27. 11. 2017
ID: 106690upozornění pro uživatele
Nenechme se strašit souhlasy
K tomuto příspěvku nás podnítila dosavadní zkušenost při implementaci pravidel GDPR[1] (dále jen „obecné nařízení“) a očekávání našich klientů od nové právní úpravy. Smyslem tohoto článku není detailní rozbor problematiky souhlasu, ale jen upozornit, že správce by se měl nejprve zamyslet, než se do obstarávání souhlasů pustí.
 |
Naší zkušeností je, že klienti vnímají obecné nařízení jako zásadní revoluci na poli osobních údajů. Jelikož jde o regulaci zavedenou příkazem EU, očekávají i vyšší byrokratické nároky. Z tohoto důvodu musíme často korigovat představy klientů, kteří se domnívají, že na každé využití osobních údajů budou muset získat písemný souhlas subjektu údajů. Banky zřizují oddělení, která generují tisíce souhlasů denně, aby stihly získat souhlasy všech údajů do data účinnosti obecného nařízení. Klienti, kteří musí ze zákona monitorovat své provozovny, se zase obávají, že každý vstoupivší jim bude muset odevzdat informovaný souhlas s monitorováním. Když jim souhlas nebude udělen, odepřou potenciálnímu zákazníkovi přístup.
Podstata souhlasu
V tomto ohledu je ovšem nutno opakovaně zdůraznit, že získávání souhlasu na každý kontakt či operaci se subjektem údajů rozhodně není smyslem obecného nařízení. Naopak, jak upozorňují dozorové úřady[2] a jak ostatně vyplývá i ze stávající úpravy a obecného nařízení, souhlas je jedním z rovnocenných důvodů pro zpracování osobních údajů. Souhlas může, jako důvod zpracování osobních údajů, být využit pouze, pokud budou splněny podmínky pro udělení souhlasu. Tyto základní podmínky jsou:
- 1. Subjekt údajů musí udělit souhlas svobodně;
- 2. Souhlas musí být informovaný;
- 3. Souhlas může být kdykoliv odvolán.
- 1. Správce je v pozici síly - jedná se např. o orgán veřejné moci nebo zaměstnavatele,
- 2. Správce bude zpracovávat osobní údaje na základě zákona navzdory tomu, že byl souhlas odmítnut nebo vzat zpět (kupříkladu monitorování prodejny z důvodu ochrany před krádeží) a
- 3. Souhlas je vyžadován jako předpoklad pro poskytnutí služeb (např. poskytnutí fotografií fotografické laboratoři za účelem jejich vyvolání).
Na druhou stranu i dle českého zákona platí, že souhlas nemůže být vyžadován tam, kde je např. zákonná povinnost osobní údaje zpracovat. Takový souhlas je jak podle obecného nařízení, tak podle současného zákona považován za udělený v rozporu se zákonem.
Uveďme příklad: Každý se určitě praxi setkal s pracovní smlouvou, kde zaměstnanec uděluje souhlas se zpracováním osobních údajů pro účely mzdové agendy, zejména odvodů na sociální a zdravotní pojištění nebo daňových povinností. Úřad pro ochranu osobních údajů v tomto případě opakovaně zdůrazňoval, že v tomto případě není v souladu se zákonem souhlas požadovat.[6] Tento přístup bude nutno aplikovat v rozšířeném počtu případů i za účinnosti obecného nařízení, kde je souhlas upozaděn za ostatní právní tituly pro zpracování osobních údajů.
Získání nového souhlasu
V souladu s recitálem 171 obecného nařízení rovněž není nezbytné udělit s účinností nařízení souhlas nový, jestliže byl stávající souhlas udělen způsobem, který je v souladu s podmínkami obecného nařízení. Při implementaci obecného nařízení je správce postaven před potřebu posoudit, zda stávající souhlas subjektu údajů byl udělen v souladu s obecným nařízením. Až na základě této úvahy by měl správce zvážit další postup – tj. nutnost získání nových souhlasů nebo nalezení jiného důvodu zpracování, např. oprávněný zájem správce osobních údajů.
Poučení pro správce
Snažte se vždy najít jiný důvod než je souhlas subjektu osobních údajů. Ideálním výslovně doporučeným důvodem jsou oprávněné zájmy správce. Pod tento důvod zpracování můžete podřadit např. monitorování pokladníka při nakládání s hotovostí, předání údajů poštovnímu přepravci nebo předávání údajů inkasní agentuře. Ve své podstatě představuje obecné nařízení větší racionalizaci procesů týkajících se zpracování osobních údajů.
Závěr
Náš článek naznačil pouze několik aspektů udělování souhlasu se zpracováním osobních údajů. Rozhodně nedoporučujeme pouze na základě shora uvedených závěrů si učinit obrázek o správnosti nebo nesprávnosti Vašeho počínání při zpracování osobních údajů. Zejména problematika souhlasu je velmi komplexní a skutečná opatření je možno přijmout až v závislosti na komplexní audit zpracovávání osobních údajů u daného správce. Správce by měl na základě auditu racionalizovat své postupy.
JUDr. Martin Švéda,
advokát, Partner
Mgr. Václav Svoboda,
advokát
Rödl & Partner, advokáti, v.o.s.
Platnéřská 2
110 00 Praha 1
Tel.: +420 236 163 111
e-mail: prag@roedl.cz
__________________________________
[1] Nařízení (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
[2] Např. český ÚOOÚ ve stanovisku Desatero omylů o GDPR ze dne 25.05.2017, odpovědná osoba Paták T. nebo britský ICO v Consulation: GDPR consent guidance ze dne 31.03.2017.
[3] Zákon č. 101/2000 Sb. o ochraně osobních údajů a o změně některých zákonů, v platném znění.
[4] O důvod zpracování oprávněně zveřejněných údajů (např. údaje v obchodním rejstříku) nebo pro účely archivnictví dle zvláštního zákona.
[5] Dostupné na www, k dispozici >>> zde.
[6] Dostupné na www, k dispozici >>> zde.
© EPRAVO.CZ – Sbírka zákonů , judikatura, právo | www.epravo.cz
