Prakticky pokaždé, když je uzavírán nějaký obchod, je klientovi předložena k podpisu smlouva. V případě, že dochází v rámci plnění z této smlouvy ke zpracování osobních údajů, obsahuje taková smlouva obvykle i souhlas se zpracováním osobních údajů, popř. další náležitosti požadované zákonem č. 101/2000 Sb. , o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „ZoOU“). Výjimkou je pouze situace, kdy jsou zpracovávány jen údaje identifikující strany smlouvy a kdy nedochází k jinému zpracovávání dalších osobních údajů. Na takové zpracování se pak vztahuje ustanovení § 5 odst. 2 písm. b) ZoOU, podle něhož správce může zpracovávat osobní údaje pouze se souhlasem subjektu údajů. Bez tohoto souhlasu je může zpracovávat, jestliže je zpracování nezbytné pro plnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro jednání o uzavření nebo změně smlouvy uskutečněné na návrh subjektu údajů.
Souhlas se zpracováním osobních údajů jako součást smlouvy
Vydáno:
25 minut čtení
Souhlas se zpracováním osobních údajů jako součást smlouvy
JUDr.
Václav
Bartík
JUDr.
Eva
Janečková
Přestože se na první pohled zdá, že podmínky obchodního vztahu mezi klientem a obchodníkem a jeho uzavírání nemají se zpracováním osobních údajů mnoho společného, opak je pravdou. Ač se obchodní vztahy budou v drtivé většině řídit obchodním zákoníkem, popř. občanským zákoníkem, i v rámci smluvních obchodních vztahů jsou zpracovávány osobní údaje a je proto třeba brát v úvahu i ZoOU.1 Řada obchodníků například často využívá Všeobecných obchodních podmínek podle § 273 obchodního zákoníku jako vhodný institut k upřesnění obchodního vztahu a pro zjednodušení uzavírání konkrétních smluv s jednotlivými klienty, samozřejmě se všemi výhodami a nevýhodami zvoleného řešení.
Charakteristika souhlasu se zpracováním osobních údajů podle ZoOU
Zpracování osobních údajů se souhlasem subjektu údajů je jednou ze základních zásad zpracování osobních údajů, a to proto, že zpracováním osobních údajů dochází k zásahu do soukromí jejich nositele. Obecně je poskytnutí souhlasu právním úkonem, a to právním úkonem, který je svým charakterem jednoznačně jednostranným. Nejedná se tedy o dohodu mezi správcem nebo zpracovatelem na straně jedné a subjektem údajů - fyzickou osobou na straně druhé. Pro posouzení jeho platnosti je proto nutné vzít v potaz i úpravu právních úkonů v obecném právním předpisu, jímž je v tomto případě zákon č. 40/1964 Sb., občanský zákoník, ve znění pozdějších předpisů (dále jen „občanský zákoník“) - ustanovení § 37 a násl., tedy především to, že právní úkon musí být učiněn svobodně a vážně, určitě a srozumitelně; jinak je neplatný.
Podle definice ZoOU je souhlas svobodný projev vůle. A právě svoboda souhlasu je většinou tou nejproblematičtější vlastností, kterou lze u již udělených souhlasů často zpochybnit. Jak už bylo řečeno výše, souhlas se zpracováním osobních údajů je svým charakterem jednostranný právní úkon a ani jeho zapracováním do dokumentu, který je součástí dvoustranného právního vztahu, se ze souhlasu nestává úkon dvoustranný. Tento krok může subjekt údajů zmást, případně uvést v omyl. Je tedy otázkou, zda takovýto úkon je úkonem, který splňuje parametry právního úkonu podle § 37 odst. 1 občanského zákoníku, když onen volní prvek je vzhledem k výše uvedenému zpochybnitelný.
