13. 12. 2019
V predchádzajúcom článku #1 Test proporcionality: pojem a využitie sme vám priniesli krátke zhrnutie toho, čo pojem test proporcionality v prostredí ochrany osobných údajov znamená a kedy ho potrebujete. V nasledujúcom článku sa dozviete, ako majú prevádzkovatelia postupovať pri jeho vykonávaní a čo má jeho zdokumentovaná forma obsahovať.
Účelom testu proporcionality je vyhodnotenie toho, či sú splnené podmienky na to, aby prevádzkovateľ mohol spracúvať osobné údaje na základe právneho základu (čl. 6 ods. 1 písm. f) Nariadenia GDPR) – oprávnený záujem. Ten môže mať prevádzkovateľ alebo tretia strana. Len pre pripomenutie, tento test je potrebný napríklad pri monitorovaní kamerovým systémom1, evidencii kontaktných osôb obchodných partnerov, v niektorých prípadoch pri posielaní newsletterov – priamom marketingu…
Pri vykonávaní testu proporcionality je prevádzkovateľ povinný posúdiť, či:
V prípade, ak nie je splnená ktorákoľvek z vyššie uvedených podmienok, prevádzkovateľ by mal zvážiť spracúvanie osobných údajov pre daný účel alebo založiť spracúvania osobných údajov na inom právnom základe, napr. na súhlase dotknutých osôb.2
Test proporcionality je prevádzkovateľ povinný vykonať ešte pred tým, ako začne osobné údaje spracúvať. V teste proporcionality je potrebné identifikovať spracovateľskú operáciu, najmä: určiť účel spracúvania osobných údajov, kategórie dotknutých osôb, kategórie spracúvaných osobných údajov alebo aj dobu uchovávania osobných údajov. Obsahuje aj bezpečnostné opatrenia prijaté v súvislosti so spracúvaním osobných údajov.
V závislosti od vyššie špecifikovaných aspektov spracúvania osobných údajov prevádzkovateľ následne hodnotí, či sú splnené všetky podmienky na to, aby mohol spracúvať osobné údaje dotknutých osôb na základe oprávneného záujmu.
Oprávnenosť účelu spracúvania je potrebné posudzovať z objektívneho hľadiska. Často sa v praxi stretávame so subjektívnym hodnotením a prispôsobovaním testu k „želanému“ výsledku podnikateľov. Prevádzkovateľ je povinný posúdiť, či záujem, ktorý sleduje on alebo tretia strana, je skutočne oprávnený, napr. na základe primeraného očakávania dotknutých osôb, ktoré vychádza zo vzťahu dotknutých osôb k prevádzkovateľovi.
K správnej identifikácií toho, či je záujem prevádzkovateľa skutočne oprávnený, slúžia nasledujúce otázky, ktoré by si mal prevádzkovateľ pri posudzovaní oprávnenosti svojho záujmu zodpovedať najmä:
Ďalšou podmienkou, ktorú musí prevádzkovateľ splniť, ak chce spracúvať osobné údaje dotknutých osôb na základe oprávneného záujmu, je nevyhnutnosť. Nevyhnutnosť je potrebné posudzovať ku konkrétnemu účelu spracúvania. Posudzuje sa, či je spracúvania osobných údajov skutočne nevyhnutné na to, aby bol naplnený stanovený účel spracúvania.
Ako návod môžu pri posudzovaní nevyhnutnosti slúžiť nasledujúce otázky, ktoré by si mal prevádzkovateľ zodpovedať:
Článok pokračuje pod videom. Pozrite si aj naše videoškolenie k súhlasu so spracovaním osobných údajov.
V prípade, že sa vám video nezobrazuje je potrebné povoliť zbieranie cookies.
Podľa nášho názoru, najdôležitejšou časťou testu proporcionality je balančný test. Zhodnotenie toho, či nad oprávneným záujmom prevádzkovateľa alebo tretej strany neprevažujú záujmy dotknutých osôb alebo ich základné práva a slobody.
Pri balančnom teste je potrebné posúdiť dopad spracúvania osobných údajov na dotknuté osoby a ich práva. Prevádzkovateľ by mal vychádzať z povahy osobných údajov, ktoré plánuje spracúvať (kategórie osobných údajov), odôvodnených očakávaní dotknutých osôb a pravdepodobného dopadu spracovateľskej operácie na dotknuté osoby.
