GDPR – jak je to s tím souhlasem?

Jedním z titulů, na jejichž základě můžeme zpracovávat osobní údaje, je souhlas. Tím se dle textu nařízení o GDPR rozumí jakýkoliv projev vůle osoby, která dává svým prohlášením nebo jiným zjevným potvrzením souhlas se zpracováním osobních údajů. Každý souhlas pak musí být svobodný, konkrétní, informovaný a jednoznačný. Co to ale znamená?

Svobodný souhlas

Subjekt údajů musí mít skutečně volnost svobodně se rozhodnout, zda souhlas poskytne nebo ne. Nelze si souhlas například vynutit třeba neposkytnutím služeb nebo jakýmkoliv omezením služeb. Nelze jej vnořit například do obchodních podmínek nebo smlouvy apod. Vždy musí být souhlas samostatný a zcela nezávislý na jakýchkoliv dalších okolnostech.

Konkrétnost

Žádost o souhlas musí být natolik konkrétní, aby v ní každý rozpoznal přesný účel zpracování. V případě, že účelů zpracování je více, musí být každý z nich uveden zvlášť a o každém musí mít dotyčná osoba možnost se samostatně rozhodnout. Nelze tedy sloučit několik účelů zpracování pokusí se získat souhlas společně pro všechny účely.

Informovanost

Aby byl souhlas poskytnut informovaně, je třeba subjektu sdělit především identitu správce, účel jednotlivých způsobů zpracování, typ údajů, jichž se zpracování týká, informaci o možnosti souhlas kdykoliv odvolat, zda údaje budou předmětem automatizovaného rozhodování včetně profilování, informace, zda se souhlas týká rovněž případných transferů údajů do zahraničí, a informace o rizicích s tím spojených.  Veškeré tyto informace týkající se žádosti o souhlas musejí být viditelně odděleny od jakýchkoliv nesouvisejících sdělení.

Jednoznačnost

Způsob poskytnutí souhlasu by měl vždy jednoznačně vyjádřit názor osoby, zda si přeje, aby byly správcem její osobní údaje zpracovány. V internetovém prostředí se tak zpravidla děje zaškrtnutím příslušného políčka na stránce. Neplatným pak bude jakýkoliv souhlas domněle poskytnutý na základě mlčení či jiné formy neaktivity. Veškeré souhlasy doporučujeme obstarávat písemně či elektronickou formou, protože správce musí být schopen kdykoliv prokázat, že souhlas byl konkrétní osobou udělen, což může být u ústních souhlasů velice složité.

Co je výslovný souhlas?

Výslovný souhlas je přísnější kategorií obyčejného souhlasu. Správce jej musí získat, pokud bude zpracovávat citlivé údaje, například o rasovém či etnickém původu, náboženském vyznání, členství v odborech, či zpracovávat genetické údaje, biometrická data nebo údaje o zdravotním stavu, sexuální orientaci či pokud by měly být osobní údaje využity pro automatizovaná rozhodování. Z uděleného souhlasu musí jednoznačně vyplynout, že ho učinila osoba, která se zpracováním daných údajů výslovně souhlasí. Příkladem může být vlastnoruční či elektronický podpis, potvrzovací e-mail propojený se SMS zprávou nebo naskenování vlastnoručně podepsaného formuláře on-line.

Kdy je třeba souhlas a kdy jiný titul

Mimo poskytnutí souhlasu nařízení o GDPR obsahuje dalších pět titulů, na jejichž základě můžete osobní údaje legálně zpracovávat i bez souhlasu. Jsou to například zpracování za účelem plnění smlouvy, zákonné povinnosti nebo oprávněný zájem správce. Doporučuji tedy vždy nejprve prověřit, zda nelze použít některý z těchto titulů a k obstarání souhlasu se přiklonit až jako k poslední možnosti.

 

Přečtěte si také článek:

Nový strašák z EU – GDPR

 

Nabízíme také GDPR poradenství

Potřebuji poradenství

od Roman Anderle GDPR