Tato vodítka podávají zevrubnou analýzu pojmu „souhlas“ podle Obecného nařízení o ochraně osobních údajů 2016/679 (dále jen „Obecné nařízení“). Koncept souhlasu dosud uplatňovaný podle Směrnice o ochraně osobních údajů (dále jen „směrnice 95/46/ES“) a Směrnice o ochraně soukromí v elektronických komunikacích prošel vývojem. Obecné nařízení poskytuje další vyjasnění a upřesnění požadavků na získání a doložení platného souhlasu. Tato vodítka se soustřeďují na tyto změny a nabízí praktický návod, jak zajistit soulad s Obecným nařízením, přičemž vychází ze Stanoviska WP29 15/2011 k souhlasu.

Souhlas zůstává jedním ze šesti právních základů pro zpracování osobních údajů vyjmenovaných v článku 6 Obecného nařízení.¹ Správce si při spouštění činnosti zahrnující zpracování osobních údajů musí vždy udělat čas na posouzení, zda je souhlas vhodným zákonným důvodem pro zamýšlené zpracování nebo jestli by měl být zvolen jiný právní základ.

Souhlas obecně může být odpovídajícím právním základem jen, pokud je subjektu údajů umožněna kontrola a opravdový výběr s ohledem na přijmutí nabízených podmínek nebo jejich odmítnutí, aniž by tím byl poškozen. Při žádosti o souhlas musí správce zvážit, zda splní veškeré požadavky na platný souhlas. Je-li souhlas plně v souladu s Obecným nařízením, představuje nástroj, který subjektům údajů dává kontrolu nad tím, zda jejich data budou nebo nebudou zpracována. Není-li souhlas v souladu, pak kontrola subjektu údajů bude iluzorní a souhlas neplatný, čímž se zpracovatelská činnost stane nezákonnou.²

Stanovisko k souhlasu³ Pracovní skupiny podle článku 29 (WP29) zůstává v platnosti tam, kde je v souladu s novým právním rámcem, neboť Obecné nařízení kodifikuje stávající materiály a obecná doporučení dobré praxe z dílny WP29, přičemž většina klíčových prvků souhlasu zůstává i podle Obecného nařízení stejná. WP29 proto tímto dokumentem nenahrazuje svá dřívější stanoviska ke konkrétním tématům ohledně souhlasu podle směrnice 95/46/ES, spíše je rozšiřuje a doplňuje.

Podle Stanoviska 15/2011 k definici souhlasu by se na rozhodnutí osoby souhlasit se zpracováním osobních údajů měly vztahovat přísné podmínky, neboť jde o základní práva subjektů údajů, přičemž správce hodlá spustit zpracovatelskou operaci, která by bez souhlasu subjektu údajů byla nezákonná.⁴ Zásadní role souhlasu je podtržena v článku 7 a článku 8 Listiny základních práv Evropské unie. Získání souhlasu však žádným způsobem neruší nebo nezmírňuje povinnosti správce dodržovat zásady zpracování zakotvené v Obecném nařízení, především v článku 5, kde se mluví o korektnosti, nezbytnosti, přiměřenosti a kvalitě dat. Ani souhlas subjektu údajů se zpracováním osobních údajů neopravňuje ke shromažďování dat, která nejsou nutná s ohledem na stanovený účel, a takové zpracování by bylo zcela nekorektní.⁵

WP29 bere na vědomí revizi Směrnice o ochraně soukromí v elektronických komunikacích (2002/58/ES). Pojem souhlasu v návrhu Nařízení o soukromí a elektronických komunikacích zůstává provázán s pojmem souhlasu v Obecném nařízení.⁶ Organizace budou podle tohoto předpisu o soukromí v elektronických komunikacích s největší pravděpodobností potřebovat souhlas pro většinu reklamních sdělení zasílaných po internetu nebo marketingových volání, a také pro postupy sledování online včetně užívání cookies nebo aplikací či jiného software. WP29 již předložila evropskému zákonodárci doporučení a rady k návrhu Nařízení o soukromí a elektronických komunikacích⁷.

Ke stávající Směrnici o ochraně soukromí v elektronických komunikacích WP29 poznamenává, že odkazy na zrušenou směrnici 95/46/ES mají být brány jako reference k Obecnému nařízení⁸. Platí to i pro odkazy k souhlasu v nynější směrnici 2002/58/ES, za předpokladu, že Nařízení o soukromí a elektronických komunikacích nebude (ještě) v platnosti po 25. květnu 2018. Podle článku 95 Obecného nařízení nemají být dodatečné povinnosti ohledně zpracování souvisejícího s poskytováním veřejně dostupných služeb elektronických komunikací ve veřejných komunikačních sítích ukládány, pokud Směrnice o ochraně soukromí v elektronických komunikacích stanoví povinnosti stejně zaměřené. WP29 dodává, že požadavky na souhlas podle Obecného nařízení nejsou považovány za „dodatečné povinnosti“, nýbrž spíše za nezbytné předpoklady zákonného zpracování. Proto jsou podmínky získání platného souhlasu podle Obecného nařízení uplatnitelné i v situacích spadajících do působnosti Směrnice o ochraně soukromí v elektronických komunikacích.

2. Souhlas v článku 4 odst. 11 Obecného nařízení

Článek 4 odst. 11 Obecného nařízení definuje souhlas jako: „jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.“

Základní koncept souhlasu zůstává obdobný jako ve směrnici 95/46/ES a je jedním z právních důvodů pro zpracování osobních údajů podle článku 6 Obecného nařízení.⁹ Kromě této upravené definice v článku 4 odst. 11 poskytuje Obecné nařízení dodatečné pokyny v článku 7 a v recitálech 32, 33, 42 a 43 jak mají správci postupovat, aby byli v souladu s hlavními body požadavku na souhlas.

A konečně, přítomnost ustanovení a recitálů týkajících se konkrétně odvolání souhlasu potvrzuje, že souhlas by měl být zvratitelným rozhodnutím, a že tak na straně subjektu údajů zůstává určitá míra kontroly.

3. Prvky platného souhlasu

Článek 4 odst. 11 Obecného nařízení stanoví, že souhlasem subjektu údajů se rozumí jakýkoli:

svobodný,
konkrétní,
informovaný a
jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.

V dalším textu je analyzováno, do jaké míry klade článek 4 odst. 11 na správce nárok změnit své požadavky/formuláře ohledně souhlasu, aby byl zajištěn soulad s Obecným nařízením.¹⁰

3.1. Svobodnost¹¹

Pojem „svobodný“ naznačuje, že subjekty údajů mají mít opravdový výběr a kontrolu. Obecné nařízení předkládá jako obecné pravidlo, že nemá-li subjekt údajů skutečně na výběr a tedy se cítí být k souhlasu donucen nebo mu neudělení souhlasu může způsobit¹² neblahé následky, pak nebude souhlas platný¹². Je-li souhlas součástí smluvních podmínek v pasáži, kterou jednáním nelze změnit, má se za to, že nebyl udělen svobodně. Obdobně nebude souhlas považován za svobodný, pokud subjekt údajů nebude mít možnost odmítnout nebo odvolat souhlas, aniž by došel újmy¹³. Prvek nerovnováhy mezi správcem a subjektem údajů vzalo Obecné nařízení také v úvahu.

Příklad 1

Mobilní aplikace pro editaci fotek vyžaduje, aby si uživatelé kvůli použití služby aktivovali GPS. Dále aplikace uživatelům sděluje, že sebraná data bude využívat pro účely behaviorální reklamy. Geolokalizace ani behaviorální internetová reklama nejsou nutné pro poskytnutí editační služby a jdou za rámec dodávky vlastního produktu. Jelikož uživatelé nemohou aplikaci použít bez odsouhlasení těchto účelů, nelze souhlas považovat za svobodně udělený.

3.1.1. Nerovnováha postavení

Recitál 43¹⁴ jasně naznačuje nepravděpodobnost, že by se veřejné orgány mohly spoléhat na souhlas se zpracováním, neboť vždy, když je správcem veřejný orgán, je zde často zřetelná nerovnováha sil ve vztahu mezi správcem a subjektem údajů. Je také jasné, že ve většině případů nebude mít subjekt údajů žádné reálné alternativy, než akceptovat (podmínky) zpracování takového správce. WP29 se domnívá, že pro činnost orgánů veřejné moci tu v zásadě jsou jiné, mnohem patřičnější, zákonné důvody.¹⁵

Aniž by to mělo vliv na tyto obecné úvahy, Obecné nařízení použití souhlasu coby právního základu pro zpracování dat orgány veřejné moci zcela nevylučuje. Následující příklady ukazují, že využití souhlasu může být za jistých okolností v pořádku.

Příklad 2

Místní samospráva plánuje silniční údržbu. Práce na silnici mohou na dlouhou dobu narušit provoz, a tak samospráva nabídne občanům možnost zapsat se do e-mailového rozdělovníku a dostávat aktuální informace o postupu prací a očekávaných zpožděních. Úřad dá jasně najevo, že přihláška do systému není povinná a požádá o souhlas s použitím e-mailových adres pro (výhradně) tento účel. Občané, kteří souhlas nedají, si tím neuzavřou cestu k žádné ze základních obecních služeb, ani k výkonu svých práv, takže mají možnost svůj souhlas s použitím dat udělit nebo odmítnout svobodně. Veškeré informace o silničních pracích budou k dispozici i na webové stránce obce.

Příklad 3

Vlastník pozemků potřebuje určitá povolení jak od místní samosprávy, tak od krajského úřadu, pod který obec spadá. Oba orgány veřejné moci požadují pro vydání povolení stejné informace, nemají však vzájemný přístup do svých databází. Z toho důvodu žádají obě místa o stejné informace, a tak vlastník půdy zašle své osobní údaje oběma úřadům. Oba orgány požádají o souhlas se sloučením obou složek, aby předešly dvojitým procedurám a korespondenci. Oba veřejné orgány ujistí, že udělení souhlasu není povinné a v případě jeho neudělení budou žádosti o povolení nadále vyřizovány odděleně. Žadatel má tedy možnost poskytnout souhlas za účelem sloučení složek svobodně.

Příklad 4

Veřejná škola požádá studenty o souhlas s použitím jejich fotografií v tištěném studentském časopise. Souhlas v těchto situacích bude na skutečném výběru potud, pokud studentům při odmítnutí nebude odepřeno vzdělání nebo služby a budou tak moci učinit bez jakékoli újmy.¹⁶

Nerovnováha v postavení se také často objevuje v souvislosti se zaměstnáváním.¹⁷ Vzhledem k závislosti vyplývající z poměru zaměstnavatel/zaměstnanec je nepravděpodobné, že by subjekt údajů mohl odepřít svůj souhlas se zpracováním dat bez obavy nebo reálného rizika následných účinků. Je málo pravděpodobné, že by zaměstnanec svobodně, bez pocitu nátlaku, reagoval na zaměstnavatelovu žádost o souhlas, například s aktivací monitorovacího systému jako jsou kamery na pracovišti nebo s vyplněním posudkového formuláře¹⁸. WP29 proto pochybuje o svobodnosti souhlasu se zpracováním
osobních údajů nynějších a budoucích zaměstnanců. Pro většinu zpracování dat na pracovišti nemůže a neměl by být právním základem souhlas zaměstnanců (Článek 6 odst. 1 písm. a) vzhledem k povaze vztahu mezi zaměstnavatelem a zaměstnancem.¹⁹

To však neznamená, že by se zaměstnavatelé nikdy nemohli opřít o souhlas coby právní základ pro zpracování. Mohou nastat situace, kdy zaměstnavatel bude schopen prokázat, že souhlas byl udělen skutečně svobodně. Vzhledem k nepoměru postavení mezi zaměstnavatelem a personálem lze souhlas zaměstnance považovat za svobodný jen za výjimečných podmínek, kdy udělení nebo odmítnutí souhlasu nebude mít pro zaměstnance nežádoucí účinek.²⁰

Příklad 5

Filmový štáb se chystá natočit určitou část kanceláře. Zaměstnavatel požádá zaměstnance sedící v této části o souhlas být nafilmován, neboť by se mohli na záběrech objevit. Ti, kteří nechtějí být nafilmováni, nebudou nijak potrestáni, ale budou na dobu filmování přemístěni ke stolům jinde v budově.

Nerovnováha v postavení se neomezuje pouze na prostředí veřejných orgánů a zaměstnavatelů, může nastat i v jiných situacích. Jak WP29 zdůraznila v několika stanoviscích, může být souhlas platný jen, pokud subjekt údajů má možnost opravdového výběru a při nesouhlasu mu nehrozí oklamání, zastrašování, nátlak nebo vážné neblahé důsledky (např. významné vícenáklady). Souhlas nebude svobodný v případech, kdy ho bude doprovázet donucování, nátlak nebo nemožnost uplatnit svobodnou vůli.

