sipka  Späť na blog

GDPR Nariadenie, Zahraničná legislatíva

13. 12. 2019

#2 Test proporcionality: čo posudzujeme a ako ho vypracovať

#2 Test proporcionality: čo posudzujeme a ako ho vypracovať

V predchádzajúcom článku #1 Test proporcionality: pojem a využitie sme vám priniesli krátke zhrnutie toho, čo pojem test proporcionality v prostredí ochrany osobných údajov znamená a kedy ho potrebujete. V nasledujúcom článku sa dozviete, ako majú prevádzkovatelia postupovať pri jeho vykonávaní a čo má jeho zdokumentovaná forma obsahovať.

Všeobecne o postupe pri vyhotovovaní testu proporcionality

Účelom testu proporcionality je vyhodnotenie toho, či sú splnené  podmienky na to, aby prevádzkovateľ mohol spracúvať osobné údaje na základe právneho základu (čl. 6 ods. 1 písm. f) Nariadenia GDPR) – oprávnený záujem. Ten môže mať prevádzkovateľ alebo tretia strana. Len pre pripomenutie, tento test je potrebný napríklad pri monitorovaní kamerovým systémom1, evidencii kontaktných osôb obchodných partnerov, v niektorých prípadoch pri posielaní newsletterov – priamom marketingu…

Pri vykonávaní testu proporcionality je prevádzkovateľ povinný posúdiť, či:

  • oprávnený záujem, ktorý sleduje prevádzkovateľ alebo tretia strana je skutočne oprávnený,
  • spracúvanie osobných údajov je skutočne nevyhnutné, a
  • nad oprávneným záujmom neprevažujú základné práva a slobody dotknutých osôb.

V prípade, ak nie je splnená ktorákoľvek z vyššie uvedených podmienok, prevádzkovateľ by mal zvážiť spracúvanie osobných údajov pre daný účel alebo založiť spracúvania osobných údajov na inom právnom základe, napr. na súhlase dotknutých osôb.2

Test proporcionality je prevádzkovateľ povinný vykonať ešte pred tým, ako začne osobné údaje  spracúvať. V teste proporcionality je potrebné identifikovať spracovateľskú operáciu, najmä: určiť účel spracúvania osobných údajov, kategórie dotknutých osôb, kategórie spracúvaných osobných údajov alebo aj dobu uchovávania osobných údajov. Obsahuje aj bezpečnostné opatrenia prijaté v súvislosti so spracúvaním osobných údajov.

V závislosti od vyššie špecifikovaných aspektov spracúvania osobných údajov prevádzkovateľ následne hodnotí, či sú splnené všetky podmienky na to, aby mohol spracúvať osobné údaje dotknutých osôb na základe oprávneného záujmu.

Oprávnenosť účelu spracúvania

Oprávnenosť účelu spracúvania je potrebné posudzovať z objektívneho hľadiska. Často sa v praxi stretávame so subjektívnym hodnotením a prispôsobovaním testu k „želanému“ výsledku podnikateľov. Prevádzkovateľ je povinný posúdiť, či záujem, ktorý sleduje on alebo tretia strana, je skutočne oprávnený, napr. na základe primeraného očakávania dotknutých osôb, ktoré vychádza zo vzťahu dotknutých osôb k prevádzkovateľovi.

K správnej identifikácií toho, či je záujem prevádzkovateľa skutočne oprávnený, slúžia nasledujúce otázky, ktoré by si mal prevádzkovateľ pri posudzovaní oprávnenosti svojho záujmu zodpovedať najmä:

  • Prečo chce prevádzkovateľ spracúvať osobné údaje?
  • Aké výhody plynú prevádzkovateľovi zo spracúvania osobných údajov?
  • Aký dôsledok pre činnosť prevádzkovateľa by mala situácia, ak by spracúvanie osobných údajov za účelom spracúvania nevykonával?
  • Sleduje spracúvanie osobných údajov verejnoprospešný účel?

Nevyhnutnosť

Ďalšou podmienkou, ktorú musí prevádzkovateľ splniť, ak chce spracúvať osobné údaje dotknutých osôb na základe oprávneného záujmu, je nevyhnutnosť. Nevyhnutnosť je potrebné posudzovať ku konkrétnemu účelu spracúvania. Posudzuje sa, či je spracúvania osobných údajov skutočne nevyhnutné na to, aby bol naplnený stanovený účel spracúvania.

