Právní důvody pro zpracování osobních údajů

Zákonnost zpracování osobních dat je založena na existenci právních důvodů pro jejich zpracování.

1. Právní důvody zpracování osobních údajů opravňují správce osobní údaje zpracovávat.
2. Pokud správce nemá právní důvod ke zpracování osobních údajů, nesmí je zpracovávat a ty již existující je povinen zlikvidovat.
3. Osobní údaje může správce zpracovávat pro různé účely, přičemž pro každý účel potřebuje právní důvod zpracování osobních údajů.
4. Povinnost likvidace osobních údajů nastane v případě, kdy správce pozbyl poslední právní důvod ke zpracování osobních údajů.

Článek 6 GDPR

Právní důvody ke zpracovávání osobních údajů:

1. subjekt údajů udělil souhlas pro jeden či více konkrétních účelů – jako jediný právní důvod je odvolatelný,
2. zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů – například do této kategorie patří i vyřizování objednávky e-shopu,
3. zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje – například povinnosti zaměstnavatele evidovat zaměstnance,
4. zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby,
5. zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce,
6. zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů.

Příklad pro existenci více právních důvodů:
Zákazník si objedná zboží v e-shopu a současně udělí souhlas s použitím jeho e-mailu. Právní důvody tedy jsou:

1. souhlas – ten může zákazník odvolat a po odvolání již není tuto emailovou adresu možné dále používat například pro rozesílání akčních nabídek, newsletterů apod.
2. nezbytnost pro plnění smlouvy – data musím uchovávat po dobu záruku – 2 roky a poté již nemám důvod pro její další uchovávání, ale je zde poslední důvod tj.
3. nezbytnost pro plnění právní povinnosti – daňový doklad musím archivovat 10 let (jeho náležitostí jsou osobní údaje).

Legislativa

• Zákon č. 110/2019 Sb., o ochraně osobních údajů
• Zákon č. 89/2012 Sb., občanský zákoník
• Zákon č. 127/2005 Sb. ,o elektronických komunikacích
• Zákon č. 181/2014 Sb. o kybernetické bezpečnosti
• Nařízení GDPR