Máte zimomriavky z GDPR? Ako získať súhlas so spracovaním osobných údajov

25 Jan 2018  / AUTORI: Juraj Ondrejka

Čo vlastne súhlas je?

Súhlas je jedným z viacerých právnych základov pre spracúvanie osobných údajov. Popri súhlase GDPR rozlišuje aj spracovanie nevyhnutné pre plnenie zmluvy, zákonnej povinnosti, životne dôležitých záujmov, úloh realizovaných vo verejnom záujme a oprávnených záujmov prevádzkovateľa.

GDPR základné parametre súhlasu podstatne nemení. Požiadavky pre jeho získanie však rozširuje. Podľa doterajšej právnej úpravy bol súhlas so spracovaním osobných údajov akýmsi „prioritným“ právnym základom a až následne boli stanovené výnimky, kedy ste mohli údaje spracovať bez súhlasu. Túto koncepciu GDPR rúca a súhlas stavia na rovnakú úroveň ako ostatné právne základy. Tiež sa odporúča pri stanovení právneho základu nájsť niektorý z iných právnych základov, ako napr. plnenie zmluvy, či zákonnej povinnosti a až v prípadoch, kedy takýto právny základ nájsť nie je možné, vyžiadať súhlas so spracovaním osobných údajov.

Ak pre spracovanie osobných údajov nemožno nájsť iný právny základ, myslite na to, že spracovanie osobných údajov na základe súhlasu je jedným z najkomplikovanejších spôsobov, a to kvôli požiadavkám, ktoré naň kladie GDPR. Prečo?

Súhlas musí byť slobodný

Už zo samotného pojmu „slobodný“ je zjavné, že osoba, ktorá súhlas so pracovaním osobných údajov poskytuje, musí mať skutočnú možnosť výberu a kontroly. GDPR stanovuje ako všeobecné pravidlo, že pokiaľ dotknutá osoba nemá skutočne na výber a cíti sa byť k súhlasu donútená, prípadne môže mať z neudelenia súhlasu problémy, súhlas nebude platný.

K takýmto situáciám môže dochádzať napríklad pri vyžadovaní súhlasu so spracovaním osobných údajov zamestnávateľom od zamestnanca. Je totiž málo pravdepodobné, že by zamestnanec slobodne a bez pocitu nátlaku reagoval na zamestnávateľovu žiadosť o súhlas napríklad s aktiváciou kamerového monitorovacieho systému na pracovisku.

Súhlas musí byť určitý

Zo získaného súhlasu musí byť jednoznačne zrejmé, za akým účelom sú osobné údaje poskytované a v akom rozsahu budú spracovávané. Pokiaľ má spracovanie osobných údajov viacero účelov, súhlas so spracovaním by mal byť poskytnutý pre všetky z nich.

Predstavme si príklad z praxe. Prevádzkovateľ dostane súhlas na zasielanie bežných obchodných ponúk zákazníkovi a za týmto účelom získa jeho e-mailovú adresu. Tú môže využiť len pre tento účel. Pokiaľ by mal prevádzkovateľ záujem poslať personalizovaný mail s ponukou produktov, o ktorých predpokladá, že zákazníka skôr oslovia, nevyhnutne potrebuje osobitný súhlas zákazníka. 

Súhlas musí byť informovaný

Pre splnenie tejto podmienky je nevyhnutné dotknutej osobe predom poskytnúť informácie aspoň o:

§  totožnosti prevádzkovateľa,

§  účele každej spracovateľskej operácie, pre ktorú je súhlas vyžadovaný,

§  druhu údajov, ktoré budú spracovávané,

§  existencii práva kedykoľvek súhlas odvolať,

§  použití osobných údajov k rozhodovaniu na báze automatizovaného spracovania, vrátane profilovania,

§  o možných rizikách prenosu osobných údajov do tretích krajín.

Poskytnutie týchto informácií ešte pred získaním súhlasu je dôležité, aby sa mohla dotknutá osoba rozhodnúť, chápala k čomu súhlas poskytuje a v budúcnosti mohla napríklad využiť právo na odvolanie súhlasu.   

Podstatné však je, že GDPR kladie dôraz na samotný spôsob splnenia tejto informačnej povinnosti. Je nevyhnutné formulovať informácie jasne a v jednoduchom jazyku, zrozumiteľnom každému, nielen právnikom. Nie je preto možné pri plnení informačnej povinnosti využívať zdĺhavé a nezrozumiteľné vety plné právnej odbornej terminológie, ani tieto informácie „skrývať“ kdesi vo všeobecných obchodných podmienkach a podobne.  

Prejav vôle musí byť jednoznačný

V súvislosti s udelením súhlasu nesmú byť žiadne pochybnosti o tom, že dotknutá osoba súhlasí so spracovaním osobných údajov. Súhlas nie je možné získať tým istým úkonom, ktorým dôjde k uzatvoreniu zmluvy, či prijatiu obchodných podmienok prevádzkovateľa a tak ďalej.

Za platne udelený súhlas bude vo všeobecnosti považované podpísanie súhlasu v listinnej podobe, zaškrtnutie políčka v listinnej alebo elektronickej podobe (tzv. opt-in), vyjadrenie vôle zaslaním emailu a podobne. Naopak platným súhlasom nebude jeho vyjadrenie mlčaním, vopred zaškrtnutým políčkom (tzv. opt-out), zahrnutím súhlasu do zmluvy a podobne.

GDPR nepredpisuje žiadnu formu

GDPR nestanovuje pre súhlas so spracovaním osobných údajov predpísanú formu. Avšak získaný súhlas je prevádzkovateľ povinný preukázať. Nebude preto postačovať získanie súhlasu v ústnej podobe bez vyhotovenia akéhokoľvek potvrdenia o jeho udelení, napr. vo forme audio nahrávky. Do úvahy prichádza najmä písomná forma, ktorá nemusí byť nevyhnutne listinná, ale môže byť aj elektronická. Preukázateľné budú aj súhlasy, ktoré sú udelené elektronicky pomocou logov, či príznakov v elektronických databázach.

Ak dôjde k sporu, dôkazné bremeno o preukázaní platného súhlasu leží práve na prevádzkovateľovi.


ĎALŠIE
OD AUTORA

naše novinky

Právo na podporu a nové pravidlá pre záruky pôvodu elektriny / 19 Nov

Právo na podporu a nové pravidlá pre záruky pôvodu elektriny

pozreli sme sa na to, ako nové pravidlá vydávania záruk pôvodu elektriny ovplyvnia právo výrobcov na podporu.

Elektromobilita bude mať na Slovensku voľnejšie ruky / 4 Jun

Elektromobilita bude mať na Slovensku voľnejšie ruky

Elektromobily nie sú pre nás novinkou. Pre našu právnu úpravu donedávna boli. Malá novela o energetike rozviaže ruky elektromobilite na Slovensku.

Aby vás protischránkový zákon nepripravil o biznis / 14 Jun

Aby vás protischránkový zákon nepripravil o biznis

Čas neúprosne plynie a termín 31. júl 2017 je predo dvermi. Nezabudnite. Vy musíte vždy načas, to len štát ma na všetko času dosť.