Menu

Jak je to s tím souhlasem?

Větší práva pro osoby, přísnější podmínky pro organizace. I tak by se daly shrnout změny, které přináší nařízení GDPR v oblasti udílení souhlasu se zpracováním osobních údajů.

Pomoci vyznat se v této problematice a napovědět, zda je vaše firma na nová pravidla ve zpracování osobních údajů připravená, mohou i vodítka vydaná před časem pracovní skupinou WP29. Dokument není sice právně závazný, ale bude mít důležitou úlohu při interpretaci GDPR a rozhodovací orgány budou bezpochyby k vodítkům přihlížet. Prozatím byla zveřejněna neoficiální verze českého překladu, která je dostupná například na tomto odkazu. Podívejme se podrobněji, o čem se ve vodítkách píše.

Souhlasem se dle textu nařízení rozumí jakýkoliv svobodný, konkrétní, informovaný a jednoznačný projev vůle subjektu údajů, který dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů. Každý z výše vyjmenovaných přívlastků bude při posuzování zákonnosti získání souhlasu hrát podstatnou roli a lze očekávat, že se na ně zaměří i kontroly, které budou zjišťovat, jestli není souhlas zneužíván či nadužíván a zda ho firma získala v souladu s nařízením.

Svobodný souhlas

Subjekt údajů musí mít skutečně volnost svobodně se rozhodnout, zda souhlas poskytne, či nikoliv. Podívejme se na pár příkladů, které by podle názoru pracovní skupiny neobstály:

Není možné vynucovat si souhlas hrozbou negativních následků ze strany správce – třeba neposkytnutím či omezením služeb.

Souhlas nelze „přibalovat“ k nesouvisejícím ustanovením smlouvy či ho zahrnout kamsi do obchodních podmínek, které se zpravidla „odklikávají“, aniž by jim kdokoliv věnoval větší pozornost.

Jako vysoce nežádoucí a svobodu souhlasu ohrožující pracovní skupina hodnotí případy „vázání“ smlouvy nebo služby na souhlas se zpracováním osobních údajů, které však nejsou pro plnění smlouvy nezbytné.

Narazit mohou tvůrci bezplatných mobilních aplikací, kteří profitují na datech uživatelů za účelem reklamy. Příkladem může být mobilní aplikace pro úpravu fotografií požadující po uživatelích i přístup k údajům o jejich poloze, které se dále využívají při cíleném marketingu. Tento postup zákon zakazuje jako neodůvodněnou podmíněnost. Souhlas s přístupem k údajům o poloze totiž vůbec nesouvisí s původním zaměřením aplikace a ta může fungovat i bez něho.

Naopak příkladem přípustné podmíněnosti může být zpracování adresy subjektu údajů, aby zboží zakoupené on-line mohlo být doručeno, zpracování údajů o kreditní kartě kvůli jednoduššímu provedení platby nebo zpracování informací o platech a bankovních účtech pro uskutečnění výplaty zaměstnance. Je tak patrné, že mezi typem zpracovávaných dat a předmětem plnění smlouvy musí existovat přímá a objektivní vazba.

Když má správce „navrch“

Svobodnou vůli osoby může podle GDPR ohrozit i tzv. nerovnovážnost vztahu se subjektem. Týká se to hlavně vztahů občanů se zaměstnavateli či orgány veřejné moci, jež jsou zároveň správci osobních údajů. Správce v takovém postavení k subjektu by se měl vždy snažit opřít svou činnost o některý z ostatních titulů pro zpracování osobních údajů, tj. nezbytnost pro plnění smlouvy či oprávněné zájmy správce, a souhlas by měl být až tou poslední variantou, neboť v tomto případě bude vždy otázkou skutečná míra svobody při poskytnutí souhlasu. Vodítka WP29 ale zdůrazňují, že se nejedná o kategorický zákaz, a je tak třeba vždy zvažovat konkrétní situaci. Bude-li například student veřejné školy požádán o souhlas s umístěním své fotky do školního časopisu, přičemž případné odmítnutí pro něho nebude mít sebemenší negativní následky, nebude „svoboda“ rozhodování nikterak narušena.

