GDPR – souhlas se zpracováním osobních údajů

GDPR souhlas se zpracováním osobních údajů je jedním ze šesti právních základů pro zpracování osobních údajů. Co má přesně obsahovat? GDPR nařízení jej definuje jako: „jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.“ (Článek 4 odst. 11)

Nyní jsou platné pouze souhlasy subjektu údajů, které odpovídají požadavkům nového zákona o ochraně osobních údajů.

 

Přípravu souhlasu i dalších částí GDPR dokumentace pro menší a středí firmy řešíme na workshopu 7.6. – více zde.

 

Souhlas se zpracováním osobních údajů dle GDPR musí být:

  • svobodný – odsouhlasení není podmínkou uzavření smlouvy či obchodu, není podepsán pod nátlakem např. zaměstnavatele
  • konkrétní – obsahuje jasně vymezený(é) účel(y) zpracování a je oddělený od ostatních prohlášení či obchodních podmínek
  • informovaný – jednoduchým jazykem vysvětluje důsledky zpracování, kdo všechno údaje dostane, jak jej lze odvolat
  • jednoznačný – osoba musí projevit svou vůli, nestačí „pokračování v používání webu“ či zaškrtnutí políčka s více účely

 

GDPR souhlas obecně může být odpovídajícím právním základem jen, pokud je subjektu údajů umožněna kontrola a opravdový výběr s ohledem na přijmutí nabízených podmínek nebo jejich odmítnutí, aniž by tím byl poškozen. Při žádosti o souhlas správce musí zvážit, zda splní veškeré požadavky na platný souhlas. Není-li souhlas v souladu, pak kontrola subjektu údajů bude iluzorní a souhlas neplatný, čímž se zpracovatelská činnost stane nezákonnou.

Důležitým kritériem je skutečná možnost volby, proto pracovní skupina WP29 víceméně vylučuje využití GDPR souhlasu se zpracováním osobních údajů státními orgány a omezuje do značné míry jeho využití zaměstnavateli. V případě, kdy existuje významná nerovnováha v postavení subjektu údajů a správce, je obtížné prokázat, že souhlas byl dán svobodně bez nátlaku, a proto je vhodné hledat jiný právní titul pro zpracování osobních údajů. Výtah z návodu evropského regulátora najdete v textu níže, kompletní znění zde: vodítka ke GDPR souhlasu se zpracováním osobních údajů a zde podrobný návod na GDPR v personalistice a HR.

 

Kdy je vhodné souhlas použít?

Před spuštěním jakékoli činnosti zahrnující zpracování osobních údajů musí správce vyhodnotit, na základě jakého právního titulu bude zpracování probíhat. Je obecným pravidlem, že zpracování pro jeden konkrétní účel nemůže být založeno na několika právních základech. Pokud bude zpracování probíhat na základě souhlasu, musí jej získat ještě předtím, než začne s daty pracovat. Souhlas bude nezbytný nejčastěji pro marketingové účely – pro většinu reklamních sdělení, pro marketingová volání, a také pro postupy online sledování včetně užívání cookies.

 

Atributy platného GDPR souhlasu

Podívejme se nyní na zmíněné hlavní atributy platného GDPR souhlasu:

Svobodný souhlas

Aby byl souhlas svobodný, musí mít subjekt údajů skutečně na výběr, zda se rozhodne jej udělit či ne a to bez negativních následků. Například pokud je souhlas součástí smluvních podmínek v pasáži, kterou nelze změnit, pak takový souhlas nebyl udělen svobodně. Podobně se nejedná o svobodně udělený souhlas v případě, kdy subjekt údajů nemá možnost odmítnout nebo odvolat souhlas, aniž by došel újmy.

Dalším předpokladem svobodného udělení souhlasu, je to, že je nepodmíněný – zpracování osobních údajů, pro které je vyžadován, není přímo nebo nepřímo protislužbou za plnění smlouvy. Správce musí být schopen prokázat, že souhlas je možné odmítnout nebo odvolat bez toho, že by tím byl subjekt údajů poškozen, například vícenáklady nebo omezením služby. Vrstevnatost je dalším z atributů svobodně uděleného souhlasu – pokud služba zahrnuje více operací zpracování pro více účelů, subjekt údajů má mít volbu, který z těchto účelů bude akceptovat a neměl by být nucen souhlasit s celým balíkem účelů zpracování.

