10.08.2020

Kdy a jakým způsobem vyžadovat souhlas

Úřad pro ochranu osobních údajů dostává v souvislosti s účinností GDPR dotazy členů sportovních spolků i jiných zájmových organizací, které po nich vyžadují poskytnutí souhlasu se zpracováním osobních údajů, případně souhlas se zveřejňováním fotografií.

K vyžadování souhlasu

Sekce: Často kladené otázky
 
 
 
Kdy a jakým způsobem vyžadovat souhlas týkající se činnosti nebo působení v nějakém spolku?

Úřad pro ochranu osobních údajů dostává v souvislosti s účinností GDPR dotazy členů sportovních spolků i jiných zájmových organizací, které po nich vyžadují poskytnutí souhlasu se zpracováním osobních údajů, případně souhlas se zveřejňováním fotografií. V některých případech je dokonce těmto členům vyhrožováno vyloučením ze spolku v případě, že souhlas neposkytnou.
Více k tomuto tématu naleznete ve vyjádření Úřadu zde
 
Lze souhlas se zpracováním osobních údajů ve smyslu článku 7 GDPR učinit i elektronickými prostředky, např. přes internet?

Zákon č. 89/2012 Sb., stanovuje v jeho § 559, že každý má právo zvolit si pro právní jednání libovolnou formu, není-li ve volbě formy omezen ujednáním nebo zákonem. GDPR nestanovuje obligatorní písemnou formu souhlasu subjektu údajů, navíc ustanovení § 562 odst. 1 občanského zákoníku stanovuje, že písemná forma je zachována i při právním jednání učiněném elektronickými prostředky nebo jinými technickými prostředky umožňujícími zachycení jeho obsahu a určení jednající osoby. Souhlas se zpracováním osobních údajů tak lze udělit i přes internet, ovšem za podmínky, že bude zpětně prokazatelný, tj. správce bude schopen dostát své povinnosti uvedené v článku 7 odst. 1 GDPR, která mu stanovuje povinnost doložit udělení souhlasu subjektu údajů se zpracováním jeho osobních údajů.

Souhlasem v oblasti elektronických komunikací upravených zákonem č. 127/2005 Sb., se rozumí rovněž souhlas učiněný pomocí elektronických prostředků, zejména vyplněním elektronického formuláře na internetu (§ 87).
Může poskytovatel služby opakovaně žádat o souhlas se zpracováním osobních údajů, pokud subjekt údajů svůj nesouhlas již dříve sdělil? Umožňuje nové GDPR skutečně takto obtěžovat se souhlasem, mnohem více, než tomu bylo doposud? Lze se tomu nějak bránit?

Lavina žádostí o souhlas se zpracováním osobních údajů, s nimiž se v současné době obrací na občany řada firem a dokonce i veřejných institucí, je výrazem nepochopení principů ochrany osobních údajů správci osobních údajů i mnohými poradenskými a advokátními kancelářemi. Souhlas se zpracováním osobních údajů není potřebný v řadě životních situací, nemůže být právním důvodem pro zpracování údajů ve všech následujících případech: 
  • smluvní vztah se subjektem údajů (typicky prodej zboží, poskytování služeb), 
  • plnění právní povinnosti správce nebo realizace jeho oprávněného zájmu, 
  • plnění úkolu prováděného ve veřejném zájmu. 
V těchto případech je zpracování osobních údajů prováděno bez souhlasu subjektu údajů a souhlas nesmí být vyžadován.

Pokud lze zpracování založit na souhlasu, musí být souhlas udělen pro každý jeden konkrétní účel. Souhlas tedy musí být konkrétním, svobodným, informovaným a jednoznačným projevem vůle, při jehož vyžadování musí správce počítat s tím, že souhlas může být kdykoliv odvolán. Jedním z cílů podrobné úpravy udělování souhlasu podle obecného nařízení je zamezit předchozí nesprávné praxi, např. situacím, kdy při uzavření smlouvy byl vynucován souhlas k jiným účelům. Tomu nyní výslovně brání článek 7 obecného nařízení.

Uvedené zpřesnění podmínek vyjádření souhlasu bohužel mnoho správců osobních údajů do své praxe nepromítlo. Stále je tak rozšířen naprosto mylný názor, že získáním souhlasu subjektu údajů jsou všechny problémy zpracování osobních údajů vyřešeny.

Jestliže jsou lidé opakovaně žádáni o souhlas se zpracováním osobních údajů, aniž by byl konkrétně uveden účel, pro který je souhlas žádán nebo je souhlas vyžadován pro účel, pro který je jiný právní důvod (adresát výzvy má se správcem platnou smlouvu, správce má právní povinnost nebo oprávněný zájem osobní údaje zpracovávat), mohou správce upozornit, že taková žádost je v rozporu s obecným nařízením o ochraně osobních údajů a lze na ni podat Úřadu stížnost. Uvedený postup správce je porušením zásady transparentnosti a povinností stanovených v článcích 5 a 12 obecného nařízení.

Nesprávné a nedůvodné vyžadování souhlasu bez odpovídající informace pak může být ve svém důsledku posouzeno jako porušení základních zásad pro zpracování, včetně podmínek týkajících se souhlasu a práv subjektů údajů, ve smyslu článku 83 odst. 5 písm. a) a písm. b) GDPR.

