Souhlas se zpracováním osobních údajů

Organizace k tomu, aby mohla zpracovávat osobní údaje, potřebuje vždy nejméně jeden z právních důvodů zpracování osobních údajů. Pokud takovým právním důvodem nedisponuje, pak zpracovává osobní nezákonně. Zároveň je třeba dodat, že právní základy zpracování se liší pro obecné osobní údaje a pro citlivé osobní údaje. Patrně nejvíce přeceňovaným právním důvodem zpracování je právě souhlas, kterému je věnován tento článek.

I když je souhlas se zpracováním osobních údajů uveden na prvním místě, nejedná se o hlavní právní základ zpracování a není nezbytný pro každé zpracování osobních údajů. Toto platí i před účinností GDPR. Nešťastná formulace v zákoně o ochraně osobních údajů zapříčinila obecný mylný závěr o tom, že na každé zpracování osobních údajů je třeba souhlas. Sám zákonodárce přiznává, že toto bylo způsobeno nesprávným překladem unijní směrnice, která je provedena do českého právního řádu právě zákonem na ochranu osobních údajů.

Souhlas by měl tedy být vyžadován pouze v případech neexistence jiného právního základu zpracování. V případě, že správce vyžaduje od subjektu údajů souhlas se zpracováním, i když prokazatelně existuje jiný právní základ pro zpracování osobních údajů, pak lze říci, že se jedná o nadbytečné požadování souhlasu. To může v některých případech vyvolávat protiprávní situaci.


Zásady pro udělení souhlasu dle GDPR
:

Souhlas musí být svobodný

Subjekt údajů má mít na výběr, zda souhlas udělí, či nikoli. Neudělení souhlasu nesmí způsobit subjektu údajů žádné neblahé následky. Udělením souhlasu nesmí být podmíněno vykonávání (nebo nevykonávání) určité činnosti, resp. poskytnutí nebo neposkytnutí služby.

Pro zpracování osobních údajů ze smluv (toto platí i pro pracovní smlouvy a dohody o pracích konaných mimo pracovní poměr) není obecně vůbec souhlas se zpracováním osobních údajů třeba, zde je dokonce nadbytečný. Vycházíme z toho, že právním základem pro zpracování je ta skutečnost, že toto zpracování je nezbytné pro plnění smlouvy.

Souhlas se zpracováním osobních údajů by tak při smluvních vztazích mohl v některých případech připadat v úvahu pro takové zpracování, které jde nad rámec potřeby zpracování pro účely uzavření smlouvy a jejího plnění, např. pro marketingové účely.

Souhlas se zpracováním osobních údajů pro jiné účely než pro účely uzavření a plnění smlouvy není možné vynucovat prostřednictvím ustanovení ve smlouvě (nebo všeobecných obchodních podmínkách, pokud takové podmínky existují). Není zde dán prostor subjektu údajů svobodně vyjádřit svůj souhlas nebo nesouhlas se zpracováním. Případný nesouhlas může mít za následek například neochotu správce smlouvu vůbec uzavřít.

Protože souhlas musí být svobodný, nelze rovněž pro případ formulářů (nejen webových) používat zaškrtávací políčko souhlasu se zpracováním osobních údajů, které bude předem zaškrtnuté.

Souhlas musí být určitý

Subjekt údajů uděluje souhlas pro jeden nebo více konkrétních účelů a ohledně každého z nich má mít na výběr, zda souhlas udělí či nikoli. Souhlas může pokrývat různé operace, pokud tyto operace slouží stejnému účelu.

Souhlas musí být informovaný

Subjekt údajů musí být ještě před získáním souhlasu informován, k čemu dává souhlas, v jakém rozsahu o něm budou údaje zpracovávány a dále musí být informován o svém právu souhlas kdykoli odvolat.

Minimální obsahové požadavky na „informovaný“ souhlas:

  • totožnost správce;
  • účel každé z operací, pro které je žádáno o souhlas;
  • jaké údaje budou zpracovávány;
  • existence práva odvolat souhlas.


Odvolatelnost souhlasu

Správce musí zajistit, kdykoli v daném čase, aby subjekt údajů mohl souhlas odvolat stejně snadným způsobem, jako bylo jeho udělení. Subjekt údajů by měl mít možnost odvolat souhlas bez újmy. Požadavek snadného odvolání souhlasu je popsán v GDPR jako nezbytný aspekt platného souhlasu.


Je-li v textu článku vyjádřen právní názor, pak pro úplnost dodáváme, že takový právní názor není právně závazný. K závaznému výkladu právních předpisů jsou v konkrétních případech oprávněny pouze příslušné soudy či správní orgány.

26.10.2018

Mgr. Bc. Georgios Tucoglidis

georgios@3cm.cz

Vzor souhlasu zdarma

Nevíte si rady, jak vytvořit souhlas se zpracováním osobních údajů? Už si s tím nemusíte dělat starosti, náš vzor je Vám zcela zdarma k dispozici.

3CM s.r.o.
se sídlem Husova 1848
530 03 Pardubice
IČ: 05177791
DIČ: CZ05177791

Společnost je zapsána v Obchodním rejstříku vedeném krajským soudem v Hradci Králové, oddíl C, vložka 37310

© 3CM s.r.o. – Všechna práva vyhrazena