Nemôžete vyplniť toto pole
Domov / Novinky 2026 / Kedy možno použiť oprávnený záujem a kedy nie

Kedy možno použiť oprávnený záujem a kedy nie

Oprávnený záujem patrí medzi najčastejšie skloňované právne základy spracúvania osobných údajov podľa GDPR. Zároveň je aj jedným z najčastejšie zneužívaných. V praxi sa s tým stretávam pravidelne: „Nechceme riešiť súhlasy, tak to dáme na oprávnený záujem.“ Takto to však nefunguje.

Oprávnený záujem nie je „voľná karta“ na spracúvanie údajov. Je to právny základ, ktorý môžete použiť iba vtedy, keď splníte konkrétne podmienky, viete ich obhájiť a najmä viete preukázať, že práva dotknutých osôb nemajú prevahu.

V tomto článku si to rozoberieme prakticky: kedy oprávnený záujem dáva zmysel, kedy je to riziko a kedy je to priamo nesprávne.

Čo je oprávnený záujem podľa GDPR

Oprávnený záujem je právny základ spracúvania podľa čl. 6 ods. 1 písm. f) GDPR. V skratke hovorí:

Spracúvanie je zákonné, ak je nevyhnutné na účely oprávnených záujmov prevádzkovateľa alebo tretej strany, okrem prípadov, keď majú prednosť záujmy alebo základné práva a slobody dotknutej osoby.

Z toho vyplývajú tri podmienky, ktoré musia byť splnené naraz:

  1. Existuje legitímny (oprávnený) záujem prevádzkovateľa alebo tretej strany.
  2. Spracúvanie je nevyhnutné na dosiahnutie tohto záujmu.
  3. Vyváženie záujmov dopadne v prospech prevádzkovateľa (teda práva a slobody dotknutej osoby nemajú prednosť).

Ak zlyhá čo i len jedna podmienka, oprávnený záujem použiť nemôžete.

Oprávnený záujem v praxi: čo je „legitímny“ záujem

Legitímny záujem musí byť:

  • skutočný a konkrétny (nie abstraktné „chceme rásť“),
  • zákonný (nie v rozpore s právnymi predpismi),
  • jasne formulovaný (musíte vedieť popísať účel spracúvania),
  • často aj rozumne očakávateľný z pohľadu dotknutej osoby.

Typické legitímne záujmy, ktoré bývajú v praxi relevantné:

  • bezpečnosť (sieťová bezpečnosť, prevencia incidentov),
  • prevencia podvodov a zneužití,
  • ochrana majetku a osôb (napríklad kamerový systém, ak je nastavený správne),

Podmienka „nevyhnutnosti“: najčastejšie podceňovaná

Nestačí, že spracúvanie je „užitočné“ alebo „pohodlné“. Musí byť nevyhnutné na dosiahnutie účelu.

Položte si otázky:

  • Viem účel dosiahnuť aj bez osobných údajov?
  • Viem ho dosiahnuť s menším rozsahom údajov?
  • Viem ho dosiahnuť iným, menej invazívnym spôsobom?

Ak existuje rozumnejšia, menej invazívna alternatíva, oprávnený záujem je slabší a v teste vyváženia často neobstojí.

Test vyváženia záujmov: prečo je kľúčový

Tretia podmienka je najdôležitejšia: musíte posúdiť, či oprávnený záujem neprebije práva a slobody dotknutej osoby. Toto sa robí cez tzv. Legitimate Interest Assessment (LIA), teda posúdenie oprávneného záujmu.

Pri vyvažovaní sa typicky hodnotí:

  • vzťah dotknutej osoby k prevádzkovateľovi (zákazník, návštevník webu, zamestnanec, náhodný okoloidúci),
  • rozumné očakávania dotknutej osoby (očakáva takýto typ spracúvania?),
  • povaha údajov (bežné údaje vs. citlivé údaje),
  • dopad spracúvania (sledovanie, profilovanie, vplyv na súkromie, riziko diskriminácie),
  • záruky a opatrenia (minimalizácia, pseudonymizácia, kratšie lehoty, jednoduché námietky, opt-out).

V praxi sa oprávnený záujem často „rozpadne“ práve tu, pretože prevádzkovateľ spracúva viac údajov, dlhšie, invazívnejšie, než je potrebné, alebo bez transparentnosti.

