Souhlas se zpracováním osobních údajů – prakticky

Evropský sbor pro ochranu osobních údajů aktualizoval své pokyny týkající se souhlasu se zpracováním osobních údajů. Článků na toto téma bylo napsáno nespočet. V tomto článku se však pokusíme pojmout souhlas se zpracováním velmi prakticky a s obrázky! 🙂

Souhlasím x byl jsem seznámen

Souhlas se zpracováním osobních údajů je jedním z právních základů, na základě kterého může správce zpracovávat osobní údaje. Správce vždy musí dostatečně zvážit, jaký právní základ zvolí. Kromě souhlasu může zpracovávat údaje například proto, že mu to ukládá zákon, potřebuje plnit smlouvu, či existuje oprávněný zájem (další právní základy pro zpracování). Jmenovitě jsou právní základy uvedeny v čl. 6 GDPR. Pro právní základ se v česku používá pojem zákonnost zpracování. Je na správci, aby zvolil správný právní základ, nikdo jiný to za něj nemůže udělat. 

Souhlas se zpracováním by se měl užívat až tehdy, kdy neexistuje jiný právní základ pro zpracování. Lze si tedy vypůjčit a mírně upravit hlášku kuchaře Jiřího Babicy: „Když nemáte jiný právní základ, tak tam dejte souhlas.“  

Pořád je však potřeba myslet na to, že osobní údaje se využívají k určitému účelu. Pokud tedy údaje k danému účelu z logiky věci a za použití zdravého rozumu nejsou potřeba, nepostačí ani souhlas se zpracováním osobních údajů. Pokud budu jako správce chtít trasovat přesnou polohu fyzické osoby, nebudu na základě souhlasu moci zpracovávat například náboženské přesvědčení. Proto by se věta Jirky Babicy měla ještě mírně upravit: „Když nemáte jiný právní základ a údaje pro daný účel opravdu potřebujete, tak tam dejte souhlas.“

Vytvořeno prostřednictvím https://imgflip.com/memegenerator

Nezapomínejte také rozlišovat mezi spojením „Souhlasím se zpracováním osobních údajů“ a například „Souhlasím se zásadami zpracování osobních údajů“. První příklad míří na využití souhlasu jako právního základu a druhý na obecné seznámení s procesem zpracování. V druhém případě je tedy vhodnější volit jiná slova, jako například „Byl jsem seznámen…“. Pro subjekt údajů to totiž může být matoucí – souhlasí se zpracováním, nebo souhlasí a byl seznámen s tím, co se s jeho daty bude dít?

Co musí souhlas obsahovat?

Souhlas se zpracováním osobních údajů by měl mít 4 základní náležitosti. Musí být svobodný, konkrétní, informovaný a jednoznačný projev vůle ze strany subjektu údajů.

Svobodnost

Jednoduše řečeno: „Nikdo mě nesmí nutit, abych souhlas udělil.“ Za nesvobodný souhlas může být kromě jiného považována situace, kdy je poskytování služby navázáno na souhlas, který není potřebný:

V některých případech by mohlo být vyžadování souhlasu pro poskytnutí služby považováno za svobodné. Těmto souhlasům se říká souhlasy „take it or leave it“. Více k této problematice naleznete v následujícím článku.

Problematika svobodnosti souhlasu se rovněž řeší ve vztazích mezi zaměstnanci a zaměstnavateli. EDBP se ve svých pokynech přiklání k názoru, že ve chvíli, kdy se po zaměstnanci vyžaduje souhlas, je velice pravděpodobné, že se zaměstnanec nebude schopen svobodně rozhodnout, zda jej udělí či nikoliv. Může se obávat ztráty zaměstnání, šikany ze strany zaměstnavatele a dalších negativních reakcí spojených s neudělením souhlasu.

Výše uvedené však neznamená, že by zaměstnavatel nemohl po zaměstnancích souhlas vyžadovat. Musí se však jednat o situace, kdy zaměstnavatel nebude souhlas vynucovat a pro zaměstnance nebude mít neudělení souhlasu žádný negativní vliv. Pro zaměstnance tedy musí existovat alternativní řešení. 

EDPB popsal možnost vyžadovat souhlas na tomto praktickém příkladu:

Souhlas se zpracováním osobních údajů

Aby byla zajištěna svobodnost souhlasu, musí být souhlas rozdělen pro jednotlivé účely, pro které je vyžadován. Typickým příkladem může být vyžadování souhlasu navštěvníku platformy, jenž nabízí srovnávání cen různých obchodů, která chce sbírat e-mailové adresy pro obchodní sdělení a sdílet data v rámci skupiny společností:

Konkrétnost

Souhlas se zpracováním musí být vždy udělen pro konkrétní účely. Například platforma Netlix může zpracovávat osobní údaje na základě souhlasu, aby poskytovala svým zákazníkům nabídky nových filmů na míru a dle jejich sledovacích preferencí. Později se rozhodne, že umožní i dalším platformám a reklamním společnostem, aby zobrazovaly v nabídce zákazníka své reklamy, a to na základě toho, co rád zákazník sleduje. Bude se jednat o nový účel a bude potřeba získat nový souhlas pro toto zpracování. Jinak se konkrétnost velmi kryje s příkladem uvedeným výše, kdy souhlas musí být rozdělen pro jednotlivé účely.

Informovanost

Zpracování osobních údajů by vždy mělo být transparentní. Správce musí subjekty údajů dostatečně informovat. Subjekt údajů by měl dostat tolik informací, aby mohl s klidem prohlásit: „Tak jo, já vám věřím.“Informace musí být rovněž dostatečně odlišitelné od jiných částí textu. 