Ako návod môžu pri posudzovaní nevyhnutnosti slúžiť nasledujúce otázky, ktoré by si mal prevádzkovateľ zodpovedať:

  • Pomôže spracúvanie osobných údajov dosiahnuť účel spracúvania?
  • Je spracúvanie osobných údajov primerané účelu spracúvania (najmä s ohľadom na zásadu minimalizácie osobných údajov)?
  • Je možné dosiahnuť sledovaný účel aj bez spracúvania osobných údajov?
  • Je možné dosiahnuť sledovaný účel spracúvaním menšieho rozsahu osobných údajov, prípadne spracúvaním osobných údajov iným spôsobom alebo menej obťažujúcim spôsobom?

Článok pokračuje pod videom. Pozrite si aj naše videoškolenie k súhlasu so spracovaním osobných údajov.

V prípade, že sa vám video nezobrazuje je potrebné povoliť zbieranie cookies.

Balančný test a test proporcionality

Podľa nášho názoru, najdôležitejšou časťou testu proporcionality je balančný test. Zhodnotenie toho, či nad oprávneným záujmom prevádzkovateľa alebo tretej strany neprevažujú záujmy dotknutých osôb alebo ich základné práva a slobody.

Pri balančnom teste je potrebné posúdiť dopad spracúvania osobných údajov na dotknuté osoby a ich práva. Prevádzkovateľ by mal vychádzať z povahy osobných údajov, ktoré plánuje spracúvať (kategórie osobných údajov), odôvodnených očakávaní dotknutých osôb a pravdepodobného dopadu spracovateľskej operácie na dotknuté osoby.

Pri posudzovaní povahy osobných údajov prevádzkovateľ hodnotí najmä to, či:

  • spracúvané osobné údaje patria k osobitným kategóriám osobných údajov alebo k osobným údajom týkajúcim sa uznania viny za trestné činy alebo priestupky,
  • ide o osobné údaje, ktoré dotknuté osoby vo všeobecnosti považujú za citlivé alebo obzvlášť súkromné,
  • ide o osobné údaje detí alebo iných zraniteľných kategórií dotknutých osôb,
  • ide o osobné údaje týkajúce sa súkromného alebo pracovného života dotknutých osôb.

Pri odôvodnených očakávaniach prevádzkovateľ hodnotí najmä skutočnosť, či dotknuté osoby môžu spracúvanie osobných údajov primerane očakávať. Uvedené je potrebné posúdiť najmä z hľadiska toho, či existuje medzi prevádzkovateľom a dotknutou osobou vzťah (napr. kupujúci a zákazník, zamestnávateľ a zamestnanec, obchodní partneri a pod.).

Pri posudzovaní odôvodnených očakávaní dotknutých osôb je taktiež potrebné vyhodnotiť zdroj osobných údajov (odkiaľ prevádzkovateľ získal osobné údaje), či priamo od dotknutých osôb alebo z iného zdroja (napr. z verejného registra). Na zdroj osobných údajov totiž nadväzuje plnenie informačnej povinnosti3 prevádzkovateľa a  oboznámenie dotknutých osôb s plánovaným spracúvaním ich osobných údajov.

Napokon, pri posudzovaní odôvodnených očakávaní by sa mal prevádzkovateľ zaoberať aj otázkou, či je metóda spracúvania osobných údajov, ktorú plánuje na spracúvanie osobných údajov použiť, všeobecne známa alebo či plánuje zaviesť nové metódy spracúvania osobných údajov, ktoré dotknutá osoba nepozná.

Posledným krokom testu proporcionality je vyhodnotenie pravdepodobného dopadu spracúvania osobných údajov na samotné dotknuté osoby. Pri posudzovaní pravdepodobného dopadu spracúvania na dotknuté osoby by mal prevádzkovateľ zhodnotiť najmä:

  • Aké sú možné dopady spracúvania na dotknuté osoby?
  • Aká je pravdepodobnosť a závažnosť prípadného negatívneho dopadu spracúvania (napr. bezpečnostného incidentu) na dotknuté osoby?
  • Je pravdepodobné, že dotknuté osoby budú považovať spracúvanie osobných údajov za obťažujúce alebo že budú namietať voči takémuto spracúvaniu?
  • Prijal prevádzkovateľ bezpečnostné opatrenia alebo záruky na zmiernenie akéhokoľvek negatívneho dopadu spracúvania na dotknuté osoby?

