Souhlas se zpracováním osobních údajů. Zdánlivě banální téma, které ale stále dělá řadě podnikatelů z různých oblastí potíže. Mgr. Vít Hruška vám připomene, jak by měl souhlas vypadat, kdy je možné ho používat a kdy naopak ne a ukáže nejčastější chyby s ním spojené. Také se v krátkosti podívá na souhlas se zasíláním newsletteru.
Co je to souhlas se zpracováním osobních údajů?
Souhlas se zpracováním je jen jedním z 6 dalších tzv. právních titulů ke zpracování osobních údajů. Velmi zjednodušeně řečeno jde o jakési „licence“ k tomu, aby bylo možné zpracovávat osobní údaje. Pokud není „licence“, nelze osobní údaje zpracovávat. Ostatními nejčastějšími tituly, se kterými se setkávají podnikatelé, jsou zpracování pro účely plnění smlouvy, zpracování na základě právních povinností a zpracování na základě tzv. oprávněného zájmu.
V praxi to potom znamená, že byste před každým zpracováním osobních údajů měli zjistit, jestli existuje titul, který vás ke zpracování údajů opravňuje.
Proč jsou tyto tituly důležité v rámci tématu souhlasu? Souhlas byste totiž měli používat jen jako jakousi krajní možnost. Pokud není žádný právní předpis, který by přikazoval zpracování osobních údajů, nepotřebujete údaje pro plnění smlouvy, ale přesto byste rádi údaje zpracovávali, potom je na místě uvažovat o použití souhlasu se zpracováním osobních údajů. Jakmile se ale bez údajů neobejdete, protože vám jejich získání a uchování nařizují některé právní předpisy (typicky např. zákon o účetnictví) nebo je potřebujete pro plnění smlouvy (protože pokud nebudete vědět, s kým smlouvu uzavíráte, těžko ji pak budete plnit), souhlas z uvažování vyřaďte.
Jaké jsou podmínky pro získání souhlasu?
Souhlas má být svobodný, konkrétní, informovaný a jednoznačný. V jednoduchosti řečeno by tzv. subjekt údajů (tj. František Uživatel) měl mít na výběr, jestli souhlas udělí nebo ne. Pokud ho neudělí, neměla by mu taková skutečnost bránit v odebrání vaší služby nebo zboží.
Typicky tedy pokud si u vás na e-shopu František Uživatel kupuje boty, nemůžete po něm chtít souhlas se zpracováním údajů pro to, abyste mu boty poslali. Bez jeho údajů se totiž neobejdete a nemůžete s ním uzavřít smlouvu.
Jako pomůcku vždy používám otázku: Co se stane, když subjekt údajů svůj souhlas odvolá? Pokud jen vymažete údaje a dál nezpracováváte, je většinou souhlas udělený správně. Pokud ale údaje dál potřebujete zpracovávat ke stejnému účelu, k jakému jste si vyžádali souhlas (např. pro zaslání zboží), pak je souhlas udělen špatně.
Pro odlehčení přidávám ještě jeden bod – ve smlouvách se typicky vyskytuje velmi omezené množství možností, pro které je možné smlouvu ukončit. Pokud byste museli údaje ze smlouvy vymazat a nemohli ji splnit, fakticky by skončila. Odvolání souhlasu ale není způsob ukončení smlouvy.
Pojďme se zaměřit i na další parametry souhlasu. To, že má být souhlas konkrétní znamená, že ke každému účelu zpracování by měl existovat zvláštní souhlas. Tzn. pokud není jiný titul (vizte výše), který by vás opravňoval ke zpracování a potřebujete získat souhlas, je třeba zvažovat, pro jaké účely jej vůbec vyžadujete. Např. zasílání newsletteru, další účel by mohl být sledování preferencí ve výběru zboží a příští nabízení jen relevantního zboží, další kupříkladu pro předání údajů někomu dalšímu, aby se ozval se zajímavou nabídkou apod. V drtivé většině nelze různé účely „schovat“ pod jeden souhlas.
Požadavek informovanosti znamená, že byste měli subjekt údajů informovat typicky alespoň o tom jaké údaje a proč budete na základě souhlasu zpracovávat, kdo je bude údaje zpracovávat (Vaše identifikace) a že může subjekt údajů svůj souhlas kdykoli odvolat.
Poslední požadavek, tj. požadavek jednoznačnosti, znamená, že z jednání (chování) subjektu údajů by mělo být naprosto jasné, že chtěl souhlas udělit, např. zaškrtnutím checkboxu apod.
Jaké jsou nejčastější chyby při udělování souhlasu?
Nejčastější chybou, se kterou se pořád setkávám, je používání souhlasu tam, kde vůbec nemá být. Velmi často se setkávám např. v pracovních smlouvách s ustanovením ve smyslu: „Zaměstnanec uděluje svému zaměstnavateli souhlas se zpracováním svých osobních údajů…“. Pokud by si ale zaměstnavatel položil jednoduchou otázku, co by se stalo, kdyby zaměstnanec souhlas odvolal, patrně by mu došla absurdita takového ustanovení. Zaměstnanci můžete oznámit, že takové údaje zpracováváte a měli byste mu sdělit, že bez nich nejde smlouvu uzavřít. Určitě ale nepožadujte souhlas.
Další chybou je shrnutí všech účelů zpracování pod jeden souhlas, typicky z obchodních hledisek, protože s každým dalším checkboxem klesá konverze. Na druhou stranu ale pokud spolu tyto účely velmi úzce nesouvisí, pak je takový postup nesprávný.
A jak je to se souhlasem pro zasílání newsletteru?
V případě zasílání newsletteru je na místě otázka, jestli máte e-mail, na který budete newsletter zasílat, od vašeho zákazníka nebo budete zasílat „nezákazníkovi“. Jestli totiž půjde o vašeho zákazníka, pak je možné zasílat newsletter i bez souhlasu, je ovšem třeba dát zákazníkovi ještě před zasláním možnost zasílání newsletteru (podle zákona jde o tzv. obchodní sdělení) předem odmítnout, např. opět checkboxem.
Naopak pokud nepůjde o Vašeho zákazníka, neobejdete se bez souhlasu.
