Získání souhlasu se zpracováním osobních údajů (GDPR)

Nařízení Evropského parlamentu a Rady 2016/679 označované jako GDPR (dále jen „nařízení“) označuje souhlas jako jeden z možných právních základů pro zpracování osobních údajů. V praxi internetových obchodníků bude na souhlasu nejčastěji založeno zpracování osobních údajů za účelem zasílání (šíření) obchodních sdělení (kupříkladu tzv. newsletterů) či zpracování za jinými marketingovými účely. Ke zpracování osobních údajů zákazníků za účelem zasílání obchodních sdělení může ze strany obchodníka docházet také na základě tzv. oprávněného zájmu, nicméně tato problematika přesahuje rozsah tohoto právního oběžníku.

Vzhledem k tomu, že pracovní skupina podle článku 29 vydala k problematice souhlasu před nedávnem pracovní verzi svého výkladového stanoviska , rozhodli jsme se některým praktickým otázkám souvisejícím se získáváním souhlasu se zpracováním osobních údajů věnovat tento lednový právní oběžník.

Podle ustanovení čl. 4 odst. 11 nařízení se souhlasem rozumí „jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.“ K problematice svobodnosti souhlasu pracovní skupina 29 uvádí, že „nemá-li subjekt údajů skutečně na výběr a tedy se cítí být k souhlasu donucen nebo mu neudělení souhlasu může způsobit neblahé následky, pak nebude souhlas platný. Je-li souhlas součástí smluvních podmínek v pasáži, kterou jednáním nelze změnit, má se za to, že nebyl udělen svobodně. Obdobně nebude souhlas považován za svobodný, pokud subjekt údajů nebude mít možnost odmítnout nebo odvolat souhlas, aniž by došel újmy.“ Je tedy zřejmé, že souhlas se zpracováním osobních údajů nemůže být dáván jako součást souhlasu s obchodními podmínkami.

Souhlas se zpracováním osobních údajů může být obchodníkem vyžadován pro více účelů (kupříkladu pro zasílání obchodních sdělení a pro provádění marketingových studií). V takovém případě by podle pracovní skupiny 29 měl „mít subjekt údajů volnost si vybrat, který z těchto účelů bude akceptovat a neměl by být nucen souhlasit s celým balíkem účelů zpracování.“ To znamená, že pro každý účel zpracování (založeným na tomto právním základu), by měl být dáván subjektem údajů souhlas zvlášť.

Při získávání souhlasu se zpracováním osobních údajů by měl obchodník primárně plnit svou informační povinnost stanovenou v ustanovení čl. 13 nařízení. Nicméně pracovní skupina 29 k tomuto poměrně překvapivě uvádí, že „platný informovaný souhlas může existovat i když během získávání souhlasu nejsou zmíněny všechny prvky“ podle čl. 13 nařízení. V této souvislosti je pak vhodné zmínit také nové výkladové stanovisko pracovní skupiny 29 ohledně transparentnosti , které obsahuje doporučení ohledně plnění informačních povinností ve „vrstvách“ a vztahuje se i na informační povinnost při získávání souhlasů se zpracováním osobních údajů. Již z první vrstvy informací by měl mít subjekt údajů možnost poznat základní informace ohledně zpracování jeho osobních údajů a o tom, kde může nalézt podrobnější informace.

Mnoho a mnoho diskuzí je vedeno také ohledně otázky tzv. double opt-inu při získávání souhlasu se zpracováním osobních údajů. K tomu je možné zmínit, že samotné nařízení takovou povinnost výslovně nestanoví. Zastánci „povinného“ double-opt-inu vychází z toho, že souhlas se zpracováním osobních údajů musí být správce schopen prokázat po celou dobu zpracování. Nicméně povinnost prokázat souhlas se zpracováním osobních údajů vyplývá již ze současné právní úpravy (a nejde tedy o změnu legislativy). Navíc správce osobních údajů je v souladu s principem odpovědnosti povinen podle nařízení prokázat soulad celého zpracování osobních údajů s nařízením (nejen uděleného souhlasu). Taktéž pracovní skupina 29 takovouto povinnost nezmiňuje, přičemž pouze uvádí, že „například v internetovém kontextu by správce mohl uchovávat informace o úkonech v online prostředí, kterými byl souhlas vyjádřen včetně dokumentace o postupu získání souhlasu v době pobytu subjektu údajů v online prostoru a kopie informace, která mu v té době byla poskytnuta.“ Na druhou stranu je však nutné uvést, že double-opt-in je v některých západních zemích již považován za určitý standard.

Na závěr připomínáme, že osobní údaje zpracovávané obchodníkem za účelem plnění kupní smlouvy (či za účelem jednání o uzavření kupní smlouvy) budou zpracovávány také na jiném právním základě. V případě plnění kupní (či jiné) smlouvy se bude jednat o právní základ uvedený v ustanovení čl. 6 odst. 1 písm. b) nařízení: „zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů.“

Josef Aujezdský, advokát

Advokátní kancelář Mašek, Kočí, Aujezdský
www.e-Advokacie.cz – on-line právní poradenství

Tento text byl advokátní kanceláří Mašek, Kočí, Aujezdský původně vyhotoven ve spolupráci se spolkem Asociace pro elektronickou komerci (APEK) jako právní oběžník č. 01/2018 určený členům tohoto spolku.

31.12.2019
autor: Josef Aujezdský