Kdy a jakým způsobem vyžadovat souhlas

Úřad pro ochranu osobních údajů dostává v souvislosti s účinností GDPR dotazy členů sportovních spolků i jiných zájmových organizací, které po nich vyžadují poskytnutí souhlasu se zpracováním osobních údajů, případně souhlas se zveřejňováním fotografií. V některých případech je dokonce těmto členům vyhrožováno vyloučením ze spolku v případě, že souhlas neposkytnou.

Více k tomuto tématu naleznete ve vyjádření Úřadu zde. 

Lze souhlas se zpracováním osobních údajů ve smyslu článku 7 GDPR učinit i elektronickými prostředky, např. přes internet?

Zákon č. 89/2012 Sb., stanovuje v jeho § 559, že každý má právo zvolit si pro právní jednání libovolnou formu, není-li ve volbě formy omezen ujednáním nebo zákonem. GDPR nestanovuje obligatorní písemnou formu souhlasu subjektu údajů, navíc ustanovení § 562 odst. 1 občanského zákoníku stanovuje, že písemná forma je zachována i při právním jednání učiněném elektronickými prostředky nebo jinými technickými prostředky umožňujícími zachycení jeho obsahu a určení jednající osoby. Souhlas se zpracováním osobních údajů tak lze udělit i přes internet, ovšem za podmínky, že bude zpětně prokazatelný, tj. správce bude schopen dostát své povinnosti uvedené v článku 7 odst. 1 GDPR, která mu stanovuje povinnost doložit udělení souhlasu subjektu údajů se zpracováním jeho osobních údajů.

Souhlasem v oblasti elektronických komunikací upravených zákonem č. 127/2005 Sb., se rozumí rovněž souhlas učiněný pomocí elektronických prostředků, zejména vyplněním elektronického formuláře na internetu (§ 87).

Lavina žádostí o souhlas se zpracováním osobních údajů, s nimiž se v současné době obrací na občany řada firem a dokonce i veřejných institucí, je výrazem nepochopení principů ochrany osobních údajů správci osobních údajů i mnohými poradenskými a advokátními kancelářemi. Souhlas se zpracováním osobních údajů není potřebný v řadě životních situací, nemůže být právním důvodem pro zpracování údajů ve všech následujících případech: 

V těchto případech je zpracování osobních údajů prováděno bez souhlasu subjektu údajů a souhlas nesmí být vyžadován.

Pokud lze zpracování založit na souhlasu, musí být souhlas udělen pro každý jeden konkrétní účel. Souhlas tedy musí být konkrétním, svobodným, informovaným a jednoznačným projevem vůle, při jehož vyžadování musí správce počítat s tím, že souhlas může být kdykoliv odvolán. Jedním z cílů podrobné úpravy udělování souhlasu podle obecného nařízení je zamezit předchozí nesprávné praxi, např. situacím, kdy při uzavření smlouvy byl vynucován souhlas k jiným účelům. Tomu nyní výslovně brání článek 7 obecného nařízení.

Uvedené zpřesnění podmínek vyjádření souhlasu bohužel mnoho správců osobních údajů do své praxe nepromítlo. Stále je tak rozšířen naprosto mylný názor, že získáním souhlasu subjektu údajů jsou všechny problémy zpracování osobních údajů vyřešeny.

Jestliže jsou lidé opakovaně žádáni o souhlas se zpracováním osobních údajů, aniž by byl konkrétně uveden účel, pro který je souhlas žádán nebo je souhlas vyžadován pro účel, pro který je jiný právní důvod (adresát výzvy má se správcem platnou smlouvu, správce má právní povinnost nebo oprávněný zájem osobní údaje zpracovávat), mohou správce upozornit, že taková žádost je v rozporu s obecným nařízením o ochraně osobních údajů a lze na ni podat Úřadu stížnost. Uvedený postup správce je porušením zásady transparentnosti a povinností stanovených v článcích 5 a 12 obecného nařízení.

Nesprávné a nedůvodné vyžadování souhlasu bez odpovídající informace pak může být ve svém důsledku posouzeno jako porušení základních zásad pro zpracování, včetně podmínek týkajících se souhlasu a práv subjektů údajů, ve smyslu článku 83 odst. 5 písm. a) a písm. b) GDPR.

Vyžadování souhlasu, zejména prostřednictvím emailu či SMS, se zasíláním reklamních sdělení od osob, které nejsou zákazníky, je sankcionovatelné podle zákona č. 480/2004 Sb. jako nedovolené obchodní sdělení.