Souhlasem subjektu údajů je dále vědomý projev vůle, jehož obsahem je svolení subjektu údajů se zpracováním osobních údajů. U souhlasu se zpracováním osobních údajů, jež nejsou citlivé, podmínka výslovnosti v ZoOU není stanovena. Takovýto souhlas může tedy být poskytnut i konkludentně, resp. jinak než výslovně. Subjekt údajů například může po obdržení patřičné informace své osobní údaje správci poskytnout, čímž mlčky, ne výslovně, souhlasí s jejich zpracováním. K určení obsahu vůle může totiž sloužit i širší kontext jednání, případně i jednání následného, jestliže je z něho možné na obsah vůle zpětně usuzovat. Zákon o ochraně osobních údajů pro souhlas se zpracováním osobních údajů nestanoví povinnou formu, například písemnou. V této souvislosti je rovněž třeba poukázat na § 5 odst. 4 větu druhou ZoOU, která stanoví, že správce musí být po celou dobu zpracování schopen prokázat, že mu subjekt údajů ke zpracování poskytl svůj souhlas. V případě konfliktní situace, kdy subjekt údajů bude tvrdit, že správce zpracovává jeho osobní údaje bez souhlasu, je tedy důkazní břemeno na straně správce. V tomto případě bude správce povinen prokázat, že subjekt údajů se zpracováním souhlasil a že souhlas splňoval všechny výše uvedené náležitosti.2
Aby bylo možné udělený souhlas skutečně považovat za vědomý, je nutné, aby byl také tzv. informovaný. Tuto informovanost vyžaduje již zmiňované ustanovení § 5 odst. 4, podle něhož musí být subjekt údajů při udělení souhlasu informován o tom, pro jaký účel zpracování a k jakým osobním údajům je souhlas dáván, jakému správci a na jaké období (viz níže komentář k ustanovení § 5 odst. 4 ZoOU), a dále § 11 odst. 1 a 2 ZoOU, které vyžadují, aby správce při shromažďování osobních údajů subjekt údajů informoval o tom, v jakém rozsahu a pro jaký účel budou osobní údaje zpracovány, kdo a jakým způsobem bude osobní údaje zpracovávat a komu mohou být osobní údaje zpřístupněny, nejsou-li subjektu údajů tyto informace již známy. Správce musí subjekt údajů informovat o jeho právu přístupu k osobním údajům, právu na opravu osobních údajů, jakož i o dalších právech stanovených v § 21. V případě, kdy správce zpracovává osobní údaje získané od subjektu údajů, musí subjekt údajů poučit o tom, zda je poskytnutí osobního údaje povinné či dobrovolné. Je-li subjekt údajů povinen podle zvláštního zákona osobní údaje pro zpracování poskytnout, poučí jej správce o této skutečnosti, jakož i o následcích odmítnutí poskytnutí osobních údajů.
Tyto podmínky je ale nutno vykládat pouze v celém kontextu souboru práv a povinností správce podle ZoOU a dbát na to, že i přes udělený souhlas je nutno, aby správce dodržoval i další principy ochrany dat, a to především legitimitu, přiměřenost a účelnost zpracovávaných osobních údajů.
Konkrétní parametry souhlasu se zpracováním osobních údajů
Další parametry, resp. okolnosti udělování souhlasu se zpracováním osobních údajů vymezuje § 5 odst. 4 ZoOU.3 Z dikce je zřejmé, že se povinnosti ukládají především správcům osobních údajů, neboť oni jsou primárně povinni takový souhlas získat a s ním disponovat. Souhlas s prvotním zpracováním osobních údajů může získávat i zpracovatel, pokud správce již má představu, že nějaký zpracovatel existovat bude a má s ním již uzavřenu smlouvu o zpracování podle § 6 ZoOU. Pokud však bude souhlas získávat zpracovatel, musí být tento fakt součástí povinné informace, tedy informace, kdo je skutečným správcem osobních údajů, k jejichž zpracování je souhlas získáván. Získávání souhlasu, pokud tedy ke zpracování osobních údajů je takového souhlasu zapotřebí [nejedná-li se o výjimky podle § 5 odst. 2 písm. a) až g)], má tak jasně stanovené obsahové parametry.