Konkrétní souhlas

Souhlas musí být udělen pro jeden nebo více konkrétních účelů. K zajištění souladu s tímto požadavkem je třeba:

  • Před získáním souhlasu jednoznačně stanovit účel zpracování. Tento postup funguje také jako pojistka proti postupnému rozšiřování nebo rozostření účelů zpracování poté, co subjekt údajů souhlasil s původním sběrem dat.
  • Je-li to potřebné, zajistit vrstevnatost žádostí o souhlas. Správce žádající o souhlas k několika různým účelům by měl poskytnout samostatnou volbu opt-in pro každý účel.
  • Oddělit informace o udělení souhlasu od dalších témat.

Informovaný souhlas

K tomu, aby mohl subjekt údajů plně chápat svá práva a byl schopen je uplatnit, potřebuje mít ještě před udělením souhlasu dostatek informací. Minimální obsahové požadavky pro informovaný souhlas jsou následující:

  • totožnost správce,
  • účel každé z operací zpracování, pro které je žádáno o souhlas,
  • jaké údaje (druhy údajů) budou shromažďovány a používány,
  • existence práva odvolat souhlas,
  • informace o použití dat k rozhodnutím čistě na bázi automatizovaného zpracování, včetně profilování
  • týká-li se souhlas předávání údajů, pak o možných rizicích přenosu dat do třetích zemí.

Souhlas by měl být formulován jasným a jednoduchým jazykem, tak aby byl snadno srozumitelný průměrnému člověku, a také jasně odlišitelný od jiných témat. Tento požadavek v zásadě znamená, že informace podstatné pro informované rozhodnutí ohledně udělení souhlasu nesmí být skryty ve všeobecných obchodních podmínkách.

Souhlas jako jednoznačný projev vůle

Souhlas udělený v souladu s GDPR je jednoznačný projev vůle – aktivní úkon nebo prohlášení, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke 
zpracování svých osobních údajů. Jako jednoznačný projev vůle tedy není možné vnímat mlčení nebo nečinnost (např. předvyplněná políčka se souhlasem). Stejně tak není možné udělit souhlas tím samým krokem, kterým dojde k odsouhlasení smlouvy nebo přijetí obchodních podmínek.

Souhlas může být získán písemně, ústně, nebo prostřednictvím elektronických prostředků a je na správci, aby byl v případě potřeby schopen prokázat, že byl tímto způsobem získán a subjekty údajů zase musí mít možnost souhlas odvolat stejně snadno, jako ho daly.

Zvláštní kategorie – výslovný souhlas

V určitých situacích, kdy je nutná vysoká úroveň kontroly nad osobními daty, je vyžadován tzv. výslovný souhlas. Tento typ GDPR souhlasu se bude týkat zvláštní kategorie – citlivých osobních údajů, tedy údajů o rasovém či etnickém původu, politických názorech, náboženském nebo filozofickém vyznání, členství v odborech, o zdravotním stavu, sexuální orientaci a trestních deliktech či pravomocném odsouzení osob.

Subjekt údajů v tomto případě musí učinit výslovné prohlášení souhlasu a správce ověří, že prohlášení učinil sám subjekt údajů. V praxi to může proběhnout např. vyplněním elektronického formuláře s použitím elektronického podpisu, nebo dvoustupňovým ověřením pomocí ověřovacího emailu či SMS.

Odvolání souhlasu

Správce má povinnost zajistit odvolatelnost souhlasu, a to způsobem stejně snadným, jako bylo jeho udělení. Například pokud byl souhlas udělen pomocí webového rozhraní, musí být možné jej přes to samé rozhraní odvolat. Odvolání souhlasu musí být také bezplatné a nesmí omezit úroveň poskytované služby.

V případě, že subjekt údajů odvolá svůj souhlas se zpracováním, musí správce zastavit zpracování dotčených osobních údajů a měl by je smazat nebo anonymizovat. Pokud chce po odvolání souhlasu správce data dále zpracovávat na základě jiného právního důvodu, je v souladu se zásadou transparentnosti nutné o tom subjekt údajů informovat.

