Souhlas se zpracováním osobních údajů podle nové právní úpravy (GDPR)

Vydáno: 11 minut čtení

V současné době je stále ještě oblast ochrany osobních údajů upravena zákonem č. 101/2000 Sb. , o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „zákon o ochraně osobních údajů “). Stále více je však zohledňována nová právní úprava ochrany osobních údajů, obsažená v nařízení Evropského parlamentu a Rady 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů – GDPR ), které nabude účinnosti 25. května 2018.

Souhlas se zpracováním osobních údajů podle nové právní úpravy (GDPR)
JUDr.
Eva
Janečková
 
Dosavadní právní úprava
Podle dosavadní úpravy je zpracování osobních údajů se souhlasem subjektu údajů jednou ze základních zásad zpracování osobních údajů, a to proto, že zpracováním osobních údajů dochází k zásahu do soukromí jejich nositele. Podle definice obsažené v § 4 písm. n) zákona o ochraně osobních údajů je souhlasem subjektu údajů svobodný a vědomý projev vůle subjektu údajů, jehož obsahem je svolení subjektu údajů se zpracováním osobních údajů. Základem tedy je svoboda projevu vůle.
A právě svoboda souhlasu je většinou tou nejproblematičtější vlastností, kterou lze u již udělených souhlasů často zpochybnit. Souhlas se zpracováním osobních údajů je svým charakterem jednostranný právní úkon a ani jeho zapracováním do dokumentu, který je součástí dvoustranného právního vztahu, se ze souhlasu nestává dvoustranný úkon.
Souhlasem subjektu údajů je dále vědomý projev vůle, jehož obsahem je svolení subjektu údajů se zpracováním osobních údajů. Zákon tedy nestanoví povinnost získat písemný souhlas. Takový souhlas může tedy být poskytnut i konkludentně, resp. jinak než výslovně. Subjekt údajů např.
může po obdržení patřičné informace své osobní údaje správci poskytnout, čímž mlčky, ne výslovně, souhlasí s jejich zpracováním. K určení obsahu vůle může totiž sloužit i širší kontext jednání, případně i jednání následného, jestliže je z něho možné na obsah vůle zpětně usuzovat
. V této souvislosti je rovněž třeba zmínit
§ 5 odst. 4, větu druhou
zákona o ochraně osobních údajů, která stanoví, že správce musí být po celou dobu zpracování schopen prokázat, že mu subjekt údajů ke zpracování poskytl svůj souhlas. V případě konfliktní situace, kdy subjekt údajů bude tvrdit, že správce zpracovává jeho osobní údaje bez jeho souhlasu, je tedy důkazní břemeno na straně správce. V tomto případě bude správce povinen prokázat, že subjekt údajů se zpracováním souhlasil a že souhlas splňoval všechny výše uvedené náležitosti.1)
Aby bylo možné udělený souhlas skutečně považovat za vědomý, je nutné, aby byl také tzv. informovaný. Tuto informovanost vyžaduje již zmiňované ustanovení § 5 odst. 4, podle něhož musí být subjekt údajů při udělení souhlasu informován o tom, pro jaký účel zpracování a k jakým osobním údajům je souhlas dáván, jakému správci a na jaké období. Další podrobnosti k plnění informační povinnosti obsahuje § 11 zákona o ochraně osobních údajů.
Další parametry, resp. okolnosti, udělování souhlasu se zpracováními osobních údajů vymezuje § 5 odst. 4 zákona o ochraně osobních údajů.2) I když zákon o ochraně osobních údajů stanoví, že subjekt údajů musí být informován při udělení souhlasu, z logiky věci plyne, že se tak musí stát vlastně již před samotným udělením souhlasu.
První informací tedy musí být účel, pro který mají být údaje zpracovávány. Samozřejmě je možné osobní údaje zpracovávat i pro více účelů a pak musí být poskytnuta informace o všech účelech zpracování.
Dalším nezbytnou informací je rozsah osobních údajů určených ke zpracovávání. Dále pak musí být sdělena identita správce, a to natolik přesně, aby nebyl zaměnitelný s jinou osobou, lhostejno, zda fyzickou, nebo právnickou. Poslední součástí povinné informace je stanovení období, na jak dlouho bude souhlas primárně poskytnut.