I když ZoOU stanoví, že subjekt údajů musí být informován při udělení souhlasu, z logiky věci plyne, že se tak musí stát vlastně již před samotným udělením souhlasu, kterým se teprve proces udělení souhlasu uzavře, neboť pojem souhlasu, jako jednostranného právního úkonu musí mít požadované vlastnosti a okolnosti, za nichž byl udělen, nesmí zpochybnit jeho platnost, resp. legalitu. Znamená to zároveň, že všechny informace, které subjekt údajů obdrží, musí být úplné a to tak, aby mohl uvážit, zda souhlas udělí, či nikoliv.
Prvotní a základní informací tedy musí být účel, pro který mají být údaje zpracovávány. Tento požadavek zcela koresponduje s povinnosti správce, stanovenou mu v § 5 odst. 1 písm. a) ZoOU, tedy účel stanovit. Bezpochyby lze konkrétní osobní údaje zpracovávat i pro více účelů, a pak musí být poskytnuta informace o všech účelech zpracování. To také odpovídá další povinnosti správce, stanovenou mu § 5 odst. 1 písm. f) ZoOU, tedy zpracovávat osobní údaje pouze v souladu s účelem, k němuž byly shromážděny. Zpracovávat k jinému účelu lze osobní údaje jen v mezích ustanovení § 3 odst. 6 ZoOU, nebo pokud k tomu dal subjekt údajů předem souhlas.
Další nezbytnou informací je rozsah osobních údajů určených ke zpracovávání. Zákonná formulace „k jakým osobním údajům je souhlas dáván“ se zdá být zcela kategorická, tedy že subjekt údajů musí vědět, k jakým, resp. ke kterým svým osobním údajům souhlas váže. Dá se však předpokládat, že například v případě zpracování osobních údajů prostřednictvím pořizování kopií občanského průkazu bude tato informace subjektu údajů známa.
Dále pak musí být bezpodmínečně ozřejmena a subjektu údajů při udílení souhlasu sdělena identita správce a to natolik přesně, aby nebyl zaměnitelný s jinou osobou, lhostejno, zda fyzickou, nebo právnickou. Charakteru správce pak musí odpovídat rozsah jeho identifikace. U osob právnických tedy minimálně v rozsahu obchodní firmy, sídla a identifikačního čísla a také kontaktní, resp. doručovací adresy, u osob fyzických pak jménem, příjmením a adresou místa pobytu, případně korespondenční adresou a vhodné bude také uvádět další elektronické kontaktní údaje, tedy telefonní čísla a e-mailové adresy. Kontaktní údaje, a to přesné a aktuální totiž zajišťují následně možnost subjektu údajů uplatňovat svá práva, tedy například souhlas odvolat, domáhat se opravy a jiných opatření, na něž má právo, dané mu například § 12 a § 21 ZoOU.
Poslední součástí povinné informace je stanovení období, na jak dlouho bude souhlas primárně poskytnut.
Vzhledem k tomu, že zákonodárce použil slovo „období“, dalo by se předpokládat, že toto „období“ bude vymezeno nějakým časovým intervalem, například na x let, od - do a podobně. Lze se však setkat se situací, kdy správci mají snahu tento parametr jakoby obejít tím, že v návrhu souhlasu například uvádějí, že souhlas je udělován na dobu neurčitou. Teoreticky lze připustit, že ani takto stanovené „období“ by nebylo nezákonným určením doby. Avšak jen za předpokladu, že subjekt údajů bude skutečně řádně informován. Vzhledem k tomu, že souhlas se zpracováním je jednostranným právním úkonem, zcela podřízený vůli subjektu údajů, může být jako takový kdykoliv odvolán. Bylo možno zachytit snahy některých správců uzavírat se subjekty údajů jakési „quasi dohody“, když mezi informace, které následně subjekt údajů třeba i měl podepsat, byly vsunuty formulace, jako například: „subjekt údajů bere na vědomí a souhlasí s tím, že udělený souhlas nebude odvolán do...“. Lze usoudit, že ani taková formulace nezbavuje subjekt údajů jeho práva souhlas kdykoliv odvolat a odvolaný souhlas by musel správce bez dalšího respektovat.
