie ako zákonná povinnosť. Prevádzkovatelia, ktorých spracúvanie je nevyhnutné na splnenie zákonnej možnosti či oprávnenia, si budú musieť nájsť iný vhodný právny základ, najmä možno v tomto kontexte hovoriť o plnení úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci podľa článku 6 ods. 1 písm. e) Nariadenia, alebo o oprávnenom záujme prevádzkovateľa v zmysle čl. 6 ods. 1 písm. f) Nariadenia. Nakoľko zákonodarca sám predpokladá, že spracúvanie je zákonné, testom proporcionality, ktorý je pri využití právneho základu oprávneného záujmu povinnou náležitosťou, prevádzkovatelia s najväčšou pravdepodobnosťou prejdú úspešne.

Príklad zákonnej možnosti: Podľa § 9 ods. 1 prvá veta, zákona NR SR č. 182/1993 Z. z. o vlastníctve bytov a nebytových priestorov, správca alebo spoločenstvo je oprávnené na účely správy domu spracúvať osobné údaje vlastníkov bytov a nebytových priestorov v dome v rozsahu meno, priezvisko, dátum narodenia, rodné číslo, adresa trvalého alebo prechodného pobytu, číslo bytu, telefónne číslo, elektronická adresa, číslo účtu a kód banky.

Príklad zákonnej možnosti: Podľa § 13 ods. 4 zákona č. 311/2001 Z. z. Zákonník práce, zamestnávateľ nesmie bez vážnych dôvodov spočívajúcich v osobitnej povahe činností zamestnávateľa narúšať súkromie zamestnanca na pracovisku a v spoločných priestoroch zamestnávateľa tým, že ho monitoruje, vykonáva záznam telefonických hovorov uskutočňovaných technickými pracovnými zariadeniami zamestnávateľa a kontroluje elektronickú poštu odoslanú z pracovnej elektronickej adresy a doručenú na túto adresu bez
toho, aby ho na to vopred upozornil. V tomto prípade nemožno zavedenie kontrolného mechanizmu považovať za zákonnú povinnosť prevádzkovateľa, jeho zavedenie je oprávnením zamestnávateľa.

5. Životne dôležitý záujem

Spracúvanie osobných údajov sa považuje za zákonné, aj ak je potrebné na účely ochrany záujmu, ktorý je zásadný pre život dotknutej osoby a oproti predchádzajúcej právnej úprave ochrany osobných údajov aj inej fyzickej osoby. S poukazom na príslušný recitál 46 Nariadenia spracúvanie osobných údajov na základe životne dôležitého záujmu by sa malo uskutočniť len vo výnimočných prípadoch, v zásade len vtedy, pokiaľ sa takéto spracúvanie nemôže zakladať na inom právnom základe. Príkladom možno uviesť použitie tohto právneho základu v prípade spracúvania osobných údajov obetí alebo účastníkov dopravnej nehody, kedy súhlas so spracúvaním nie je možné objektívne získať. Povinnosť získať dodatočný súhlas potom, ako je dotknutá osoba alebo iná fyzická osoba schopná ho poskytnúť, odpadá. Do úvahy prichádza použitie tohto právneho základu aj v prípade ak je spracúvanie nevyhnutné pre humanitárne účely, vrátane monitorovania epidémií a ich šírenia, alebo v humanitárnych núdzových situáciách.

6. Verejný záujem

Spracúvanie je tiež zákonné, pokiaľ je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi. Verejný záujem je záujem, ktorý je všeobecne prospešný, to znamená má slúžiť v prospech väčšiny občanov. Rovnako ako v prípade spracúvania osobných údajov, ak je to nevyhnutné na splnenie zákonnej povinnosť prevádzkovateľa, podľa čl. 6 ods. 3 Nariadenia základ pre spracúvanie musí byť stanovený v práve Únie, alebo v práve členského štát. To znamená tento základ dáva prevádzkovateľovi určitú úlohu realizovať ju vo verejnom záujme a pre jej splnenie je nevyhnutné spracúvať osobné údaje.

