GDPR Nariadenie, Odporúčame, Slovenská legislatíva

1. 12. 2021

Spracúvanie osobných údajov – plnenie zmluvy

Spracúvanie osobných údajov – plnenie zmluvy

Osobné údaje sú prevádzkovatelia a sprostredkovatelia povinní spracúvať v súlade so zásadou zákonnosti – musia vybrať pre každú spracovateľskú operáciu relevantný právny základ. Jedným z právnych základov je aj plnenie zmluvy alebo plnenie zmluvných povinností. Prečítajte si článok na tému spracúvanie osobných údajov pri plnení zmluvy.

Aj súčasná prax podnikateľov a iných subjektov, ktoré spracúvajú osobné údaje (obce a iné subjekty verejnej správy) často nesprávne aplikuje ako právny základ súhlas.1

V článku píšeme o spracúvaní v zmysle čl. 6 ods. 1. písm. b) GDPR – teda o spracúvaní osobných údajov pri plnení zmluvných povinností. V článku vychádzame aj z aktuálneho odporúčania Európskeho výboru pre ochranu osobných údajov (teraz EDPB, pôvodne WP29), v ktorom sa EDPB venuje podmienkam spracúvania osobných údajov dotknutých osôb pri poskytovaní online služieb.

V článku sa dozviete:

  • všeobecné informácie o právnom základe v zmysle čl. 6 ods. 1 písm. b) Nariadenia,
  • podmienky, na základe ktorých možno spracúvať osobné údaje pri plnení zmluvy,
  • ako narábať s osobnými údajmi po skončení zmluvy.

Všeobecne o právnom základe – plnenie zmluvy

Na základe zmluvy možno spracúvať osobné údaje, „ak je spracúvanie nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy.“ Najbežnejšie situácie, kedy prichádza k spracúvaniu pri plnení zmluvy sú klasické kúpne zmluvy medzi podnikateľom a fyzickou osobou (kúpa automobilu, nákup v e-shope), pracovné zmluvy, zmluvy s operátormi (paušál) alebo bankami (vedenie účtu).

K spracúvaniu osobných údajov pri plnení zmluvných povinností (čl. 6 ods. 1 písm. b) GDPR) dochádza vždy, keď je na jednej strane podnikateľ ako prevádzkovateľ a na druhej strane fyzická osoba ako dotknutá osoba.

V praxi sa však stále stretávame s nesprávnym určením právneho základu. Príklad:

  • pracovná zmluva: „Zamestnanec súhlasí so spracovaním osobných údajov zamestnávateľom…
  • uzatvorenie inej zmluvy dotknutou osobou: „Súhlasím so spracovaním osobných údajov za účelom plnenia zmluvy.“

Takýto postup nie je správny. Texty navádzajú na „udelenie“ súhlasu so spracúvaním osobných údajov, čo je iný právny základ (čl. 6 ods. 1 písm. a) GDPR), aj keď sú osobné údaje spracúvané na základe plnenia zmluvy.

V prvom prípade (pracovná zmluva) zamestnávateľ spracúva osobné údaje zamestnanca pri plnení zmluvných, prípadne zákonných povinností (čl. 6 ods. 1 písm. c) GDPR), k čomu je potrebné definovať účely spracúvania. V druhom prípade je jednoznačné, že ide o plnenie zmluvných povinností.

V rámci zmluvného vzťahu podnikateľ – fyzická osoba (B2C) – ak prichádza k spracúvaniu osobných údajov, je takmer vždy právnym základom plnenie zmluvných povinností.

Pri obchodnom vzťahu medzi podnikateľmi (B2B) je situácia odlišná. Podnikatelia prevažne nie sú v postavení dotknutej osoby, preto neprichádza k spracúvaniu osobných údajov pri plnení zmluvných povinností. Kedy je podnikateľ – živnostník v postavení dotknutej osoby, riešil Úrad na ochranu osobných údajov vo svojej metodike.2

Každé spracúvanie osobných údajov musí byť vykonávané v súlade so zásadami spracúvania osobných údajov podľa GDPR. Poukazujeme najmä na zákonné spracúvanie a zásady obmedzenia účeluminimalizácie osobných údajov, ako aj minimalizáciu uchovávania osobných údajov.

Podmienky pre plnenie zmluvných povinností 

Na to, aby spracúvanie osobných údajov prevádzkovateľom mohlo byť založené na právnom základe, ktorým je plnenie zmluvy, je potrebné aby spracúvanie osobných údajov bolo nevyhnutné na:

  • plnenie zmluvy uzatvorenej medzi prevádzkovateľom a dotknutou osobou, alebo
  • to, aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy (tzv. predzmluvné vzťahy).

Nevyhnutnosť, ktorá je základnou podmienkou pre obe vyššie opísané situácie, je potrebné pri stanovovaní právneho základu posudzovať objektívne. EDPB uvádza, že v prípade, ak spracúvanie osobných údajov nie je „výslovne nevyhnutné na plnenie zmluvy“, prevádzkovateľ je povinný založiť spracúvanie osobných údajov na inom právnom základe (ak sú na to splnené podmienky článku 6 GDPR  – napríklad oprávnený záujem prevádzkovateľa alebo súhlas dotknutej osoby).
Pozrite si naše videoškolenie k ochrane osobných na webovej stránke a v e-shope alebo ďalšie videoškolenia k témam ochrany osobných údajov.

V prípade, že sa vám video nezobrazuje je potrebné povoliť zbieranie cookies.