Odporúčania na záver

Určite by ste mali zosumarizovať všetky spracovateľské operácie založenie na čl. 6 ods. 1 písm. f) Nariadenia, zdokumentovať ich4 a následne:

  • Vypracovať testy proporcionality
  • Vyhodnotiť riadne jednotlivé body uvedené v článku
  • Zapracovať testy proporcionality do života spoločnosti

Po zhodnotení vyššie uvedených kritérií by mal prevádzkovateľ získať predstavu o skutočných aspektoch plánovaného spracúvania osobných údajov. Na základe vyhodnotených záverov by mal posúdiť, či je spracúvanie osobných údajov skutočne nevyhnutné, že záujem, ktorý sleduje je oprávnený a že nad oprávneným záujmom prevádzkovateľa alebo tretej strany neprevažujú záujmu alebo základné práva a slobody dotknutých osôb.

Vzory testov proporcionality5 vydal náš Úrad na ochranu osobných údajov, na internete nájdete aj vzor od Poradcu podnikateľa alebo Britskej autority ICO.6 Upozorňujeme však, že tieto nemusia byť dostačujúce.

V ďalšom článku vám prinesieme zhrnutie základných rozdielov medzi testom proporcionality a posúdením vplyvu na ochranu osobných údajov, ako aj základnú charakteristiku posúdenia vplyvu na ochranu osobných údajov.

Napísali sme aj články o monitorovaní kamerovým systémom – pozrite si informácie k téme: GDPR a kamerový systém

Prinášame školenie, v ktorom sa dozviete o spracúvaní osobných údajov na webovej stránke a o právnych základoch a účeloch spracúvania na webe a v e-shope:

V prípade, že sa vám video nezobrazuje je potrebné povoliť zbieranie cookies.

Potrebujete vypracovať testy proporcionality na mieru alebo aktualizovať dokumentáciu?

vypracovanie-gdpr-dokumentacia-securion

  1. V niektorých prípadoch je potrebné posúdenie vplyvu (DPIA), ktorého obsahom je aj test proporcionality. 

  2. Podľa čl., 6 ods. 1 písm. a) Nariadenia GDPR. 

  3. V zmysle čl. 13 alebo čl. 14 Nariadenia GDPR. 

  4. Napríklad do Záznamu o spracovateľských činnostiach. 

  5. Podľa nášho názoru nemusia byť dostačujúce 

  6. Skratka Information Commissioner’s Office. 

Získajte konkurenčnú výhodu vďaka aktívnemu prístupu k ochrane osobných údajov.

Pozrieť ponuku služieb

icon

Tagy článku -

Balančný test

Oprávnený záujem

Právne základy

prevádzkovateľ

Test proporcionality

Zásady GDPR

Môže Vás zaujímať

28. 9. 2022

GDPR Nariadenie

Informačná povinnosť GDPR – transparentnosť a obsah

12. 8. 2022

GDPR Nariadenie, Videoškolenia

GDPR videoškolenia 17: Najčastejšie chyby pri vypracovaní GDPR dokumentácie

11. 3. 2022

Cookies, Videoškolenia

Videoškolenia 13: Cookies – ako ich nastaviť a prečo úzko súvisia s GDPR

Zostaňte v obraze

Legislatívne povinnosti nám dávajú príležitosť na to, aby sme veci robili lepšie.

questionnaire

Vyplňte GDPR dotázník a získajte 30 minútovú konzultáciu ZDARMA.

Zistite viac icon

Pomáhame firmám plniť legislatívne povinnosti .

POTREBUJETE PORADIŤ?

Na všetky vaše otázky vám radi odpovieme e-mailom, telefonicky alebo na osobnom stretnutí.

email-icon

securion@securion.sk
phone-icon

+421 911 925 811

    Vaše osobné údaje spracúvame za účelom vybavenia dopytu. Viac sa dočítate v sekcii Privacy Policy.