Kedy možno oprávnený záujem použiť (typické situácie)

Nižšie sú príklady, kde oprávnený záujem často dáva zmysel, ak je spracúvanie nastavené primerane a máte spracované LIA.

1) Bezpečnosť a prevencia incidentov (IT a sieťová bezpečnosť)

Monitorovanie prístupov do systému, logovanie bezpečnostných udalostí, detekcia škodlivého správania alebo prevencia útokov bývajú typicky oprávneným záujmom.

Podmienky úspechu:

  • jasne definovaný účel (bezpečnosť, nie „chceme vedieť, čo zamestnanci robia“),
  • minimálny rozsah údajov (čo najmenej identifikátorov),
  • primerané lehoty uchovávania,
  • prístup k logom len pre oprávnené osoby.

2) Prevencia podvodov a ochrana pred zneužitím služieb

E-shopy, banky, poisťovne, ale aj menšie služby môžu mať oprávnený záujem odhaľovať podvodné objednávky, neoprávnené prístupy alebo zneužitie zliav.

Pozor na:

  • automatizované rozhodovanie so zásadným dopadom (tu už vstupujú ďalšie pravidlá GDPR),
  • neprimerané profilovanie.

3) Marketing voči existujúcim zákazníkom (nie vždy, ale často)

Pri marketingu je oprávnený záujem „tenký ľad“, ale v niektorých prípadoch je obhájiteľný, najmä ak ide o existujúcich zákazníkov a primeranú komunikáciu.

Čo zvyčajne zvyšuje šancu, že oprávnený záujem obstojí:

  • komunikácia súvisí s tým, čo si zákazník kúpil alebo o čo prejavil záujem,
  • frekvencia je primeraná,
  • dotknutá osoba má jednoduchú možnosť namietať/odhlásiť sa,
  • nejde o rozsiahle profilovanie naprieč webmi a aplikáciami.

V slovenskom kontexte však nezabudnite, že pri e-mail marketingu vstupujú do hry aj pravidlá elektronických komunikácií. GDPR nie je jediný predpis.

4) Základná analytika a zlepšovanie služieb (opatrne)

Mnohé weby chcú analyzovať návštevnosť a zlepšovať funkcionalitu, výkon a použiteľnosť. Teoreticky sa to dá niekedy postaviť na oprávnenom záujme, ale závisí od konkrétneho nastavenia.

Rozhodujú detaily:

  • či ide o údaje identifikujúce používateľa,
  • či dochádza k zdieľaniu s tretími stranami,
  • či ide o sledovanie naprieč webmi,
  • či používate profilovanie.

Ak používate cookies a nástroje, ktoré nie sú striktne nevyhnutné, často sa v praxi dostanete k tomu, že bez súhlasu to jednoducho nie je bezpečné riešenie. Oprávnený záujem býva obhájiteľnejší pri agregovaných štatistikách, krátkych lehotách a bez zdieľania údajov s externými partnermi.

5) Uplatňovanie právnych nárokov a obrana

Uchovávanie komunikácie alebo podkladov pre prípad reklamácie, sporu či vymáhania pohľadávky môže byť oprávneným záujmom, pokiaľ to nejde priamo cez zákonnú povinnosť.

Kedy oprávnený záujem použiť nemožno (a prečo)

Tu sú situácie, kde je oprávnený záujem buď neprípustný, alebo veľmi pravdepodobne neobhájiteľný.

1) Keď existuje vhodnejší právny základ

Ak spracúvanie robíte preto, že:

  • plníte zmluvu s dotknutou osobou,
  • máte zákonnú povinnosť,
  • potrebujete súhlas,
  • chránite životne dôležité záujmy,
  • vykonávate úlohu vo verejnom záujme,

tak oprávnený záujem nemá byť „náhradný“ dôvod. V praxi je častá chyba, že prevádzkovateľ označí oprávnený záujem aj tam, kde ide jednoznačne o plnenie zmluvy (napríklad spracúvanie adresy na doručenie tovaru).

2) Keď je spracúvanie pre dotknutú osobu neočakávané alebo invazívne

Ak by bežný človek nečakal, že jeho údaje budete spracúvať týmto spôsobom, je to problém.