Je zcela jednoznačnou povinností, stanovenou správcům osobních údajů, prokázat souhlas se zpracováním, a to po celou dobu, po kterou jsou osobní údaje zpracovávány. Zákon o ochraně osobních údajů však vůbec nestanoví formu nebo způsob. Dovolává se toliko schopnosti správce souhlas prokázat. Vzhledem k tomu, že, jak výše uvedeno, je souhlas jednostranným právním úkonem, který se jako takový bude bezpochyby posuzovat jako úkon podle občanského zákoníku, lze tedy zcela v souladu s jeho ustanovením § 35 učinit souhlas (jako projev vůle) jednáním nebo opomenutím; může se stát výslovně nebo jiným způsobem nevzbuzujícím pochybnosti o tom, co chtěl účastník projevit. Současně budou platit i další charakteristiky, uvedené v odst. 2 a 3 citovaného ustanovení, tedy že úkony vyjádřené slovy je třeba vykládat nejenom podle jejich jazykového vyjádření, ale zejména též podle vůle toho, kdo právní úkon učinil, není-li tato vůle v rozporu s jazykovým projevem, a konečně, že úkony vyjádřené jinak než slovy se vykládají podle toho, co způsob jejich vyjádření obvykle znamená. Přitom se přihlíží k vůli toho, kdo právní úkon učinil, a chrání se dobrá víra toho, komu byl právní úkon určen.
Jak vidno, je zcela na vůli subjektu údajů, jakou formu vyjádření souhlasu zvolí, avšak je zcela bezpochyby naopak v zájmu správce, aby takový úkon byl učiněn způsobem, který mu zajistí jeho trvalou (myšleno po dobu zpracování) prokazatelnost. Samozřejmě nejprokazatelnější je forma písemná, tedy že subjekt údajů poskytne svůj souhlas na papíře. Takový souhlas by měl být subjektem údajů vlastnoručně podepsán, i když to ZoOU výslovně nepožaduje. Podpis však do velké míry verifikuje jednak originálnost podepsaného dokumentu se souhlasem a dává více právní jistoty jak subjektu údajů, tak správci. Lze jen doporučit, aby kopii takového dokumentu měl k dispozici i subjekt údajů a i tato informace byla na dokumentu uvedena. Lze tak v mnoha případech předejít zbytečným kontroverzím, kdy subjekt údajů může i zapomenout, že někdy nějaký souhlas udělil. Bezpochyby však nemusí být podpis nijak zákonně ověřen.
Obecně, jak výše uvedeno, lze úkon souhlasu učinit i konkludentně, například tím, že subjekt údajů předá správci například vlastnoručně vyrobenou kopii. I tato forma by mohla být jistě akceptovatelná, pokud by současně byly splněny další požadované informační povinnosti, nějakým jiným, nicméně prokazatelným způsobem. Takovýto souhlas by však ani tak pravděpodobně neposkytoval správci dostatek právní jistoty, byť by třeba disponoval právě subjektem údajů vyplněným dotazníkem. V takovém případě by bylo třeba posuzovat „kvalitu“ a relevanci souhlasu zcela individuálně.4
Souhlas se zpracováním osobních údajů jako součást smlouvy
Je-li souhlas se zpracováním osobních údajů zapracován přímo do smlouvy, může se stát, že běžný
klient
- fyzická osoba bez specializovaného vzdělání pak bude chápat takovou smlouvu jako něco, co je nezbytné respektovat, popř. přijmout v předložené podobě. Tento dojem ještě posiluje poměrně obvyklá praxe, že ve smlouvě bývají buď přímo citována, nebo parafrázována zákonná ustanovení. Jen málokdo si uvědomuje, že smlouva, která je klientovi předložena, je (spolu s dalšími dokumenty) vlastně jen návrhem na uzavření smlouvy a že tedy vzhledem k dispozitivnosti takového obchodního vztahu bude pro daný vztah platit jen v dohodnutém rozsahu. Jinak řečeno, smlouva může platit buď v plném rozsahu tak, jak byla obchodníkem vypracována a klientovi předložena, anebo mohou být pro smluvní vztah relevantní