Pri posudzovaní povahy osobných údajov prevádzkovateľ hodnotí najmä to, či:
Pri odôvodnených očakávaniach prevádzkovateľ hodnotí najmä skutočnosť, či dotknuté osoby môžu spracúvanie osobných údajov primerane očakávať. Uvedené je potrebné posúdiť najmä z hľadiska toho, či existuje medzi prevádzkovateľom a dotknutou osobou vzťah (napr. kupujúci a zákazník, zamestnávateľ a zamestnanec, obchodní partneri a pod.).
Pri posudzovaní odôvodnených očakávaní dotknutých osôb je taktiež potrebné vyhodnotiť zdroj osobných údajov (odkiaľ prevádzkovateľ získal osobné údaje), či priamo od dotknutých osôb alebo z iného zdroja (napr. z verejného registra). Na zdroj osobných údajov totiž nadväzuje plnenie informačnej povinnosti3 prevádzkovateľa a oboznámenie dotknutých osôb s plánovaným spracúvaním ich osobných údajov.
Napokon, pri posudzovaní odôvodnených očakávaní by sa mal prevádzkovateľ zaoberať aj otázkou, či je metóda spracúvania osobných údajov, ktorú plánuje na spracúvanie osobných údajov použiť, všeobecne známa alebo či plánuje zaviesť nové metódy spracúvania osobných údajov, ktoré dotknutá osoba nepozná.
Posledným krokom testu proporcionality je vyhodnotenie pravdepodobného dopadu spracúvania osobných údajov na samotné dotknuté osoby. Pri posudzovaní pravdepodobného dopadu spracúvania na dotknuté osoby by mal prevádzkovateľ zhodnotiť najmä:
Určite by ste mali zosumarizovať všetky spracovateľské operácie založenie na čl. 6 ods. 1 písm. f) Nariadenia, zdokumentovať ich4 a následne:
Po zhodnotení vyššie uvedených kritérií by mal prevádzkovateľ získať predstavu o skutočných aspektoch plánovaného spracúvania osobných údajov. Na základe vyhodnotených záverov by mal posúdiť, či je spracúvanie osobných údajov skutočne nevyhnutné, že záujem, ktorý sleduje je oprávnený a že nad oprávneným záujmom prevádzkovateľa alebo tretej strany neprevažujú záujmu alebo základné práva a slobody dotknutých osôb.
Vzory testov proporcionality5 vydal náš Úrad na ochranu osobných údajov, na internete nájdete aj vzor od Poradcu podnikateľa alebo Britskej autority ICO.6 Upozorňujeme však, že tieto nemusia byť dostačujúce.
V ďalšom článku vám prinesieme zhrnutie základných rozdielov medzi testom proporcionality a posúdením vplyvu na ochranu osobných údajov, ako aj základnú charakteristiku posúdenia vplyvu na ochranu osobných údajov.
Napísali sme aj články o monitorovaní kamerovým systémom – pozrite si informácie k téme: GDPR a kamerový systém
Prinášame školenie, v ktorom sa dozviete o spracúvaní osobných údajov na webovej stránke a o právnych základoch a účeloch spracúvania na webe a v e-shope:
V prípade, že sa vám video nezobrazuje je potrebné povoliť zbieranie cookies.
Potrebujete vypracovať testy proporcionality na mieru alebo aktualizovať dokumentáciu?
V niektorých prípadoch je potrebné posúdenie vplyvu (DPIA), ktorého obsahom je aj test proporcionality. ↩
Podľa čl., 6 ods. 1 písm. a) Nariadenia GDPR. ↩
V zmysle čl. 13 alebo čl. 14 Nariadenia GDPR. ↩
Napríklad do Záznamu o spracovateľských činnostiach. ↩
Podľa nášho názoru nemusia byť dostačujúce ↩
Skratka Information Commissioner’s Office. ↩
Legislatívne povinnosti nám dávajú príležitosť na to, aby sme veci robili lepšie.
Vyplňte GDPR dotázník a získajte 30 minútovú konzultáciu ZDARMA.
Zistite viacWe will be happy to answer all your questions by e-mail, phone or in person.
Vytvorené digitálnou agentúrou UPVISION
securion © 2021
This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.