Oprávněný zájem podle GDPR: silný nástroj, který vyžaduje pevné základy

Zpracování osobních údajů na základě oprávněného zájmu patří k nejobtížněji uchopitelným oblastem problematiky ochrany osobních údajů. Ačkoli nabízí značnou flexibilitu, zároveň klade na správce údajů určité nároky co do odůvodnění a dokumentace. Tento článek přináší přehled právních základů zpracování a podrobně se věnuje tomu, kdy a za jakých podmínek je možné oprávněný zájem správně využít.

1.   Právní základy zpracování údajů

Obecné nařízení o ochraně osobních údajů (GDPR) vstoupilo v účinnost v květnu 2018 a představuje jednotný rámec pro ochranu osobních údajů napříč Evropskou unií. Jeho cílem je zvýšit ochranu osobních údajů občanů Evropské unie a sjednotit pravidla pro jejich zpracování napříč členskými státy EU.

Základní pravidlo, které GDPR stanoví, je jasné: osobní údaje lze zpracovávat pouze tehdy, pokud k tomu existuje právní základ (nebo taky „právní titul“, tedy důvod pro zpracování). Tento princip zákonnosti zpracování je zakotven v článku 6 odst. 1 GDPR a vymezuje šest právních titulů, na jejichž základě může být zpracování osobních údajů legitimní. Správce tedy musí vždy předem určit, o který z těchto titulů se bude zpracování opírat. Těmito může být:

• souhlas subjektu údajů,
• plnění smlouvy, jejíž stranou je subjekt údajů,
• právní povinnost, která se na správce vztahuje,
• ochrana životně důležitých zájmů fyzické osoby,
• plnění úkolu ve veřejném zájmu nebo při výkonu veřejné moci a, konečně,
• oprávněný zájem správce nebo třetí strany.

Jeden a ten samý osobní údaj však může být zpracováván na základě více právních titulů zároveň, přičemž každý z těchto titulů ještě může určovat jinou dobu uchování. Například adresa zákazníka, která byla původně získána za účelem doručení zboží na základě smlouvy, může být po doručení dále uchovávána pro splnění zákonných povinností,například pro účely daňové evidence. Zatímco pro účely plnění smlouvy může být adresa teoreticky smazána krátce po vyřízení objednávky, zákon může požadovat její uchování po dobu několika let. Je tedy nezbytné pečlivě posoudit účel zpracování v každém jednotlivém případě a podle toho určit jak právní titul, tak i dobu uchování daného údaje.

Po nabytí účinnosti GDPR začali mnozí správci údajů v praxi často volit souhlas subjektu údajů jako výchozí právní titul pro jakékoli zpracování. Tento přístup však často není správný. Souhlas má svá specifika – především musí být svobodný, konkrétní, informovaný a odvolatelný. Pokud existuje jiný, vhodnější právní titul, například plnění smlouvy nebo zákonná povinnost, měl by být upřednostněn. Nadměrné spoléhání na souhlas může vést k právní nejistotě, zejména pokud by byl subjekt údajů oprávněně přesvědčen, že udělení souhlasu je podmínkou poskytnutí služby, čímž by nebyla splněna podmínka jeho svobodného udělení.

Souhlas má navíc tu zvláštnost, že jej může subjekt údajů kdykoli odvolat, a to bez udání důvodu. Pokud by správce jako právní titul zvolil souhlas i v situaci, kdy je daný údaj nezbytný například pro plnění smlouvy, dostává se do problémové situace. Odvoláním souhlasu by totiž správce přišel o možnost daný údaj dále zpracovávat, a tím by nemohl splnit své smluvní závazky. Z tohoto důvodu je nevhodné a právně nepřesné používat souhlas tam, kde existuje jiný, pevnější právní základ – například právě plnění smlouvy. Výběr právního titulu by měl vždy odpovídat skutečnému účelu a povaze zpracování.

V praxi správci často narážejí na situace, kdy mají pocit, že žádný z výše uvedených titulů nepokrývá jejich potřebu. Tehdy přichází na řadu právní základ, který je na jednu stranu nejflexibilnější, ale zároveň i nejvíce náročný na posouzení a odůvodnění – oprávněný zájem. A právě jeho podmínkám, rizikům i praktickému využití se věnuje následující část.

2.  Oprávněný zájem jako právní základ

Právní titul oprávněného zájmu bývá mnohými správci vnímán jako „záchranná brzda“ ve chvíli, kdy nelze použít jiný právní základ. Aplikaci oprávněného zájmu se věnují Guidelines 1/2024 Evropského sboru pro ochranu osobních údajů (EDPB). Jedná se o oficiální dokument, který poskytuje podrobné pokyny určené pro správce údajů. Slouží také jako metodický nástroj pro posouzení a dokumentaci, zda a jak mohou správci využít tento právní základ při zpracování osobních údajů.

EDPB v nich zdůrazňuje, že oprávněný zájem je sice důležitým a legitimním právním základem, ale jeho použití musí být vždy výjimečně dobře zdůvodněné a podpořené objektivním posouzením.

Základní podmínky pro jeho použití jsou tři:

1. správce (nebo třetí strana) sleduje konkrétní oprávněný zájem,
2. zpracování osobních údajů je nezbytné pro dosažení tohoto zájmu,
3. zájmy nebo základní svobody a práva fyzických osob nemají v tom konkrétním případě přednost před oprávněným zájmem správce nebo třetí strany (vyvažování).

V praxi lze oprávněný zájem zvažovat zejména v případech jako jsou prevence zneužití služeb (např. detekce podvodného chování na e-shopu), zabezpečení IT systémů, zpracování údajů zaměstnanců za účelem vnitřního řízení (např. řízení docházky) nebo přímý marketing vůči stávajícím zákazníkům (tzv. soft opt-in).

