Právny základ, plnenie zákonných povinností vyplývajúci z čl. 6 ods. 1. písm c) GDPR stanovuje, že spracúvanie je zákonné aj vtedy a v tom rozsahu, ak je nevyhnutné pre splnenie zákonnej povinnosti.
Zákonné povinnosti pri spracúvaní osobných údajov
Zákonné povinnosti špecifikujú osobitné právne predpisy. Ak zákon alebo podzákonná právna norma ukladá podnikateľovi povinnosť spracúvať osobné údaje, je subjekt povinný osobné údaje spracúvať.
V niektorých zákonoch sú povinnosti k spracúvaniu osobných údajov uvedené presne – vrátane informácií o tom, aké osobné údaje je potrebné získať aj rozsah spracúvania.
Napríklad spracovanie účtovníctva, mzdy a personalistika v rámci osobitných predpisov – zákon o účtovníctve, zákon o sociálnej poisťovni a pod., vyžadujú spracúvanie osobných údajov.
Kedy nejde o zákonnú povinnosť, ale oprávnený záujem
Podnikatelia a spracovatelia osobných údajov by mali tiež vedieť rozoznať situácie, kedy právny základ – plnenie zákonných povinností – nemožno využiť. Väčšinou ide o situácie, kedy nie je v zákone priamo uvedená povinnosť prevádzkovateľa spracúvať osobné údaje, ale iba oprávnenie na spracúvanie.
Praktické príklady
Podnikateľ, ktorý má zamestnancov, má povinnosť v zmysle Zákonníka práce viesť evidenciu pracovného času. Pri vedení evidencie dochádzky tak zamestnávateľ spracúva osobné údaje v súvislosti s evidenciou pracovného času ako svoju zákonnú povinnosť.
Zamestnávateľ má tiež právo zavádzať kontrolné mechanizmy a je oprávnený vykonávať kontrolu vecí, dodržiavania predpisov (BOZP)… Zamestnávateľ je oprávnený – a môže mať oprávnený záujem na zavedení kontroly, ktorá však nie je jeho zákonnou povinnosťou.
Niekedy môže byť určenie právneho základu problematickejšie. Je potrebné určiť právny základ tak, aby bol v súvislosti s účelom spracúvania riadne odôvodniteľný a jednoznačný. Aj nesprávne určenie právneho základu môže byť porušením ustanovení GDPR Nariadenia.
