Souhlas subjektu údajů se zpracováním osobních údajů v kontextu plnění povinností stanovených správci zákonem

Ve vztahu k uvedenému a k posílení práv jednotlivce Nařízení GDPR zpřísnilo podmínky využívání souhlasu subjektu údajů jako právního titulu pro oprávněné zpracovávání osobních údajů. V souladu s Nařízením GDPR tak již nelze “přesouhlasovat” jakékoliv zpracování, jak bylo dříve zvykem zejména v poměrech České republiky, ale pouze takové, pro které neexistuje jiný právní titul. Souhlas subjektu údajů se tedy stal “posledním” právním titulem pro zpracování osobních údajů. 

Máme-li pochopit, proč by mohly nastat komplikace v případě, že zpracováváme osobní údaje na základě souhlasu subjektu údajů ve vztahu k plnění povinností správce, které mu přímo ukládá zákon, je třeba si v první řadě blíže připomenout, na jakých základech souhlas subjektu údajů stojí a co je jeho podstatou. 

Souhlas subjektu údajů musí být jednoznačným projevem vůle subjektu údajů, musí být svobodný a informovaný, a hlavně musí být kdykoliv odvolatelný. Na základě jeho odvolání je správce osobních údajů povinen přestat osobní údaje zpracovávat, neexistuje-li další právní důvod pro jejich zpracování^.[2]

Podstatou souhlasu je tedy jeho svobodnost, kdy jeho udělení nesmí být ničím podmíněno. Nelze tak souhlas vynucovat plněním smlouvy či jiným bonusovým plněním, na které by subjekt údajů bez udělení souhlasu neměl nárok. Obdobně jsou přímo Doporučeními skupiny WP29 předjímány situace, kdy se bude správci údajů obtížně prokazovat, že souhlas byl subjektem údajů udělen svobodně a dobrovolně. Půjde zejména o souhlasy zaměstnanců.[3] Souhlas je současně vždy zásadně odvolatelný, jeho udělení musí správce údajů prokazovat a jeho vyjádření musí být explicitní, tedy podmíněno jednáním subjektu údajů. Z uvedeného se dovozuje, že nelze udělovat konkludentní souhlas, souhlas musí být zaznamenán, tedy povětšinou udělen písemně, případně nahrán jako zvukový či obrazovo-zvukový záznam. Ve vztahu k informovanému souhlasu musí být subjekt údajů poučen o všech svých právech a povinnostech, které jsou se souhlasem se zpracováním osobních údajů spojeny, o době jeho trvání a přesném rozsahu zpracovávaných údajů a účelu, pro něž jsou osobní údaje zpracovávány.[4]

Na základě uvedeného můžeme přijmout tezi, že souhlas se zpracováním osobních údajů a navazující oprávněnost zpracování osobních údajů na jeho základě je svěřena výhradně do rukou subjektu údajů a je jím zcela ovládán. Subjekt údajů tak rozhoduje, zda bude správce oprávněn dané osobní údaje zpracovávat, po jak dlouhou dobu a v jakém rozsahu a pro jaké účely. Rámec souhlasu se zpracováním osobních údajů sice prvotně stanovuje správce osobních údajů, ale je to právě subjekt údajů, který se rozhoduje, do jaké míry požadované správci umožní. 

Současně je třeba připomenout, že existuje-li pro dané zpracování osobních údajů jiný právní titul, není možné je zpracovávat na základě souhlasu. Souhlas subjektu údajů by se v takovém případě stal nadbytečným a správce by postupoval v rozporu s Nařízením GDPR. 

Otázkou je, jak bude čl. 17 Nařízení GDPR, který řeší právo subjektu údajů na výmaz i ve vztahu k odvolání souhlasu subjektu údajů, limitovat výhradní dispoziční právo subjektu údajů.