Dle EDPB by každý správce měl uvádět tyto informace, aby se mohlo jednat o platný souhlas:

  • kdo je správce (kdo žádá o souhlas) – když se bude jednat například o společné správce, tak je potřeba uvést všechny;
  • pro jaké účely budou údaje zpracovány (každý zvlášť, ať je dodržena konkrétnost);
  • jaké osobní údaje budou zpracovány a použity;
  • existence práva odvolat souhlas;
  • pokud se bude na základě souhlasu s daty provádět něco automatizovaného, tak i tuto informaci;
  • při předávání do třetích zemí, informace o neexistenci rozhodnutí o odpovídající ochraně a vhodných záruk;
  • další informace vyžadované čl. 13 a 14 GDPR.

Jenže jak všechny povinné informace nacpat k malinkému check-boxu se souhlasem? Vrstvením. V první vrstvě, tedy u check-boxu, je vhodné uvést ty nejdůležitější informace – kdo, proč, jaké osobní údaje. Následně by měl být proklik na existující zásady ochrany osobních údajů, kde daný subjekt nalezne podrobnosti a další informace uvedené výše. Často bývají další informace uvedeny v zásadách ochrany osobních údajů, přičemž v takovém případě je důležité, aby byly informace o uděleném souhlasu dostatečně odděleny od zbytku informací.

Příklad: Souhlasím, aby společnost DVATISÍCEMAILŮDENNĚ s.r.o. využila mou e-mailovou adresu pro zasílání obchodních sdělení týkajících se příklepových vrtaček. Další podrobnosti o zpracování naleznu zde. 

Jiným příkladem může být souhlas, který využíváme na našich webových stránkách pro newslettery. Můžete si jej rovněž vyplnit v případě, že máte zájem o zasílání novinek. 🙂

Jednoznačný projev vůle

Aby byl souhlas platný, musí se jednat o uvědomělé aktivní jednání ze strany subjektu údajů. Jednoduše řečeno: „Mlčení neznamená souhlas.“ Neobstojí ani například aktivní odsouhlasení podmínek užití aplikace, kde se v některém ustanovení skrývá souhlas se zpracováním osobních údajů. Aktivní a uvědomělé jednání však lze prokázat i jinými způsoby. EDPB například výslovně uvádí, že za jednoznačný projev vůle může být také mávání do kamery, přejíždění dialogovým oknem po obrazovce, či specifické pohyby s mobilním telefonem. Z toho vyplývá – souhlas nemusí být pouze písemný.

„Perfektní, už vím, jak má souhlas vypadat, ale jak ho získat?“

Kreativitě se meze nekladou. Správce nesmí zapomínat, že musí být schopen prokázat všechny výše uvedené náležitosti souhlasu. Check-boxy, podpisy, elektronické podpisy, souhlas při monitorovaném audio hovoru. To jsou jen některé z možností.

EDPB uvádí, že je možné si souhlas také „pojistit“ dvoufázovým ověřením:

Do e-mailu přijde informace o případném dalším účelu zpracování. Pokud s ním subjekt údajů souhlasí, má zaslat odpověď na e-mail ve znění: „Souhlasím.“. Správce pro jistotu zašle subjektu údajů ještě reakci na souhlasný e-mail, kde uvede URL odkaz na ověření uděleného souhlasu. Kliknutím na odkaz je ověřeno a odsouhlaseno.

Citlivá data

Při zpracování zvláštních kategorií osobních údajů (citlivých) je potřeba splnit také jednu z výjimek, prostřednictvím které je možno zpracovávat tyto údaje. Výjimky jsou uvedeny čl. 9 GDPR. Bohužel, čl. 9 nezná nezbytnost pro splnění smlouvy, proto mnohdy bude potřeba získat souhlas se zpracováním citlivých údajů, i když jsou potřebné pro splnění smluvního vztahu.

Příklad: Letecká společnost nabízí službu asistence lidem s postižením, kteří nemají zajištěnou vlastní asistentku. Zákazník si tuto službu objedná, přičemž letecká společnost potřebuje vědět, jaký je přesný zdravotní stav zákazníka, aby mohla službu přesně cílit (nachystat vozíček, asistenta atp.). Jelikož se však jedná o citlivé údaje a čl. 9 nezná výjimku pro zpracování, která by dopadala na plnění smlouvy, je potřeba získat od zákazníka souhlas. Bez uděleného souhlasu může zákazník využít normálních služeb aerolinek, ovšem bez služeb asistence.

Odvolání souhlasu

Speciální vlastností souhlasu jako právního základu je jeho odvolatelnost. Jiný právní základ takto jednoduše nefunguje. Subjekt údajů se může kdykoliv svobodně rozhodnout, že už nechce, aby byly osobní údaje na základě souhlasu zpracovávány.

GDPR klade na správce povinnost, aby bylo odvolání stejně jednoduché, jako jeho získání. Pokud tedy například subjekt klikne v aplikaci na souhlas, měl by interface aplikace nabídnout také možnost odvolat souhlas. Příklad, jak by možnost odvolání souhlasu neměla vypadat, je následující:

Souhlas se zpracováním osobních údajů

Závěr

Souhlas se zpracováním osobních údajů umí být dobrým sluhou. Je k tomu však potřeba správně nastavená textace, vhodně zvolený účel, dobře nastavené procesy odvolání a ukládání udělených souhlasů. Pokusili jsme se prakticky popsat, jak funguje souhlas se zpracováním osobních údajů a na co si dát při nastavování pozor. Pokud si však nevíte rady, neváhejte se na nás obrátit. Vždy chystáme souhlas pro klienty na míru, aby odpovídal jejich image, způsobu vyjadřování a reflektovat služby či produkty, které nabízí.

Pokud Vás zajímá, jak je to se zpracováním v souvislosti s COVID-19, přečtěte si náš další článek.

Začněme spolupracovat ještě dnes

Kontaktujte nás