Pre väčšinu zmlúv je potrebné aj spracúvanie osobných údajov. Odporúčanie EDPB  uvádza, že na „plnenie zmluvy alebo vykonanie opatrení pred uzatvorením zmluvy nebude nevyhnutná taká spracovateľská operácia, ktorá sa síce hodí k podnikateľským aktivitám prevádzkovateľa (napr. vytváranie profilu prefencií zákazníka), ale nie je nevyhnutnou podmienkou plnenia zmluvy vo vzťahu k dotknutej osobe.“ Teda musí sa jednať o plnenie zmluvy, nie iné aktivity ako zasielanie e-mailov, povinnosť registrácie a pod.

Príklad (EDPB): Dotknutá osoba si kúpi tovar od prevádzkovateľa prostredníctvom jeho e-shopu. Dotknutá osoba chce za objednaný tovar zaplatiť kartou. Na účely plnenia zmluvy, v tomto prípade prijatie platby od zákazníka – dotknutej osoby, obchodník – prevádzkovateľ musí spracúvať informácie o platobnej karte zákazníka a údaje o fakturačnej adrese dotknutej osoby. V tomto prípade je teda spracúvanie osobných údajov dotknutej osoby nevyhnutné na plnenie zmluvy a právny základ podľa čl. 6 ods. 1 písm. b) je aplikovateľný.

Predzmluvné vzťahy

Spracúvanie osobných údajov môže byť založené na právnom základe podľa čl. 6 ods. 1 písm. b) Nariadenia GDPR aj v prípade, ak je spracúvanie osobných údajov uskutočňované na základe žiadosti dotknutej osoby.

Dôvodom má byť „vykonanie opatrení pred uzatvorením zmluvy“ (tzv. predzmluvné vzťahy). V zmysle odporúčania EDPB uvedené ustanovenie GDPR reflektuje na prípady, kedy je spracúvanie osobných údajov nevyhnutné na samotný vznik zmluvného vzťahu. Z praxe evidujeme najčastejšie využívanie týchto opatrení pri uzatváraní pracovných zmlúv.

Aj keď v čase spracúvania osobných údajov nie je jasné, či zmluva bude uzatvorená, právny základ – predzmluvné vzťahy je v zásade možné aplikovať na každú situáciu, keby dotknutá osoba požiada prevádzkovateľa o vykonanie opatrení súvisiacich s možným uzatvorením zmluvy s prevádzkovateľom.

Príklad (EDPB): Dotknutá osoba poskytne prevádzkovateľovi svoje poštové smerovacie číslo alebo iný lokalizačný údaj na zistenie, či určité služby poskytované prevádzkovateľom sú dostupné aj na území, kde o preverenie služby žiada dotknutá osoba. Túto situáciu je možné zaradiť k opatreniam vykonávaným pred uzatvorením zmluvy na základe žiadosti dotknutej osoby. Naopak, identifikácia dotknutých osôb finančnými inštitúciami pred poskytnutím finančných služieb na základe platných právnych predpisov SR nie je možné zaradiť k opatreniami vykonávaním v predzmluvných vzťahoch. V uvedenom prípade ide o plnenie zákonnej povinnosti prevádzkovateľa – finančnej inštitúcie podľa čl. 6 ods. 1 písm. c) GDPR. 

Zánik zmluvy – koniec spracúvania osobných údajov?

Po zániku zmluvy osobné údaje už osobné údaje nie sú potrebné a nevyhnutné k účelu spracúvania v súvislosti s plnením zmluvných povinností. Mal by prevádzkovateľ spracúvanie osobných údajov ukončiť?

Ak osobné údaje už nie sú potrebné pre daný účel spracúvania, spracúvanie by malo byť ukončené. Existujú však niektoré situácie, spojené s plnením zmluvy aj po jej zániku, ktoré umožňujú spracúvanie osobných údajov na právnom základe podľa čl. 6 ods. 1 písm. b) GDPR. K týmto situáciám patrí napríklad vrátenie tovaru pri spotrebiteľských zmluvách uzatvorených na diaľku. Zároveň, je potrebné zohľadniť aj zákonné povinnosti podľa čl. 6 ods. 1 písm. c) GDPR na uchovávanie osobných údajov pre účtovníctvo, správcu dane a pod.

Podnikateľ, ktorý uzatvára zmluvu by mal dotknutej osobe v každom prípade okrem právneho základu, účelu spracúvania, rozsahu osobných údajov a iných náležitostí uviesť aj dobu uchovávania, resp. dobu vymazania osobných údajov.

Záver – plnenie zmluvy

Každý prevádzkovateľ je povinný, ešte pred samotným spracúvaním osobných údajov, stanoviť vhodný právny základ. Právny základ je potrebné stanovovať v nadväznosti na konkrétne účely spracúvania osobných údajov a rešpektovať základné zásady spracúvania osobných údajov. Od správnej identifikácie právneho základu sa totiž odvíjajú tak ďalšie povinnosti prevádzkovateľa, ako aj rozsah práv dotknutých osôb v zmysle GDPR.

securion - poradenstvo GDPR


  1. To môže nadväzovať na historický kontext spracúvania osobných údajov na území SR ešte v zmysle zákona č. 428/2002 Z. z. o ochrane osobných údajov. 

  2. Metodika Úradu na ochranu osobných údajov 

Získajte konkurenčnú výhodu vďaka aktívnemu prístupu k ochrane osobných údajov.

Môže Vás zaujímať

Zostaňte v obraze

Legislatívne povinnosti nám dávajú príležitosť na to, aby sme veci robili lepšie.

questionnaire

Vyplňte GDPR dotázník a získajte 30 minútovú konzultáciu ZDARMA.

Zistite viac icon

Pomáhame firmám plniť legislatívne povinnosti .

POTREBUJETE PORADIŤ?

Na všetky vaše otázky vám radi odpovieme e-mailom, telefonicky alebo na osobnom stretnutí.

    Vaše osobné údaje spracúvame za účelom vybavenia dopytu. Viac sa dočítate v sekcii Privacy Policy.