Príklady rizikových situácií:

  • rozsiahle sledovanie správania návštevníkov webu naprieč stránkami,
  • kombinovanie údajov z viacerých zdrojov bez jasného vysvetlenia,
  • cielená reklama založená na detailnom profile.

Čím invazívnejšie spracúvanie, tým ťažšie sa oprávnený záujem obhajuje.

3) Keď práva a slobody dotknutej osoby prevažujú

Aj keď máte legitímny účel, môžete prehrať test vyváženia. Typicky vtedy, keď:

  • spracúvate veľký rozsah údajov,
  • spracúvanie má výrazný dopad (napríklad reputačný, finančný),
  • dotknuté osoby sú zraniteľné (deti, pacienti, zamestnanci v silne nerovnom postavení),
  • používate automatizované hodnotenie alebo profilovanie.

4) Keď spracúvate osobitné kategórie údajov (citlivé údaje)

Pri osobitných kategóriách údajov (napríklad zdravotné údaje, biometria na jedinečnú identifikáciu, údaje o náboženstve, sexuálnej orientácii, politických názoroch) vám oprávnený záujem podľa čl. 6 nestačí. Potrebujete aj splnenie výnimky podľa čl. 9 GDPR.

V praxi: „Dáme to na oprávnený záujem" pri citlivých údajoch je takmer vždy nesprávne, ak nemáte jasný právny titul a výnimku.

5) Keď ste orgán verejnej moci a spracúvate v rámci úloh

Verejné orgány spravidla nemajú používať oprávnený záujem pri spracúvaní, ktoré vykonávajú v rámci svojich úradných úloh. Tam sa opierajú o verejný záujem alebo zákonnú povinnosť.

LIA: ako má vyzerať posúdenie oprávneného záujmu (praktická osnova)

Ak máte oprávnený záujem, spravte si LIA a uložte ho do dokumentácie. Nemusí to byť román, ale musí to byť zrozumiteľné a obhájiteľné.

Odporúčaná štruktúra LIA obsahuje štyri hlavné oblasti: účel a oprávnený záujem, test nevyhnutnosti, test vyváženia a záver s garancami.

1. Účel a oprávnený záujem

  • Čo konkrétne chcete dosiahnuť a prečo je to legitímne.

2. Test nevyhnutnosti

  • Prečo je spracúvanie potrebné.
  • Aké alternatívy ste zvažovali (a prečo nestačia).
  • Minimalizácia rozsahu údajov.

3. Test vyváženia

  • Aké sú rozumné očakávania dotknutej osoby.
  • Aký je dopad na súkromie.
  • Riziká a zmierňujúce opatrenia.

4. Záver

  • Prečo oprávnený záujem obstojí.
  • Aké garancie ste nastavili.
  • Kedy LIA prehodnotíte (napríklad pri zmene nástroja alebo účelu).

Pri niektorých spracovaniach môže byť potrebné aj DPIA (posúdenie vplyvu na ochranu údajov), najmä pri systematickom monitorovaní alebo profilovaní. LIA a DPIA nie sú to isté, ale môžu sa v praxi dopĺňať.

Transparentnosť: čo musíte povedať dotknutým osobám

Oprávnený záujem vyžaduje vysokú mieru transparentnosti. V informačnej povinnosti (zásady ochrany osobných údajov) by ste mali uviesť minimálne:

  • že právnym základom je oprávnený záujem,
  • aký je váš konkrétny oprávnený záujem,
  • kategórie údajov, príjemcovia, lehoty uchovávania,
  • informáciu o práve namietať.

Pri cookies a online analytike sa transparentnosť rieši aj cez cookie lištu a preferencie. Zásady musia sedieť s realitou. Ak v texte tvrdíte, že „cookies slúžia len na komfortné prehliadanie“, ale v pozadí beží reklamné profilovanie, je to problém.

Právo namietať: praktická povinnosť, nie formalita

Ak spracúvate na oprávnený záujem, dotknutá osoba má právo namietať. A vy musíte:

  • námietku umožniť podať jednoducho,
  • vyhodnotiť ju bez zbytočného odkladu,
  • ak nemáte závažné oprávnené dôvody, spracúvanie ukončiť.