Vzhledem k tomu, že souhlas se zpracováním je jednostranným právním úkonem, zcela podřízeným vůli subjektu údajů, může být jako takový kdykoliv odvolán. Bylo možné zachytit snahy některých správců uzavírat se subjekty údajů jakési „kvazi dohody“, když do znění textu souhlasu byly vsunuty formulace jako např.: „subjekt údajů bere na vědomí a souhlasí s tím, že udělený souhlas nebude odvolán do…“. Lze usoudit, že ani taková formulace nezbavuje subjekt údajů jeho práva souhlas kdykoliv odvolat a odvolaný souhlas by musel správce bez dalšího respektovat.
Je zcela jednoznačnou povinností, stanovenou správcům osobních údajů, prokázat souhlas se zpracováním, a to po celou dobu, po kterou jsou osobní údaje zpracovávány.
Souhlas se zpracováním osobních údajů nemusí být podle současné právní úpravy písemný, nicméně je nepochybné, že zajištění prokazatelnosti po celou dobu zpracování nejlépe zajistí písemná podoba. Souhlas však také může být konkludentní, např. předání dokumentu, který osobní údaje obsahuje.
GDPR
Nová právní úprava v podobě GDPR základní parametry souhlasu zásadně nemění, ale požadavky rozšiřuje. Podstatným je také fakt, že zatímco podle zákona o ochraně osobních údajů byl souhlas prvotním základem pro zpracování osobních údajů a až posléze byly stanoveny výjimky, kdy mohly údaje být zpracovány bez souhlasu, GDPR výlučné postavení souhlasu nezná a staví jej na stejnou úroveň jako jiné důvody pro zpracování osobních údajů. Naopak je doporučováno snažit se nejprve najít některý z jiných zákonných důvodů a až v případě, že není, žádat souhlas, neboť zpracování na základě souhlasu je jedním z nejkomplikovanějších důvodů vzhledem ke stanoveným požadavkům a s ohledem na odvolatelnost.
Nová definice souhlasu se zpracováním osobních údajů je uvedena v článku 4 odst. 11 GDPR. Podle tohoto ustanovení se souhlasem subjektu údajů rozumí jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.
Ani GDRP tedy neklade požadavek písemnosti souhlasu se zpracováním osobních údajů. Jednoznačně však uvádí, že takový souhlas musí být konkrétní a jednoznačný.
To potvrzuje i recitál 32, který říká, že
souhlas by měl být dán jednoznačným potvrzením, které je vyjádřením svobodného, konkrétního, informovaného a jednoznačného svolení subjektu údajů ke zpracování osobních údajů, které se jej týkají, a to v podobě písemného prohlášení, učiněného i elektronicky, nebo ústního prohlášení.
Příklad
Mohlo by se např. jednat o zaškrtnutí políčka při návštěvě internetové stránky, volbu technického nastavení pro služby informační společnosti nebo jiné prohlášení či jednání, které v této souvislosti jasně signalizuje souhlas subjektu údajů s navrhovaným zpracováním jeho osobních údajů.
GDPR zároveň upozorňuje na známou poučku, že mlčení neznamená souhlas, když uvádí, že mlčení, předem zaškrtnutá políčka nebo nečinnost by tudíž neměly být považovány za souhlas.
Souhlas by se měl vztahovat na veškeré činnosti zpracování prováděné pro stejný účel nebo stejné účely. Jestliže má zpracování několik účelů, měl by být souhlas udělen pro všechny. Má-li subjekt údajů vyjádřit souhlas na základě žádosti podané elektronickými prostředky, musí být žádost jasná a stručná a nesmí zbytečně narušit využívání služby, pro kterou je souhlas dáván.
GDPR tak stejně jako zákon o ochraně osobních údajů požaduje, aby - pokud je zpracování založeno na souhlasu - byl správce schopen doložit, že subjekt údajů udělil souhlas se zpracováním svých osobních údajů.
GDPR také odstraňuje nešvar, který byl v České republice velmi rozšířen. Jak již bylo několikrát výše uvedeno, souhlas je jednostranným právním úkonem. Přesto byl často včleňován přímo do smlouvy, do všeobecných obchodních podmínek nebo jiného dvoustranného právního aktu. Za takových podmínek nebylo možné odmítnout podepsat souhlas se zpracováním osobních údajů a zároveň podepsat smlouvu, formulace byly často složitě právnické a nesrozumitelné, umístění a grafická podoba souhlasu bývají často zvoleny tak, aby bylo znění souhlasu ve smlouvě snadno přehlédnutelné.
GDPR však požaduje, aby - pokud je souhlas subjektu údajů vyjádřen písemným prohlášením, které se týká rovněž jiných skutečností - byla žádost o vyjádření souhlasu předložena způsobem, který je od těchto jiných skutečností jasně odlišitelný a je srozumitelný a snadno přístupný za použití jasných a jednoduchých jazykových prostředků.