jen některá její ustanovení. Samozřejmě pokud se na takové variantě smluvní strany dohodnou.Naskýtá se však otázka, zda zařazení institutů ZoOU do smlouvy je řešením správným nebo vhodným. Zdá se, že nikoliv zcela. A to proto, že některé úkony vyžadované ZoOU jsou primárně úkony jednostrannými (například právě udělení souhlasu), které činí subjekt údajů vůči obchodníkovi, tedy vůči správci osobních údajů. Smlouva je však z logiky věci úkonem, s nímž musí souhlasit obě smluvní strany, a je tak úkonem dvoustranným. Inkorporovat svým charakterem jednostranný právní úkon podle ZoOU do dokumentu, který je součástí dvoustranného právního vztahu, může klienta minimálně zmást, ne-li uvést v omyl. I když vztahy partnerů v obchodním vztahu by měly být v zásadě rovné a vyvážené, v praktickém životě tomu tak nebývá. A to zejména v případech institucí, které poskytují služby, jež každý nezbytně potřebuje. Tržní prostředí sice zaručuje, že až na výjimky je vždycky více subjektů, jež poskytují obdobnou službu, ale i přes možnost výběru smluvního partnera, zůstává faktem, že vzhledem k obdobnému chování poskytovatelů služeb se
klient
vždy ocitá v nevýhodě, tedy „v postavení slabšího“. Jinak řečeno, u klientů se objevuje tendence respektovat toto „podřízené“ postavení a tím jsou v podstatě „donuceni“ takový jednostranný právní úkon učinit.Smlouvy nejsou z hlediska ZoOU vhodným prostředkem plnění zákonných povinností i proto, že často bývají formulovány a strukturovány tak, že směšují obchodní ustanovení s podmínkami zpracování osobních údajů, které jsou do těchto ustanovení uměle implementovány. Navíc ve většině případů smlouvy nerozlišují, jak už bylo řečeno výše, jednostranné a dvoustranné právní úkony. Nejen z tohoto důvodu jsou smlouvy pro obyčejného, právně nepoučeného klienta neuchopitelné. Jednotlivé formulace, které upravují celou oblast zpracování osobních údajů, jsou pak často nejasné, neurčité a zamlžující. Ve své podstatě zahrnují povinnosti uložené ZoOU, ovšem tak, jak to vyhovuje obchodníkovi.
Text smluv by však měl být srozumitelný a podmínky musí být stanoveny jasně. To konec konců potvrzuje i rozsudek Ústavního soudu (IV. US 182/01), v němž Ústavní soud vyjádřil názor, že za situace, kdy jsou ve smlouvě použity formulace a pojmy, které lze vykládat rozdílným způsobem, měla by být aplikována zásada, že takové pojmy a ujednání je třeba vykládat v neprospěch toho, kdo je použil. Z výše uvedeného vyplývá, že se například nelze odvolávat na gramatický výklad textu smluv. Dále lze ze zmiňovaného judikátu Ústavního soudu dovodit pravidlo, že text s právním významem by měl být stylizován tak, aby při jeho aplikaci nedocházelo k pochybnostem, zejména u adresáta tohoto textu, kterým je běžný občan, od nějž nelze spravedlivě očekávat, že text skutečně pochopí tak, jak byl údajně jeho navrhovatelem myšlen. Aby text byl zřejmý, je nutné používat jednoznačné formulace tak, aby nedocházelo k pochybnostem, zejména ze strany toho, jemuž je text určen, tedy ze strany běžného klienta nezběhlého ve čtení složitých nebo nuančně odstíněných legislativních textů.