Práva subjektu údajů

Je-li zpracování osobních údajů založeno na souhlasu, může subjekt údajů nárokovat (Viz též Komentář ke GDPR – práva subjektů údajů):

  • právo na přenositelnost údajů
  • právo na omezení zpracování
  • právo na opravu
  • právo na přístup
  • právo na odvolání souhlasu
  • právo na výmaz
  • právo být zapomenut

Souhlasy získané ještě před účinností GDPR mohou, pokud svou kvalitou odpovídají požadavkům GDPR, zůstat v platnosti i po 25.5.2018. V tento okamžik je proto vhodné prověřit a případně revidovat již dříve udělené souhlasy a pokud nejsou plně v souladu s GDPR, pak připravit nové žádosti o souhlas se zpracováním osobních údajů.

 

Důvodová zpráva nařízení o GDPR souhlasu

Níže vybíráme konkrétní pasáže z recitálu GDPR nařízení, které se k podobě a smyslu souhlasu se zpracováním osobních údajů vyjadřují:

  • 39. Jakékoliv zpracování osobních údajů by mělo být prováděno zákonným a spravedlivým způsobem. Pro fyzické osoby by mělo být transparentní, že osobní údaje, které se jich týkají, jsou shromažďovány, používány, konzultovány nebo jinak zpracovávány, jakož i v jakém rozsahu tyto osobní údaje jsou či budou zpracovány. Zásada transparentnosti vyžaduje, aby všechny informace a všechna sdělení týkající se zpracování těchto osobních údajů byly snadno přístupné a srozumitelné a podávané za použití jasných a jednoduchých jazykových prostředků. Tato zásada se dotýká zejména informování subjektů údajů o totožnosti správce a účelech zpracování a o dalších záležitostech v zájmu zajištění spravedlivého a transparentního zpracování ve vztahu k dotčeným fyzickým osobám a jejich práva získat potvrzení a na sdělení zpracovávaných osobních údajů, které se jich týkají. Fyzické osoby by měly být upozorněny na to, jaká rizika, pravidla, záruky a práva existují v souvislosti se zpracováním jejich osobních údajů a jak mají v souvislosti s tímto zpracováním uplatňovat svá práva. Zejména je zapotřebí, aby konkrétní účely, pro které jsou osobní údaje zpracovávány, byly jednoznačné a legitimní a aby byly stanoveny v okamžiku shromažďování osobních údajů…
  • 40. Aby bylo zpracování zákonné, měly by být osobní údaje zpracovávány na základě souhlasu subjektu údajů nebo s ohledem na nějaký jiný legitimní základ stanovený právními předpisy, buď v tomto nařízení, nebo v jiném právním předpise Unie nebo členského státu, jak je uvedeno ve smyslu tzv. „GDPR směrnice„, mimo jiné i s ohledem na nezbytnost dodržení zákonné povinnosti, která se na správce vztahuje, nebo nezbytnost plnění smlouvy, jejíž stranou je subjekt údajů, nebo za účelem přijetí opatření na žádost subjektu údajů před uzavřením smlouvy.
  • 42. Pokud je zpracování založeno na souhlasu subjektu údajů, měl by být správce schopen prokázat, že subjekt údajů vyjádřil s danou operací zpracování souhlas. Zejména v případě písemného prohlášení souvisejícího s jinou skutečností by mělo být pomocí záruk zajištěno, že si je subjekt údajů vědom toho, že dává souhlas a v jakém rozsahu. V souladu se směrnicí Rady 93/13/EHS (10) by prohlášení o souhlasu navržené správcem mělo být poskytnuto ve srozumitelném a snadno přístupném znění za použití jasného a jednoduchého jazyka a nemělo by obsahovat nepřiměřené podmínky. Aby se zajistilo, že souhlas bude informovaný, měl by subjekt údajů znát alespoň totožnost správce a účely zpracování, k nimž jsou jeho osobní údaje určeny. GDPR souhlas by neměl být považován za svobodný, pokud subjekt údajů nemá skutečnou nebo svobodnou volbu nebo nemůže souhlas odmítnout nebo odvolat, aniž by byl poškozen.
  • 43. S cílem zajistit, aby byl souhlas svobodný, by vyjádření souhlasu nemělo představovat platný právní důvod pro zpracování osobních údajů ve zvláštním případě, kdy mezi subjektem údajů a správcem existuje jasná nerovnováha, zejména pokud je správce orgánem veřejné moci, a je tedy nepravděpodobné, že za všech okolností této konkrétní situace byl souhlas udělen svobodně. Lze předpokládat, že souhlas není svobodný, není-li možné vyjádřit samostatný souhlas s jednotlivými operacemi zpracování osobních údajů, i když je to v daném případě vhodné, nebo je-li plnění smlouvy, včetně poskytnutí služby učiněno závislým na souhlasu, i když to není pro toto plnění nezbytné.

