Menu
Souhlas se zpracováním osobních údajů
Organizace k tomu, aby mohla zpracovávat osobní údaje, potřebuje vždy nejméně jeden z právních důvodů zpracování osobních údajů. Pokud takovým právním důvodem nedisponuje, pak zpracovává osobní nezákonně. Zároveň je třeba dodat, že právní základy zpracování se liší pro obecné osobní údaje a pro citlivé osobní údaje. Patrně nejvíce přeceňovaným právním důvodem zpracování je právě souhlas, kterému je věnován tento článek.
I když je souhlas se zpracováním osobních údajů uveden na prvním místě, nejedná se o hlavní právní základ zpracování a není nezbytný pro každé zpracování osobních údajů. Toto platí i před účinností GDPR. Nešťastná formulace v zákoně o ochraně osobních údajů zapříčinila obecný mylný závěr o tom, že na každé zpracování osobních údajů je třeba souhlas. Sám zákonodárce přiznává, že toto bylo způsobeno nesprávným překladem unijní směrnice, která je provedena do českého právního řádu právě zákonem na ochranu osobních údajů.
Souhlas by měl tedy být vyžadován pouze v případech neexistence jiného právního základu zpracování. V případě, že správce vyžaduje od subjektu údajů souhlas se zpracováním, i když prokazatelně existuje jiný právní základ pro zpracování osobních údajů, pak lze říci, že se jedná o nadbytečné požadování souhlasu. To může v některých případech vyvolávat protiprávní situaci.
Poznámka K nadbytečně vyžadovanému souhlasu se ve svém stanovisku č. 3/2014 vyjádřil Úřad na ochranu osobních údajů, dle kterého se z pohledu správce jedná o nepravdivé a tím nedostatečné plnění informační povinnosti při zpracování osobních údajů. Dostupné z: https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=22531
Zásady pro udělení souhlasu dle GDPR:
Souhlas musí být svobodný
Subjekt údajů má mít na výběr, zda souhlas udělí, či nikoli. Neudělení souhlasu nesmí způsobit subjektu údajů žádné neblahé následky. Udělením souhlasu nesmí být podmíněno vykonávání (nebo nevykonávání) určité činnosti, resp. poskytnutí nebo neposkytnutí služby.
Pro zpracování osobních údajů ze smluv (toto platí i pro pracovní smlouvy a dohody o pracích konaných mimo pracovní poměr) není obecně vůbec souhlas se zpracováním osobních údajů třeba, zde je dokonce nadbytečný. Vycházíme z toho, že právním základem pro zpracování je ta skutečnost, že toto zpracování je nezbytné pro plnění smlouvy.
Poznámka Nezbytnou náležitostí smlouvy je identifikace smluvních stran. Bylo by nelogické a matoucí vyžadovat po druhé smluvní straně, těsně před uzavřením smlouvy, podepsat souhlas se zpracováním osobních údajů a stejně tak matoucím se jeví včleňování souhlasu do smluvních podmínek.
Souhlas se zpracováním osobních údajů by tak při smluvních vztazích mohl v některých případech připadat v úvahu pro takové zpracování, které jde nad rámec potřeby zpracování pro účely uzavření smlouvy a jejího plnění, např. pro marketingové účely.
Souhlas se zpracováním osobních údajů pro jiné účely než pro účely uzavření a plnění smlouvy není možné vynucovat prostřednictvím ustanovení ve smlouvě (nebo všeobecných obchodních podmínkách, pokud takové podmínky existují). Není zde dán prostor subjektu údajů svobodně vyjádřit svůj souhlas nebo nesouhlas se zpracováním. Případný nesouhlas může mít za následek například neochotu správce smlouvu vůbec uzavřít.
Protože souhlas musí být svobodný, nelze rovněž pro případ formulářů (nejen webových) používat zaškrtávací políčko souhlasu se zpracováním osobních údajů, které bude předem zaškrtnuté.
Souhlas musí být určitý
Subjekt údajů uděluje souhlas pro jeden nebo více konkrétních účelů a ohledně každého z nich má mít na výběr, zda souhlas udělí či nikoli. Souhlas může pokrývat různé operace, pokud tyto operace slouží stejnému účelu.
Souhlas musí být informovaný
Subjekt údajů musí být ještě před získáním souhlasu informován, k čemu dává souhlas, v jakém rozsahu o něm budou údaje zpracovávány a dále musí být informován o svém právu souhlas kdykoli odvolat.
Minimální obsahové požadavky na „informovaný“ souhlas:
- totožnost správce;
- účel každé z operací, pro které je žádáno o souhlas;
- jaké údaje budou zpracovávány;
- existence práva odvolat souhlas.
Poznámka Zpracovatelé (osoby, které zpracovávají osobní údaje pro správce) v rámci souhlasu být uvedeni nemusí.
Odvolatelnost souhlasu
Správce musí zajistit, kdykoli v daném čase, aby subjekt údajů mohl souhlas odvolat stejně snadným způsobem, jako bylo jeho udělení. Subjekt údajů by měl mít možnost odvolat souhlas bez újmy. Požadavek snadného odvolání souhlasu je popsán v GDPR jako nezbytný aspekt platného souhlasu.
Je-li v textu článku vyjádřen právní názor, pak pro úplnost dodáváme, že takový právní názor není právně závazný. K závaznému výkladu právních předpisů jsou v konkrétních případech oprávněny pouze příslušné soudy či správní orgány.
Vzor souhlasu zdarma
Nevíte si rady, jak vytvořit souhlas se zpracováním osobních údajů? Už si s tím nemusíte dělat starosti, náš vzor je Vám zcela zdarma k dispozici.
Další články
© 3CM s.r.o. – Všechna práva vyhrazena