Smlouvy často z hlediska plnění povinností podle ZoOU slouží ke dvěma účelům. Získat souhlas se zpracováním osobních údajů a splnit informační povinnost. Jak už bylo řečeno na jiném místě, souhlas se zpracováním osobních údajů je svým charakterem jednostranný právní úkon a ani jeho zapracováním do dokumentu, který je součástí dvoustranného právního vztahu, se ze souhlasu nestává úkon dvoustranný. Jak bylo uvedeno, tento krok může klienta zmást, případně uvést v omyl. Je tedy otázkou, zda takovýto úkon je úkonem, který splňuje parametry právního úkonu podle § 37 odst. 1 občanského zákoníku,5 když onen volní prvek je vzhledem k výše uvedenému zpochybnitelný.
Smlouvy bývají velmi často psány jako složitý právnický text, jehož přesné pochopení může být pro klienta obtížné, někdy prakticky nemožné, neboť k jejich výkladu je zapotřebí právnického vzdělání, ač vzhledem k charakteru tohoto dokumentu by měl být jednoduše pochopitelný pro všechny.
Ve smlouvách lze často nalézt ustanovení, jež klienta informuje o tom, že v rámci obchodního vztahu budou zpracovávány jeho osobní údaje, nicméně že bez jejich poskytnutí a souhlasu s jejich zpracováním nebude služba poskytnuta, resp. že toto poskytnutí je sice dobrovolné, ale je podmínkou pro poskytnutí služeb. Jak již bylo uvedeno, text je tedy konstruován tak, že
klient
nabývá dojmu, že nelze odmítnout poskytnutí osobních údajů a souhlasu s jejich zpracováním tak komplexně, jak je uvedeno v dokumentu, aniž by tím zároveň zmařil uzavření obchodu.Smlouvy navíc ve většině případů nerozlišují zpracování osobních údajů k účelům, kdy není souhlasu subjektu údajů zapotřebí, a zpracování, kdy je tento souhlas nutný. V praxi je tedy běžně udělován souhlas ke zpracování osobních údajů nejen tam, kde má
klient
právo rozhodnout o tom, kdo a jak bude nakládat s jeho osobními údaji, ale i tam, kde bez jejich poskytnutí by nebylo možné příslušný obchod uzavřít, tedy v případech, kdy souhlas není zákonem ochraně osobních údajů požadován, neboť se jedná o případy ve smyslu ustanovení § 5 odst. 2 písm. b).6 Formalizovaný souhlas není třeba pro samotné uzavření obchodu, pokud jsou údaje a jejich rozsah druhu obchodu nebo poskytované služby odpovídající. Zvláštní souhlasy také nejsou potřeba k plnění, které ukládají zvláštní právní předpisy [ustanovení § 5 odst. 2 písm. a) ZoOU].Předávání osobních údajů obchodním partnerům
Součástí smluv bývá často i požadavek souhlasu s využitím údajů klienta pro nabízení obchodu a služeb. Pro tyto úkony je poskytnutí souhlasu skutečně nezbytné, nicméně konstrukce a textace smluv obvykle neumožňuje klientovi uvědomit si, že v těchto případech je teoreticky i prakticky možné souhlas neposkytnout. Smlouvy pak nezřídka kdy obsahují v řadě případů i souhlas pro předání jeho údajů třetím osobám, tedy s tzv. předáváním osobních údajů ve skupině. Je dnes běžnou věcí, že obchodní společnosti, nepodnikají na trhu samostatně, resp. osamoceně. Jsou většinou součástí větších ekonomických uskupení, kapitálově propojených na různých úrovních. Jednak mohou být společnosti součástí vyšších, v drtivé většině nadnárodních korporací, a také si samy mohou vytvářet vlastní spřízněné skupiny obchodních společností, ve kterých, pokud to zvláštní zákony umožňují, mají kapitálový podíl, a které podnikají v příbuzných oborech služeb. Je tedy do značné míry logické, že v takové, finančně a kapitálově propojené skupině existuje velký zájem na tom, aby jednou získané informace, tedy osobní údaje, zejména ty, které nějakým způsobem charakterizují nebo popisují klienta jedné ze společností skupiny, měly k dispozici i její další členové.