3.1.2. Podmíněnost

Při posuzování svobodnosti souhlasu hraje významnou roli článek 7 odst. 4 Obecného nařízení.²¹

Obecné nařízení v článku 7 odst. 4 uvádí, že, mimo jiné, případy „slučování“ souhlasu s přijmutím smluvních podmínek nebo „vázání“ smlouvy nebo služby na souhlas se zpracováním osobních údajů, které nejsou nezbytné pro plnění smlouvy nebo poskytnutí služby, je považováno za vysoce nežádoucí. Je-li souhlas poskytnut za takových podmínek, má se za to, že nebyl svobodný (Recitál 43). Článek 7 odst. 4 má zajistit, aby účel zpracování osobních údajů nebyl maskován
nebo vázán na plnění kontraktu nebo poskytnutí služby, pro které tato osobní data nejsou nezbytná. Obecné nařízení tak říká, že zpracování osobních údajů, pro které je vyžadován souhlas, se nemůže přímo nebo nepřímo stát protislužbou za plnění smlouvy. Tyto dva právní důvody zákonného zpracování, tj. souhlas a smlouva, nemohou být slučovány a rozmlžovány.

Nátlak na souhlas s použitím osobních údajů nad rámec skutečně nezbytného rozsahu omezuje volbu subjektu údajů a stojí v cestě svobodnému souhlasu. Legislativa pro ochranu dat cílí na zabezpečení základních práv, a tak je kontrola jednotlivce nad svými osobními údaji zásadní a existuje tedy silný předpoklad, že souhlas se zpracováním osobních údajů, jež nejsou nezbytné, nemůže být brán jako povinný faktor výměnou za plnění smlouvy nebo poskytnutí služby.

Proto vždy, když je žádost o souhlas vázána na plnění smlouvy správcem, vystavuje se subjekt údajů nesouhlasící s poskytnutím svých osobních údajů správci ke zpracování riziku, že mu budou poptávané služby odmítnuty.

Aby bylo možné posoudit, zda se jedná o slučování nebo vázání, je důležité určit rozsah smlouvy nebo služby. Podle stanoviska 06/2014 Pracovní skupiny WP29 musí být výraz „nezbytné pro splnění smlouvy“ vykládán striktně. Zpracování musí být nezbytné pro splnění smlouvy vůči každému jednotlivému subjektu údajů. Může jít například o zpracování adresy subjektu údajů, aby zboží nakoupené online mohlo být doručeno nebo o zpracování údajů na kreditní kartě kvůli jednoduššímu provedení platby. V oblasti zaměstnávání může důvodem být²² zpracování informací o platech a bankovních účtech pro uskutečnění výplaty. Mezi zpracováním dat a důvodem plnění smlouvy musí existovat přímá a objektivní vazba.

Pokud správce hodlá zpracovávat osobní údaje, které pro naplnění smlouvy skutečně potřebné jsou, bude právním základem nejspíš článek 6 odst. 1 písm. b) (smlouva). V tomto případě není nutné uplatňovat jiný zákonný důvod, jako třeba souhlas, přičemž článek 7, odst. 4 se nepoužije. Vzhledem k tomu, že nezbytnost pro plnění smlouvy není právním důvodem pro zpracování zvláštních kategorií dat²³, je pro správce zvláště důležité pamatovat na zvláštní kategorie údajů.

Příklad 6

Banka požádá klienta o souhlas s použitím informací o jeho platbách pro účely marketingu. Toto zpracování není nezbytné pro plnění smlouvy s klientem a k poskytování běžných služeb vztahujících se k bankovnímu účtu. Pokud by klientovo zamítnutí udělit souhlas pro takový účel zpracování vedlo k odmítnutí bankovních služeb, zrušení bankovního účtu nebo zvýšení poplatku, souhlas by nebyl svobodný nebo odvolatelný.

Rozhodnutí zákonodárce zdůraznit podmíněnost, mimo jiné, jako faktor nedostatku svobodnosti, souhlasu ukazuje, že jeho přítomnost musí být pečlivě prozkoumána. Formulace „musí být důsledně zohledněna“ v článku 7 odst. 4 podsunuje, že od správce se požaduje zvláštní opatrnost v případech, kdy smlouva/služba je vázána na žádost o souhlas ke zpracování osobních údajů.

Jelikož znění článku 7 odst. 4 není vykládáno absolutně, může být velmi omezený prostor pro případy, kdy tato podmíněnost souhlas nezneplatní. Výraz „lze předpokládat“ v recitálu 43 však jasně ukazuje, že takové případy budou velmi výjimečné.

Důkazní břemeno podle článku 7 odst. 4 každopádně leží na správci²⁴. Toto specifické pravidlo zohledňuje obecnou zásadu odpovědnosti, která se prolíná celým Obecným nařízením. Při uplatnění článku 7 odst. 4 bude však pro správce obtížnější prokázat, že souhlas subjektu údajů byl svobodný.²⁵

Správce by mohl namítnout, že jeho organizace nabízí subjektům údajů možnost opravdové volby, jestliže si mohou vybrat mezi službou podmíněnou souhlasem s použitím osobních údajů pro dodatečné účely na straně jedné a obdobnou službou na straně druhé, která podmínku souhlasu se zpracováním osobních údajů „navíc“ neobsahuje. Pokud existuje možnost plnění smlouvy nebo dodávky služby tímto správcem bez nutnosti souhlasu se zpracováním jiných nebo dodatečných dat, znamená to, že nejde o podmíněnou službu. Obě služby však musí být opravdu stejné, bez vyvolaných vícenákladů.

Při posuzování svobodnosti souhlasu by v úvahu neměla být brána jen specifická situace, kdy souhlas je vázán na plnění smlouvy nebo poskytnutí služby, jak je popsáno v článku 7 odst. 4. Článek 7 odst. 4 není vyčerpávající, což dokládají slůvka „mimo jiné“, čímž se připouští, že může nastat řada dalších situací spadajících pod toto ustanovení. Obecně řečeno, jakýkoliv nepřijatelný nátlak nebo ovlivňování subjektu údajů (což může mít různé formy projevu) bránící subjektu údajů v uplatnění svobodné vůle, činí souhlas neplatným.

3.1.3. Vrstevnatost

Služba může zahrnovat více operací zpracování pro více než jediný účel. V takovém případě by měl mít subjekt údajů volnost si vybrat, který z těchto účelů bude akceptovat a neměl by být nucen souhlasit s celým balíkem účelů zpracování. Podle Obecného nařízení by v takovém případě mohlo být při nabízení služby vyžadováno souhlasů několik.

Recitál 43 objasňuje, že souhlas nebude považován za svobodný, pokud postup/způsob získání souhlasu neumožní subjektům údajů udělit odděleně souhlas s tím kterým zpracováním osobních údajů (např. jen pro některé operace a pro jiné nikoliv), byť v jednotlivých případech to může být vhodné. Recitál 32 říká „Souhlas by se měl vztahovat na veškeré činnosti zpracování prováděné pro stejný účel nebo stejné účely. Jestliže má zpracování několik účelů, měl by být souhlas udělen pro všechny“.

Pokud správce sloučí několik účelů zpracování a nepokusí se získat souhlas odděleně pro každý z účelů, pak nelze mluvit o svobodě volby. Tato vrstevnatost úzce souvisí s požadavkem, aby souhlas byl konkrétní, jak je pojednáno dále v oddíle 3.2. Sleduje-li zpracování několik účelů, spočívá řešení souladu s podmínkami platného souhlasu ve vrstevnatosti, tj. oddělení těchto účelů a získání souhlasu pro každý jeden z nich.

Příklad 7

Prodejce požádá své zákazníky zároveň o souhlas se zasíláním reklamních e-mailů a se sdílením jejich osobních údajů s dalšími firmami v rámci skupiny. Takový souhlas není vrstevnatý, jelikož se nejedná o oddělené souhlasy pro dva různé účely, a proto je takový souhlas neplatný.

3.1.4. Poškození

Správce musí být schopen prokázat, že souhlas je možné odmítnout nebo odvolat, aniž by byl subjekt údajů poškozen (Recitál 42). Správce musí například doložit, že stažení souhlasu nepovede k žádným vícenákladům a tedy k žádnému znevýhodnění pro ty, kteří ho odvolají.

Jiným příkladem poškození je oklamání, zastrašování, nátlak nebo závažné negativní důsledky pro subjekt údajů v případě neudělení souhlasu. Správce by měl být schopen doložit, že subjekt údajů má ve věci souhlasu skutečně svobodnou volbu a může svůj souhlas odvolat, aniž by byl poškozen.

Je-li správce schopen prokázat, že služba umožňuje odvolat souhlas bez jakýchkoliv negativních důsledků, např. omezení služby nebo poškození uživatele, pak jde o doklad, že souhlas byl udělen svobodně.

3.2. Určitost

Článek 6 odst. 1 písm. a) potvrzuje, že souhlas subjektu údajů musí být udělen pro „jeden nebo více konkrétních účelů“ a že subjekt údajů má ohledně každého z nich na výběr.²⁶ Požadavek určitosti souhlasu míří na zajištění jisté míry kontroly ze strany subjektu údajů a průhlednosti. Obecné nařízení na tom nic nemění, přičemž je tu úzká vazba na požadavek informovaného souhlasu. Zároveň musí být vykládán v souladu s požadavkem „vrstevnatosti“, aby získaný souhlas byl „svobodný“.²⁷ Souhrnně řečeno, aby byl správce v souladu s požadavkem „konkrétnosti“, musí uplatnit následující:

(i) stanovení účelu jako ochrany před rozšířením o neplánované funkce,
(ii) vrstevnatost žádostí o souhlas, a
(iii) zřetelné oddělení informací ohledně souhlasu k činnostem zpracování dat od informací o jiných věcech.

Ad. (i): Podle článku 5 odst. 1 písm. b) Obecného nařízení musí získání platného souhlasu vždy předcházet stanovení určitého, výslovně vyjádřeného a legitimního účelu pro zamýšlené činnosti zpracování.²⁸ Potřeba určitosti souhlasu v kombinaci s pojmem účelového omezení podle článku 5 odst. 1 písm. b) funguje jako pojistka proti postupnému rozšiřování nebo rozostření účelů zpracování poté, co subjekt údajů souhlasil s původním sběrem dat. Tento fenomén, známý také jako rozšíření o neplánované funkce, představuje pro subjekty údajů riziko, neboť může vést k nepředpokládanému použití osobních údajů správcem nebo třetími stranami a ke ztrátě kontroly subjektem údajů.

Pokud se správce opírá o článek 6 odst. 1 písm. a), musí subjekt údajů vždy udělit souhlas pro konkrétní účel zpracování.²⁹ V souladu s konceptem účelového omezení a článkem 5 odst. 1 písm. b) a recitálem 32 může souhlas pokrývat různé operace, pokud tyto slouží stejnému účelu. Netřeba zmiňovat, že souhlas, aby byl určitý, lze získat, jen pokud je subjekt údajů konkrétně informován o zamýšlených účelech zpracování dat, které se ho týkají.

Zpracovává-li správce data na základě souhlasu a chce-li je zpracovávat pro nový účel, musí si pro tento nový účel vyžádat nový souhlas subjektu údajů. Původní souhlas nikdy nelegitimizuje další nebo nové účely zpracování.

Příklad 8

Kabelová televizní síť shromažďuje osobní údaje uživatelů na základě jejich souhlasu, aby jim mohla předkládat personalizované nabídky nových filmů, které by je mohly zajímat s ohledem na jejich divácké preference. Po nějakém čase se televize rozhodne, že by chtěla umožnit třetím stranám posílat (nebo zobrazovat) cílenou reklamu na základě uživatelových diváckých zvyklostí. Vzhledem k tomu, že jde o nový účel, bude potřeba nový souhlas.

Ad. (ii): Mechanismus souhlasu musí být nejen vrstevnatý, aby splnil požadavek „svobodnosti“, ale také musí respektovat prvek „určitosti“. Správce žádající o souhlas k několika různým účelům by tedy měl poskytnout samostatnou volbu opt-in pro každý účel a tím dát uživatelům možnost samostatného souhlasu konkrétně pro určitý účel.

Ad. (iii): A konečně, správci by u každé samostatné žádosti o souhlas měli poskytnout konkrétní informace o datech, která jsou pro jednotlivé účely zpracovávána, aby si subjekty údajů byly vědomy důsledků možností, které mají na výběr. Tím je subjektům údajů umožněno udělit specifický souhlas. Toto téma se překrývá s požadavkem, aby správci poskytovali jasné informace, jak je pojednáno níže v oddíle 3.3.