Správcům osobních údajů je proto třeba důrazně doporučit, aby přehodnotili každý jednotlivý případ (účel) zpracování údajů založený na souhlasu a upustili od vyžadování souhlasu ve všech nepotřebných případech, zejména při realizaci smluvních vztahů se zákazníky, dále ve všech případech plnění zákonných povinností a v neposlední řadě také při výkonu oprávněných zájmů (např. správa pohledávek, zasílání obchodních sdělení vlastním zákazníkům v mezích zákona č.  480/2004 Sb.).

Udělit souhlas se zpracováním osobních údajů je možnost, nikoli povinnost

Úřad pro ochranu osobních údajů upozorňuje v souvislosti s právním rámcem ochrany osobních údajů (GDPR), že udělit souhlas se zpracováním osobních údajů je možnost, nikoli povinnost.

Časté dotazy, které jsou adresovány Úřadu ohledně změn v některých tradičních institutech ochrany osobních údajů, se týkají situací, kdy je lidem při sjednávání služeb a podepisování smluv předkládána k podpisu papírová dokumentace, jejíž součástí byl vynucovaný souhlas se zpracováním osobních údajů.

Obecné nařízení ve svém čl. 7 podrobně stanovuje pravidla pro získání, udělení a využití souhlasu, zejména:

• srozumitelnost – vyjádření souhlasu musí být srozumitelné a od ostatních závazků a jiných skutečností odlišitelné,
• dobrovolnost – každý poskytuje svůj souhlas dobrovolně a každý může svůj souhlas odvolat.

Právní úprava souhlasu tedy vylučuje praxi, kdy mnoho správců souhlas automaticky zahrnuje do smluvního ujednání, od kterého se fyzická osoba nemůže odchýlit. Souhlas se zpracováním osobních údajů nemůže být považován za nezbytnou podmínku ani za právní titul pro zpracování osobních údajů v rámci poskytování služby či koupě zboží. Souhlas lze tedy využít pouze pro jiná, další zpracování, nad rámec poskytování služby či koupě zboží.

Z pohledu obecného nařízení bude platný jen takový souhlas, který byl shromážděn transparentním způsobem, a dotčená osoba jej udělila svobodně. Za neplatný je nutno naopak považovat každý souhlas, kdy byl zákazník při získání služby či výrobku nucen zároveň souhlasit se zpracováním osobních údajů (např. souhlasem zakomponovaným v obchodních podmínkách).

Pokud správci osobních údajů sbírají nové souhlasy ke zpracování osobních údajů, musí sběr provádět korektně a transparentně a sběr odůvodnit konkrétním účelem, pro který chtějí údaje zpracovat. V žádném případě nelze vyžadovat souhlas, coby nezbytnou podmínku pro další poskytování služby („pro potřeby smluvních partnerů“, udělení souhlasu „vyžaduje nová legislativa dle GDPR“). Stejně tak není možné vzbuzovat v subjektech údajů pocit, že souhlas musí udělit, resp. že jej musí dát někdy v budoucnu.

Úřad doporučuje každému, kdo je požádán o udělení souhlasu a o podpis příslušné listiny, aby se pečlivě seznámil s konkrétním účelem, pro který má souhlas poskytnout. Při sjednávání služby a podpisu listin pak v žádném případě není nutno se o udělení či odmítnutí souhlasu rozhodnout ihned, neboť se nejedná o formalitu nezbytnou k poskytnutí vlastní služby či plnění smlouvy.

Předně je třeba konstatovat, že souhlas zaměstnance jako právní titul pro zpracování osobních údajů zaměstnavatelem nebude příliš častý. Souhlas musí být svobodným právním úkonem, což vzhledem k nerovnováze stran v pracovněprávním vztahu nebude zpravidla dodrženo.

Zaměstnavatel zpracovává osobní údaje zaměstnanců ke sjednání a naplňování pracovněprávního vztahu a pro účely plnění zákonem stanovených povinností, tedy v souladu s článkem 6 odst. 1 písm. b) a c) GDPR. V této souvislosti je nutné poznamenat, že zaměstnavatel jako správce osobních údajů je povinen osobní údaje shromažďovat a dále zpracovávat pouze v rozsahu odpovídajícím účelu. Viz povinnosti stanovené v článku 5 odst. 1 písm. b), c) a d) GDPR.