Souhlas se zpracováním osobních údajů - prakticky

„Souhlasím se zpracováním osobních údajů.“  Věta, která je neodmyslitelně spojena s osobními údaji. Věta, která je ale většinou používána nesprávně a v kontextu zpracování osobních údajů úplně nadbytečně. Potřebujete opravdu souhlas se zpracováním osobních údajů pro vaše podnikání? Pojďte to zjistit, ať neděláte věci, které dělat nemusíte.

 

Kdy potřebujete souhlas se zpracováním osobních údajů?

GDPR je postaveno na principu odpovědnosti správce. To zjednodušeně znamená, že je na každém správci (třeba na podnikateli), aby si určil, co bude zpracovávat, jak bude osobní údaje zpracovávat, a také jakou zákonnost pro takové zpracování bude využívat.

Souhlas se zpracováním osobních údajů je právě jednou ze zákonností, na základě které může správce osobní údaje zpracovávat.

Správce musí vždy dostatečně zvážit, jakou zákonnost zvolí. Kromě souhlasu může zpracovávat údaje například proto, že mu to ukládá zákon, nebo potřebuje plnit smluvní povinnosti, či existuje oprávněný zájem. Jmenovitě jsou zákonnosti uvedeny v čl. 6 GDPR. Je na správci, aby zvolil správnou variantu, nikdo jiný to za něj nemůže udělat.

Souhlas se zpracováním by se měl užívat až tehdy, kdy neexistuje jiná zákonnost pro zpracování. Lze si tedy vypůjčit a mírně upravit hlášku, kterou používá kuchař Jirka Babica: „Když nemáte jinou zákonnost, tak tam dejte souhlas.“ 

Potřebujete nachystat souhlas se zpracováním osobních údajů? 

Napište nám ↗ a my jej pro vás rádi připravíme.

Pořád však myslete na to, že se osobní údaje využívají k určitému účelu. Pokud tedy údaje k danému účelu z logiky věci a za použití zdravého rozumu nejsou potřeba, nestačí ani souhlas se zpracováním osobních údajů. Pokud budu jako správce chtít trasovat přesnou polohu fyzické osoby, nebudu na základě souhlasu moci zpracovávat například náboženské přesvědčení. Proto by se věta kuchaře Jirky měla ještě mírně upravit: „Když nemáte jiný právní základ a údaje pro daný účel opravdu potřebujete, tak tam dejte souhlas.“

undefinedVytvořeno prostřednictvím https://imgflip.com/memegenerator

Typické příklady, ve kterých správci běžně využívají souhlasy se zpracováním osobních údajů (protože jiné zákonnosti nejsou možné) jsou:

  • Využívání fotografií zaměstnanců pro účely marketingu.
  • Zasílání obchodních sdělení návštěvníkům webových stránek. Využívání dat pro marketingové účely.
Ne pro každé zpracování osobních údajů je potřeba získat souhlas. Pokud jej ale mít musíte, připravili jsme základní náležitosti takového souhlasu ↗.

Souhlas jako zákonnost a souhlas jako potvrzení

Nezapomínejte také rozlišovat mezi spojeními „Souhlasím se zpracováním osobních údajů“ a „Souhlasím se zásadami zpracování osobních údajů“. První příklad míří na využití souhlasu jako právního základu a druhý na obecné seznámení s procesem zpracování. Ve druhém případě je tedy vhodnější volit jiná slova, jako třeba„Byl jsem seznámen…“. Pro subjekt údajů to totiž může být matoucí – souhlasí se zpracováním, nebo souhlasí a byl seznámen s tím, co se s jeho daty bude dít?

Pokud tak například zpracováváte osobní údaje, abyste splnili smluvní povinnost a chcete smluvní stranu seznámit s tím, jak budete zpracovávat jejich osobní údaje, je vhodné například do smluvní dokumentace zakomponovat větu: „Byl jsem seznámen se zpracováním osobních údajů.“ Pokud naopak budete chtít od smluvní strany osobní údaje, například pro účely rozsáhlého marketingu, budete od ní muset získat souhlas se zpracováním osobních údajů jako samostatnou zákonnost.

Potřebujete pomoct s přípravou informační dokumentace? Ozvěte se ↗. Společně s dokumentací se podíváme také na nutnost souhlasů a připravíme potřebné textace i procesy.

Jak udělat souhlas správně?

Souhlas se zpracováním osobních údajů by měl mít 4 základní náležitosti. Musí být svobodný, konkrétní, informovaný a jednoznačný projev vůle ze strany subjektu údajů.

undefined

Svobodnost

Jednoduše řečeno: „Nikdo mě nesmí nutit, abych souhlas udělil.“ Za nesvobodný souhlas může být kromě jiného považována situace, kdy je poskytování služby navázáno na souhlas, který není potřebný.