Konkrétnost a informovanost

Žádost o souhlas musí být natolik konkrétní, aby v ní každý rozpoznal přesný účel zpracování, a v případě, že účelů má být více, musí být uveden každý zvlášť a o každém musí mít osoba možnost se samostatně rozhodnout. Pokud správce sloučí několik účelů zpracování a nepokusí se získat souhlas odděleně pro každý z účelů, nelze mluvit o svobodě volby.

Aby byl souhlas poskytnut informovaně, je třeba subjektu sdělit především:

  •   identitu správce (ne však již případných zpracovatelů),
  •   účel jednotlivých způsobů zpracování,
  •   jakých údajů by se zpracování mělo týkat, a to alespoň podle jejich druhu,
  •   informaci o možnosti souhlas kdykoliv odvolat (a to i jen vůči jednomu z více účelů zpracování),
  •   zda údaje budou předmětem automatizovaného rozhodování včetně profilování,
  •   informace, zda se souhlas týká rovněž případných transferů údajů do zahraničí, a informace o rizicích s tím spojených.

Kvůli transparentnosti musejí být veškeré tyto informace týkající se žádosti o souhlas viditelně odděleny od jakýchkoliv nesouvisejících sdělení.

Samozřejmostí je pak užívání srozumitelného jazyka žádosti za použití jasných a jednoduchých spojení tak, aby je osoba průměrného rozumu bez problému pochopila. Chcete-li se vyhnout neplatnosti souhlasu, zapomeňte tedy na právnický žargon a strojové citování právních předpisů. Zvláštní přístup je pak samozřejmě třeba zvolit vůči dětem či zaměstnancům.

Mlčení neznamená souhlas

Způsob poskytnutí souhlasu by měl vždy jednoznačně vyjádřit názor osoby, zda si přeje, aby byly správcem její osobní údaje zpracovány. V internetovém prostředí se tak zpravidla děje zaškrtnutím políčka na příslušné stránce, což by mělo i nadále postačovat. Naopak předvyplněné políčko či jeho automatické zaškrtnutí po skrolování na konec stránky už aktivním projevem vůle není. Nepřípustným také bude jakýkoliv souhlas domněle poskytnutý na základě mlčení či jiné formy neaktivity.

Obstát by měl souhlas pohybem těla, pokud bude jednoznačné, k čemu se tento pohyb váže a co znamená. Mohlo by tím být třeba zamávání před kamerou snímající osobu, které je zároveň audiovizuálně vysvětleno, co daným pohybem schvaluje. V případě mobilních aplikací by se tak mohlo dít i nakloněním či otočením telefonu, ne však zcela náhodným pohybem.

Veškeré souhlasy doporučujeme obstarávat písemně či elektronickou formou, protože správce musí být schopen kdykoliv prokázat, že souhlas byl konkrétní osobou udělen, což může být u ústních souhlasů velice složité.

Co je výslovný souhlas a kdy bude potřeba?

Výslovný souhlas je přísnější kategorií obyčejného souhlasu. Správce jej musí získat, pokud bude zpracovávat citlivé údaje, například o rasovém či etnickém původu, náboženském vyznání, členství v odborech, či zpracovávat genetické údaje, biometrická data nebo údaje o zdravotním stavu, sexuální orientaci či pokud by měly být osobní údaje využity pro automatizovaná rozhodování.

Bude velmi důležité, aby z uděleného souhlasu vyplývalo, že ho učinila osoba, která se zpracováním daných údajů výslovně souhlasí. Příkladem může být vlastnoruční či elektronický podpis, potvrzovací e-mail propojený se SMS zprávou (tzv. double opt-in) nebo naskenování vlastnoručně podepsaného formuláře on-line. Souhlas udělený například pohybem ruky před kamerou by v tomto případě nemusel obstát.

Pozor na další povinnosti

Každý správce musí být schopen doložit, tedy prokázat souhlas subjektu se zpracováním jeho osobních údajů, a to kdykoliv po dobu, po kterou zpracování probíhá. V souvislosti s tímto pracovní skupina varuje správce před zpracováváním nadměrného množství dat a před jejich uchováváním po dobu delší, než je nezbytně nutné.

Správce by měl zaznamenat a uchovávat informace, kým byl souhlas poskytnut, jakým způsobem a v jaké podobě, jaké informace byly subjektu přístupné v žádosti o souhlas a také kdy byl souhlas udělen.