3.3. Informovanost

Obecné nařízení zesiluje požadavek, aby souhlas byl informovaný. Vycházeje z článku 5 Obecného nařízení je požadavek transparentnosti jedním ze základních principů úzce navázaného na zásadu korektnosti a zákonnosti. Poskytnutí informace subjektům údajů ještě před získáním jejich souhlasu je důležité proto, aby mohly činit informovaná rozhodnutí, chápaly, k čemu dávají souhlas a mohly, kupříkladu, využít práva na odvolání souhlasu. Neposkytne-li správce srozumitelnou informaci, stává se uživatelská kontrola iluzorní a souhlas neplatným základem pro zpracování.

Důsledkem nesouladu s požadavky na informovaný souhlas bude neplatnost takového souhlasu, čímž se správce může dostat do rozporu s článkem 6 Obecného nařízení.

3.3.1. Minimální obsahové požadavky na „informovaný“ souhlas

Aby souhlas byl informovaný, je třeba subjekt údajů zpravit o určitých věcech, které jsou pro rozhodování zásadní. WP29 je toho názoru, že k získání platného souhlasu je potřeba poskytnout alespoň tyto informace:

(i) totožnost správce,
(ii) účel každé z operací zpracování, pro které je žádáno o souhlas³⁰,
(iii) jaké údaje (druhy údajů) budou shromažďovány a používány, ³¹
(iv) existence práva odvolat souhlas,³²
(v) informace o použití dat k rozhodnutím čistě na bázi automatizovaného zpracování, včetně profilování v souladu s článkem 22 odst. 2³³ a
(vi) týká-li se souhlas předávání, o možných rizikách přenosu dat do třetích zemí při absenci rozhodnutí o odpovídající úrovni ochrany dat a náležitých zabezpečovacích opatřeních (článek 49 odst. 1 písm. a).³⁴

Maje na paměti položky (i) a (iii), WP29 poznamenává, že tam, kde se požadovaný souhlas bude vztahovat na více správců (společní správci) nebo mají být data předána jiným správcům nebo zpracována jinými správci, kteří se chtějí opřít o původní souhlas, musí všechny tyto organizace být vyjmenovány. Zpracovatelé v rámci souhlasu uvedeni být nemusí, ačkoliv podle článků 13 a 14 Obecného nařízení musí správci poskytnout úplný seznam příjemců nebo kategorií příjemců včetně zpracovatelů. WP29 poznamenává, že podle okolností a kontextu, může být potřeba více informací, aby subjekt údajů opravdu dotčeným operacím zpracování porozuměl.

3.3.2. Jak poskytnout informace

Obecné nařízení nepředepisuje formu nebo podobu, v jaké musí být informace poskytnuty za účelem splnění požadavku na informovaný souhlas. Příslušné informace mohou tedy být předloženy různými způsoby, jako třeba písemným nebo ústním oznámením nebo v podobě zvukové nebo obrazové zprávy. Obecné nařízení však ukládá několik požadavků na informovaný souhlas, především v článku 7 odst. 2 a v recitálu 32. Povede to k vyššímu standardu srozumitelnosti a dostupnosti informace.

Správci by při vyžadování souhlasu měli každopádně užívat jasný a jednoduchý jazyk. Zpráva by tedy měla být snadno srozumitelná průměrnému člověku a ne jen právníkům. Správci nemohou pro politiku ochrany soukromí používat zdlouhavé a nesrozumitelné texty nebo prohlášení plná právnického žargonu. Souhlas musí být jasný a odlišitelný od jiných témat a podaný srozumitelnou a snadno přístupnou formou. Tento požadavek v zásadě znamená, že informace podstatné pro informované rozhodnutí ohledně udělení souhlasu nesmí být skryty ve všeobecných obchodních podmínkách.³⁵

Správce musí zajistit, aby byl souhlas poskytnut na základě informace, která subjektům údajů umožní snadno identifikovat, kdo je správcem a pochopit, k čemu souhlas dávají. Správce musí jasně popsat účel zpracování dat, pro které souhlas požaduje.³⁶

Další specifické informace ohledně přístupnosti jsou v pokynech WP29 k transparentnosti. Má-li souhlas být udělen elektronicky, musí být žádost jasná a stručná. Víceúrovňová a vrstvená informace může představovat patřičný způsob, jak se vypořádat s dvojitou povinností být přesný a vyčerpávající na straně jedné a srozumitelný na straně druhé.

Správce musí posoudit, jaký okruh lidí mu poskytuje své osobní údaje. Kupříkladu, pokud cílová skupina zahrnuje nezletilé subjekty údajů, pak se od správce očekává, že zajistí, aby informace byla srozumitelná i nezletilcům.³⁷ Po rozpoznání cílové skupiny musí správce určit, jaké informace by měl poskytnout a pak také, jakým způsobem hodlá tuto informaci subjektům údajů předložit.

Článek 7 odst. 2 probírá předem sestavená písemná prohlášení souhlasu, která se týkají rovněž jiných skutečností. Je-li souhlas vyžadován jako součást (papírové) smlouvy, měl by požadavek souhlasu být jasně odlišitelný od ostatních záležitostí. Pokud smlouva v papírové podobě obsahuje mnoho aspektů, jež nemají vztah k otázce souhlasu s použitím osobních údajů, měla by záležitost souhlasu být řešena zřetelně vyčnívajícím způsobem nebo v odděleném dokumentu. Stejně tak pokud je souhlas vyžadován elektronickými prostředky, musí souhlas být požadován samostatně a zřetelně, nemůže to být, podle recitálu 32, jednoduše formou nějakého odstavce v obchodních podmínkách.³⁸ Pro přizpůsobení se malým obrazovkám nebo situacím, kdy pro informaci je k dispozici omezený prostor, lze ve vhodných případech zvážit vrstevnatý způsob podání informace, aby se předešlo nadměrnému narušování uživatelského zážitku nebo produktového designu.

Správce opírající se o souhlas subjektu údajů se také musí vypořádat s povinností samostatné informace podle článků 13 a 14, aby byl v souladu s Obecným nařízením. V praxi může hledání souladu s informačními povinnostmi a požadavkem informovaného souhlasu vést v mnoha případech k integrovanému přístupu. Tento odstavec je napsán s vědomím, že platný „informovaný“ souhlas může existovat i když během získávání souhlasu nejsou zmíněny všechny prvky podle článků 13 a/nebo 14 (tyto body by ovšem měly být uvedeny na jiných místech, jako třeba v oznámení o firemní politice ochrany soukromí). WP29 vydala k požadavku transparentnosti samostatné pokyny.

Příklad 9

Firma X je správcem, jenž obdržel stížnosti od subjektů údajů, kterým není jasné, pro jaké účely použití dat mají udělit svůj souhlas. Firma si uvědomí nutnost ověřit, zda informace v žádosti o souhlas je pro subjekty údajů srozumitelná. A tak zorganizuje dobrovolné testovací skupiny pro specifické kategorie zákazníků a předloží jim nové verze informací ohledně souhlasu dříve, než je zveřejní. Při výběru testovacího vzorku dodržuje zásadu nezávislosti a provádí ho podle standardů zajišťujících reprezentativní, nepředpojatý výsledek. Testovací skupina dostane dotazník a vyjádří se, jak informacím rozumí a jak by je ohodnotila z hlediska srozumitelnosti a relevantnosti. Správce pokračuje v testování tak dlouho, dokud skupina neuvede, že informace je srozumitelná. Firma X vypracuje o testu zprávu a zajistí, aby byla dostupná pro budoucí potřebu. Tento příklad ukazuje možnou cestu, jakou firma X může prokázat, že subjekty údajů dostávaly před udělením souhlasu se zpracováním osobních údajů dotyčnou firmou jasné informace.

Příklad 10

Firma provádí zpracování dat na základě souhlasu. Používá rozvrstvené oznámení o ochraně soukromí obsahující žádost o souhlas. Firma zpřístupňuje veškeré základní informace o správci a plánovaných činnostech zpracování.³⁹ V oznámení však neuvede, jak lze kontaktovat jejího pověřence pro ochranu osobních údajů. Z hlediska potřeby zákonného důvodu podle článku 6 tento správce získal platný „informovaný“ souhlas, i když nesdělil subjektu údajů kontaktní údaje pověřence v (první vrstvě) oznámení o ochraně soukromí podle článku 13 odst. 1 písm. b) nebo článku 14 odst. 1 písm. b) Obecného nařízení.

3.4. Jednoznačný projev vůle

Obecné nařízení mluví jasně o tom, že souhlas vyžaduje prohlášení subjektu údajů nebo jednoznačné potvrzení, což znamená, že tak vždy musí být učiněno aktivním úkonem nebo prohlášením. Musí být zřejmé, že subjekt údajů s daným konkrétním zpracováním souhlasil.

Článek 2 písm. h) směrnice 95/46/ES popisuje souhlas jako „projev vůle, kterým subjekt údajů dává své svolení k tomu, aby osobní údaje, které se jej týkají, byly předmětem zpracování“. Článek 4 odst. 11 Obecného nařízení na této definici staví a objasňuje, že platný souhlas vyžaduje jednoznačný projev ve formě prohlášení nebo zjevného potvrzení, a to v souladu s dříve vydanými pokyny WP29.

„Zjevné potvrzení“ znamená, že subjekt údajů musí učinit záměrný úkon souhlasu s konkrétním zpracováním.⁴⁰ Recitál 32 k tomu uvádí další pokyny. Souhlas může být získán písemným nebo (zaznamenaným) ústním prohlášením a také prostřednictvím elektronických prostředků.

Možná nejlepším způsobem, jak doslovně splnit kritérium „písemné prohlášení“, je zajistit, aby subjekt údajů napsal dopis nebo e-mail správci, ve kterém vysvětlí, k čemu přesně dává souhlas. To však často nebude reálné. Písemná prohlášení mohou přijít v různém tvaru a rozsahu, přičemž mohou být v souladu s Obecným nařízením.

Aniž by bylo dotčeno stávající (národní) smluvní právo, může být souhlas získán prostřednictvím nahraného ústního prohlášení, byť je potřeba věnovat patřičnou pozornost informacím dostupným subjektu údajů ještě před projevením souhlasu. Využití předvyplněných zaškrtávacích políček (metodou opt-in) není podle Obecného nařízení platné. Mlčení nebo nečinnost ze strany subjektu údajů, jakož i pouhý další odběr služby, nemůže být vnímáno jako naznačení výběru.

Příklad 11

Při instalaci softwaru požádá aplikace subjekt údajů o souhlas s použitím neanonymizovaných zpráv o selhání (cash reports) za účelem zdokonalování softwaru. Žádost o souhlas je doprovázena vrstveným oznámením o ochraně soukromí s nezbytnými informacemi. Aktivním zatrhnutím volitelného políčka označeného „Souhlasím“ má uživatel možnost platným způsobem učinit „zjevné potvrzení“ souhlasu se zpracováním.

Správce si rovněž musí uvědomit, že souhlas nelze získat tím samým krokem, kterým dojde k odsouhlasení smlouvy nebo přijetím obchodních podmínek pro nějakou službu. Paušální odsouhlasení všeobecných obchodních podmínek nelze považovat za jednoznačný projev souhlasu s použitím osobních údajů. Obecné nařízení nedovoluje správcům používat zatrhávací políčka nebo mechanismy opt-out vyžadující od subjektu údajů zásah, aby se vyhnul uzavření smlouvy (například políčka „opt-out“).⁴¹

3.4.1. Souhlas udělený elektronicky

Má-li být souhlas udělen na základě elektronické žádosti, pak by tato žádost neměla zbytečně narušit využívání služby, pro kterou je souhlas dáván.⁴² Aktivní potvrzení, kterým subjekt údajů vyjadřuje souhlas, může být nezbytné, pokud by méně dotěrný nebo rušivý způsob vedl k nejednoznačnosti. Může se tedy stát, že žádost o souhlas, aby byla účinná, nutně do jisté míry naruší uživatelskou praxi.

Správci však, v hranicích požadavků Obecného nařízení, mohou vyvinout postup získávání souhlasu, který bude vyhovovat jejich organizaci. V tomto ohledu budou fyzické kroky kvalifikovány jako jednoznačné potvrzení v souladu s Obecným nařízením.