Jedním z relevantních ustanovení ZoOU v souvislosti s takovým předáváním osobních údajů je § 5 odst. 2 písm. a) a b) ve vztahu k návětí tohoto ustanovení. Podle zákona je základním principem zpracování osobních údajů zásadně souhlas subjektu údajů s takovým zpracováním. Návětí určuje právě tento princip a zmíněná ustanovení stanoví některou z výjimek z něj. Především se tedy jedná o případy, kdy jsou osobní údaje zpracovávány bez souhlasu, jak jej chápe § 4 písm. n) a také § 5 odst. 4 ZoOU, a to v případech možných výjimek. Pokud tedy společnosti zpracovávají osobní údaje na základě zvláštního zákona nebo pro jednání o smlouvě, bude platit, že souhlasy nepotřebují. Protože však neexistuje žádná právní povinnost předávat osobní údaje mezi ekonomicky spjatými subjekty, nezbývá, než tak činit se souhlasem subjektů údajů, klientů. Takový souhlas musí mít právě ty náležitosti, které ZoOU požaduje. Musí tedy jít o právní úkon, a to jednostranný, jehož obsahem je svolení klienta (subjektu údajů) s takovým předáním. Jedním z „parametrů“ takového souhlasu je to, že musí být tzv. informovaný.7 Tyto informace bývají nejčastěji uváděny ve smlouvách. Jejich kvalita je však velmi různá. Z hlediska předávání osobních údajů jiným subjektům, ZoOU vyžaduje informaci relativně přesnou, a to proto, že je právem subjektů údajů obracet se i na tyto osoby za účelem ochrany svých práv, například se žádostí nepřesné údaje opravit, nebo také s požadavkem, aby údaje nebyly zpracovávány vůbec či byly zlikvidovány. Z toho je zřejmé, že nelze vystačit s obecnými formulacemi, jako například, že osobní údaje budou předány či zpřístupněny i jiným osobám, které tvoří „skupinu“, a dále osoby, které jsou touto osobou přímo či nepřímo ovládány. Je zjevné, že bývá používána terminologie vlastní obchodnímu zákoníku, který právě takové vztahy upravuje a definuje jejich obsah. Z hlediska přímé informovanosti je však takové obecné vymezení osob, kterým mohou být osobní údaje dále předávány či zpřístupněny, zcela nedostatečné. Takové vymezení neumožňuje subjektu údajů, klientovi, jednoduchým způsobem seznat, kdo tedy ve skutečnosti bude jeho osobními údaji disponovat. Při tom se vždy bude jednat o takové, vesměs právnické osoby, které mají postavení správce, resp. dalšího správce osobních údajů. Takto obecné vymezení osob (dalších správců osobních údajů), kterým by údaje měly být předávány, je nedodržením zákonné povinnosti stanovené právě ZoOU, a tedy jeho porušením, za které lze uložit sankci.
Právě náležitosti takto uděleného souhlasu budou důležité pro ty další správce v ekonomicky spřízněné skupině, kteří na základě souhlasu subjektů údajů, klientů udělenému jednomu z nich, například bance, získají právo osobní údaje předat či zpřístupnit jiným správcům. Z takto uděleného souhlasu totiž vzniká právo jiným správcům zpracovávat osobní údaje klientů jiného člena ekonomicky spjaté skupiny. Takový souhlas však musí obsahovat všechny náležitosti ve smyslu ZoOU. Tedy z něj musí být i zřejmý účel, ke kterému jsou údaje předávány a budou dále zpracovány. Neurčitost označení osob, jimž mají či mohou být osobní údaje zpřístupněny, pak znamená zásah do práv subjektu údajů a prakticky eliminuje jeho možnosti se svých práv domáhat přímo u těchto správců.8 Vzhledem k tomu, že ustanovení § 5 odst. 4 ZoOU stanoví, že souhlas subjektu údajů se zpracováním osobních údajů musí být správce schopen prokázat po celou dobu zpracování je také nutné, aby takovým souhlasem další správce skutečně disponoval, resp. měl jej jednoduchým způsobem prokazatelně k dispozici.