 

GDPR nařízení, článek 12 – Transparentní informace, sdělení a postupy pro výkon práv subjektu údajů

1. Správce přijme vhodná opatření, aby poskytl subjektu údajů stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace uvedené v článcích 13 a 14 a učinil veškerá sdělení podle článků 15 až 22 a 34 o zpracování, zejména pokud se jedná o informace určené konkrétně dítěti. Informace poskytne písemně nebo jinými prostředky, včetně ve vhodných případech v elektronické formě. Pokud si to subjekt údajů vyžádá, mohou být informace poskytnuty ústně, a to za předpokladu, že identita subjektu údajů je prokázána jinými způsoby.

 

GDPR nařízení, článek 13 – Informace poskytované v případě, že osobní údaje jsou získány od subjektu údajů

1. Pokud se osobní údaje týkající se subjektu údajů získávají od subjektu údajů, poskytne správce v okamžiku získání osobních údajů subjektu údajů tyto informace:

  • a) totožnost a kontaktní údaje správce a jeho případného zástupce;
  • b) případně kontaktní údaje případného pověřence pro ochranu osobních údajů;
  • c) účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování;
  • d) oprávněné zájmy správce nebo třetí strany v případě, že je zpracování založeno na čl. 6 odst. 1 písm. f);
  • e) případné příjemce nebo kategorie příjemců osobních údajů;
  • f) případný úmysl správce předat osobní údaje do třetí země nebo mezinárodní organizaci a existenci či neexistenci rozhodnutí Komise o odpovídající ochraně nebo, v případech předání uvedených v článcích 46 nebo 47 nebo čl. 49 odst. 1 druhém pododstavci, odkaz na vhodné záruky a prostředky k získání kopie těchto údajů nebo informace o tom, kde byly tyto údaje zpřístupněny.

2. Vedle informací uvedených v odstavci 1 poskytne správce subjektu údajů v okamžiku získání osobních údajů tyto další informace, jsou-li nezbytné pro zajištění spravedlivého a transparentního zpracování:

  • a) doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby;
  • b) existence práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz, popřípadě omezení zpracování, a vznést námitku proti zpracování, jakož i práva na přenositelnost údajů;
  • c) pokud je zpracování založeno na čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a), existence práva odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování založená na GDPR souhlasu uděleném před jeho odvoláním;
  • d) existence práva podat stížnost u dozorového úřadu;
  • e) skutečnost, zda poskytování osobních údajů je zákonným či smluvním požadavkem, nebo požadavkem, který je nutné uvést do smlouvy, a zda má subjekt údajů povinnost osobní údaje poskytnout, a ohledně možných důsledků neposkytnutí těchto údajů;
  • f) skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v čl. 22 odst. 1 a 4, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.

3. Pokud správce hodlá osobní údaje dále zpracovávat pro jiný účel, než je účel, pro který byly shromážděny, poskytne subjektu údajů ještě před uvedeným dalším zpracováním informace o tomto jiném účelu a příslušné další informace uvedené v odstavci 2. [viz též Komentář ke GDPR – práva subjektů údajů]

4. Odstavce 1, 2 a 3 se nepoužijí, pokud subjekt údajů již uvedené informace má, a do té míry, v níž je má.

 

Mohlo by vás zajímat


Košík