Příklad 12

Tah prstem po displeji, zamávání před chytrou kamerou, otočení chytrého telefonu po směru hodinových ručiček nebo ve tvaru osmičky mohou představovat možnosti vyjádření souhlasu za předpokladu, že byla poskytnuta jasná informace a je evidentní, že daný pohyb znamená souhlas s konkrétní žádostí (např. jestliže posunete tento proužek doleva, znamená to, že souhlasíte s použitím informace X pro účel Y. Opakování pohybu značí potvrzení). Správce musí být schopen prokázat, že souhlas byl tímto způsobem získán a subjekty údajů zase musí mít možnost souhlas odvolat stejně snadno, jako ho daly.

Příklad 13

Rolování nebo procházení obchodními podmínkami, které obsahují prohlášení o souhlasu (kdy na obrazovce vyskakuje upozornění, že další procházení bude znamenat souhlas) nebude v souladu s požadavkem jasného a jednoznačného potvrzení. Subjekt údajů totiž při rychlém rolování rozsáhlým textem může toto upozornění přehlédnout a takové potvrzení by pak nebylo dostatečně jednoznačné.

Mnoho služeb v digitální oblasti potřebuje pro fungování osobní údaje, takže subjekty údajů dostávají četné žádosti o souhlas, na které musí denně reagovat kliknutím nebo potažením. Může to vést k jisté míře klikací únavy: při příliš častém výskytu klesá varovný účinek mechanismu pro získávání souhlasu.

Nakonec dojde k tomu, že dotazy na souhlas už uživatel nečte. Pro subjekty údajů to představuje obzvláštní riziko, neboť souhlas je typicky vyžadován pro činnosti, které by bez něho byly nezákonné. Obecné nařízení ukládá správcům povinnost propracovávat způsoby, jak se s tímto problémem vypořádat.

Často uváděný příklad, jak toho dosáhnout v online prostředí, je získání souhlasu uživatelů internetu prostřednictvím nastavení jejich prohlížeče. Možnosti těchto nastavení by měly být vyvíjeny v souladu s podmínkami platného souhlasu podle Obecného nařízení, protože souhlas by například měl být vrstvený pro každý ze zamýšlených účelů a v informaci by mělo být uvedeno jméno správce.

Souhlas každopádně musí být vždy získán ještě před tím, než správce zahájí zpracování osobních údajů, pro které je souhlas potřeba. WP29 ve svých předchozích stanoviskách důsledně zastávala názor, že souhlas by měl být udělen před zahájením zpracování.⁴³ Ačkoliv Obecné nařízení v článku 4 odst. 11 nepředepisuje doslovně, že souhlas musí být dán před zahájením zpracovatelské operace, jasně to naznačuje. Název článku 6 odst. 1 a formulace „udělil“ v článku 6 odst. 1 písm. a) tento výklad podporuje. Z článku 6 a recitálu 40 logicky vyplývá, že platný právní základ musí existovat před zahájením zpracování. Souhlas by tedy měl být udělen před zahájením činnosti zpracování. V zásadě by stačilo požádat subjekt údajů o souhlas jen jednou. Správci však musí získat nový a konkrétní souhlas, pokud dojde ke změně účelů zpracování poté, co byl udělen původní souhlas nebo je-li plánováno přidat další účel.

4. Získání výslovného souhlasu

Výslovný souhlas je vyžadován v určitých situacích, kdy hrozí vážné riziko z hlediska ochrany dat a je tedy žádoucí vysoká úroveň kontroly jednotlivce nad svými osobními údaji. Výslovný souhlas hraje podle Obecného nařízení roli v článku 9 o zpracování zvláštních kategorií osobních údajů, dále v ustanoveních ohledně předávání dat do třetích zemí nebo mezinárodním organizacím při neexistenci odpovídajících záruk v článku 49⁴⁴ a v článku 22 o automatizovaném individuálním rozhodování včetně profilování.⁴⁵

Obecné nařízení stanoví, že „jednoznačné potvrzení“ je předpokladem „běžného“ souhlasu. Jelikož požadavek „běžného“ souhlasu v Obecném nařízení má vyšší standard ve srovnání s požadavkem na souhlas podle směrnice 95/46/ES, je třeba vyjasnit, jaké dodatečné úsilí by měl správce vyvinout pro získání výslovného souhlasu subjektu údajů v souladu s Obecným nařízením.

Pojem výslovný odkazuje na způsob, jakým subjekt údajů souhlas vyjádří. Znamená, že subjekt údajů musí učinit výslovné prohlášení o souhlasu. Obvyklý způsob, jak zajistit, aby souhlas byl výslovný, je nechat si ho potvrdit jednoznačně písemným prohlášením. Správce by si v přiměřeném případě mohl ověřit, zda písemné prohlášení podepsal sám subjekt údajů, aby odstranil veškeré možné pochyby a případný nedostatek důkazů v budoucnu.⁴⁶

Podepsané prohlášení ovšem není jedinou cestou, jak získat výslovný souhlas a nelze také říci, že Obecné nařízení předepisuje písemná a podepsaná prohlášení pro všechny okolnosti vyžadující platný výslovný souhlas. Kupříkladu v digitálním nebo internetovém kontextu může subjekt údajů být schopen vystavit požadované prohlášení vyplněním elektronického formuláře, e-mailem, nahráním naskenovaného dokumentu s jeho podpisem nebo použitím
elektronického podpisu. Také ústní prohlášení může teoreticky být dostatečně konkrétní pro získání platného výslovného souhlasu, může však být pro správce obtížné prokázat, že v okamžiku záznamu daného prohlášení byly splněny všechny podmínky platného výslovného souhlasu.

Příklad 14

Klinika kosmetické chirurgie vyžaduje od pacienta výslovný souhlas k předání jeho lékařské zprávy odborníkovi, jehož názor na stav pacienta je dodatečně poptáván. Lékařská zpráva je v podobě digitálního souboru. Vzhledem ke specifické povaze dané informace klinika požaduje po subjektu údajů elektronický podpis pro získání platného výslovného souhlasu a aby byla schopna prokázat, že takový výslovný souhlas byl získán.⁴⁷TEXT

Dvoustupňové ověření souhlasu může rovněž být způsobem, jak zajistit, aby byl výslovný souhlas platný. Subjekt údajů například dostane e-mail oznamující, že správce se chystá zpracovat záznam obsahující zdravotní údaje. Správce v e-mailu vysvětluje, že žádá o souhlas s použitím konkrétní sady informací pro konkrétní účel. V případě souhlasu má subjekt údajů poslat odpověď e-mailem s prohlášením „Souhlasím“. Po odeslání odpovědi obdrží subjekt údajů ověřovací webovou adresu, na kterou musí kliknout nebo SMS zprávu s verifikačním kódem pro potvrzení souhlasu.

Mělo by se pamatovat na to, že výslovný souhlas není jediný způsob dosažení zákonnosti zpracování zvláštních kategorií údajů, určitých přenosů dat atd. Výslovný souhlas nemusí v určitých situacích být vhodný a Obecné nařízení vyjmenovává několik jiných možností, jak zajistit, že tyto činnosti budou prováděny zákonným způsobem. Například článek 9 odst. 2 uvádí devět dalších právních důvodů rušících zákaz zpracování zvláštních kategorií údajů.

5. Další podmínky pro získání platného souhlasu

Obecné nařízení po správcích požaduje, aby prostřednictvím dodatečných opatření zajistili, že získají, uchovají a budou schopni doložit platný souhlas. Článek 7 Obecného nařízení stanoví tyto dodatečné podmínky vyjádření platného souhlasu, když zavádí zvláštní ustanovení o uchovávání záznamů o souhlasu a právu na snadné odvolání souhlasu. Článek 7 platí také pro souhlas zmíněný v jiných článcích Obecného nařízení, např. v článcích 8 a 9. V dalším textu jsou pokyny ohledně dodatečných požadavků na prokazování platného souhlasu a odvolání souhlasu.

5.1. Doložení souhlasu

Obecné nařízení v článku 7 odst. 1 jasně vyjadřuje výslovnou povinnost správce doložit, že subjekt údajů udělil souhlas. Důkazní břemeno leží podle článku 7 odst. 1 na správci.

Recitál 42 praví: „Pokud je zpracování založeno na souhlasu subjektu údajů, měl by být správce schopen prokázat, že subjekt údajů vyjádřil s danou operací zpracování souhlas.“

Správci mohou vyvinout takové metody pro dosažení souladu s tímto ustanovením, které budou zapadat do jejich rutinních činností. Současně by povinnost správce prokázat platný souhlas neměla sama o sobě vést k nadměrnému objemu datových zpracování. Znamená to, že správci by měli mít dostatek údajů k předvedení vazby na zpracování (že souhlas byl získán), ale neměli by shromažďovat více informací než je nutné.

Je na správci, aby prokázal získání platného souhlasu od subjektu údajů. Obecné nařízení přesně nepředepisuje, jak to zařídit. Správce však musí být schopen prokázat, že subjekt údajů v daném případě souhlasil. Povinnost prokázat souhlas platí po celou dobu trvání dané zpracovatelské činnosti. Po jejím skončení by důkaz o souhlasu neměl být uchováván déle, než je opravdu nezbytné pro soulad se zákonnými povinnostmi nebo kvůli zjištění, výkonu nebo obhajobě právních nároků podle článku 17 odst. 3 písm. b) a odst. 3 písm. e).

Kupříkladu, správce může uchovávat záznam o obdržených souhlasných prohlášeních, aby mohl prokázat, jak a kdy souhlas získal a jaké informace poskytnul subjektu údajů v dané době. Správce také musí být schopen předvést, že subjekt údajů byl informován, a že správcův postup splnil všechna relevantní kritéria platného souhlasu. Důvodem této povinnosti podle Obecného nařízení je požadavek, aby správci měli odpovědnost za získání platného souhlasu od subjektu údajů a za jimi uplatněný mechanismus zajištění souhlasu. Například v internetovém kontextu by správce mohl uchovávat informace o úkonech v online prostředí, kterými byl souhlas vyjádřen včetně dokumentace o postupu získání souhlasu v době pobytu subjektu údajů v online prostoru a kopie informace, která mu v té době byla poskytnuta. Nestačí jen odkázat na správnou konfiguraci dané webové stránky.

Příklad 15

Nemocnice spustí vědecko-výzkumný program, nazvěme ho projekt X, pro který jsou potřebné zubařské záznamy pacientů. Účastníci jsou získáváni prostřednictvím telefonátů pacientům, kteří dobrovolně souhlasí s uvedením na seznam kandidátů,kteří mohou být pro daný účel kontaktováni. Správce si vyžádá výslovný souhlas subjektů údajů s použitím jejich zubařských záznamů.Souhlas je získán po telefonu, přičemž ústní prohlášení subjektu údajů, kterým souhlasí s použitím svých údajů pro účely projektu X, nahráno.

V Obecném nařízení není uvedena žádná konkrétní lhůta trvání souhlasu. Jak dlouho souhlas zůstane v platnosti, bude záviset na okolnostech, rozsahu původního souhlasu a na očekáváních subjektu údajů. Pokud se operace zpracování výrazně změní nebo rozšíří, přestane být původní souhlas platný. V takovém případě bude potřeba získat nový souhlas.

WP29 doporučuje jako příklad osvědčené praxe, aby byl souhlas ve vhodných intervalech obnovován. Opětovným poskytnutím všech informací se zajistí, že subjekt údajů bude nadále dobře informován o použití svých dat a o způsobu uplatnění svých práv.⁴⁸

5.2. Odvolání souhlasu

Odvolání souhlasu zaujímá v Obecném nařízení prominentní postavení. Ustanovení a recitály k odvolání souhlasu v Obecném nařízení lze vnímat jako kodifikaci stávajících výkladů této věci ve stanoviskách WP29.⁴⁹Obecné nařízení v článku 7 odst. 3 předepisuje, aby správce zajistil, kdykoliv v daném čase, odvolatelnost souhlasu subjektem údajů způsobem stejně snadným jako bylo jeho udělení. Obecné nařízení neříká, že udělení a odvolání souhlasu musí být vždy učiněno stejným způsobem.