Príklad: Monitorovanie priestorov prístupných verejnosti obcou. Obec podľa zákona č. 369/1990 Zb. o obecnom zriadení v znení neskorších predpisov pri výkone samosprávy zabezpečuje verejný poriadok v obci. Je pritom zrejmé, že plnenie tejto úlohy sa nezaobíde bez spracúvania osobných údajov, aj keď priamo ustanovenie zákona formálne neupravuje spracúvanie osobných údajov. Rozhodujúce je, že účel, na ktorý prevádzkovateľ spracúva osobné údaje je v súlade s jeho úlohami, ktoré mu ukladá konkrétny všeobecne záväzný právny predpis. Obec teda môže pri monitorovaní priestorov prístupných verejnosti využiť ako právny základ pre spracúvanie verejný záujem na zabezpečení verejného poriadku v súlade čl. 6 ods. 1 písm. e) Nariadenia.

7. Oprávnený záujem

Spracúvanie osobných údajov je zákonné aj v prípade, ak je nevyhnutné na účel oprávnených záujmov prevádzkovateľa alebo tretej strany okrem prípadov, keď nad týmito záujmami prevažujú záujmy alebo práva dotknutej osoby vyžadujúce si ochranu osobných údajov, najmä ak je dotknutou osobou dieťa. Pri tomto právnom základe sa teda vyžaduje vykonanie tzv. testu proporcionality, a to ešte pred samotným začatím spracúvania osobných údajov, a ktorý v rámci svojho trojkrokového testu predpokladá kumulatívne splnenie podmienok, a to po prvé sledovanie legitímneho záujmu prevádzkovateľa alebo tretej strany, po druhé nevyhnutnosť spracúvania osobných údajov na realizáciu sledovaného legitímneho záujmu a po tretie podmienku, že neprevažujú základné práva a slobody osoby, ktorej sa ochrana údajov týka nad záujmom prevádzkovateľa alebo tretej stranyBližšie rozsudok SD EÚ vo veci C-13/16, 4. mája 2017, bod 28.

Tri kroky testu proporcionality:

  1. Identifikovať oprávnený záujem
  2. Vykonať test nevyhnutnosti
  3. Vykonať porovnávací test

Z výsledku testu proporcionality vyplynie, či oprávnený záujem prevádzkovateľa prevyšuje nad základnými právami a slobodami dotknutých osôb, a či je možné z neho vychádzať ako z právneho základu pre spracúvanie. Oprávneným záujmom prevádzkovateľa môže byť napríklad priamy marketing a iné formy marketingu alebo reklamy, ochrana majetku monitorovaním priestorov kamerovým systémom, vedenie evidencie návštev pri vstupe do budovy a ďalšie.

Právny základ oprávneného záujmu sa nevzťahuje na spracúvanie orgánmi verejnej moci pri plnení ich úloh stanovených im zákonom, nakoľko jeho využitie by orgánom verejnej moci rozširovalo im ustanovený právny základ spracúvania. Pre spracúvanie osobných údajov dotknutých osôb vykonávané orgánmi verejnej moci pri výkone ich úloh prichádza do úvahy právny základ podľa článku 6 ods. 1 písm. c) Nariadenia/§ 13 ods. 1 písm. c) zákona č. 18/2018 Z. z. alebo právny základ podľa článku 6 ods. 1 písm. e) Nariadenia/§ 13 ods. 1 písm. c) zákona č. 18/2018 Z. z. To však nevylučuje možnosť, aby orgán verejnej moci aplikoval právny základ oprávneného záujmu na spracúvanie, ktoré nevykonáva pri plnení svojich úloh, a to napríklad v prípade monitorovania priestorov budovy kamerovým systémom za účelom ochrany majetku.