Typickým příkladem souhlasu, který nesplňuje kritérium svobodnosti je povinný check-box pro činnosti zpracování, které nejsou pro danou službu potřebné. V poslední době se s tímto souhlasem setkáte například u mediálních webů, které po vás vyžadují udělit souhlas nebo zaplatit určitou finanční částku. Aktuální praxe však ukazuje, že takový souhlas neplní právě pravidlo svobodnosti, a to dle prozatímních závěrů není v souladu s GDPR.

Problematika svobodnosti souhlasu se rovněž řeší ve vztahu mezi zaměstnancem a zaměstnavatelem. EDBP (European Data Protection Board, přel. Evropský sbor pro ochranu osobních údajů) se ve svých pokynech přiklání k názoru, že ve chvíli, kdy se po zaměstnanci vyžaduje souhlas, je velice pravděpodobné, že se zaměstnanec nebude schopen svobodně rozhodnout, zda jej udělí, či nikoliv. Může se obávat ztráty zaměstnání, šikany ze strany zaměstnavatele a dalších negativních reakcí spojených s neudělením souhlasu.

Výše uvedené však neznamená, že by zaměstnavatel nemohl po zaměstnancích souhlas vyžadovat. Musí se však jednat o situace, kdy zaměstnavatel nebude souhlas vynucovat a pro zaměstnance nebude mít neudělení souhlasu žádný negativní vliv. Pro zaměstnance tedy musí existovat alternativní řešení. 

EDPB popsal možnost vyžadovat souhlas na tomto praktickém příkladu:

undefined

Aby byla zajištěna svobodnost souhlasu, musí být souhlas rozdělen pro jednotlivé účely, pro které ho potřebujete. Typickým příkladem může být vyžadování souhlasu návštěvníků platformy, jenž nabízí srovnávání cen různých obchodů, která chce sbírat e-mailové adresy pro obchodní sdělení a sdílet data v rámci skupiny společností.

undefined

Konkrétnost

Souhlas se zpracováním musí být vždy udělen pro konkrétní účely. Konkrétnost si můžeme ukázat na praktickém příkladu:

Platforma Netlix může zpracovávat osobní údaje na základě souhlasu, aby poskytovala svým zákazníkům nabídky nových filmů na míru a dle jejich sledovacích preferencí. Později se rozhodne, že umožní i dalším platformám a reklamním společnostem, aby zobrazovaly v nabídce zákazníka své reklamy, a to na základě toho, co rád zákazník sleduje. Bude se jednat o nový účel a bude potřeba získat nový souhlas pro toto zpracování. Souhlas je totiž vždy udělen pro konkrétní účel.

Informovanost

Zpracování osobních údajů by vždy mělo být transparentní. Správce musí subjekty údajů dostatečně informovat. Subjekt údajů by měl dostat tolik informací, aby mohl s klidem prohlásit: „Tak jo, já vám věřím.“ Informace musí být rovněž dostatečně odlišitelné od jiných částí textu.

Dle EDPB by každý správce měl uvádět tyto informace, aby se mohlo jednat o platný souhlas:

  • kdo je správce (kdo žádá o souhlas) – když se bude jednat například o společné správce, tak je potřeba uvést všechny;
  • pro jaké účely budou údaje zpracovány (každý zvlášť, ať je dodržena konkrétnost);
  • jaké osobní údaje budou zpracovány a použity;
  • existence práva odvolat souhlas;
  • pokud se bude na základě souhlasu s daty provádět něco automatizovaného, tak i tuto informaci;
  • při předávání do třetích zemí, informace o neexistenci rozhodnutí o odpovídající ochraně a vhodných záruk;
  • další informace vyžadované čl. 13 a 14 GDPR.

Jenže jak všechny tyto povinné informace nacpat do malinkého check-boxu se souhlasem?

To není potřeba. Stačí tyto informace rozvrstvit. V první vrstvě, tedy u check-boxu, je vhodné uvést ty nejdůležitější informace – kdo, proč, jaké osobní údaje. Následně by měl být proklik na existující zásady ochrany osobních údajů, kde daný subjekt nalezne podrobnosti a další informace uvedené výše. Často bývají další informace uvedeny v zásadách ochrany osobních údajů, přičemž v takovém případě je důležité, aby byly informace o uděleném souhlasu dostatečně odděleny od zbytku informací.