Je-li však souhlas získán elektronickou cestou kliknutím myší, tahem prstu nebo stisknutím klávesy, pak subjekty údajů musí v zásadě mít možnost odvolat souhlas stejně snadno. Pokud je souhlas získán prostřednictvím pro danou službu specifického uživatelského rozhraní (například přes webovou stránku, mobilní aplikaci, uživatelský účet, rozhraní v zařízení připojenému k internetu věcí nebo e-mailem), musí subjekt údajů nepochybně být schopen souhlas odvolat přes to samé elektronické rozhraní, jelikož přechod do jiného rozhraní pouze pro účel stažení souhlasu by vyžadovalo nadbytečné úsilí. Dále by subjekt údajů měl mít možnost odvolat souhlas bez újmy. To, kromě jiného, znamená, že správce musí umožnit bezplatné odvolání souhlasu a bez omezení úrovně služby.⁵⁰

Příklad 16

Vstupenky na hudební festival jsou prodávány přes internet. Při prodeji každého jednotlivého lístku je vyžadován souhlas s použitím kontaktních údajů pro marketingové účely. K vyjádření souhlasu pro tento účel mohou zákazníci zvolit buď Ne nebo Ano. Správce zákazníky informuje, že mají možnost souhlas odvolat. K tomu mohou bezplatně kontaktovat call centrum v pracovní dny mezi 8.00 a 17.00 hod. Správce v tomto případě neplní ustanovení článku 7 odst. 3 Obecného nařízení. Odvolání souhlasu zde vyžaduje telefonický hovor během pracovní doby, je to tedy více obtěžující než jedno kliknutí myší, kterého bylo potřeba pro udělení souhlasu u internetového prodejce dostupného 24 hodin každý den v týdnu.

Požadavek snadného odvolání souhlasu je popsán v Obecném nařízení jako nezbytný aspekt platného souhlasu. Mechanismus pro získávání souhlasu nebude v souladu s Obecným nařízením, pokud tomuto nařízení nebude odpovídat právo na odvolání souhlasu. Jak je zmíněno v oddíle 3.1. ohledně podmínek informovaného souhlasu, musí správce, podle článku 7 odst. 3 Obecného nařízení, ještě před jeho udělením informovat subjekt údajů o právu tento souhlas odvolat. Kromě toho musí správce v rámci transparentnosti informovat subjekty údajů o tom, jak svá práva mohou uplatnit.⁵¹

Obecně platí, že pokud je souhlas odvolán, všechny operace zpracování dat, které byly založeny na tomto souhlasu a probíhaly před jeho odvoláním – a v souladu s Obecným nařízením – zůstávají zákonné, ale správce musí zastavit dotčené zpracovatelské činnosti. Neexistuje-li jiný právní důvod opravňující ke zpracování dat (např. další uchovávání), měl by je správce smazat nebo anonymizovat.⁵²

Jak už bylo dříve zmíněno v tomto dokumentu, je velmi důležité, aby správci ještě před sběrem dat posoudili účely zpracování, jakož i právní důvody, o které se zpracování opírá. Firmy často potřebují osobní údaje pro několik účelů a zpracování je tak opřeno o více než jeden právní základ, např. zákaznická data mohou být sbírána na základě smlouvy a souhlasu. Takže odvolání souhlasu neznamená, že by správce musel smazat data, která zpracovává pro účel plnění smlouvy se subjektem údajů. Správci by proto měli od začátku mít jasno v tom, který účel se vztahuje na ta která data a o jaký právní základ se opírá.

Kromě povinnosti správce smazat na základě souhlasu zpracovaná data, je-li tento souhlas odvolán, má jednotlivý subjekt údajů možnost požadovat výmaz dalších dat, která se ho týkají a jsou stále v držení tohoto správce, a to například na základě článku 6 odst. 1 písm. b). Za tímto účelem by měl subjekt údajů uplatnit právo na výmaz podle článku 17 odst. 1 písm. b) a recitálu 65. WP29 správcům doporučuje posoudit, zda pokračovat ve zpracování dotčených dat je v pořádku, i v případech, kdy žádost subjektu údajů o výmaz nebyla podána.

V případech, kdy subjekt údajů stáhne souhlas a správce chce osobní údaje nadále zpracovávat na jiném právním základě, nelze v tichosti přejít od souhlasu (který byl odvolán) k jinému právnímu důvodu. Navíc, jakákoli změna právního základu pro zpracování musí být oznámena subjektu údajů v souladu s informačními požadavky v článcích 13 a 14 a podle obecné zásady transparentnosti.

6. Vzájemný vztah mezi souhlasem a dalšími zákonnými důvody v článku 6 Obecného nařízení

Článek 6 stanoví podmínky zákonného zpracování osobních údajů a vyjmenovává šest zákonných důvodů, o které se správce může opřít. Uplatnění jednoho z těchto šesti důvodů musí být stanoveno před započetím zpracování a s ohledem na konkrétní účel. Je obecným pravidlem, že zpracování pro jeden konkrétní účel nemůže být založeno na několika právních základech. Je však možné uplatnit více než jeden právní důvod k tomu, aby zpracování bylo zákonné, pokud jsou údaje používány pro několik účelů, neboť každý účel musí být navázán na nějaký právní základ. Správce však musí určit tyto účely a příslušný právní titul předem. Právní základ nemůže být v průběhu zpracování upravován. Správce nemůže jen tak měnit právní tituly. Není například dovoleno uplatňovat zpětně důvod oprávněného zájmu tam, kde byly problémy s platností souhlasu. Podle Obecného nařízení by se správci žádající o souhlas subjektu údajů neměli v zásadě opírat o jiné právní důvody z článku 6 jako o „zálohu“, ať už se jedná o situaci, kdy nemohou prokázat, že udělený souhlas je v souladu s Obecným nařízením nebo poté, co byl platný souhlas odvolán. Vzhledem k požadavku zveřejnění právního základu, o který se správce opírá, v době sběru osobních údajů, musí správci ještě před shromažďováním dat rozhodnout, jaký právní základ uplatní.

7. Specifické oblasti pojednané v Obecném nařízení

7.1. Děti (Článek 8)

V porovnání s nynější směrnicí vytváří Obecné nařízení další vrstvu ochrany tam, kde jsou zpracovávána osobní data zranitelných fyzických osob, zejména dětí. Článek 8 zavádí dodatečné povinnosti pro zabezpečení vyšší úrovně ochrany dat dětí v kontextu služeb informační společnosti. Důvody pro zvýšenou ochranu jsou konkretizovány v recitálu 38: „[…], protože si mohou být méně vědomy dotčených rizik, důsledků a záruk a svých práv v souvislosti se zpracováním osobních údajů […].“ Recitál 38 dále říká, že „Taková zvláštní ochrana se měla zejména vztahovat na používání osobních údajů dětí pro účely marketingu nebo vytváření osobnostních či uživatelských profilů a shromažďování osobních údajů týkajících se dětí při využívání služeb nabízených přímo dětem.“ Slůvko „zejména“ naznačuje, že zvláštní ochrana není omezena jen na marketing nebo profilování, ale vztahuje se na širší okruh „shromažďování osobních údajů týkajících se dětí“.

Článek 8 odst. 1 stanoví, že pokud se použije souhlas v souvislosti s nabídkou služeb informační společnosti přímo dítěti, je zpracování osobních údajů dítěte zákonné, je-li dítě ve věku nejméně 16 let. Je-li dítěti méně než 16 let, je takové zpracování zákonné jen a do té míry, pokud je souhlas udělen nebo autorizován nositelem rodičovské odpovědnosti.⁵³ Ve věci věkového limitu v souvislosti s platným souhlasem poskytuje Obecné nařízení pružnost, členské státy mohou tedy zákonem stanovit nižší věkovou hranici, ne však nižší než 13 let.

Jak je zmíněno v oddíle 3.1. ohledně informovaného souhlasu, informace správce má být srozumitelná cílovému okruhu osob, přičemž je třeba věnovat zvláštní pozornost dětem. Pro získání „informovaného souhlasu“ od dítěte musí správce vysvětlit pro dítě jasnou a jednoduchou řečí, jak hodlá shromažďovaná data zpracovat.⁵⁴

Z předchozího jasně plyne, že článek 8 se použije pouze při splnění následujících podmínek:^{55, 56}

Zpracování se týká nabídky služeb informační společnosti přímo dítěti.
Zpracování se opírá o souhlas.

7.1.1. Služba informační společnosti

Obecné nařízení v článku 4 odst. 25 odkazuje ohledně stanovení rozsahu pojmu „služba informační společnosti“ na směrnici 2015/1535.

Pro posouzení rozsahu této definice odkazuje WP29 také na precedenty Soudního dvora Evropské unie (ESD).⁵⁷ ESD má za to, že služby informační společnosti zahrnují kontrakty a jiné služby, které jsou plněny nebo dodávány po internetu. Má-li služba dvě ekonomicky nezávislé složky, jednu online, jako třeba nabídku a přijetí nabídky v souvislosti s uzavřením smlouvy nebo informace týkající se produktů či služeb, včetně marketingových činností, je tato součást definována jako služba informační společnosti, zatímco druhá část, spočívající ve fyzickém dodání nebo distribuci zboží, pod pojem služby informační společnosti nespadá. Dodání služby po internetu spadá pod pojem služba informační společnosti v článku 8 Obecného nařízení.

7.1.2. Nabídka přímo dítěti

Formulace „nabídka přímo dítěti“ naznačuje, že článek 8 byl koncipován jen pro některé, nikoliv veškeré služby informační společnosti. Pokud tedy poskytovatel služby informační společnosti případným uživatelům jasně sdělí, že danou službu nabízí pouze osobám ve věku od 18 let, a toto tvrzení není nijak zpochybněno (například obsahem stránky nebo marketingovými plány), pak služba nebude považována za nabízenou „přímo dítěti“ a článek 8 se nepoužije.

7.1.3. Věk

Obecné nařízení upřesňuje, že „Členské státy mohou pro uvedené účely právním předpisem stanovit nižší věk, ne však nižší než 13 let.“ Správce musí na taková odlišná národní ustanovení pamatovat a zohlednit cílovou skupinu svých služeb. Především je třeba zmínit, že správce poskytující přeshraniční službu se nemůže automaticky spoléhat na soulad s právem členského státu, v němž má hlavní provozovnu, nýbrž bude možná muset být ve shodě s příslušnými právními předpisy každého členského státu, ve kterém službu (služby) informační společnosti nabízí. Bude záležet na tom, zda se členský stát rozhodne použít místo hlavní provozovny správce jako rozhodné i ve svém právním řádu nebo zda bude vycházet z místa pobytu subjektu údajů. Členské státy by hlavně měly pamatovat na to, aby jejich rozhodnutí bylo v nejlepším zájmu dítěte. Pracovní skupina WP29 vyzývá členské státy, aby v této věci usilovaly o harmonizované řešení.

Při poskytování služeb informační společnosti dítěti na základě souhlasu se od správců očekává, že vyvinou odpovídající úsilí k ověření, jestli uživatel splňuje věkovou podmínku pro udělení digitálního souhlasu, přičemž by příslušná opatření měla odpovídat povaze a rizikům zpracovatelských činností.

Prohlásí-li uživatelé, že jsou nad věkovou hranicí pro digitální souhlas, může správce provést patřičnou kontrolu k ověření pravdivosti tohoto prohlášení. Obecné nařízení sice ověřování věku nevyžaduje výslovně, je však implicitně požadováno, neboť pokud souhlas dá dítě, které pro samostatné udělení platného souhlasu nemá dostatečný věk, bude dané zpracování dat nezákonné.

Pokud uživatel prohlásí, že je pod věkovou hranicí pro digitální souhlas, může to správce přijmout bez ověřování, ale bude muset získat rodičovský souhlas a ověřit si, že osoba udělující souhlas je vykonavatelem rodičovské zodpovědnosti k dítěti.

Ověřování věku by nemělo vést k nadbytečnému zpracování dat. Volbu mechanismu ověřování věku subjektu údajů by mělo doprovázet posouzení rizika navrhovaného zpracování. Za podmínek nízkého rizika by mohlo stačit požádat nového uživatele služby o uvedení data narození nebo o vyplnění formuláře s prohlášením, že se (ne)jedná o nezletilého.⁵⁸ Při pochybnostech by měl správce přehodnotit mechanismy ověřování věku pro daný případ a pouvažovat, zda nebudou nutné alternativní prověrky.⁵⁹

7.1.4. Souhlas dítěte a rodičovská odpovědnost

Obecné nařízení, pokud jde o autorizaci osoby, která vykonává rodičovskou zodpovědnost, neupřesňuje praktické způsoby získávání rodičovského souhlasu nebo zjišťování, že někdo je oprávněn k tomuto úkonu.⁶⁰ WP29 proto doporučuje vyvážený přístup v souladu s článkem 8 odst. 2 a článkem 5 odst. 1 písm. c) Obecného nařízení (minimalizace údajů). Vyvážený přístup může spočívat v získání omezeného množství informací, např. kontaktních údajů rodiče nebo opatrovatele.