8. Test kompatibility

V čl. 6 ods. 4 NariadeniaV zákone č. 18/2018 Z. z. je test kompatibility premietnutý v ustanovení § 13 ods. 3 je ustanovené, že ak spracúvanie na iné účely ako na účely, na ktoré boli osobné údaje získavané, nie je založené na súhlase dotknutej osoby alebo na práve Únie alebo práve členského štátu, ktoré predstavuje potrebné a primerané opatrenie v demokratickej spoločnosti na ochranu cieľov uvedených v článku 23 ods. 1, prevádzkovateľ na zistenie toho, či je spracúvanie na iný účel zlučiteľné s účelom, na ktorý boli osobné údaje pôvodne získané, okrem iného zohľadní:

  1. akúkoľvek súvislosť medzi účelom, na ktorý sa osobné údaje pôvodne získali, a účelom zamýšľaného ďalšieho spracúvania osobných údajov,
  2. okolnosti, za akých sa osobné údaje získali, najmä okolnosti týkajúce sa vzťahu medzi dotknutou osobou a prevádzkovateľom,
  3. povahu osobných údajov, najmä či sa spracúvajú osobitné kategórie osobných údajov alebo osobné údaje týkajúce sa uznania viny za spáchanie trestného činu alebo priestupku,
  4. možné následky zamýšľaného ďalšieho spracúvania osobných údajov pre dotknutú osobu,
  5. existenciu primeraných záruk, ktoré môžu zahŕňať šifrovanie alebo pseudonymizáciu.

Ustanovenie čl. 6 ods. 4 Nariadenia predstavuje výnimku zo zásady obmedzenia účelu v rámci spracovateľských operácií toho istého prevádzkovateľa. Predmetné ustanovenie nie je samostatným právnym základom, to znamená, že prevádzkovateľ musí disponovať/disponuje primeraným právnym základom v súlade s čl. 6 ods. 1 Nariadenia, napríklad spracúva osobné údaje na základe zmluvy s dotknutou osobou. Právny základ pri ďalšom spracúvaní, ak výsledok testu kompatibility bude pozitívny bude naďalej zmluva a prevádzkovateľ bude spracúvať osobné údaje na pôvodný ako aj na nový, zlučiteľný účel.

Predmetom testu kompatibility, resp. zlučiteľnosti je zistenie, či prevádzkovateľom stanovený nový účel spracúvania je zlučiteľný s pôvodným účelom spracúvania, na ktorý boli osobné údaje získané. Až na základe pozitívneho výsledku testu zlučiteľnosti môže prevádzkovateľ pristúpiť k spracúvaniu osobných údajov na iný účel, ako bol pôvodný, pre ktorý osobné údaje získal.

Príklad: V prípade prevádzkovateľa, ktorému vznikol právny nárok voči dlžníkovi, pre spracúvanie osobných údajov dotknutej osoby na účel uplatnenia právneho nároku ostáva pôvodný právny základ, na základe ktorého spracúval osobne údaje na pôvodný účel (napríklad zmluva) zachovaný, a teda dochádza len k zmene účelu/čiastočnej modifikácii v súlade s čl. 6 ods. 4 Nariadenia/§ 13 ods. 3 zákona č. 18/2018 Z. z., po vykonaní testu kompatibility.

V Bratislave, dňa 02. augusta 2018

 

Soňa Pőtheová
predsedníčka úradu

Poznámka redakcie: § 81 ods. 2 písm. d) zákona č. 18/2018 Z. z.

§ 13 ods. 1 zákona č. 18/2018 Z. z.



AUTOR: Úrad na ochranu osobných údajov Slovenskej republiky

Dátum publikácie: 11. 9. 2018
Autor: Úrad na ochranu osobných údajov Slovenskej republiky

Aktuálne verzie

Metodické usmernenie č. 2/2018 Zákonnosť spracúvania – aktualizácia 22. januára 2019

Súvisiace právne predpisy

18/2018 Z. z. Zákon o ochrane osobných údajov

Súvisiace odborné články

Čo prinesie nové nariadenie o ochrane osobných údajov v rokoch 2017 a 2018?
Nariadenie o ochrane osobných údajov a nový zákon o ochrane osobných údajov účinné od mája 2018
Zodpovedná osoba podľa zákona o ochrane osobných údajov verzus Nariadenie Európskeho parlamentu a Rady o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe týchto údajov
Sprostredkovateľ podľa nových predpisov o ochrane osobných údajov
II. Spracúvanie fotografie podľa nového zákona o ochrane osobných údajov a nariadenia GDPR
Forma a podmienky súhlasu so spracúvaním osobných údajov podľa predpisov o ochrane osobných údajov účinných od 25. 5. 2018
Náležitosti osobného spisu zamestnanca z pohľadu ochrany osobných údajov podľa nového zákona č. 18/2018 Z. z. o ochrane osobných údajov a nariadenia GDPR účinných od 25. 5. 2018
Bezpečnosť osobných údajov