V případě telefonického udělení souhlasu je třeba uchovávat nahrávku této části hovoru, ve které je osoba seznámena s informacemi, na jejichž základě poskytne svůj souhlas ke konkrétním účelům zpracování osobních údajů.

Správce by neměl zapomínat ani na povinnost souhlas po čase obnovit, jelikož jednou udělený souhlas nelze chápat jako časově neohraničený. Nařízení sice žádný přesný časový požadavek pro jeho obnovu neobsahuje, ale vždy by se tak mělo stát při jakékoliv změně v procesu zpracování, o které by měl být subjekt informován. Předpokládáme, že toto bude brzy vyjasněno v rámci dobré praxe napříč členskými státy.

Odvolání souhlasu

Každý by měl mít možnost poskytnutý souhlas kdykoliv odvolat, a to bez jakékoliv hrozící újmy – snížení kvality či zrušení poskytované služby. Není nutné, aby šlo o zcela identický způsob jako jeho získání, ale celý proces musí být z pohledu subjektu obdobně složitý.

V případě, kdy je souhlas poskytnut jednoduchým kliknutím myší či zmáčknutím klávesy, doporučuje se tuto formu zachovat i pro jeho odvolání. Vyžadovat pro odvolání v těchto případech například telefonní hovor není možné. Odvolání nesmí být jakkoliv zpoplatněno.

Pokud je souhlas získán přes sekci pro uživatele nebo webový formulář, pak musí být jeho odvolání umožněno skrze stejnou členskou sekci a uživatele nelze odkázat na zcela jinou část webu.

V případě, kdy je souhlas odvolán a neexistuje zde jiný titul pro zpracovávání údajů subjektu, je správce povinen tato data vymazat či anonymizovat. Často se však může stát, že určitá data budou kryta titulem jejich nezbytnosti pro plnění smlouvy, a proto se těchto údajů odvolání souhlasu nedotkne v plné míře, nedojde-li například i k odstoupení od smlouvy. O „přechodu“ na tento alternativní titul pro zpracovávání však musí být subjekt vždy informován.

Kdy je třeba souhlas a kdy jiný titul

Vedle poskytnutí souhlasu nařízení obsahuje pět dalších titulů, na základě kterých je možné osobní údaje legálně zpracovávat, jako je například zpracování za účelem plnění smlouvy či oprávněný zájem správce. Ty totiž nevyžadují přímou interakci se subjekty jako v případě souhlasu, a nekladou tak na správce další řadu povinností. Správcům tedy doporučujeme vždy nejprve prověřit, zda nemohou použít některý z těchto titulů a k obstarání souhlasu se přiklonit až jako k poslední možnosti.

Vodítka zároveň zdůrazňují, že správce musí předem každý účel zpracování podložit jediným zákonným titulem a nelze je kdykoliv volně zaměňovat, což se dosud stávalo. Není možné při kontrole, která zjistí nedostatky při procesu získávání souhlasu, začít tvrdit, že byl tento účel zpracování podložen titulem jiným, pokud o tom nebylo dopředu rozhodnuto.

Staré souhlasy revidujte už nyní

Souhlasy udělené před účinností GDPR, budou-li obsahovat požadované náležitosti nového nařízení, zůstanou i nadále v platnosti. To však nelze jednoznačně tvrdit bez toho, aniž by firemní postupy prověřil někdo znalý blížícího se nařízení. Proto správcům doporučujeme už nyní stávající žádosti o souhlas revidovat a přizpůsobit je jak současné úpravě, tak té budoucí, neboť v předstihu vyřeší jednu z mnoha komplikací, které mohou po nabytí účinnosti GDPR nastat. Velmi důležité je zaměřit se na marketingové souhlasy, protože právě u nich je nesoulad s GDPR požadavky nejčastější.

Revizi firemní politiky získávání souhlasů se zpracováním osobních údajů by měla podstoupit každá společnost, protože tento jednorázový výdaj bude ve srovnání s hrozícími sankcemi zanedbatelný.

Mgr. Eva Škorničková
Mgr. Eva Škorničková

Jsem nezávislá právní konzultantka ochrany osobních dat a bezpečnosti IT. O obsah portálu GDPR.cz pečuji jako jeho zakladatelka a šéfredaktorka s podporou redakčního týmu. Máte-li pro nás zajímavý tip, sem s ním!


Hlavní partneři