V souvislosti s aktuálními projekty ministerstva zdravotnictví Chytrá karanténa a eRouška se opětovně řeší osobní údaje a s nimi související pravidla. Ta se přitom intenzivně probírala už zhruba před dvěma lety, kdy jsme začali postupovat podle evropského nařízení, známého pod zkratkou GDPR. Podívejme se tak, s dalšími zkušenostmi, na podmínky spojené s vyžadováním souhlasu se zpracováním osobních údajů v obecné rovině a na to, kdy je toto nutné a kdy zbytečné.

Před tím, než začnete od fyzických osob (neboli tzv. subjektů údajů) vyžadovat souhlas se zpracováním osobních údajů, je potřeba se nejprve zamyslet nad tím, zda neexistuje nějaký jiný právní základ či titul, který by vás opravňoval ke zpracování osobních údajů a vylučoval tak potřebu získávání souhlasu se zpracováním dle nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES a zákona č. 110/2019 Sb., o způsobech zpracování osobních údajů (dále jen „GDPR“).

Zpravidla se bude jednat o zákonný důvod, na základě, kterého máte povinnost osobní údaje dané osoby zpracovávat, nebo o smlouvu, kterou máte se subjektem údajů uzavřenou a o kterou byste mohli zpracování osobních údajů opřít. Uvažovat o získávání souhlasu se zpracováním osobních údajů byste totiž měli začít až ve chvíli, kdy dospějete k závěru, že žádný jiný legitimní titul pro zpracování neexistuje.

Nadbytečné vyžadování souhlasů

Souhlas se zpracováním osobních údajů, jehož náležitosti upravuje nařízení GDPR, je jen jedním z mnoha právních titulů ke zpracování osobních údajů. Kvůli rozsáhlým a občas i trochu přehnaným obavám správců či zpracovatelů osobních údajů ze sankcí, které mohou být při porušení povinností z GDPR ukládány a které mohou potenciálně být velmi vysoké, se velká část povinných osob rozhodla jednoduše pojistit tím, že začala od subjektů údajů plošně vyžadovat souhlasy se zpracováním osobních údajů, a to téměř na cokoliv.

Zde je třeba jasně říct, že takovýto postup je špatný a v rozporu s GDPR, na což opakovaně upozorňoval i Úřad pro ochranu osobních údajů plnící v České republice úlohu dozorového úřadu dohlížejícího na jejich řádné zpracování. Souhlasy se zpracováním je potřeba od subjektů údajů vyžadovat totiž až v momentě, kdy je to nezbytně nutné a kdy pro zpracování neexistuje jiný titul.

Právním základem či titulem pro zpracování osobních údajů totiž bude z velké části smlouva (popř. předsmluvní jednání) nebo zákon. Příkladem můžeme uvést osobní údaje osob, které jsou zpracovávány za účelem poskytnutí určitého zboží nebo služby, tedy za účelem uzavření smlouvy a kontraktace, přičemž půjde zpravidla o adresní a identifikační údaje (jako např. jméno a příjmení, adresa, telefon nebo email).

Titulem pro zpracování takovýchto osobních údajů bude smlouva, bez ohledu na to, zda půjde o smlouvu písemnou či ústní (přesto že písemná varianta je vždy praktičtější), a proto nebude nutné souhlas se zpracování pro zmíněné údaje získávat. Pokud by však mělo na rámec uvedeného docházet ke zpracování i dalších osobních údajů, které už pro smluvní vztah nejsou nikterak nezbytné (jako např. číslo občanského průkazu nebo fotografie), bude už pro takovéto údaje nutné získat souhlas. Proto je třeba zvažovat vždy s ohledem na konkrétní situaci daného případu, zda je souhlas nezbytný, anebo již nadbytečný, a v případě nejistoty se samozřejmě poradit s odborníkem.