Súvisiace príklady z praxe

GDPR zodpovedná osoba
GDPR z pohľadu sprostredkovateľa
GDPR z pohľadu prevádzkovateľa všeobecne
Nahlasovanie zodpovednej osoby
Platnosť súhlasu získaného pred 25. 5. 2018

Súvisiace vzory zmlúv a právnych podaní

Súhlas so spracovaním osobných údajov- GDPR
Poverenie zodpovednej osoby výkonom dohľadu nad ochranou osobných údajov - GDPR
Sprostredkovateľská zmluva - GDPR
Žiadosť dotknutej osoby o výmaz osobných údajov - GDPR
Námietka proti spracovaniu osobných údajov - GDPR
Žiadosť na obmedzenie spracúvania osobných údajov - GDPR
Interná smernica v oblasti ochrany osobných údajov - GDPR
Záznam o spracovateľských činnostiach prevádzkovateľa alebo zástupcu prevádzkovateľa - GDPR
Záznam o kategóriách spracovateľských činností sprostredkovateľa alebo zástupcu sprostredkovateľa - GDPR
Dokumentácia pre prípad porušenia zabezpečenia osobných údajov - GDPR
Test proporcionality na posúdenie oprávnených záujmov prevádzkovateľa - GDPR
Poverenie na spracúvanie osobných údajov oprávnenej osoby - GDPR
Manažérska zmluva (§ 42 a nasl. zákona č. 311/2001 Z. z.) - GDPR

AUTOR

Úrad na ochranu osobných údajov Slovenskej republiky

Úrad je orgánom štátnej správy s celoslovenskou pôsobnosťou, ktorý sa podieľa na ochrane základných práv fyzických osôb pri spracúvaní osobných údajov a ktorý vykonáva dozor nad ochranou osobných údajov vrátane dozoru nad ochranou osobných údajov spracúvaných príslušnými orgánmi pri plnení úloh na účely trestného konania.

Úrad pri výkone svojej pôsobnosti postupuje nezávisle a riadi sa ústavou, ústavnými zákonmi, zákonmi, ostatnými všeobecne záväznými právnymi predpismi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná. Sídlom úradu je Bratislava. Úrad je rozpočtovou organizáciou.

Dátum publikácie

11.09.2018

Právne oblasti

GDPR

Partneri:

vssr-logo_aion_color
vssr-logo_eurokodex_color
vssr-logo_pp_color_2022
vssr-logo_zpl_color
vssr.sk

Najčítanejšie témy
Konsolidovaná účtovná závierka
Miestne dane
Rozpočtové pravidlá verejnej správy
Služby zamestnanosti
Verejné obstarávanie
 
Poradca podnikateľa

Poradca podnikateľa
Vydavateľský a vzdelávací dom
O nás
Inzercia a médiá
PP Klub
Podcast PP
Obchodné podmienky
Ochrana osobných údajov
Spravovať nastavenia cookies
Prístupnosť

O portáli
Portál Verejná správa SR
Napísali o nás
Kontakty
ISSN 2644-531 X

Sociálne siete

vssr-fb-ico vssr-yb-ico

PÍSOMNÁ PORADŇA

Poradili sme iným, poradíme aj Vám

Iba pre predplatiteľov. Odpovedáme do 21 dní. Ďakujeme
S-EPI, s.r.o. © 2012-2022, Všetky práva vyhradené
Úvodná strana | o vssr.sk | kontakt

cookies24x24  Súhlas s použitím cookies

Táto webová stránka používa rôzne cookies pre poskytovanie online služieb, na účely prihlásenia, poskytovania obsahu prostredníctvom tretích strán, analýzu návštevnosti a iné. V súlade s platnou legislatívou, prosíme, o potvrdenie súhlasu alebo nastavenie Vašich preferencií.

Pamätajte, že súbory cookies sú užitočné pre rôzne užívateľské nastavenia a ich odmietnutím sa môže znížiť Váš užívateľský komfort.

Viac informácií o cookies.