Co je přiměřené, jak ve smyslu ověření, že uživatel je ve věku dostatečném pro samostatné udělení souhlasu, tak v souvislosti s ověřením, zda osoba poskytující souhlas jménem dítěte je vykonavatelem rodičovské zodpovědnosti, může záviset na rizicích spojených se zpracováním, jakož i na dostupné technologii. V případech nízkého rizika může stačit ověření rodičovské zodpovědnosti e-mailem. V podmínkách vysokého rizika naopak může být žádoucí požadovat více průkazných informací, aby byl správce schopen ověřit a uchovat příslušné informace ve smyslu článku 7 odst. 1 Obecného nařízení.⁶¹ Důvěryhodné verifikační služby poskytované třetí stranou mohou nabídnout řešení minimalizující množství osobních údajů, které správce sám musí zpracovat.

Příklad 17

Internetová hrací platforma chce zajistit, aby zákazníci pod věkovou hranicí mohli službu využívat jen se souhlasem svých rodičů nebo opatrovníků. Správce postupuje v těchto krocích:

Krok 1: požádá uživatele o prohlášení, že je mu méně než 16 nebo více (může platit alternativní věková hranice pro digitální souhlas). Pokud uživatel prohlásí, že je mu méně, než je věkový limit pro digitální souhlas:

Krok 2: služba dítě informuje, že rodič nebo opatrovník musí dát souhlas nebo schválit zpracování předtím, než je služba dítěti poskytnuta. Uživatel je požádán o sdělení e-mailové adresy rodiče nebo opatrovníka.

Krok 3: služba kontaktuje rodiče nebo opatrovníka a získá souhlas ke zpracování prostřednictvím e-mailu a učiní náležité kroky k potvrzení, že dotyčný dospělý má rodičovskou zodpovědnost.

Krok 4: v případě stížností učiní platforma dodatečné kroky k ověření věku uživatele.

Pokud platforma splnila další požadavky ohledně souhlasu, může cestou těchto kroků zajistit soulad s dalšími kritérii podle článku 8 Obecného nařízení.

Tento příklad ukazuje, že správce sám může zajistit prokázání náležitého úsilí k zabezpečení platného souhlasu v souvislosti se službami poskytovanými dítěti. Článek 8 odst. 2 zejména dodává, že „Správce vyvine přiměřené úsilí s ohledem na dostupnou technologii, aby v takovýchto případech ověřil, že byl souhlas vyjádřen nebo schválen osobou, která vykonává rodičovskou zodpovědnost k dítěti.“

Je na správci, aby stanovil, jaká opatření jsou v daném konkrétním případě odpovídající. Obecně platí, že správci by se měli vyhnout takovým ověřovacím postupům, které samy o sobě vedou k nadbytečnému shromažďování osobních údajů.

WP29 bere na vědomí, že mohou nastat případy, kdy ověřování bude náročné (například když děti poskytující vlastní souhlas ještě nevytvořily „otisk totožnosti“ nebo pokud rodičovskou zodpovědnost nelze snadno zkontrolovat). Tato skutečnost může být vzata v úvahu při rozhodování, jaké úsilí je odpovídající, ale od správců se bude také očekávat, že své postupy a dostupnou technologii budou průběžně podrobovat revizi.

Vzhledem k autonomii subjektu údajů souhlasit se zpracováním svých osobních údajů a mít plnou kontrolu nad tímto zpracováním, souhlas udělený osobou vykonávající rodičovskou zodpovědnost nebo takovou osobou schválený souhlas se zpracováním osobních údajů dětí vyprší dnem, kdy subjekt údaje dosáhne věku, kdy sám může digitální souhlas dát. Počínaje tímto dnem musí správce získat platný souhlas od samotného subjektu údajů. V praxi to může znamenat, že správce opírající se o souhlas uživatelů, jim může pravidelně posílat připomínku, že souhlas v zastoupení dítěte vyprší dnem, kdy dovrší 16 let a musí být obnoven subjektem údajů osobně.

Je důležité vyzdvihnout, že v souladu s recitálem 38 není souhlas rodiče nebo opatrovníka nutný v případě preventivních či poradenských služeb nabízených přímo dětem. Kupříkladu poskytování online služeb ochrany dítěte prostřednictvím chatovací služby nevyžaduje předchozí rodičovské svolení.

Obecné nařízení stanoví, že pravidla týkající se požadavků na rodičovské svolení u nezletilých nemají zasahovat „obecné smluvní právo členských států, například pravidla týkající se platnosti, uzavírání nebo účinků smlouvy vzhledem k dítěti“. Požadavky na platný souhlas s použitím údajů o dětech jsou proto součástí právního rámce, který musí být nahlížen odděleně od národního smluvního práva. Z toho důvodu se tento materiál nezabývá otázkou, zda je zákonné, aby nezletilí uzavírali smlouvy. Oba právní režimy mohou platit souběžně, přičemž Obecné nařízení se nezabývá harmonizací národních ustanovení smluvního práva.

7.2. Vědecký výzkum

Definice vědecko-výzkumných účelů má podstatné dopady na paletu zpracovatelských činností, které správce smí vykonávat po obdržení souhlasu. Závažné je to především tam, kde jsou pro vědecký výzkum používány zvláštní kategorie údajů, například v oblasti lékařství.

Obecné nařízení pojem „vědecký výzkum“ nedefinuje. Recitál 159 říká „(…) Pro účely tohoto nařízení by zpracování osobních údajů pro účely vědeckého výzkumu mělo být chápáno v širokém smyslu. (…)“, WP29 se však domnívá, že tento pojem by neměl být rozvolňován za hranice svého běžného významu, přičemž „vědecký výzkum“ v této souvislosti chápe jako výzkumný projekt připravený v souladu s příslušnými metodickými a etickými standardy daného sektoru.

Recitál 33, zdá se, poskytuje určitou pružnost ohledně specifikace a vrstevnatosti souhlasu v kontextu vědeckého výzkumu, když říká: „Často není možné v době shromažďování osobních údajů v plném rozsahu stanovit účel zpracování osobních údajů pro účely vědeckého výzkumu. Subjektům údajů by proto mělo být umožněno, aby udělily svůj souhlas ohledně určitých oblastí vědeckého výzkumu v souladu s uznávanými etickými normami pro vědecký výzkum. Subjekty údajů by měly mít možnost udělit svůj souhlas pouze pro některé oblasti výzkumu nebo části výzkumných projektů v rozsahu přípustném pro zamýšlený účel.“

Zaprvé je třeba říci, že recitál 33 neruší povinnosti týkající se požadavku určitosti souhlasu. V zásadě to znamená, že vědecko-výzkumné projekty mohou pracovat s osobními údaji jen na základě souhlasu, je-li jejich účel dobře popsán. Tam, kde jsou účely na začátku vědecko-výzkumného programu nejasné, budou mít správci potíže ho provádět v souladu s Obecným nařízením.

Pro případy, kdy účely zpracování dat v rámci vědecko-výzkumného projektu nemohou být specifikovány hned zpočátku, poskytuje recitál 33 výjimku umožňující, aby byl účel popsán obecněji. Maje na paměti přísné podmínky stanovené článkem 9 Obecného nařízení pro zpracování zvláštních kategorií údajů, WP29 poznamenává, že jsou-li zpracovávány zvláštní kategorie údajů, pak se uplatnění flexibilního přístupu podle recitálu 33 stane předmětem přísnějšího výkladu a bude vyžadovat vyšší úroveň přezkumu. Z celkového pohledu nemůže být Obecné nařízení interpretováno tak, že by správci dovolovalo kroužit kolem klíčového principu stanovení účelů, pro které je subjekt údajů žádán o souhlas.

Nejde-li účely výzkumu vymezit v úplnosti, musí správce hledat jiné způsoby, jak zajistit, aby požadavkům ohledně souhlasu bylo ve své podstatě co nejlépe vyhověno, například, tak, že subjekty údajů budou moci udělit souhlas pro výzkumné účely obecněji a pro konkrétní etapy výzkumného projektu, jejichž realizace je známa už na počátku. S postupem výzkumného projektu lze souhlas pro následné kroky získat před zahájením příslušné další fáze. Takový souhlas však stále musí být v souladu s platnými etickými standardy vědeckého výzkumu. Kromě toho musí v takových případech správce uplatnit další záruky. Článek 89 odst. 1, například, vyzdvihuje potřebu záruk při činnostech zpracování pro vědecké, historické nebo statistické účely. Zpracování pro tyto účely „podléhá v souladu s tímto nařízením vhodným zárukám práv a svobod subjektu údajů“. Jako možné záruky jsou zmíněny minimalizace dat, anonymizace a zabezpečení dat.⁶² Anonymizace představuje upřednostňované řešení vždy, když účel výzkumu nemůže být naplněn bez zpracování osobních údajů.

Transparentnost je dodatečnou zárukou tam, kde okolnosti výzkumu neumožňují získat konkrétní souhlas. Nedostatečně určený účel může být kompenzován informací o vývoji tohoto účelu, kterou správci poskytují během postupu výzkumného projektu, takže časem bude souhlas konkrétní jak je jen možné. Při takovém přístupu budou subjekty údajů mít alespoň základní představu o aktuálním stavu, což jim umožní zvážit, zda například nemají využít práva na odvolání souhlasu podle článku 7 odst. 3.⁶³

Rovněž dostupnost úplného výzkumného plánu pro subjekty údajů ještě před udělením souhlasu může pomoci kompenzovat nedostatečně stanovený účel.⁶⁴ Tento výzkumný plán by měl specifikovat otázky výzkumu a zamýšlené pracovní metody co možná nejjasněji. Výzkumný plán by také mohl přispět k souladu s článkem 7 odst. 1, neboť správci, aby prokázali platnost souhlasu, musí doložit, jaké informace měly subjekty údajů k dispozici v době jeho udělení.

Je důležité připomenout, že pokud je souhlas použit jako právní základ zpracování, musí mít subjekt údajů možnost ho odvolat. WP29 dodává, že stažení souhlasu by mohlo podkopat ty druhy vědeckého výzkumu, které vyžadují, aby data byla propojena s jednotlivci, avšak Obecné nařízení jasně stanoví, že souhlas může být odvolán a správci se podle toho musí zařídit – z tohoto požadavku neexistuje pro vědecký výzkum žádná výjimka⁶⁵. Obdrží-li správce žádost o odvolání, měl by osobní údaje ihned smazat nebo anonymizovat, pokud chce tato data nadále používat pro účely výzkumu.⁶⁶

7.3. Práva subjektu údajů

Je-li zpracovatelská činnost založena na souhlasu subjektu údajů, bude mít vliv na práva tohoto jednotlivce. Subjekt údajů může, pokud je zpracování opřeno o souhlas, mít nárok uplatnit právo na přenositelnost údajů (Článek 20). Zároveň ale právo na námitku (Článek 21) nelze uplatnit v případě zpracování na základě souhlasu, byť právo na odvolání souhlasu kdykoliv může přinést podobný výsledek.

Obecné nařízení v článcích 16 až 20 naznačuje, že je-li zpracování založeno na souhlasu, mají subjekty údajů právo na výmaz, dále právo na zapomnění, poté co souhlas byl odvolán, jakož i právo na omezení, opravu a přístup.⁶⁷

8. Souhlas získaný podle směrnice 95/46/ES

Správci, kteří v současné době zpracovávají osobní údaje na základě souhlasu v souladu s národní legislativou na ochranu osobních údajů, automaticky nemusí zcela oprašovat všechny na základě souhlasu existující vztahy se subjekty údajů v rámci příprav na Obecné nařízení. Souhlas, který byl do této doby získán, zůstává v platnosti, pokud odpovídá podmínkám stanoveným v Obecném nařízení.

Je důležité, aby správci do 25. května 2018 podrobně prověřili současné pracovní postupy a záznamy a ujistili se, že stávající souhlasy splňují standardy Obecného nařízení (viz recitál 171 Obecného nařízení⁶⁸). Obecné nařízení prakticky zvedá laťku ve věci mechanismů pro získávání souhlasu a zavádí několik nových požadavků, které budou od správců vyžadovat úpravu těchto mechanismů, nejenom tedy pouhé přeformulování zásad ochrany soukromí.

Obecné nařízení například vyžaduje, aby správce byl schopen platný souhlas doložit, takže všechny souhlasy, o kterých nemá žádné záznamy, spadnou automaticky pod úroveň standardu Obecného nařízení a budou muset být obnoveny. Obdobně Obecné nařízení vyžaduje „prohlášení či jiné zjevné potvrzení“, čili údajné souhlasy založené na nepřímo vyjádřených, implicitních úkonech subjektem údajů (např. ignorování předem zaškrtnutého políčka typu opt-in) rovněž nebudou splňovat standard Obecného nařízení.

