Tento obsah je určen jen pro předplatitele časopisu. Pokud už předplatitelem jste, prosíme, přihlaste se.
Účelem balančního testu je poměřit oprávněný zájem správce na zpracování vůči zájmům a právům subjektů údajů. Jak ho v praxi provést?
Balanční test navazuje na test oprávněnosti a test nezbytnos ti, o kterých jsme vás informovali v druhém čísle zpravodaje. V rámci balančního testu rozlišujeme 4 fáze:
- posouzení váhy oprávněného zájmu;
- posouzení důsledků, které bude zpracování mít pro subjekty údajů;
- poměření oprávněného zájmu a důsledků zamýšleného zpracování;
- možnost přijetí dodatečných záruk pro zajištění ochrany práv a svobod subjektů údajů.
PŘÍKLAD Z PRAXE: Majitel supermarketu má oprávněný zájem na monitorování prostor obchodu za účelem ochrany svého majetku. Proto nainstaloval kamery, které snímají vnitřní prostory obchodu včetně obličejů zákazníků. Majitel zajistil, aby byli nakupující na monitorování kamerami upozorněni prostřednictvím informační cedule při vstupu. Samotný záznam z kamer se maže v pravidelných intervalech. Majitel tak poskytl záruky řádného zpracování podle GDPR, díky čemuž může jeho zájem pro konkrétní účel převážit nad ochranou soukromí návštěvníků prodejny.
Posouzení váhy oprávněného zájmu
Lze rozlišit a hierarchicky seřadit 4 skupiny oprávněných zájmů. Nejvýznamnější pozici zastávají oprávněné zájmy na výkonu základních práv a svobod správce. Druhou kategorii tvoří zájmy, jež je možné označit za veřejné či zájmy společnosti. Následují zájmy, jejichž oprávněnost je reflektována státními institucemi či společenskými a kulturními normami, a zbylou skupinu pak tvoří ostatní zájmy.
Posouzení důsledků zpracování pro subjekty údajů
Jako vodítko pro posuzování důsledků zpracování pro zájmy a práva subjektů údajů lze použít následující kritéria:
- identifikace okruhu možných dů sledků zpracování;
- vymezení závažnosti negativních důsledků a stanovení pravděpodob nosti jejich vzniku;
- posouzení povahy zpracovávaných osobních údajů a způsobu zpracování;
- zhodnocení vztahu mezi správcem a subjektem údajů;
- stanovení oprávněných očekávání subjektů údajů.
K poslední fázi balančního testu by měl správce přistoupit tehdy, vede-li poměřování důsledků zpracování a zájmu správce k nejednoznačnému či velmi těsnému výsledku.
PŘÍKLAD Z PRAXE: Oprávněný zájem redakce na zveřejnění článku o korupci ve veřejné správě bude mít větší váhu než zájem majitele autoservisu na umisťování fotek svých mechaniků na webu. Článek totiž reprezentuje základní právo na svobodu slova a informace, kdežto zveřejňování fotek slouží pouze pro propagaci služeb majitele autoservisu.
Příklady dodatečných opatření a záruk
Z dodatečných opatření a záruk, jež může správce přijmout, lze uvést zej ména:
- redukci rozsahu zpracovávaných osobních údajů (tzv. minimalizace osobních údajů);
- přijetí dodatečných technických a organizačních opatření zpracování (např. anonymizace či pseudonymizace osobních údajů);
- provedení posouzení vlivu na ochranu osobních údajů;
- zvýšení transparentnosti ohledně zpracování osobních údajů (např. zveřejnění zásad jejich ochrany na webu správce);
- možnost subjektů údajů podat proti zpracování námitku a kdykoliv jej tak ukončit (tzv. optout);
- zlepšení datové přenositelnosti, tj. zajištění, aby subjekty údajů měly ke zpracovávaným údajům přístup a měly možnost s nimi nakládat.
Výsledek testu
Na základě výsledků jednotlivých fází balančního testu musí správce dospět k závěru, zda u zamýšleného zpracování může, nebo nemůže spoléhat na oprávněný zájem. Balanční test s pozitivním výsledkem by měl sloužit jako dostatečný důkazní prostředek, zda je zpracování založené na oprávněném zájmu správce zákonné.