Úřad reaguje na veliké množství žádostí o souhlas se zpracováním osobních údajů, s nimiž se v současné době obrací na občany řada firem, a dokonce i veřejných institucí, protože správci osobních údajů nepochopili principy ochrany osobních údajů. Lavina žádostí o souhlas se zpracováním osobních údajů, která se na nás řítila v posledních dnech před účinností GDPR, je výrazem naprostého nepochopení článku 6 GDPR. Souhlas se zpracováním osobních údajů není potřebný v řadě běžných situací a nemůže být právním důvodem pro zpracování osobních údajů v případech, kdy lze opřít zpracování o jiný právní titul. Takovým je např. smluvní vztah se subjektem údajů (typicky prodej zboží, poskytování služeb), plnění právní povinnosti správce nebo realizace jeho oprávněného zájmu či plnění úkolu prováděného ve veřejném zájmu. V těchto případech je zpracování osobních údajů prováděno bez souhlasu subjektu údajů a souhlas nesmí být vyžadován.

Nepochopení právního titulu souhlasu s sebou nese několik možných vysvětlení.

Za prvé, řada společností tím nepřímo přiznává, že ve svých databázích mají neuvěřitelný nepořádek a raději zvolili cestu nejmenšího odporu a zahlcují žádostmi o souhlas i ty, kteří jim je v minulosti buď udělili, nebo jsou stávajícími zákazníky, u nichž mohou využít svého oprávněného zájmu k zasílání různých newsletterů a nic neřešit. Díky této taktice se však dobrovolně připravují i o tyto tzv. legální zákazníky, protože zahlcené Inboxy lze nejlépe osvobodit tlačítkem DELETE. Dalším obrovským nepochopením nejenom GDPR je zasílání žádostí o souhlas v rámci B2B vztahu. Kdo těm společnostem proboha radí, že mají žádat protistranu – právnickou osobu nebo instituci o souhlas s pokračováním plnění smlouvy, nebo ještě hůře s plněním zákonné povinnosti? O vyžadování souhlasu v souvislosti se zasíláním marketingových nebo obchodních sdělení jsme psali v tomto článku.

Předmětem kritiky ze strany ÚOOÚ za šíření těchto nesprávných rad a návodů jsou různí rádoby poradci a advokátní kanceláře, které se vehementně snaží zachránit svoje klienty před těmi drakonickými pokutami a s nedostatečnou znalostí problematiky ochrany dat produkují naprosté nesmysly.

Za druhé, zasíláním nových souhlasů se snaží řada společností vyhnout právu na výmaz, které zde již dávno v platných zákonech existuje, jen opět nebylo důsledně dodržováno. Pokud totiž nesplním povinnosti dle článku 5 GDPR, tak je mi znovu získaný souhlas dle článku 6 k ničemu. Zvlášť k těm údajům, u kterých je souhlas naprosto nadbytečný.

Za třetí, některé společnosti pochopitelně využívají GDPR k získání nových zákazníků nebo předplatitelů, a tím je v této souhlasové vlně natvrdo spamují.

ÚOOÚ upozorňuje na fakt, že uvedené zpřesnění podmínek vyjádření souhlasu bohužel mnoho správců osobních údajů do své praxe nepromítlo, a je tak rozšířen naprosto mylný názor, že získáním souhlasu subjektu údajů jsou všechny problémy zpracování osobních údajů vyřešeny.