Naopak nevhodné je použití oprávněného zájmu tam, kde je zpracování neočekávané nebo překvapivé z pohledu subjektu údajů, jde o citlivé údaje (např. zdravotní údaje), lze použít méně invazivní alternativu (např. anonymizaci) nebo pokud by bylo možné získat souhlas subjektu bez obtíží a jeho získání je v daném kontextu běžné.

Typickým příkladem, kdy lze oprávněný zájem uplatnit, je provozování kamerového systému ve firmě za účelem ochrany majetku a prevence krádeží. Správce má v tomto případě jistě legitimní cíl. To však nestačí, i přesto je potřeba dále posoudit, zda jsou kamery skutečně nezbytné (například neexistuje jiný, méně invazivní způsob zabezpečení) a zda jejich použití nepředstavuje nepřiměřený zásah do soukromí osob – například zaměstnanců či návštěvníků.

Podobně lze uvažovat i v případě přímého marketingu. GDPR sice výslovně zmiňuje, že oprávněný zájem může být použit i v marketingovém kontextu, ovšem EDPB ve svých Guidelines zdůrazňuje, že souhlas subjektu údajů zůstává preferovaným řešením, zejména pokud jde o rozsáhlejší nebo profilovaný marketing. Z toho vyplývá, že oprávněný zájem nelze použít automaticky – vždy je třeba zvážit všechny okolnosti konkrétního případu a pečlivě odůvodnit, proč jiné právní základy nejsou vhodné.

Základním principem oprávněného zájmu je rovnováha mezi zájmy správce a právy subjektu údajů. GDPR výslovně stanoví, že zájmy nebo základní práva a svobody subjektu údajů mohou nad oprávněným zájmem převážit. Toto „převážení“ nelze vnímat jako výjimečnou situaci – naopak, jde o klíčový moment, ve kterém se rozhoduje o zákonnosti celého zpracování. Prakticky vzato, správce by si měl položit otázku: „Očekával by běžný uživatel, že v tomto kontextu budou jeho údaje zpracovávány tímto způsobem – a pokud ne, má k tomu správce dostatečně silný důvod?“ Správce musí prokázat, že zpracování údajů je nezbytné, legitimní a nepřekračuje práva subjektu údajů. K tomu slouží tzv. LIA test (Legitimate Interest Assessment) – strukturovaný proces posouzení, který se v praxi skládá ze tří kroků:

1. Identifikace oprávněného zájmu: Správce musí jasně a konkrétně popsat, jaký legitimní zájem sleduje –například zajištění bezpečnosti IT systémů, prevence podvodů nebo zasílání marketingových sdělení stávajícím klientům.
2. Posouzení nezbytnosti: V této fázi se hodnotí, zda je zpracování osobních údajů skutečně potřebné k dosažení sledovaného cíle. Pokud existuje méně invazivní způsob, jak daného cíle dosáhnout (například anonymizace dat nebo jiný postup bez zpracování osobních údajů), oprávněný zájem nelze použít. Případně by měl správce vysvětlit, proč není možné uplatnění těchto méně invazivních způsobů.
3. Balanční test: Klíčová část, ve které se porovnávají zájmy správce s právy a svobodami subjektu údajů. Zohledňuje se především očekávání subjektu údajů, povaha zpracovávaných údajů, míra zásahu do soukromí, jakož i zavedená technická a organizační opatření (např. zkrácené doby uchování nebo pseudonymizace).

Výsledek LIA testu by měl být správcem písemně zdokumentován a průběžně revidován. Z naší praxe víme, že správci se často zaměřují především na zpracování dokumentů, které jsou „na očích“ – jako jsou zásady zpracování osobních údajů (Privacy Policy) nebo záznamy o činnostech zpracování, což je zcela pochopitelné. Nemělo by se však zapomínat právě i na tento LIA test, provedený tzv. „do šuplíku“. I když nejde o dokument, který se zveřejňuje, hraje klíčovou roli při obhajobě oprávněného zájmu a může být rozhodující v okamžiku, kdy je potřeba doložit, že zpracování bylo řádně zváženo a odůvodněno. Pokud by LIA test chyběl nebo byl zpracován nedbale, může to znamenat zásah do práv subjektu údajů a pro správce potenciálně vést k sankcím nebo omezením ze strany dozorového úřadu.

Oprávněný zájem je silným, ale současně rizikovým nástrojem. EDPB ve výše citovaných pokynech správce varuje před jeho formálním nebo automatickým použitím. Vždy je nutné věnovat dostatek prostoru vyhodnocení všech podmínek a připravit kvalitní dokumentaci. Pouze tak lze zajistit, že zpracování bude skutečně zákonné, transparentní a obhajitelné nejen před dozorovým úřadem, ale především vůči subjektům údajů.

3.  Závěr

Oprávněný zájem je cenným právním titulem, který může správci poskytnout potřebnou flexibilitu při zpracování osobních údajů, zejména v případech, kdy jiné právní základy nejsou vhodné nebo dostupné. Jeho použití však není bez rizik – vyžaduje pečlivé posouzení, zdokumentování a schopnost obhájit zpracování nejen vůči dozorovému úřadu, ale teoreticky vůči samotným subjektům údajů. Klíčem k právně jistému využití oprávněného zájmu je kvalitně provedený LIA test, který nesmí být vnímán jako pouhá formalita, ale jako praktický nástroj k zajištění souladu s GDPR. Důsledným přístupem lze z tohoto právního titulu skutečně vytěžit jeho potenciál a zároveň minimalizovat právní a reputační rizika.