Souhlas se zpracováním osobních údajů – kdy je potřeba a jak musí vypadat?
Kdy je souhlas potřeba?
Chcete-li jakkoliv zpracovávat osobní údaje (např. jméno, příjmení, e-mailová adresa), musíte k tomu mít vždy právní titul, jinými slovy některý z důvodů uvedených v čl. 6 GDPR[1]. Právní titul tvoří právní základ, bez kterého správně nelze jakékoliv zpracování osobních údajů vůbec zahájit. Souhlas je jedním z nich[2].
Poměrně rozšířeným mýtem je, že lepší je mít ke zpracování osobních údajů vždy souhlas. Opak je pravdou, souhlas je koncipován jako tzv. zbytkový právní titul a měl by být využíván až v situaci, kdy žádný jiný právní titul není pro zamýšlené zpracování osobních údajů vhodný. Získávání souhlasu „pro jistotu“ je nadbytečné a nežádoucí.
Než tedy začnete vyžadovat souhlasy, je třeba se zamyslet, jestli je tento souhlas opravdu potřebný a zda zde není jiný právní titul, na jehož základě můžete osobní údaje zpracovávat. Zejména v případě nabízení zboží a služeb na internetu existuje hned několik jiných právních titulů ke zpracování osobních údajů, zejména plnění smlouvy (dodání zboží/služby) a plnění zákonných povinností v oblasti účetnictví a daní. Souhlas tak bude nutné získávat pouze tehdy, když máte specifické zájmy k nakládání s osobními údaji. Dokonce i obávané zasílání obchodních sdělení je v určitých případech možné činit bez souhlasu. Více o obchodních sděleních naleznete v tomto článku.
S ohledem na současnou praxi uvádíme, že většina běžných e-shopařů bude potřebovat souhlas pro zasílání obchodních sdělení (netýká-li se newsletter obdobného zboží či služeb, které zákazník u podnikatele zakoupil), pro udělování referencí na webových stránkách (pokud obsahují osobní údaje – např. jméno, příjmení a e-mail nebo fotografii) nebo pokud chce podnikatel sledovat polohu zákazníka.
Jak by měl souhlas vypadat?
Pokud chcete obdržet souhlas, mělo by být zřetelně uvedeno, k čemu je tento souhlas udělován, tj. účel zpracování (např. zasílání obchodních sdělení) a druh zpracovaných údajů (např. jméno, příjmení a e-mailová adresa). Pokud vám pak má subjekt údajů udělit souhlas, měl by být informován o tom, komu jej uděluje (vaše identifikace). Žádost o souhlas by pak měla být viditelná a oddělená od jiných právních jednání, a subjekt údajů by měl mít skutečnou možnost volby, zda souhlas udělit či nikoliv, a samozřejmě by měl mít možnost tento souhlas odvolat.
Souhlas musí splňovat určité kvality – musí být svobodný, konkrétní, informovaný, jednoznačný a doložitelný. Nesmíte tedy udělením souhlasu podmiňovat uzavření jakékoliv smlouvy a souhlas nesmí být v žádném případě součástí obchodních podmínek. Souhlas musí být udělený ke konkrétnímu účelu, věta „Souhlasím se zpracováním osobních údajů.“ tak není správná. Ten, kdo uděluje souhlas, jej musí udělit ke konkrétní činnosti, a tak souhlas může znít např.: „Souhlasím se zasíláním obchodních sdělení na moji e-mailovou adresu.“ Souhlas musí subjekt udělit aktivně, předzaškrtnutá políčka souhlasu tak není možné použít. Je třeba také myslet na to, že musíte být schopni souhlas doložit, a tak byste měli vést evidenci udělených souhlasů.
Je nutné také subjektu údajů sdělit další informace, např. o tom, zda budou osobní údaje někomu předávány nebo o dalších právech subjektu údajů. Proto je praktické k souhlasu připojit odkaz na dokument, kde všechny tyto informace budou zahrnuty – např. dokument Zásady ochrany osobních údajů, který naše advokátní kancelář pro klienty vytváří. Dovolujeme si upozornit, že většina vzorových dokumentů, které kolují zdarma po internetu a které jsme měli možnost prohlédnout, vykazují poměrně zásadní chyby a jsou v rozporu s GDPR.
Pro doplnění uvádíme, že pro udělení souhlasu není potřeba vždy písemná listina podepsaná subjektem údajů, v prostředí internetu lze pro souhlas využít jiné nástroje, např. zaškrtávací či funkční tlačítka.
Závěr
Souhlas není univerzálním právním titulem pro zpracování osobních údajů, a tak je důležité vždy zvážit, zda pro kýžené zpracování osobních údajů nemáte jiný právní titul. Pokud vyhodnotíte, že souhlas opravdu je potřeba, je žádoucí, aby splňoval všechny výše uvedené náležitosti.
Pokud si nevíte rady, máte jiné pochybnosti k udělování souhlasu se zpracováním osobních údajů nebo potřebujete zpracovat právní dokumentaci k osobním údajům, neváhejte se na nás obrátit.
[1] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), dále jen jako „GDPR“
[2] Dalšími tituly dle čl. 6 GDPR jsou: plnění smlouvy, plnění právních povinností, ochrana důležitých zájmů subjektu údajů nebo jiné fyzické osoby, splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce, a zpracování nezbytné pro účely oprávněných zájmů správce či třetí strany.