Také operace a systémy IT mohou vyžadovat revizi, aby bylo možno prokázat, že souhlas byl získán nebo aby umožnily subjektu údajů vrstevnatější vyjádření svých preferencí. Také musí být k dispozici mechanismy umožňující subjektu údajů snadné odvolání souhlasu a poskytující informaci o tom, jak souhlas odvolat. Pokud stávající postupy pro získávání a spravování souhlasu nesplňují standardy Obecného nařízení, musí správci získat nový souhlas, který už bude v souladu s tímto nařízením.

Na druhé straně, jelikož ne všechny prvky uvedené v článcích 13 a 14 musí vždy být přítomny coby podmínka informovaného souhlasu, nejsou rozšířené informační povinnosti podle Obecného nařízení nutně v rozporu s platností souhlasu uděleného ještě před vstupem tohoto nařízení v platnost (viz str. 14 výše). Ve směrnici 95/46/ES nebyl požadavek informovat subjekty údajů o důvodu, o který se prováděné zpracování opírá.

Pokud správce zjistí, že souhlas získaný ještě dříve podle staré legislativy, nesplňuje standard Obecného nařízení, musí posoudit, zda by zpracování mohlo být založeno na jiném právním základě s přihlédnutím k podmínkám stanoveným Obecným nařízením. Bude to však ojedinělá situace, neboť správci opouštějí uplatňování směrnice ve prospěch aplikace Obecného nařízení. Obecné nařízení neumožňuje nahrazovat jeden právní základ druhým. Není-li správce schopen obnovit souhlas řádným způsobem a nedokáže ani dosáhnout souladu s Obecným nařízením opřením svého zpracování dat o jiný právní základ při zajištění, aby toto zpracování nadále probíhalo korektně a odpovědným způsobem, musí být zpracovatelské činnosti zastaveny. Správce každopádně musí dodržovat zásady zákonného, korektního a transparentního zpracování.

9. Často kladené otázky

[Bude doplněno po skončení veřejné konzultace k tomuto dokumentu.]

Mohlo by vás zajímat

1 Článek 9 Obecného nařízení poskytuje seznam možných výjimek ze zákazu zpracování zvláštních kategorií údajů. Jednou z těchto výjimek je situace, kdy subjekt údajů udělí výslovný souhlas k použití takových dat.
2 Viz také Stanovisko 15/2011 k definici souhlasu (WP 187), str. 6-8, a/nebo Stanovisko 6/2014 k pojmu oprávněných zájmů správce podle článku 7 směrnice 95/46/ES (WP 217), str. 9, 10, 13 a 14.
3 Viz především Stanovisko 15/2011 k definici souhlasu (WP 187).
4 Stanovisko 15/2011, stránka 8, kde je definice souhlasu (WP 187).
5 Viz také Stanovisko 15/2011 k definici souhlasu (WP 187) a článek 5 Obecného nařízení.
6 Podle článku 9 navrhovaného Nařízení o soukromí a elektronických komunikacích se použijí definice a podmínky souhlasu podle článku 4 odst. 11 a článku 7 Obecného nařízení.
7 Viz Stanovisko 3/2016 o vyhodnocení a revizi Směrnice o ochraně soukromí v elektronických komunikacích (WP240).
8 Viz článek 94 Obecného nařízení
9 Souhlas byl ve směrnici 95/46/ES definován jako „jakýkoli svobodný, výslovný a vědomý projev vůle, kterým subjekt údajů dává své svolení k tomu, aby osobní údaje, které se jej týkají, byly předmětem zpracování“, který musí být „nezpochybnitelně udělen“, aby zpracování osobních údajů bylo zákonné (Článek 7 písm. a) směrnice 95/46/ES). Viz také Stanovisko WP29 15/2011 k definici souhlasu (WP187), kde jsou příklady náležitého souhlasu jako právního základu.WP29 v tomto stanovisku dala návod, jak rozlišit případy, kdy je náležitým právním důvodem souhlas od těch, kde odůvodnění legitimním zájmem (popřípadě s možností využít opt-out) je postačující nebo kde by byl doporučen smluvní vztah. Viz také Stanovisko WP29 06/2014, oddíl III. 1.2, str. 14 a dále. Výslovný souhlas je také jednou z výjimek ze zákazu zpracovávat zvláštní kategorie údajů: Viz článek 9 Obecného nařízení.
10 Pro návod ohledně již probíhajících zpracovatelských činností opřených o souhlas podle směrnice 95/46 viz kapitola 7 tohoto dokumentu a recitál 171 Obecného nařízení.
11 WP29 v několika stanoviskách zkoumala hranice souhlasu v situacích, kdy nemůže být udělen svobodně. Jde zejména o Stanovisko 15/2011 k definici souhlasu (WP187), Pracovní dokument o zpracování osobních údajů týkajících se zdraví v elektronických zdravotních záznamech (WP131), Stanovisko 8/2001 ke zpracování osobních údajů v souvislosti se zaměstnáním (WP48) a Druhé stanovisko 4/2009 k Mezinárodnímu standardu pro ochranu soukromí a osobních údajů přijatému Světovou antidopingovou agenturou (WADA) k souvisejícím ustanovením kodexu WADA a dalším otázkám ochrany soukromí v souvislosti s bojem agentury WADA a (vnitrostátních) antidopingových organizací proti dopingu ve sportu (WP162).
12 Viz Stanovisko 15/2011 k definici souhlasu (WP187), str. 12.
13 Viz recitál 42 a 43 Obecného nařízení a Stanovisko WP29 15/2011 k definici souhlasu, přijaté 13. července 2011 (WP187), str. 12.
14 Recitál 43 Obecného nařízení říká: „S cílem zajistit, aby byl souhlas svobodný, by vyjádření souhlasu nemělo představovat platný právní důvod pro zpracování osobních údajů ve zvláštním případě, kdy mezi subjektem údajů a správcem existuje jasná nerovnováha, zejména pokud je správce orgánem veřejné moci, a je tedy nepravděpodobné, že za všech okolností této konkrétní situace. (…)“
15 Viz článek 6 Obecného nařízení, zvláště odst. 1 písm. c) a odst. 1 písm. e).
16 Veřejnou školou se v tomto příkladě rozumí škola financovaná z veřejných zdrojů nebo jakékoliv vzdělávací zařízení, které je ve smyslu národního práva v postavení veřejného orgánu nebo veřejného subjektu.
17 Viz také článek 88 Obecného nařízení, kde je zdůrazněna potřeba chránit specifické zájmy zaměstnanců a členským státům je dána možnost odchylky.
18 Viz Stanovisko 15/2011 k definici souhlasu (WP187), str. 12-14, Stanovisko 8/2001 ke zpracování osobních údajů v souvislosti se zaměstnáváním (WP48), kapitola 10, Pracovní dokument o sledování elektronické komunikace na pracovišti (WP55), oddíl 4.2 a Stanovisko 2/2017 ke zpracování dat na pracovišti (WP249), oddíl 6.2.
19 Viz Stanovisko 2/2017 ke zpracování dat na pracovišti, str. 6-7
20 Viz Stanovisko 2/2017 ke zpracování dat na pracovišti , oddíl 6.2.
21 Článek 7(4) GDPR: „Při posuzování toho, zda je souhlas svobodný, musí být důsledně zohledněna skutečnost, zda je mimo jiné plnění smlouvy, včetně poskytnutí služby, podmíněno souhlasem se zpracováním osobních údajů, které není pro plnění dané smlouvy nutné“ Viz také recitál 43 Obecného nařízení, kde se praví: „Lze předpokládat, že souhlas není svobodný, není-li možné vyjádřit samostatný souhlas s jednotlivými operacemi zpracování osobních údajů, i když je to v daném případě vhodné, nebo je-li plnění smlouvy, včetně poskytnutí služby učiněno závislým na souhlasu, i když to není pro toto plnění nezbytné.“
22 Další informace a příklady jsou uvedeny ve Stanovisku 06/2014 k pojmu oprávněných zájmů správce údajů podle článku 7 směrnice 95/46/ES, schváleném Pracovní skupinou WP29 dne 9. dubna 2014, str. 16-17 (WP217).
23 Viz také Obecné nařízení, článek 9 odst. 2.
24 Viz Obecné nařízení, článek 7 odst. 1, který říká, že správce musí být schopen doložit, že subjekt údajů udělil souhlas svobodně.
25 Tento paragraf do jisté míry kodifikuje stávající pokyny WP29. Jak je popsáno ve stanovisku 15/2011, v případě, kdy je subjekt údajů pod vlivem správce – vzhledem k povaze jejich vztahu nebo ke zvláštním okolnostem – může zde existovat silný předpoklad, že svobodnost souhlasu je v takovýchto souvislostech omezena (např. u zaměstnaneckého poměru nebo pokud sběr dat provádí veřejný orgán). S platností článku 7 odst. 4 bude pro správce obtížnější prokázat, že subjekt údajů udělil svůj souhlas svobodně. Viz: Stanovisko 15/2011 k definici souhlasu (WP187), str. 12-17.
26 Další pokyny ohledně stanovení „účelů“ lze nalézt ve Stanovisku 3/2013 k účelovému omezení (WP203).
27 Obecné nařízení v recitálu 43 praví, že samostatný souhlas s jednotlivými operacemi zpracování bude potřeba vždy, kdy to bude vhodné. Možnosti vrstevnatého souhlasu by měly subjektům údajů umožnit udělení souhlasu samostatně pro různé účely.
28 Viz Stanovisko WP29 3/2013 k účelovému omezení (WP203), str. 16: „Z těchto důvodů, je-li účel stanoven vágně nebo obecně, jako například zdokonalení uživatelského zážitku, marketingové účely, účely IT bezpečnosti nebo budoucí výzkum obvykle nesplní – bez dalšího upřesnění – kritéria „určitosti“.“
29 Což je v souladu se Stanoviskem WP29 15/2011 k definici souhlasu (WP187), například str. 17.
30 Viz také recitál 42 v Obecném nařízení
31 Viz také Stanovisko WP29 15/2011 k definici souhlasu (WP187), str.19-20
32 Viz například recitál 42 v Obecném nařízení: “[…] Aby se zajistilo, že souhlas bude informovaný, měl by subjekt údajů znát alespoň totožnost správce a účely zpracování, k nimž jsou jeho osobní údaje určeny […] .”
33 Viz také Vodítka WP29 k automatizovanému individuálnímu rozhodování a profilování podle Nařízení 2016/679 (WP251), oddíl IV.B, str. 20 a dále.
34 Viz také Stanovisko WP29 15/2011 k definici souhlasu (WP 187), str. 19
35 Vyjádření souhlasu musí být jako takové nazváno. Věta jako „Vím, že…“ nesplňuje požadavek jasného jazyka.
36 Viz článek 4 odst. 11 a článek 7 odst. 2 Obecného nařízení.
37 Viz také recitál 58 ohledně informace srozumitelné dětem.
38 Viz také recitál 42 a směrnice 93/13/ES, především článek 5 (jasný a srozumitelný jazyk a při pochybnosti převaha výkladu, který je pro spotřebitele nejpříznivější) a článek 6 (neplatnost nepřiměřených podmínek, smlouva zůstává závaznou, může-li existovat bez dotyčných nepřiměřených podmínek, jinak neplatná jako celek).
39 Je třeba si uvědomit, že pokud totožnost správce nebo účel zpracování není zřejmý z první informační části rozvrstveného oznámení o ochraně soukromí (a jsou k nalezení v dalších pododdílech), bude pro správce obtížné prokázat, že subjekt údajů udělil informovaný souhlas, ledaže by správce dokázal, že dotyčný subjekt údajů se k informaci dostal ještě před udělením souhlasu.
40 Viz Pracovní dokument útvarů Komise, Posouzení dopadů, příloha 2, str. 20 a také str. 105-106: „Jak rovněž zdůrazněno ve stanovisku k souhlasu přijatém WP29, zdá se být zásadním objasnit, že platný souhlas vyžaduje použití takových mechanismů, které nezanechají pochybnost o záměru subjektu údajů udělit souhlas, přičemž jasně říká, že – v souvislosti s prostředím internetu – použití defaultních řešení, která od subjektu údajů vyžadují nějakou úpravu, aby tak odmítnul zpracování které (´souhlas mlčením‘) nepředstavuje samo o sobě jednoznačný souhlas. To by jednotlivcům dalo větší kontrolu nad svými daty všude tam, kde je zpracování opřeno o souhlas. Pokud jde o dopad na správce, toto nebude mít významný vliv, jelikož jde pouze o vyjasnění a lepší vyjádření důsledků nynější směrnice ve vztahu k podmínkám platného a smysluplného souhlasu subjektu údajů. Především v tom smyslu že „výslovný“ souhlas by vyjasnil – nahrazením slova „jednoznačný“ – možnosti a kvalitu souhlasu a že nemá rozšiřovat počet případů a situací, kdy (výslovný) souhlas by měl být použit jako podklad pro zpracování, a tedy se neočekává žádný významný dopad tohoto opatření na správce.“
41 Viz článek 7 odst. 2, a také Pracovní dokument 02/2013 k získávání souhlasu s cookies (WP208), str. 3 -6.
42 Viz Obecné nařízení, recitál 32.
43 WP29 zaujímala tento postoj soustavně od uveřejnění Stanoviska 15/2011 k definici souhlasu (WP187), str. 30-31.
44 Podle článku 49 (odst. 1 písm. a) Obecného nařízení může výslovný souhlas zrušit zákaz předání dat do zemí bez odpovídající legislativy pro ochranu osobních údajů. Viz také Pracovní dokument k jednotnému výkladu článku 26 odst. 1 směrnice 95/46/ES ze dne 24. října 1995 (WP114), str. 11, kde WP29 uvedla, že souhlas s předáním dat probíhajícím opakovaně nebo průběžně není vhodný.
45 V článku 22 zavádí Obecné nařízení ustanovení k ochraně subjektů údajů vůči rozhodování založenému výhradně na automatizovaném zpracování, včetně profilování. Taková rozhodnutí jsou však za jistých právních podmínek povolena. Souhlas hraje u tohoto ochranného mechanismu klíčovou roli, neboť článek 22, odst. 2 písm. c) Obecného nařízení jasně stanoví, že správce může činit automatizovaná rozhodnutí, včetně profilování, která se mohou významně dotýkat jednotlivce, s výslovným souhlasem subjektu údajů. WP29 k tomuto tématu zpracovala samostatná vodítka: WP29 Vodítka k automatizovanému individuálnímu rozhodování a profilování podle Nařízení 2016/679, 3. října 2017 (WP251).
46 Viz také Stanovisko WP29 15/2011, k definici souhlasu (WP187), str. 25.
47 Tento příklad nemá vliv na Nařízení Evropského parlamentu a Rady (EU) č. 910/2014 ze dne 23. července 2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu.
48 Viz pokyny WP29 k transparentnosti. [Citace bude k dispozici později]
49 WP29 pojednala toto téma ve stanovisku k souhlasu (viz Stanovisko 15/2011 k definici souhlasu (WP187), str. 9, 13, 20, 27 a 32-33) a, mimo jiné, ve stanovisku k používání lokalizačních dat (viz Stanovisko 5/2005 k používání lokalizačních údajů v souvislosti s poskytováním služeb s přidanou hodnotou (WP115), str. 7).
50 Viz také Stanovisko WP29 4/2010 k evropskému kodexu chování FEDMA pro používání osobních údajů v přímém marketingu (WP174) a Stanovisko k používání lokalizačních údajů v souvislosti s poskytováním služeb s přidanou hodnotou (WP115).
51 Recitál 39 Obecného nařízení, který se odvolává na články 13 a 14 tohoto nařízení, říká, že „Fyzické osoby by měly být upozorněny na to, jaká rizika, pravidla, záruky a práva existují v souvislosti se zpracováním jejich osobních údajů a jak mají v souvislosti s tímto zpracováním uplatňovat svá práva.
52 Viz článek 17 odst. 1 písm. b) a odst. 3.
53 Nemá vliv na možnost, aby členský stát zákonem stanovil jiný věkový limit (viz článek 8 odst. 1).
54 Recitál 58 Obecného nařízení tuto povinnost potvrzuje, když říká, že tam, kde je to případné, měl by správce zajistit, aby poskytovaná informace byla srozumitelná dětem.
55 Podle článku 4 odst. 25 Obecného nařízení se službou informační společnosti rozumí služba definovaná pod písm. b) článku 1 odst. 1 směrnice 2015/1535: „b)„službou“ jakákoli služba informační společnosti, tj. každá služba poskytovaná zpravidla za úplatu, na dálku, elektronicky a na individuální žádost příjemce služeb. Pro účely této definice se rozumí:i) „službou poskytovanou na dálku“ služba poskytovaná bez současné přítomnosti stran, ii) „službou poskytovanou elektronicky“ služba odeslaná z výchozího místa a přijatá v místě jejího určení prostřednictvím elektronického zařízení pro zpracování (včetně digitální komprese) a uchovávání dat a jako celek odeslaná, přenesená nebo přijatá drátově, rádiově, opticky nebo jinými elektromagnetickými prostředky, iii) „službou poskytovanou na individuální žádost příjemce služeb“ služba poskytovaná přenosem dat na individuální žádost. Indikativní výčet služeb, které nespadají pod tuto definici, je v příloze I uvedené směrnice. Viz také recitál 18 směrnice 2000/31.
56 Zde je možno odkázat, jak definuje „dítě” Úmluva OSN o právech dítěte. V článku 1 říká: „[…]se dítětem rozumí každá lidská bytost mladší osmnácti let, pokud podle právního řádu, jenž se na dítě vztahuje, není zletilosti dosaženo dříve. Viz OSN, Rezoluce Valného shromáždění 44/25 ze dne 20. listopadu 1989.
57 Viz ESD, 2. prosince 2010 Případ C-108/09, (Ker-Optika), odstavce 22 a 28. Ohledně pojmu „smíšené služby“ odkazuje WP29 také na stanovisko generálního advokáta ve věci C-434/15 (Asociacion Profesional Elite Taxi v Uber Systems Spain SL. (odst. 30-), body 17) a 3. Stanovisko generálního advokáta říká, že v případech, kdy dvě výše popsané části tvoří nedílný celek, bude smíšená služba spadat pod pojem „služba informační společnosti”, pokud hlavní složka (nebo veškeré hlavní prvky) služby splňuje danou definici. Sem bude spadat také internetový prodej zboží.
58 I když to ve všech případech nemusí být neprůstřelné řešení, jde o příklad, jak se vypořádat s daným ustanovením.
59 Viz Stanovisko WP29 5/2009 k internetovým sociálním sítím (WP163).
60 WP 29 poznamenává, že ne vždy je osoba vykonávající rodičovskou zodpovědnost biologickým rodičem dítěte a rodičovská zodpovědnost může být vykonávána různě, a to jak právnickými, tak fyzickými osobami.
61 Například by bylo možné požádat rodiče nebo opatrovníka o zaplacení částky 0,01 eur bankovním převodem správci včetně stručného potvrzení v kolonce popisu transakce, že majitel tohoto bankovního účtu je osoba, která vykonává rodičovskou zodpovědnost vůči uživateli. V náležitých případech by měl být poskytnut alternativní způsob ověření, aby se předešlo nepatřičné diskriminaci osob, které bankovní účet nemají.
62 Viz například recitál 156. Zpracování osobních údajů pro vědecké účely by mělo být v souladu i s dalšími příslušnými právními předpisy, upravujícími například klinická hodnocení, viz recitál 156, kde se má na mysli Nařízení Evropského parlamentu a Rady (EU) č. 536/2014 ze dne 16. dubna 2014 o klinických hodnoceních humánních léčivých přípravků. Viz také Stanovisko WP29 15/2011 k definici souhlasu (WP187), str. 7: „Získání souhlasu navíc neruší povinnosti správce podle článku 6 ohledně korektnosti, nutnosti a přiměřenosti, jakož i kvality dat. Například, i když je zpracování osobních údajů založeno na souhlasu uživatele, neopravňuje to sběr dat, která jsou nadbytečná v souvislosti s konkrétním účelem […] Je zásadou, že souhlas by neměl být brán jako výjimka z jiných zásad ochrany dat, nýbrž jako záruka. Je to v první řadě základ zákonnosti a nezprošťuje od uplatnění dalších zásad.“
63 Také další opatření ohledně transparentnosti mohou být užitečná. Pokud se správci pustí do zpracování dat pro vědecké účely, přičemž úplnou informaci není možné poskytnout hned zpočátku, mohou určit kontaktní osobu, na kterou se subjekty údajů mohou obracet s dotazy.
64 Taková možnost je uvedena v článku 14 odst. 1 nynějšího finského zákona o osobních údajích (Henkildtietolaki,523/1999)
65 Nemělo by zde dojít k mylnému výkladu článku 17 Obecného nařízení („právo být zapomenut“), který stanovuje výjimku pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu atd. nebo pro statistické účely v souladu s článkem 89 odst. 1. Avšak správci i tak budou potřebovat právní důvod podle článku 6 Obecného nařízení pro uchovávání těchto dat.
66 Viz také Stanovisko WP29 05/2014 k technikám anonymizace (WP216).
67 V případech, kdy určité zpracovatelské činnosti jsou omezeny v souladu s článkem 18 Obecného nařízení, může pro zrušení těchto omezení být nutný souhlas subjektu údajů.
68 Recitál 171 Obecného nařízení říká: „Směrnice 95/46/ES by tudíž měla být tímto nařízením zrušena. Zpracování, které již ke dni použitelnosti tohoto nařízení probíhá, by mělo být uvedeno v soulad s tímto nařízením ve lhůtě dvou let ode dne vstupu tohoto nařízení v platnost. Je-li toto zpracování založeno na souhlasu podle směrnice 95/46/ES, není nutné, aby subjekt údajů znovu udělil svůj souhlas, pokud je způsob udělení daného souhlasu v souladu s podmínkami tohoto nařízení, s cílem umožnit správci pokračovat v tomto zpracování i po dni použitelnosti tohoto nařízení. Přijatá rozhodnutí Komise a schválení dozorových úřadů vycházející ze směrnice 95/46/ES by měla zůstat v platnosti, dokud nebudou změněna, nahrazena nebo zrušena.“