Čl. 17 Nařízení GDPR stanovuje, že pokud subjekt údajů svůj souhlas odvolá, je správce povinen vše odstranit, nemá-li jiný právní důvod pro zpracování osobních údajů a stejně tak stanovuje, že právo na výmaz se neuplatní v případech, kdy jde o plnění právních povinností či určení, výkon nebo obhajobu právních nároků.[5]

Shrneme-li vše, co doposud víme tedy, že souhlas subjektu je výhradně v jeho dispozici a subjekt údajů sám rozhoduje o jeho délce trvání tím, že souhlas může kdykoliv odvolat. Nelze využít souhlasu subjektu údajů jako právního titulu ke zpracování, je-li k dispozici jiný právní titul a čl. 17 Nařízení GDPR stanovuje taxativně případy, kdy lze odmítnout bez výjimky žádost subjektu údajů o výmaz jeho osobních údajů, musím přijmout tezi, že dispozice subjektu se souhlasem je výrazně limitována ve vztahu k právnímu titulu plnění povinností stanovených správci zákonem členského státu či obranu práv správce.

Praktickou ukázkou výše uvedeného je již mnohokrát diskutovaná problematika pořizování kopií občanských průkazů pro potřeby identifikace subjektu údajů ve smyslu zákona č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti, v aktuálním znění (dále jen AML), kdy dle § 7 a násl. AML je povinná osoba povinna identifikovat subjekt údajů při uzavření obchodu. Identifikaci je povinna provést kontrolou osobních údajů subjektu z jeho občanského průkazu, a to jejich záznamem a kontrolou záznamu, když dle § 8 odst. 9 AML je povinná osoba oprávněna za tímto účelem pořídit kopii občanského průkazu subjektu údajů.[6]

Práva a povinnosti vyplývající ze zákona č. 328/1999 Sb., o občanských průkazech, v aktuálním znění (dále jen ZOP), kdy dle § 15a odst. 2 ZOP je zakázáno pořizovat kopie občanského průkazu bez souhlasu subjektu údajů, nestanoví-li zákon či mezinárodní smlouva jinak. Je patrné, že občanský průkaz požívá speciálního režimu a zacházení s ním.[7] Souhlas zmíněný v § 15a ZOP byl vždy vykládán jako souhlas ve smyslu zákona na ochranu osobních údajů, dnes ve smyslu Nařízení GDPR, tedy jako souhlas se zpracováním osobních údajů.[8]

Takováto situace je jednoznačná subjekt údajů udělí na základě svého rozhodnutí souhlas s pořízením kopie občanského průkazu, povinná osoba jej okopíruje, v případě, že si subjekt údajů nepřeje, aby povinná osoba dále zpracovávala kopii jeho občanského průkazu uplatní své právo a souhlas odvolá. V návaznosti na uvedené povinná osoba údaje z kopie občanského průkazu zaznamená a kopii trvale zničí. Až doposud je souhlas se zpracováním osobních údajů zcela v dispozici subjektu údajů a je tak zcela naplněn jeho smysl a účel. 

Potenciální rozpor nastává při uplatnění § 16 AML, který stanovuje povinné osobě povinnost uchovávat kopie občanských průkazů po dobu 10 let od jejich pořízení. Zákon v tomto okamžiku vůbec nerozlišuje, zda byla kopie občanského průkazu pořízena na základě souhlasu subjektu nebo naopak pro plnění zákonné povinnosti povinné osoby ve smyslu § 11 odst. 4 AML.[9]

Dle Nařízení GDPR čl. 4 odst. 2 se zpracováním osobních údajů myslí jakékoliv nakládání s osobními údaji, jehož cílem je shromažďování, zaznamenávání, uspořádání, strukturování, uložení, přizpůsobení či změna, vyhledání, nahlédnutí, použití, zpřístupnění pomocí přenosu, rozšiřování či jiné zpřístupnění, seřazení či jiné kombinování, omezení, výmaz nebo zničení osobních údajů subjektu.[10]

Uchování kopie občanského průkazu tak je ve smyslu Nařízení GDPR zpracováním osobních údajů.

Je jisté, že správce údajů je povinen dostát svým povinnostem stanoveným vnitrostátním předpisem uchovávat souhlas po dobu 10 let od jeho pořízení.

