27. 11. 2017
ID: 106690upozornění pro uživatele

Nenechme se strašit souhlasy

Zdroj: shutterstock.com

K tomuto příspěvku nás podnítila dosavadní zkušenost při implementaci pravidel GDPR[1] (dále jen „obecné nařízení“) a očekávání našich klientů od nové právní úpravy. Smyslem tohoto článku není detailní rozbor problematiky souhlasu, ale jen upozornit, že správce by se měl nejprve zamyslet, než se do obstarávání souhlasů pustí.

 
Rödl & Partner, advokáti, v.o.s. 
 
Shromažďovací horečka

Naší zkušeností je, že klienti vnímají obecné nařízení jako zásadní revoluci na poli osobních údajů. Jelikož jde o regulaci zavedenou příkazem EU, očekávají i vyšší byrokratické nároky. Z tohoto důvodu musíme často korigovat představy klientů, kteří se domnívají, že na každé využití osobních údajů budou muset získat písemný souhlas subjektu údajů. Banky zřizují oddělení, která generují tisíce souhlasů denně, aby stihly získat souhlasy všech údajů do data účinnosti obecného nařízení. Klienti, kteří musí ze zákona monitorovat své provozovny, se zase obávají, že každý vstoupivší jim bude muset odevzdat informovaný souhlas s monitorováním. Když jim souhlas nebude udělen, odepřou potenciálnímu zákazníkovi přístup.

Podstata souhlasu

V tomto ohledu je ovšem nutno opakovaně zdůraznit, že získávání souhlasu na každý kontakt či operaci se subjektem údajů rozhodně není smyslem obecného nařízení. Naopak, jak upozorňují dozorové úřady[2] a jak ostatně vyplývá i ze stávající úpravy a obecného nařízení, souhlas je jedním z rovnocenných důvodů pro zpracování osobních údajů. Souhlas může, jako důvod zpracování osobních údajů, být využit pouze, pokud budou splněny podmínky pro udělení souhlasu. Tyto základní podmínky jsou:

  • 1. Subjekt údajů musí udělit souhlas svobodně;
  • 2. Souhlas musí být informovaný;
  • 3. Souhlas může být kdykoliv odvolán.
Obecně platí, že pokud nemůžeme subjektu údajů poskytnout opravdovou možnost svobodně rozhodnout o užití jeho osobních údajů, není možno souhlas využít. Britský úřad pro ochranu osobních údajů shodně s recitálem č. 42 až 44 k obecnému nařízení, trefně shrnuje tři hlavní situace, kdy zřejmě nebude souhlas vhodným důvodem zpracování osobních údajů:

  • 1. Správce je v pozici síly - jedná se např. o orgán veřejné moci nebo zaměstnavatele,
  • 2. Správce bude zpracovávat osobní údaje na základě zákona navzdory tomu, že byl souhlas odmítnut nebo vzat zpět (kupříkladu monitorování prodejny z důvodu ochrany před krádeží) a
  • 3. Souhlas je vyžadován jako předpoklad pro poskytnutí služeb (např. poskytnutí fotografií fotografické laboratoři za účelem jejich vyvolání).
Je zřejmé, že ve shora uvedených případech buď chybí svobodná vůle subjektu údajů anebo je implikována. K tomu je třeba uvést, že dosavadní směrnice 95/46/ES v čl. 7 obsahovala totožný výčet důvodů zpracování jako obecné nařízení. Dosavadní český zákon o ochraně osobních údajů[3] tento výčet rozšířil.[4] Důvod zpracování na základě souhlasu se v českém prostředí od obecného pojetí v nařízení liší – souhlas je u nás brán jako primární důvod. Ostatní důvody jsou považovány za výjimky, které mají být vykládány restriktivně[5], tj. správce se předně má snažit vyložit zákon tak, že potřebuje souhlas se zpracováním osobních údajů a nespoléhat na ostatní důvody než je souhlas subjektu údajů.  Podmínka informovanosti, svobodné vůle a odvolatelnosti platí i podle českého zákona.

Na druhou stranu i dle českého zákona platí, že souhlas nemůže být vyžadován tam, kde je např. zákonná povinnost osobní údaje zpracovat. Takový souhlas je jak podle obecného nařízení, tak podle současného zákona považován za udělený v rozporu se zákonem.

Uveďme příklad: Každý se určitě praxi setkal s pracovní smlouvou, kde zaměstnanec uděluje souhlas se zpracováním osobních údajů pro účely mzdové agendy, zejména odvodů na sociální a zdravotní pojištění nebo daňových povinností. Úřad pro ochranu osobních údajů v tomto případě opakovaně zdůrazňoval, že v tomto případě není v souladu se zákonem souhlas požadovat.[6] Tento přístup bude nutno aplikovat v rozšířeném počtu případů i za účinnosti obecného nařízení, kde je souhlas upozaděn za ostatní právní tituly pro zpracování osobních údajů.

Získání nového souhlasu

V souladu s recitálem 171 obecného nařízení rovněž není nezbytné udělit s účinností nařízení souhlas nový, jestliže byl stávající souhlas udělen způsobem, který je v souladu s podmínkami obecného nařízení. Při implementaci obecného nařízení je správce postaven před potřebu posoudit, zda stávající souhlas subjektu údajů byl udělen v souladu s obecným nařízením. Až na základě této úvahy by měl správce zvážit další postup – tj. nutnost získání nových souhlasů nebo nalezení jiného důvodu zpracování, např. oprávněný zájem správce osobních údajů.

Poučení pro správce

Snažte se vždy najít jiný důvod než je souhlas subjektu osobních údajů. Ideálním výslovně doporučeným důvodem jsou oprávněné zájmy správce. Pod tento důvod zpracování můžete podřadit např. monitorování pokladníka při nakládání s hotovostí, předání údajů poštovnímu přepravci nebo předávání údajů inkasní agentuře. Ve své podstatě představuje obecné nařízení větší racionalizaci procesů týkajících se zpracování osobních údajů.

Závěr

Náš článek naznačil pouze několik aspektů udělování souhlasu se zpracováním osobních údajů. Rozhodně nedoporučujeme pouze na základě shora uvedených závěrů si učinit obrázek o správnosti nebo nesprávnosti Vašeho počínání při zpracování osobních údajů. Zejména problematika souhlasu je velmi komplexní a skutečná opatření je možno přijmout až v závislosti na komplexní audit zpracovávání osobních údajů u daného správce. Správce by měl na základě auditu racionalizovat své postupy.


JUDr. Martin Švéda

JUDr. Martin Švéda
,
advokát, Partner

Mgr. Václav Svoboda,
advokát
 

Rödl & Partner, advokáti, v.o.s.

Platnéřská 2
110 00  Praha 1

Tel.:    +420 236 163 111
e-mail:    prag@roedl.cz

Právnická firma roku 2017

__________________________________
[1] Nařízení (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
[2] Např. český ÚOOÚ ve stanovisku Desatero omylů o GDPR ze dne 25.05.2017, odpovědná osoba Paták T. nebo britský ICO v Consulation: GDPR consent guidance ze dne 31.03.2017.
[3] Zákon č. 101/2000 Sb. o ochraně osobních údajů a o změně některých zákonů, v platném znění.
[4] O důvod zpracování oprávněně zveřejněných údajů (např. údaje v obchodním rejstříku) nebo pro účely archivnictví dle zvláštního zákona.
[5] Dostupné na www, k dispozici >>> zde.
[6] Dostupné na www, k dispozici >>> zde.


© EPRAVO.CZ – Sbírka zákonů , judikatura, právo | www.epravo.cz