Ze strany Úřadu pro ochranu osobních údajů několikrát zazněl názor, že nadbytečné a neopodstatněné vyžadování souhlasů se zpracováním osobních údajů je v rozporu s GDPR a zákonem. Souhlas se zpracováním osobních údajů je titul pro zpracování osobních údajů, který lze využít až v krajním případě, kdy pro zpracování osobních údajů neexistuje žádný jiný titul – jako např. plnění zákonných povinností, plnění smlouvy, jejíž smluvní stranou je subjekt údajů (popř. provádění opatření přijatých před uzavřením smlouvy) nebo plnění úkolu ve veřejném zájmu či v souvislosti s výkonem veřejné moci.

Souhlas se zpracováním osobních údajů bude proto na místě od subjektů údajů získávat až v momentě, kdy nebude možné uplatnit žádný jiný z přípustných titulů pro zpracování osobních údajů, jenž jsou kompletně vyjmenovány v článku 6 GDPR, a které se promítly do zákona.

Náležitosti souhlasu se zpracováním

Pokud nebude dán ke zpracování osobních údajů jiný právní titul, bude samozřejmě třeba souhlas se zpracováním od subjektů údajů získat. V takovém případě však bude získání souhlasu se zpracováním zcela legitimní a plně v souladu s GDPR – za předpokladu, že budou dodrženy veškeré zákonné podmínky a náležitosti takového souhlasu.

Souhlas se zpracováním osobních údajů musí být vždy výslovný, svobodně udělený, dostatečně konkrétní a informovaný. V souhlasu musí správce subjekt údajů vždy informovat o své totožnosti a kontaktních údajích, jakož i o kontaktních údajích případného pověřence pro ochranu osobních údajů (je-li jmenován). Dále je třeba v souhlasu informovat subjekty údajů o účelech zpracování osobních údajů, typech zpracovávaných údajů a jejich příjemcích – zpravidla tedy subjektech, které s osobními údaji přijdou do styk, jako například účetní firma nebo správce výpočetní techniky).

V souhlasu musí být obsažena i informace o možnosti souhlas kdykoliv odvolat, jakož i informace o případném předávání osobních údajů do zahraničí. Pokud je souhlas udělován k více „účelům“ zpracování, musí v takovém případě subjekt údajů mít ve vztahu ke každému z nich možnost volby – tedy možnost si vybrat, zda souhlas udělí jen k některému z účelů zpracování nebo ke všem, což se v praxi zpravidla řeší formou zaškrtávacích políček.

Paušálně získávané souhlasy pro více účelů zpracování najednou, by totiž byly neplatné a v rozporu s nařízením GDPR. Nad rámec výše uvedeného by správce měl v souhlasu subjektům údajů poskytnout také informace o době, po kterou budou jejich osobní údaje zpracovávány, o existenci práva podat stížnost k Úřadu pro ochranu osobních údajů, jakož i o dalších právech subjektů údajů plynoucích z GDPR.

Pokud by souhlas se zpracováním měl být např. součástí smlouvy či obchodních podmínek, což historicky (především před účinností GDPR) bylo relativně časté, musí být nyní podle GDPR souhlas vždy dostatečně jasně a zřetelně odlišitelný od ostatního textu pro to, aby byl platně udělen. V tomto ohledu lze nicméně spíše doporučit souhlas od obchodních podmínek či smlouvy zcela oddělit. V každém případě můžeme uzavřít, že při získávání souhlasu se zpracováním osobních údajů je na místě situaci nejprve vždy individuálně posoudit a až po patřičném vyhodnocení, že souhlas je pro zpracování opravdu nutný, se uchýlit k jeho získávání od subjektů údajů.

JUDr. Jiří Matzner, Ph.D., LLM. je zakladatelem advokátní kanceláře Matzner et. al.

Zdroj: Žádat souhlas se zpracováním osobních údajů je mnohdy zbytečné. Jde to pak proti pravidlům GDPR | info.cz