aktualizováno 29.1.2018

Vodítka – GDPR souhlas se zpracováním

Vodítka k souhlasu podle GDPR nařízení

I. Úvod

2. Souhlas v článku 4 odst. 11 Obecného nařízení

3. Prvky platného souhlasu

3.1. Svobodnost¹¹

3.1.1. Nerovnováha postavení

3.1.2. Podmíněnost

3.1.3. Vrstevnatost

3.1.4. Poškození

3.2. Určitost

3.3. Informovanost

3.3.1. Minimální obsahové požadavky na „informovaný“ souhlas

3.3.2. Jak poskytnout informace

3.4. Jednoznačný projev vůle

3.4.1. Souhlas udělený elektronicky

4. Získání výslovného souhlasu

5. Další podmínky pro získání platného souhlasu

5.1. Doložení souhlasu

5.2. Odvolání souhlasu

6. Vzájemný vztah mezi souhlasem a dalšími zákonnými důvody v článku 6 Obecného nařízení

7. Specifické oblasti pojednané v Obecném nařízení

7.1. Děti (Článek 8)

7.1.1. Služba informační společnosti

7.1.2. Nabídka přímo dítěti

7.1.3. Věk

7.1.4. Souhlas dítěte a rodičovská odpovědnost

7.2. Vědecký výzkum

7.3. Práva subjektu údajů

8. Souhlas získaný podle směrnice 95/46/ES

9. Často kladené otázky

Mohlo by vás zajímat

Košík

Přihlášení

Vodítka – GDPR souhlas se zpracováním

Vodítka k souhlasu podle GDPR nařízení

I. Úvod

2. Souhlas v článku 4 odst. 11 Obecného nařízení

3. Prvky platného souhlasu

3.1. Svobodnost11

3.1.1. Nerovnováha postavení

3.1.2. Podmíněnost

3.1.3. Vrstevnatost

3.1.4. Poškození

3.2. Určitost

3.3. Informovanost

3.3.1. Minimální obsahové požadavky na „informovaný“ souhlas

3.3.2. Jak poskytnout informace

3.4. Jednoznačný projev vůle

3.4.1. Souhlas udělený elektronicky

4. Získání výslovného souhlasu

5. Další podmínky pro získání platného souhlasu

5.1. Doložení souhlasu

5.2. Odvolání souhlasu

6. Vzájemný vztah mezi souhlasem a dalšími zákonnými důvody v článku 6 Obecného nařízení

7. Specifické oblasti pojednané v Obecném nařízení

7.1. Děti (Článek 8)

7.1.1. Služba informační společnosti

7.1.2. Nabídka přímo dítěti

7.1.3. Věk

7.1.4. Souhlas dítěte a rodičovská odpovědnost

7.2. Vědecký výzkum

7.3. Práva subjektu údajů

8. Souhlas získaný podle směrnice 95/46/ES

9. Často kladené otázky

Mohlo by vás zajímat

Košík

Přihlášení

3.1. Svobodnost¹¹