Rok po vstupe GDPR a zákona 18/2018 do platnosti nemajú mnohí jasno v tom, ako spracúvať osobné údaje v súlade so zákonom. A tak si na všetko vyžiadajú súhlas, pre istotu – a v rozpore so zákonom. Súhlas dotknutej osoby so spracúvaním osobných údajov nie je platný, ak nie sú dodržané zákonné podmienky na jeho získanie.
Na jednej z nedávnych EDPB konferencií sa chytal nemecký šéf úradu pre ochranu osobných údajov z hlavu, že občania zahltili jeho úrad podnetmi na kontrolu, pretože vďaka médiám si vytvorili nesprávny obraz, že žiadne údaje nesmú firmy spracúvať bez ich súhlasu. Ale to je omyl. Prevádzkovateľ smie spracúvať osobné údaje, ak ku tomu existuje právny základ. Zároveň je zodpovedný za to, aby použil správny právny základ:
- súhlas
- zmluvné a predzmluvné vzťahy
- zákonná povinnosť
- ochrana dotknutej osoby
- verejný záujem
- oprávnený záujem prevádzkovateľa
Zároveň o tejto skutočnosti, že nejaké (aké) údaje spracúvate, prečo a na akom právnom základe, informujete dotknuté osoby.
Definícia GDPR súhlasu
Žiadosť o súhlas je v súlade s GDPR, ak je:
- jasne odlíšená od iných podmienok
- zrozumiteľne a jasne formulovaná
- nezlučuje odlišné účely do jedného súhlasu
Súhlas je platný, ak je:
- slobodne daný
- dá sa odvolať rovnako jednoducho ako udeliť
- je špecifický, informovaný a jednoznačný
- udelený aktívne dotknutou osobu
Čo to znamená v praxi
Súhlasom so spracúvaním osobných údajov nesmie prevádzkovateľ podmieniť predaj či doručenie služby alebo tovaru (= je jasne odlíšný od iných podmienok).
Právnym základom pre spracúvanie osobných údajov sú zmluvné a predzmluvné vzťahy. Ak urobím objednávku cez e-shop a nastavenie e-shopu neumožní dokončiť objednávku, ak nezaškrtnem súhlas so spracúvaním osobných údajov. Takýto súhlas nie je slobodne daný.
Realita dotknutej osoby
Realita je však taká, že ako dotknuté osoby, ktoré niečo z toho e-shopu chcú, klikáme a dávame súhlasy na niečo, s čím vlastne vôbec nesúhlasíme. Áno, môžme napísať zodpovednej osobe (ak prevádzkovateľ menoval) alebo priamo prevádzkovateľovi. Najpravdepodobnejšiou odpoveďou je v lepšom prípade s nepochopenie, čo chceme, v horšom s pasívno-agresívne až agresívne zavrčanie, že im GDPR pripravili právnici.
Kedy použiť súhlas ako právny základ
Ako prevádzkovateľs môžete inštitút súhlasu použiť v prípadoch, ak žiadny iný právny základ neexistuje, ale napriek tomu chcete údaje spracúvať napríklad na marketingové účely – zasielanie newsletters. Jedným klikom dotknutá osoba súhlas dá, jedným odvolá, kedykoľvek bude chcieť, podstata dobrovoľnosti a transparentnosti je dodržaná.
V žiadnom prípade nežiadame súhlas od zamestnancov alebo zákazníkov – právnym základom v prvom prípade je zákonník práce a iné súvisiace zákony (o dani z príjmu, o sociálnom poistení atď.) a plnenie zmluvných vzťahov (obchodný zákonník) v prípade druhom.
Dá sa súhlas nahradiť?
Hranica medzi právnymi základmi “súhlas” dotknutej osoby a “oprávnený záujem” prevádzkovateľa je tenká. Je dobré sa na ňu pozerať optikou nie svojho záujmu (ako si to môžem zjednodušiť), ale optikou dozorného orgánu. Ako dobre viete odargumentovať výber konkrétneho právneho základu?
Zapamätajte si, že pri súhlase ide o akciu a aktivitu dotknutej osoby (musí sa rozhodnúť kliknúť „áno“) pri oprávnenom záujme je zase bremeno na strane prevádzkovateľa.
Súhlas má výhodu jednoduchosti, jednoznačnosti, ale nevýhodu nestálosti – môže byť kedykoľvek odvolaný.
Spracúvanie na základe oprávneného záujmu vyžaduje vypracovanie testov proporcionality a zváženie oprávnenosti záujmu prevádzkovateľa voči právu na súkromie dotknutej osoby. Stretla som sa už aj s tým, že organizácia posielala newsletter na základe (domnelého) oprávneného záujmu.
Súhlas zamestnancov a výnimky
WP29 zastáva stanovisko, aby sa zamestnávatelia vyhli žiadaniu súhlasu od zamestnancov (aj uchádzačov o zamestnanie), nakoľko jednak existujú iné právne základy, ale najmä, (budúci) zamestnanec z podstaty vzťahu podriadenosti pravdepodobne nemôže (ne)dať súhlas slobodne.
Pravdepodobne neznamená, že nikdy, a preto WP29 nepovažuje tento právny základ za a nevhodný za každých okolností. V stanovisku (Opinion) 259, vydanom 28.11.2017 a revidovanom 10.4. 2018, uvádza, že existujú situácie, kedy je aj pre zamestnávateľa možné dokázať, že súhlas bol daný zamestnancom slobodne. Dôležitou podmienkou je dôkaz, že za neudelenie súhlasu zamestnancovi nehrozil postih.
V kapitole 3, odsek 1.1 dokument uvádza príklad takejto dôveryhodnej výnimky: spoločnosť zavolala filmový štáb, aby nasnímala nejakú časť priestorov. Zamestnávateľ sa opýta zamestnancov, ktorí v danej sekcii sedia, či by boli ochotní dať súhlas s natáčaním, pretože sa môžu objaviť na videu. Tí zamestnanci, ktorí nesúhlasia s filmovaním, nie sú nijako penalizovaní a naopak, dostanú po dobu natáčania náhradné pracovisko.
V skratke
Ak existuje iná možnosť ako súhlas, siahnite po nej. Nežiadajte súhlasy na to, čo nepotrebujete (plnenie zmluvy) a nesmiete (od zamestnancov). Ak sa obávate, že vám zákazníci súhlas nedajú, nie je to problém GDPR ale uplatnenie práva na súkromie v praxi. Zároveň, ak súhlas je jediným možným právnym základom, zabezpečte zákonnosť jeho získavania – pamätajte na dobrovoľnosť a možnosť odvolať ho rovnako jednoducho, ako bol daný.
Na stiahnutie
Autor: Martina Javůrková, MBA