Zároveň stanoví poměrně tvrdou sankci, když v článku 7 odst. 2 konstatuje, že jakákoli část tohoto prohlášení, která představuje porušení tohoto nařízení, není závazná.
Výslovně je také stanovena odvolatelnost souhlasu, kterou zákon o ochraně osobních údajů neobsahoval, a která byla dovozována výkladem ze směrnice 95/46/ES. Podle článku 7 odst. 3 GDPR má subjekt údajů právo svůj souhlas kdykoli odvolat. Odvoláním souhlasu není dotčena zákonnost zpracování vycházejícího ze souhlasu, který byl dán před jeho odvoláním. Před udělením souhlasu o tom bude subjekt údajů informován. Odvolat souhlas musí být stejně snadné jako jej poskytnout.
Malou revolucí v našem právním prostředí je i znění odst. 4, který říká, že při posuzování toho, zda je souhlas svobodný, musí být důsledně zohledněna skutečnost, zda je mimo jiné plnění smlouvy, včetně poskytnutí služby, podmíněno souhlasem se zpracováním osobních údajů, který není pro plnění dané smlouvy nutný.
Výše uvedené je podpořeno recitály 42 a 43, které říkají, že pokud je zpracování založeno na souhlasu subjektu údajů, měl by být správce schopen prokázat, že subjekt údajů vyjádřil s danou operací zpracování souhlas. Zejména v případě písemného prohlášení souvisejícího s jinou skutečností by mělo být pomocí záruk zajištěno, že si je subjekt údajů vědom toho, že dává souhlas, a v jakém rozsahu. Prohlášení o souhlasu navržené správcem by mělo být poskytnuto ve srozumitelném a snadno přístupném znění za použití jasného a jednoduchého jazyka a nemělo by obsahovat nepřiměřené podmínky. Aby se zajistilo, že souhlas bude informovaný, měl by subjekt údajů znát alespoň totožnost správce a účely zpracování, k nimž jsou jeho osobní údaje určeny. Souhlas by neměl být považován za svobodný, pokud subjekt údajů nemá skutečnou nebo svobodnou volbu nebo nemůže souhlas odmítnout nebo odvolat, aniž by byl poškozen.
S cílem zajistit, aby byl souhlas svobodný, by vyjádření souhlasu nemělo představovat platný právní důvod pro zpracování osobních údajů ve zvláštním případě, kdy mezi subjektem údajů a správcem existuje jasná nerovnováha, zejména pokud je správce orgánem veřejné moci, a je tedy nepravděpodobné, že za všech okolností této konkrétní situace byl souhlas udělen svobodně. Lze předpokládat, že souhlas není svobodný, není-li možné vyjádřit samostatný souhlas s jednotlivými operacemi zpracování osobních údajů, i když je to v daném případě vhodné, nebo je-li plnění smlouvy, včetně poskytnutí služby, učiněno závislým na souhlasu, i když to není pro toto plnění nezbytné.
Je-li dosavadní zpracování osobních údajů založeno na souhlasu podle zákona o ochraně osobních údajů, není nutné, aby subjekt údajů znovu udělil svůj souhlas, pokud je způsob udělení daného souhlasu v souladu s podmínkami GDPR, s cílem umožnit správci pokračovat v tomto zpracování i po dni použitelnosti tohoto nařízení.
Do budoucna bude nepochybně nutné zvážit potřebnost souhlasů pro zpracování osobních údajů, odstranit nadbytečné souhlasy tam, kde existuje jiný zákonný důvod pro zpracování osobních údajů, a zrevidovat stávající znění souhlasů.
1) Dostupné na: www.uoou.cz, Názory Úřadu – Stanoviska – Stanovisko č. 2/2008 - Souhlas se zpracováním osobních údajů. Dostupné na: www.uoou.cz, Názory Úřadu – Stanoviska – Stanovisko č. 2/2008 - Souhlas se zpracováním osobních údajů.
2) Subjekt údajů musí být při udělení souhlasu informován o tom, pro jaký účel zpracování a k jakým osobním údajům je souhlas dáván, jakému správci a na jaké období. Souhlas subjektu údajů se zpracováním osobních údajů musí být správce schopen prokázat po celou dobu zpracování. Subjekt údajů musí být při udělení souhlasu informován o tom, pro jaký účel zpracování a k jakým osobním údajům je souhlas dáván, jakému správci a na jaké období. Souhlas subjektu údajů se zpracováním osobních údajů musí být správce schopen prokázat po celou dobu zpracování.