„Souhlasím, aby společnost DVATISÍCEMAILŮDENNĚ s.r.o. využila mou e-mailovou adresu pro zasílání obchodních sdělení týkajících se příklepových vrtaček. Další podrobnosti o zpracování naleznu zde.“

Chcete připravit textace souhlasů a informační dokumentace? Spojte se s Jiřím ↗.

Když odkliknutí T&C nestačí: Jednoznačný projev vůle

Aby byl souhlas platný, musí se jednat o uvědomělé aktivní jednání ze strany subjektu údajů. Jednoduše řečeno: „Mlčení neznamená souhlas.“ 

Neobstojí ani například aktivní odsouhlasení podmínek užití aplikace, kde se v některém ustanovení skrývá souhlas se zpracováním osobních údajů. Aktivní a uvědomělé jednání však lze prokázat i jinými způsoby. EDPB například výslovně uvádí, že za jednoznačný projev vůle může být také mávání do kamery, přejíždění dialogovým oknem po obrazovce, či specifické pohyby s mobilním telefonem. Z toho vyplývá – souhlas nemusí být pouze písemný.

„Perfektní, už vím, jak má souhlas vypadat, ale jak ho získat?“

Kreativitě se meze nekladou. Správce nesmí zapomínat, že musí být schopen prokázat všechny výše uvedené náležitosti souhlasu. Check-boxy, podpisy, elektronické podpisy, souhlas při monitorovaném audio hovoru. To jsou jen některé z možností.

EDPB uvádí, že je možné si souhlas také „pojistit“ dvoufázovým ověřením:

Do e-mailu přijde informace o případném dalším účelu zpracování. Pokud s ním subjekt údajů souhlasí, má zaslat odpověď na e-mail ve znění: „Souhlasím.“. Správce pro jistotu zašle subjektu údajů ještě reakci na souhlasný e-mail, kde uvede URL odkaz na ověření uděleného souhlasu. Kliknutím na odkaz je ověřeno a odsouhlaseno.

Citlivá data mají speciální režim

Při zpracování zvláštních kategorií osobních údajů (citlivých) je potřeba splnit také jednu z výjimek, prostřednictvím které je možné tyto údaje zpracovávat. Výjimky jsou uvedeny v čl. 9 GDPR. Bohužel, čl. 9 nezná nezbytnost pro splnění smlouvy, proto mnohdy bude potřeba získat souhlas se zpracováním citlivých údajů, i když jsou potřebné pro splnění smluvního vztahu.

Letecká společnost nabízí službu asistence lidem s postižením, kteří nemají zajištěnou vlastní asistentku. Zákazník si tuto službu objedná, přičemž letecká společnost potřebuje vědět, jaký je přesný zdravotní stav zákazníka, aby mohla službu přesně cílit (nachystat vozíček, asistenta atp.). Jelikož se však jedná o citlivé údaje a čl. 9 nezná výjimku pro zpracování, která by dopadala na plnění smlouvy, je potřeba získat od zákazníka souhlas. Bez uděleného souhlasu může zákazník využít normálních služeb aerolinek, ovšem bez služeb asistence.

Když už nechci: Odvolání souhlasu

Speciální vlastností souhlasu jako právního základu je jeho odvolatelnost. Jiný právní základ takto jednoduše nefunguje. Subjekt údajů se může kdykoliv svobodně rozhodnout, že už nechce, aby byly osobní údaje na základě souhlasu zpracovávány.

GDPR klade na správce povinnost, aby bylo odvolání stejně jednoduché, jako jeho získání. Pokud tedy například subjekt klikne v aplikaci na souhlas, měla by interface aplikace nabídnout také možnost souhlas kliknutím odvolat. Příklad, jak by možnost odvolání souhlasu neměla vypadat, je následující:

undefined

Souhlas se zpracováním osobních údajů umí být dobrým sluhou. Je k tomu však potřeba správně nastavená textace, vhodně zvolený účel, dobře nastavené procesy odvolání a ukládání udělených souhlasů. Pokusili jsme se prakticky popsat, jak funguje souhlas se zpracováním osobních údajů a na co si dát při nastavování pozor. Pokud si však nevíte rady, jsme připraveni podat pomocnou ruku. Vždy chystáme souhlas pro klienty na míru, aby odpovídal jejich brandu, tone of voice a reflektoval služby a produkty, které nabízí.

Zajímá vás, jak je to v současné době s předáváním osobních údajů do USA ↗ ? Přečtěte si článek na toto téma.

 

Autor

Jiří Hradský ↗

Jsem advokát specializující se na ochranu osobních údajů, e-commerce, compliance a související oblasti. Za dobu působení v kanceláři jsem provedl desítky firem audity, nastavením procesů souvisejících s technologiemi a právem.

Drop us a line and we will help you