Jak ale vyložit skutečnost, že souhlas má být plně v dispozici subjektu údajů, nesmí být využíván souběžně s jiným právním titulem, což ve své podstatě doslovný výklad čl. 17 odst. 1 písm. b) Nařízení GDPR, nepřímo připouští, zejména v kontextu situace, kdy na základě udělení svobodného, dobrovolného, informovaného a hlavně odvolatelného souhlasu, tedy prvotního legitimního důvodu pro zpracování osobních údajů, vznikne správci osobních údajů zákonná povinnost zpracovávat osobní údaje subjektu. Takovýmto výkladem se totiž v rozsahu nejméně pro účely uchování a případné kontroly a ověření totožnosti, což je zjevně účelem takového uchování ve smyslu AML, stává souhlas neodvolatelným. 

Odpověď na tuto otázku je přinejmenším sporná. Vezme-li v úvahu podstatu souhlasu subjektu údajů a s ním spojené právo kdykoliv jej odvolat a sdělit tak správci, že si subjekt údajů již dále nepřeje, aby jeho osobní údaje zpracovával, půjde argument plnění zákonné povinnosti zjevně proti smyslu souhlasu se zpracováním osobních údajů subjektu. Tento závěr podpoří i fakt, že souhlas nesmí být užíván v situacích, kdy má správce jiný právní titul pro zpracování osobních údajů. Takový souhlas subjektu údajů by totiž byl zjevně nadbytečný a tedy taktéž v rozporu s Nařízením GDPR. Souhlas je na základě výše uvedených skutečností oprávněně poslední možností, na jejímž základě může správce osobní údaje zpracovávat. Proto je souhlas subjektu údajů také nejméně stabilním právním důvodem pro zpracování osobních údajů a nejvíce nedoporučovaným právním titulem, neboť jeho odvoláním končí legitimita zpracování osobních údajů za daným účelem.[11]

Víme-li, že bez prvotního impulzu ze strany subjektu údajů, tedy udělení výslovného, svobodného a informovaného souhlasu, by tato povinnost správci nikdy nevznikla, mám za to, že správce není oprávněn zcela automaticky při odvolání souhlasu subjektem údajů využít jako další důvod ke zpracovávání, byť jen pro uchování a pro účely kontroly, kopie občanského průkazu plnění zákonné povinnosti ve smyslu ustanovení § 16 AML a porušil by takovým jednáním smysl a účel dotčených článků Nařízení GDPR.

Přípustným řešením zjevně bude důsledné splnění informační povinnosti správce osobních údajů, kdy přímo při získání souhlasu subjektu údajů bude povinen jej informovat, že v návaznosti na udělení souhlasu s pořízením kopie občanského průkazu a na něj navazující realizaci takového oprávnění vznikne samotným pořízením kopie občanského průkazu správci údajů zákonná povinnost kopii občanského průkazu zpracovávat, a to pouze ve formě uchování případně kontroly orgánem veřejné moci, po dobu 10 následujících let. V takovémto případě by správce měl dbát důsledné specifikace účelu zpracování a jeho formy, stejně tak, jako by měl subjekt údajů důrazně informovat o skutečnosti, že vlastním pořízením kopie občanského průkazu se jeho souhlas v rozsahu stanoveném zákonem, který bude specifikován v souladu se zásadami pro splnění informační povinnosti, stane neodvolatelným s příslušným odkazem i na čl. 17 Nařízení GDPR. Tím by subjekt údajů měl komplexní informace a byl seznámen s důsledky svého rozhodnutí. V případě, že bychom čl. 17 Nařízení GDPR aplikovali doslovně, tedy bez hodnocení vlastního smyslu souhlasu subjektu údajů a s ním spojených práv, dostál by takto správce údajů všem svým povinnostem.

Osobně však toto řešení považuji za polovičaté, neboť se jím cíleně dopouštíme účelového výkladu unijního práva, který by nemusel korespondovat s výkladem práva Evropským soudním dvorem. Bohužel na druhou stranu nemáme v této situaci jiné praktické řešení, které by bylo pro správce údajů méně rizikové.[12] 

Radka Klusáčková