Zcela specifický problém vznikne v případě, že mezi osobami, jimž mohou být osobní údaje klientů předány či zpřístupněny, je taková, která sídlí v zemi, v níž neexistuje institucionální, na základě právních předpisů garantovaná adekvátní ochrana osobních údajů. V tomto případně se takové předání bude řídit právní úpravou § 27 odst. 3 písm. a) ZoOU, který stanoví, že se souhlasem lze do takových zemí osobní údaje předat, nicméně takové předání vyžaduje předchozí souhlas Úřadu pro ochranu osobních údajů a to ve smyslu odst. 4 citovaného ustanovení zákona. Je tedy zřejmé, že i předávání osobních údajů klientů společnosti s ní ekonomicky či jinak svázaným společnostem se řídí ZoOU a jeho principy, tedy zejména ustanovením § 5 odst. 4, a to na základě informovaného souhlasu.
Dá se tedy uzavřít, že smlouvy nejsou zcela vhodné - je možno dokonce říci nevhodné - pro plnění povinností stanovených ZoOU, a to proto, že jsou psány poměrně složitým „právnickým“ jazykem a bývají do nich implementovány i úkony typicky jednostranné, aniž by byla dána subjektům údajů šance zhodnotit smlouvy právě z hlediska ochrany osobních údajů. Z těchto důvodů jsou často pro obyčejného, právně nepoučeného klienta neuchopitelné a nesrozumitelné. Proto se může stát, že bude plnění povinností stanovených ZoOU vyhodnoceno jako nedostatečné, popřípadě může být konstatováno jejich neplnění“9. Nejvhodnější by bylo všechny povinnosti stanovené ZoOU splnit tím způsobem, že budou uvedeny samostatně. Ne nutně zcela odděleně od smlouvy, nicméně je třeba dosáhnout toho, aby byly veškeré
relevantní
informace klientovi dostupné pohromadě a aby svůj souhlas se zpracováním svých osobních údajů mohl vyslovit vedle souhlasu se smlouvou například tím způsobem, že podepíše odděleně jednak smlouvou samotnou a jednak souhlas se zpracováním osobních údajů).1 Že je tento zákon aplikovatelný i v obchodních vztazích, vyplývá z jeho působnosti uvedené v § 3 odst. 1 a 2, a to v těch případech, kdy stranou vztahu je fyzická osoba.
2 www.uoou.cz, Názory Úřadu - Stanoviska - Stanovisko č. 2/2008 - Souhlas se zpracováním osobních údajů.
3 Subjekt údajů musí být při udělení souhlasu informován o tom, pro jaký účel zpracování a k jakým osobním údajům je souhlas dáván, jakému správci a na jaké období. Souhlas subjektu údajů se zpracováním osobních údajů musí být správce schopen prokázat po celou dobu zpracování.
4 BARTÍK, V., JANEČKOVÁ, E.
Ochrana osobních údajů z pohledu zvláštních právních úprav.
Olomouc: ANAG, 2012, s. 127 a násl., jinak BARTÍK, V., JANEČKOVÁ, E. Ochrana osobních údajů s komentářem.
Olomouc: ANAG, 2010, s. 103 a násl.5 Právní úkon musí být učiněn svobodně a vážně, určitě a srozumitelně; jinak je neplatný.
6 Správce může zpracovávat osobní údaje pouze se souhlasem subjektu údajů. Bez tohoto souhlasu je může zpracovávat, jestliže je zpracování nezbytné pro plnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro jednání o uzavření nebo změně smlouvy uskutečněné na návrh subjektu údajů.
8 Tedy například domáhat se informací ve smyslu § 12 ZoOU nebo obracet se na další správce s požadavky ve smyslu § 21 téhož zákona.
9 BARTÍK, V., JANEČKOVÁ, E.
Zákon o ochraně osobních údajů v aplikační praxi.
2. vydání. Praha: LINDE, 2010, s. 30 a násl.