• Základy GDPR

    GDPR a súhlas

    Rok po vstupe GDPR a zákona 18/2018 do platnosti nemajú mnohí jasno v tom, ako spracúvať osobné údaje v súlade so zákonom. A tak si na všetko vyžiadajú súhlas, pre istotu – a v rozpore so zákonom. Súhlas dotknutej osoby so spracúvaním osobných údajov pritiom nemusí byť platný, ak nie sú dodržané zákonné podmienky na jeho získanie.

    Rýchla rekapitulácia. Ako prevádzkovateľ môžete spracúvať osobné údaje na vami vymedzený účel a v súlade s jedným z právnych základov:

    • súhlas 
    • zmluvné a predzmluvné vzťahy
    • zákonná povinnosť
    • ochrana dotknutej osoby
    • verejný záujem
    • oprávnený záujem prevádzkovateľa

    Zároveň o tejto skutočnosti, že nejaké (aké) údaje spracúvate, prečo a na akom právnom základe, informujete dotknuté osoby. 

    Na jednej z nedávnych EDPB konferencií sa chytal nemecký šéf úradu pre ochranu osobných údajov z hlavu, že občania zahltili jeho úrad podnetmi na kontrolu, pretože vďaka médiám si vytvorili nesprávny obraz, že žiadne údaje nesmú firmy spracúvať bez ich súhlasu. Ako je zrejmé podľa zoznamu vyššie, je to omyl.

    Prevádzkovateľ smie spracúvať osobné údaje, ak ku tomu existuje právny základ. Zároveň je zodpovedný za to, aby použil správny právny základ. 

    Definícia GDPR súhlasu

    Žiadosť o súhlas je v súlade s GDPR, ak je:

    • jasne odlíšená od iných podmienok
    • zrozumiteľne a jasne formulovaná
    • nezlučuje odlišné účely do jedného súhlasu

    Súhlas je platný, ak je:

    • slobodne daný
    • dá sa odvolať rovnako jednoducho ako udeliť
    • je špecifický, informovaný a jednoznačný
    • udelený aktívne dotknutou osobu

    Čo to znamená v praxi

    Súhlasom so spracúvaním osobných údajov nesmie prevádzkovateľ podmieniť predaj či doručenie služby alebo tovaru (= je jasne odlíšný od iných podmienok). Právnym základom pre spracúvanie osobných údajov sú zmluvné a predzmluvné vzťahy. 

    Nie je možné naplniť zákonné podmienky popísané vyšši, ak urobím objednávku cez e-shop a nastavenie e-shopu neumožní dokončiť objednávku, ak nezaškrtnem súhlas so spracúvaním osobných údajov. Takýto súhlas nie je slobodne daný.

    Nie je možné naplniť literu zákona ani preto, lebo ako dotknutá osoba mám (mať) právo kedykoľvek svoj súhlas odvolať – a potom? Zanikne obchodný vzťah? 

    Realita dotknutej osoby 

    Realita je však taká, že ako dotknuté osoby, ktoré niečo z toho e-shopu chcú, klikáme a dávame súhlasy na niečo, s čím vlastne vôbec nesúhlasíme. Áno, môžme napísať zodpovednej osobe (ak prevádzkovateľ menoval) alebo priamo prevádzkovateľovi. Najpravdepodobnejšiou odpoveďou je v lepšom prípade s nepochopenie, čo chceme, v horšom s pasívno-agresívne až agresívne zavrčanie, že im GDPR pripravili právnici. 

    Kedy použiť súhlas ako právny základ

    Ako prevádzkovateľs môžete inštitút súhlasu použiť v prípadoch, ak žiadny iný právny základ neexistuje, ale napriek tomu chcete údaje spracúvať napríklad na marketingové účely – zasielanie newsletters. Jedným klikom dotknutá osoba súhlas dá, jedným odvolá, kedykoľvek bude chcieť, podstata dobrovoľnosti a transparentnosti je dodržaná. 

    V žiadnom prípade nežiadame súhlas od zamestnancov alebo zákazníkov – právnym základom v prvom prípade je zákonník práce a iné súvisiace zákony (o dani z príjmu, o sociálnom poistení atď.) a plnenie zmluvných vzťahov (obchodný zákonník) v prípade druhom.

    Dá sa súhlas nahradiť?

    Hranica medzi právnymi základmi “súhlas” dotknutej osoby a “oprávnený záujem” prevádzkovateľa je tenká. Je dobré sa na ňu pozerať optikou nie svojho záujmu (ako si to môžem zjednodušiť), ale optikou dozorného orgánu. Ako dobre viete odargumentovať výber konkrétneho právneho základu? 

    Zapamätajte si, že pri súhlase ide o akciu a aktivitu dotknutej osoby (musí sa rozhodnúť kliknúť „áno“) pri oprávnenom záujme je zase bremeno na strane prevádzkovateľa.

    Súhlas má výhodu jednoduchosti, jednoznačnosti, ale nevýhodu nestálosti – môže byť kedykoľvek odvolaný.

    Spracúvanie na základe oprávneného záujmu vyžaduje vypracovanie balančných testov a zváženie oprávnenosti záujmu prevádzkovateľa voči právu na súkromie dotknutej osoby. Stretla som sa už aj s tým, že organizácia posielala newsletter na základe (domnelého) oprávneného záujmu.

    Súhlas zamestnancov a výnimky

    WP29 zastáva stanovisko, aby sa zamestnávatelia vyhli žiadaniu súhlasu od zamestnancov (aj uchádzačov o zamestnanie), nakoľko jednak existujú iné právne základy, ale najmä, (budúci) zamestnanec z podstaty vzťahu podriadenosti pravdepodobne nemôže (ne)dať súhlas slobodne.

    Pravdepodobne neznamená, že nikdy, a preto WP29 nepovažuje tento právny základ za a nevhodný za každých okolností. V stanovisku (Opinion) 259, vydanom 28.11.2017 a revidovanom 10.4. 2018, uvádza, že existujú situácie, kedy je aj pre zamestnávateľa možné dokázať, že súhlas bol daný zamestnancom slobodne. Dôležitou podmienkou je dôkaz, že za neudelenie súhlasu zamestnancovi nehrozil postih.

    V kapitole 3, odsek 1.1 dokument uvádza príklad takejto dôveryhodnej výnimky: spoločnosť zavolala filmový štáb, aby nasnímala nejakú časť priestorov. Zamestnávateľ sa opýta zamestnancov, ktorí v danej sekcii sedia, či by boli ochotní dať súhlas s natáčaním, pretože sa môžu objaviť na videu. Tí zamestnanci, ktorí nesúhlasia s filmovaním, nie sú nijako penalizovaní a naopak, dostanú po dobu natáčania náhradné pracovisko.

    V skratke

    Ak existuje iná možnosť ako súhlas, siahnite po nej. Nežiadajte súhlasy na to, čo nepotrebujete (plnenie zmluvy) a nesmiete (od zamestnancov). Ak sa obávate, že vám zákazníci súhlas nedajú, nie je to problém GDPR ale uplatnenie práva na súkromie v praxi.

    Na stiahnutie

    Autor: Martina Javůrková, MBA