Vyžadování souhlasu, zejména prostřednictvím emailu či SMS, se zasíláním reklamních sdělení od osob, které nejsou zákazníky, je sankcionovatelné podle zákona č. 480/2004 Sb. jako nedovolené obchodní sdělení.

Správcům osobních údajů je proto třeba důrazně doporučit, aby přehodnotili každý jednotlivý případ (účel) zpracování údajů založený na souhlasu a upustili od vyžadování souhlasu ve všech nepotřebných případech, zejména při realizaci smluvních vztahů se zákazníky, dále ve všech případech plnění zákonných povinností a v neposlední řadě také při výkonu oprávněných zájmů (např. správa pohledávek, zasílání obchodních sdělení vlastním zákazníkům v mezích zákona č.  480/2004 Sb.).
Udělit souhlas se zpracováním osobních údajů je možnost, nikoli povinnost

Úřad pro ochranu osobních údajů upozorňuje v souvislosti s právním rámcem ochrany osobních údajů (GDPR), že udělit souhlas se zpracováním osobních údajů je možnost, nikoli povinnost.

Časté dotazy, které jsou adresovány Úřadu ohledně změn v některých tradičních institutech ochrany osobních údajů, se týkají situací, kdy je lidem při sjednávání služeb a podepisování smluv předkládána k podpisu papírová dokumentace, jejíž součástí byl vynucovaný souhlas se zpracováním osobních údajů.

Obecné nařízení ve svém čl. 7 podrobně stanovuje pravidla pro získání, udělení a využití souhlasu, zejména:
  • srozumitelnost – vyjádření souhlasu musí být srozumitelné a od ostatních závazků a jiných skutečností odlišitelné,
  • dobrovolnost – každý poskytuje svůj souhlas dobrovolně a každý může svůj souhlas odvolat.

Právní úprava souhlasu tedy vylučuje praxi, kdy mnoho správců souhlas automaticky zahrnuje do smluvního ujednání, od kterého se fyzická osoba nemůže odchýlit. Souhlas se zpracováním osobních údajů nemůže být považován za nezbytnou podmínku ani za právní titul pro zpracování osobních údajů v rámci poskytování služby či koupě zboží. Souhlas lze tedy využít pouze pro jiná, další zpracování, nad rámec poskytování služby či koupě zboží.

Z pohledu obecného nařízení bude platný jen takový souhlas, který byl shromážděn transparentním způsobem, a dotčená osoba jej udělila svobodně. Za neplatný je nutno naopak považovat každý souhlas, kdy byl zákazník při získání služby či výrobku nucen zároveň souhlasit se zpracováním osobních údajů (např. souhlasem zakomponovaným v obchodních podmínkách).

Pokud správci osobních údajů sbírají nové souhlasy ke zpracování osobních údajů, musí sběr provádět korektně a transparentně a sběr odůvodnit konkrétním účelem, pro který chtějí údaje zpracovat. V žádném případě nelze vyžadovat souhlas, coby nezbytnou podmínku pro další poskytování služby („pro potřeby smluvních partnerů“, udělení souhlasu „vyžaduje nová legislativa dle GDPR“). Stejně tak není možné vzbuzovat v subjektech údajů pocit, že souhlas musí udělit, resp. že jej musí dát někdy v budoucnu.

Úřad doporučuje každému, kdo je požádán o udělení souhlasu a o podpis příslušné listiny, aby se pečlivě seznámil s konkrétním účelem, pro který má souhlas poskytnout. Při sjednávání služby a podpisu listin pak v žádném případě není nutno se o udělení či odmítnutí souhlasu rozhodnout ihned, neboť se nejedná o formalitu nezbytnou k poskytnutí vlastní služby či plnění smlouvy.
Musí dát zaměstnanec souhlas zaměstnavateli ke zpracování svých osobních údajů? 

Předně je třeba konstatovat, že souhlas zaměstnance jako právní titul pro zpracování osobních údajů zaměstnavatelem nebude příliš častý. Souhlas musí být svobodným právním úkonem, což vzhledem k nerovnováze stran v pracovněprávním vztahu nebude zpravidla dodrženo.

Zaměstnavatel zpracovává osobní údaje zaměstnanců ke sjednání a naplňování pracovněprávního vztahu a pro účely plnění zákonem stanovených povinností, tedy v souladu s článkem 6 odst. 1 písm. b) a c) GDPR. V této souvislosti je nutné poznamenat, že zaměstnavatel jako správce osobních údajů je povinen osobní údaje shromažďovat a dále zpracovávat pouze v rozsahu odpovídajícím účelu. Viz povinnosti stanovené v článku 5 odst. 1 písm. b), c) a d) GDPR.
"Nové"Jaký je správný postup, pokud zaměstnavatel zjistí, že osobní údaje svých zaměstnanců zpracovává na základě nesprávně uděleného souhlasu, protože existuje jiný relevantní právní titul?

Zaměstnavatel podle zásady transparentnosti zaměstnance o této skutečnosti informuje. Jestliže byl souhlas udělen v písemné formě, dokumenty, jimiž byl udělen, skartuje. 

Souhlas se zpracováním osobních údajů není součástí pracovněprávní dokumentace zaměstnance. Není tak důvod uchovávat tyto dokumenty v osobním spisu, ani není důvod uchovávat je pro výběr archiválií podle zákona o archivnictví a spisové službě.
Více zde.