Novinky

Vyžadování souhlasu a GDPR

8. června 2018, 17:53 hod.

Může poskytovatel služby opakovaně žádat o souhlas se zpracováním osobních údajů, pokud subjekt údajů svůj nesouhlas již dříve sdělil?

Lavina žádostí o souhlas se zpracováním osobních údajů, s nimiž se v současné době obrací na občany řada firem a dokonce i veřejných institucí, je výrazem nepochopení principů ochrany osobních údajů správci osobních údajů i mnohými poradenskými a advokátními kancelářemi. Souhlas se zpracováním osobních údajů není potřebný v řadě životních situací, nemůže být právním důvodem pro zpracování údajů ve všech následujících případech: smluvní vztah se subjektem údajů (typicky prodej zboží, poskytování služeb), plnění právní povinnosti správce nebo realizace jeho oprávněného zájmu, plnění úkolu prováděného ve veřejném zájmu. V těchto případech je zpracování osobních údajů prováděno bez souhlasu subjektu údajů a souhlas nesmí být vyžadován.

Pokud lze zpracování založit na souhlasu, musí být souhlas udělen pro každý jeden konkrétní účel. Souhlas tedy musí být konkrétním, svobodným, informovaným a jednoznačným projevem vůle, při jehož vyžadování musí správce počítat s tím, že souhlas může být kdykoliv odvolán. Jedním z cílů podrobné úpravy udělování souhlasu podle obecného nařízení je zamezit předchozí nesprávné praxi, např. situacím, kdy při uzavření smlouvy byl vynucován souhlas k jiným účelům. Tomu nyní výslovně brání článek 7 obecného nařízení.

Uvedené zpřesnění podmínek vyjádření souhlasu bohužel mnoho správců osobních údajů do své praxe nepromítlo. Stále je tak rozšířen naprosto mylný názor, že získáním souhlasu subjektu údajů jsou všechny problémy zpracování osobních údajů vyřešeny.

Jestliže jsou lidé opakovaně žádáni o souhlas se zpracováním osobních údajů, aniž by byl konkrétně uveden účel, pro který je souhlas žádán nebo je souhlas vyžadován pro účel, pro který je jiný právní důvod (adresát výzvy má se správcem platnou smlouvu, správce má právní povinnost nebo oprávněný zájem osobní údaje zpracovávat), mohou správce upozornit, že taková žádost je v rozporu s obecným nařízením o ochraně osobních údajů a lze na ni podat Úřadu stížnost. Uvedený postup správce je porušením zásady transparentnosti a povinností stanovených v článcích 5 a 12 obecného nařízení.

Nesprávné a nedůvodné vyžadování souhlasu bez odpovídající informace pak může být ve svém důsledku posouzeno jako porušení základních zásad pro zpracování, včetně podmínek týkajících se souhlasu a práv subjektů údajů, ve smyslu článku 83 odst. 5 písm. a) a písm. b) GDPR.

Vyžadování souhlasu se zasíláním reklamních sdělení od osob, které nejsou zákazníky, je sankcionovatelné podle zákona č. 480/2004 Sb. jako nedovolené obchodní sdělení.

Správcům osobních údajů je proto třeba důrazně doporučit, aby přehodnotili každý jednotlivý případ (účel) zpracování údajů založený na souhlasu a upustili od vyžadování souhlasu ve všech nepotřebných případech, zejména při realizaci smluvních vztahů se zákazníky, dále ve všech případech plnění zákonných povinností a v neposlední řadě také při výkonu oprávněných zájmů (např. správa pohledávek, zasílání obchodních sdělení vlastním zákazníkům v mezích zákona č.  480/2004 Sb.).
 

MicrosoftFujitsuEpsonOKIZyXELSolitea
GDPR