Pri priamom marketingu je to ešte prísnejšie: ak osoba namieta proti spracúvaniu na účely priameho marketingu, spracúvanie na tento účel sa musí zastaviť.

Rýchly kontrolný zoznam: použiť oprávnený záujem alebo nie?

Skúste si odpovedať:

  • Viem jasne pomenovať legitímny účel a záujem?
  • Je spracúvanie nevyhnutné, alebo len pohodlné?
  • Očakáva to dotknutá osoba v danom kontexte?
  • Spracúvam len minimum údajov a len primeraný čas?
  • Nejde o citlivé údaje alebo zraniteľné osoby?
  • Mám hotové a uložené LIA?
  • Informoval som dotknuté osoby a viem vybaviť námietky?

Ak pri viacerých bodoch váhate, je to signál, že potrebujete prepracovať nastavenie alebo zvoliť iný právny základ.

Záver

Oprávnený záujem je užitočný právny základ, keď spracúvanie dáva zmysel, je primerané, očakávateľné a máte ho zdokumentované. Vtedy vie pokryť bezpečnosť, prevenciu podvodov, určité formy marketingu voči existujúcim zákazníkom či rozumné zlepšovanie služieb.

Zároveň je to právny základ, ktorý sa najľahšie „prestreľuje“. Ak je spracúvanie invazívne, neočakávané, zasahuje do súkromia alebo ide o citlivé údaje, oprávnený záujem je buď nepoužiteľný, alebo veľmi rizikový.

Ak si nie ste istí, spravte LIA poctivo. Pri GDPR platí jednoduché pravidlo: nie je dôležité, čo si myslíte, ale čo viete preukázať.

Často kladené otázky

Čo je oprávnený záujem podľa GDPR a aké podmienky musí spĺňať?

Oprávnený záujem je právny základ spracúvania osobných údajov podľa čl. 6 ods. 1 písm. f) GDPR. Spracúvanie je zákonné, ak je nevyhnutné na účely oprávnených záujmov prevádzkovateľa alebo tretej strany, pričom nesmú mať prednosť práva a slobody dotknutej osoby. Musia byť splnené tri podmienky: existuje legitímny záujem, spracúvanie je nevyhnutné na jeho dosiahnutie a vyváženie záujmov dopadne v prospech prevádzkovateľa.

Čo znamená legitímny záujem v kontexte GDPR?

Legitímny záujem musí byť skutočný, konkrétny, zákonný a jasne formulovaný účel spracúvania osobných údajov. Okrem toho by mal byť z pohľadu dotknutej osoby rozumne očakávateľný. Príklady zahŕňajú bezpečnosť, prevenciu podvodov alebo ochranu majetku.

Prečo je podmienka nevyhnutnosti dôležitá pri oprávnenom záujme?

Spracúvanie údajov musí byť nevyhnutné na dosiahnutie oprávneného záujmu, nie len užitočné alebo pohodlné. Ak existuje menej invazívna alternatíva alebo menší rozsah údajov postačuje, oprávnený záujem nemôže byť použitý ako právny základ.

Ako funguje test vyváženia záujmov (Legitimate Interest Assessment)?

Test vyváženia záujmov hodnotí, či oprávnený záujem prevádzkovateľa prevažuje nad právami a slobodami dotknutej osoby. Posudzuje sa vzťah medzi dotknutou osobou a prevádzkovateľom, očakávania dotknutej osoby a možné riziká pre jej práva.

Môže sa oprávnený záujem použiť namiesto súhlasu na spracovanie osobných údajov?

Nie vždy. Oprávnený záujem nie je „voľná karta“ na obchádzanie súhlasov. Môže sa použiť len ak sú splnené všetky zákonné podmienky vrátane testu vyváženia, a ak práva dotknutej osoby nemajú prednosť.

Aké sú bežné príklady oprávneného záujmu v praxi?

Bežné legitímne záujmy zahŕňajú zabezpečenie sieťovej bezpečnosti, prevenciu podvodov a zneužití, ochranu majetku a osôb (napríklad správne nastavený kamerový systém). Tieto účely musia byť jasne definované a nevyhnutné pre spracovanie osobných údajov.

Predchádzajúci článok Ďalší článok

Čo potrebujete nájsť?