Vážené dámy, vážení pánové, dovolujeme si Vás touto cestou informovat o tom, že The Information Commissioner's Office (dále jen „ICO“), tedy britská obdoba našeho Úřadu pro ochranu osobních údajů (dále jen „ÚOOÚ“), zveřejnila na svých webových stránkách doporučení, v nichž rozebírá volbu oprávněného zájmu jako základu zpracování a dále pak stručně popisuje, jak od sebe snadno odlišit správce, společného správce a zpracovatele.

Vážené dámy, vážení pánové,

dovolujeme si Vás touto cestou informovat o tom, že The Information Commissioner's Office (dále jen „ICO“), tedy britská obdoba našeho Úřadu pro ochranu osobních údajů (dále jen „ÚOOÚ“), zveřejnila na svých webových stránkách doporučení, v nichž rozebírá volbu oprávněného zájmu jako základu zpracování a dále pak stručně popisuje, jak od sebe snadno odlišit správce, společného správce a zpracovatele.

Dle názoru ICO je oprávněný zájem tím nejvíce variabilním právním základem pro zpracování, nelze se však mylně domnívat, že je vždy tím nejvhodnější. Je pravděpodobné, že oprávněný zájem bude nejvhodnějším základem, pokud používáte osobní údaje takovým způsobem, který by subjekty, od nichž údaje získáváte, rozumně očekávaly a který má minimální dopad na jejich soukromí, nebo tam, kde je závažný důvod pro zpracování.

Pokud se však rozhodnete spoléhat na oprávněný zájem, tak přebíráte zvláštní odpovědnost za posuzování a ochranu práv a zájmů subjektů, od nichž údaje sbíráte.

Základem pro určení oprávněného zájmu jsou tři prvky. (Pomáhá na ně myslet jako na třídílný test.) Je vždy potřeba dodržet následující body.

1.      Identifikovat oprávněné zájmy.

2.      Prokázat, že zpracování osobních údajů je doopravdy nezbytné k jejich dosažení.

3.      Vyvážit Vaše oprávněné zájmy proti zájmům, právům a svobodám jednotlivce.

Vždy je nutné mít na paměti, že je pro případ kontroly potřeba doložit provedení balančního testu, posouzení nutnosti zpracování a prokázat, že neexistuje jiný, vhodnější právní titul zpracování.

U všech zpracování, tedy nejen u těch založených na oprávněném zájmu, ICO doporučuje provést krátký test, a to sice zda nemá zpracování významný dopad na soukromí. Pokud má, tak je nutné zvážit, zda není potřeba provést Posouzení vlivu na ochranu osobních údajů (dle GPDR „DPIA“). Veškeré materiály je pak nutno uchovat pro případnou kontrolu, tedy jak výsledek „testu“ spolu se zdůvodněním, proč není DPIA nutné provést, tak samotné DPIA, pokud jste povinni jej zpracovat.

Dále se ICO vyjádřilo k rozdílům mezi správcem, společným správcem a zpracovatelem. Klíčovou otázkou dle ICO je: Kdo určuje účel, pro který jsou data zpracovávána, a způsob jejich zpracování? Organizace, která určuje účel a způsob zpracování, bude správcem osobních údajů bez ohledu na to, jak je její role popsána v jakékoli smlouvě o zpracovatelských službách.

ICO zároveň vydalo níže uvedené kontrolní seznamy, které Vám mohou při zpracování pomoci rozlišit, zda jste správcem osobních údajů, společným správcem či zpracovatelem.

Základní znaky správce jsou dle ICO následující:

  • rozhodl se sbírat nebo zpracovávat osobní údaje;
  • zpracováním získá komerční zisk nebo jiný užitek, s výjimkou jakýchkoli plateb za služby od jiného správce dat;
  • má úplnou samostatnost, pokud jde o způsob zpracování osobních údajů.

Pro společného správce dle názoru ICO platí níže uvedené:

  • má s ostatními správci společný cíl, který se týká zpracování;
  • používá stejný soubor dat (např. jednu databázi) jako jiný správce;
  • jím užívaný proces zpracování vytvořil spolu s jiným správcem.

Jako znaky zpracovatele ICO uvádí tyto body:

  • při zpracování osobních údajů postupuje podle pokynů někoho jiného;
  • není tím, kdo rozhoduje o shromažďování osobních údajů od jednotlivců;
  • může učinit některá rozhodnutí o tom, jak jsou data zpracovávána, ale tato rozhodnutí budou provedena na základě smlouvy s někým jiným.

Výše uvedené je však pouze stručným, nevyčerpávajícím shrnutím, a tak jsme Vám v případě jakýchkoliv dotazů k této problematice k dispozici.

S přáním příjemného dne a s pozdravem

Petra Vodáková