1. Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:
a) subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů;
b) zpracování je nezbytné pro splnění
smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení
opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu
údajů;
c) zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje;
d) zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby;
e) zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce;
f) zpracování je nezbytné pro účely
oprávněných zájmů příslušného správce či třetí strany, kromě případů,
kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody
subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je
subjektem údajů dítě.
První pododstavec písm. f) se netýká zpracování prováděného orgány veřejné moci při plnění jejich úkolů.
2. Členské státy mohou zachovat nebo zavést
konkrétnější ustanovení, aby přizpůsobily používání pravidel tohoto
nařízení ohledně zpracování ke splnění odst. 1 písm. c) a e) tím, že
přesněji určí konkrétní požadavky na zpracování a jiná opatření
k zajištění zákonného a spravedlivého zpracování, a to i u jiných
zvláštních situací, při nichž dochází ke zpracování, jak stanoví
kapitola IX.
3. Základ pro zpracování podle odst. 1 písm. c) a e) musí být stanoven:
a) právem Unie nebo
b) právem členského státu, které se na správce vztahuje.
Účel zpracování musí vycházet z tohoto právního
základu, nebo pokud jde o zpracování uvedené v odst. 1 písm. e), musí
být toto zpracování nutné pro splnění úkolu prováděného ve veřejném
zájmu či při výkonu veřejné moci, kterým je pověřen správce. Tento
právní základ může obsahovat konkrétní ustanovení pro přizpůsobení
uplatňování pravidel tohoto nařízení, včetně obecných podmínek, kterými
se řídí zákonnost zpracování správcem, typu osobních údajů, které mají
být zpracovány, dotčených subjektů údajů, subjektů, kterým lze osobní
údaje poskytnout, a účelu tohoto poskytování, účelového omezení, doby
uložení a jednotlivých operací zpracování a postupů zpracování, jakož i
dalších opatření k zajištění zákonného a spravedlivého zpracování, jako
jsou opatření pro jiné zvláštní situace, při nichž dochází ke
zpracování, než stanoví kapitola IX. Právo Unie nebo členského státu
musí splňovat cíl veřejného zájmu a musí být přiměřené sledovanému
legitimnímu cíli.
4. Pokud zpracování pro jiný účel, než pro který
byly osobní údaje shromážděny, není založeno na souhlasu subjektu údajů
nebo na právu Unie či členského státu, který v demokratické společnosti
představuje nutné a přiměřené opatření k zajištění cílů uvedených v čl.
23 odst. 1, zohlední správce v zájmu zjištění toho, zda je zpracování
pro jiný účel slučitelné s účely, pro něž byly osobní údaje původně
shromážděny, mimo jiné:
a) jakoukoli vazbu mezi účely, kvůli nimž byly osobní údaje shromážděny, a účely zamýšleného dalšího zpracování;
b) okolnosti, za nichž byly osobní údaje shromážděny, zejména pokud jde o vztah mezi subjekty údajů a správcem;
c) povahu osobních údajů, zejména zda jsou
zpracovávány zvláštní kategorie osobních údajů podle článku 9 nebo
osobní údaje týkající se rozsudků v trestních věcech a trestných činů
podle článku 10;
d) možné důsledky zamýšleného dalšího zpracování pro subjekty údajů;
e) existenci vhodných záruk, mezi něž může patřit šifrování nebo pseudonymizace.