Usmernenia 1/2024 o spracúvaní osobných údajov na základe článku 6 ods. 1 písm. f) GDPR

 

Na plenárnom zasadnutí Európskeho výboru pre ochranu údajov (EDPB), ktoré sa konalo 7.-8.10.2024, boli prijaté usmernenia o spracúvaní osobných údajov na základe oprávneného záujmu.

Oprávnený záujem je jedným zo šiestich možných právnych základov, ktorý prevádzkovatelia potrebujú na zákonné spracúvanie osobných údajov. Tieto usmernenia analyzujú kritériá stanovené v čl. 6(1)(f) GDPR, ktoré musia prevádzkovatelia splniť, aby mohli zákonne spracúvať osobné údaje na základe oprávneného záujmu, pričom zohľadňujú aj nedávne rozhodnutie Súdneho dvora EÚ v tejto veci (C-621/22, 4. októbra 2024).

Aby sa prevádzkovateľ mohol spoliehať na oprávnený záujem, musí splniť tri kumulatívne podmienky:

  1. Sledovanie oprávneného záujmu zo strany prevádzkovateľa alebo tretej strany;
  2. Nevyhnutnosť spracúvania osobných údajov na účely dosiahnutia tohto oprávneného záujmu;
  3. Záujmy alebo základné práva a slobody jednotlivcov neprevažujú nad oprávneným záujmom prevádzkovateľa alebo tretej strany (proces vyvažovania).

V prvom rade možno za oprávnené považovať len záujmy, ktoré sú zákonné, jasne a presne formulované, reálne a aktuálne. Napríklad takéto oprávnené záujmy by mohli existovať v situácii, keď je jednotlivec klientom alebo je v službách prevádzkovateľa.

Po druhé, ak existujú rozumné, rovnako účinné, ale menej invazívne alternatívy na dosiahnutie sledovaných záujmov, spracúvanie nemožno považovať za nevyhnutné. Nevyhnutnosť spracúvania by sa mala preskúmať aj v súlade so zásadou minimalizácie údajov.

Po tretie, prevádzkovateľ musí zabezpečiť, že jeho oprávnený záujem nie je prevážený záujmami, základnými právami alebo slobodami jednotlivca. Pri tomto vyvažovaní musí prevádzkovateľ zohľadniť záujmy jednotlivcov, vplyv spracúvania a ich odôvodnené očakávania, ako aj existenciu dodatočných záruk, ktoré by mohli obmedziť vplyv na jednotlivca.

Tieto usmernenia zároveň vysvetľujú, ako by sa toto hodnotenie malo vykonávať v praxi, vrátane viacerých špecifických kontextov, ako sú prevencia podvodov, priame marketingové aktivity a bezpečnosť informácií. Dokument tiež vysvetľuje vzťah medzi týmto právnym základom a niekoľkými právami dotknutých osôb podľa GDPR.

Usmernenia budú predmetom verejnej konzultácie do 20. novembra 2024.

Usmernenia boli zverejnené na stránke EDPB v anglickom jazyku tu: Guidelines 1/2024 on processing of personal data based on Article 6(1)(f) GDPR | European Data Protection Board (europa.eu)