JAK A KDY (NE)POUŽÍVAT SOUHLAS SE ZPRACOVÁNÍM (PRYČ S NÍM Z OBCHODNÍCH PODMÍNEK E-SHOPU)
Souhlasy kam se podíváš. Asi tak by se dala shrnout lavina mailů, které se na nás hrnuly ze všech stran od společností, které více či méně kreativně požadovaly udělení souhlasu se zpracováním osobních údajů. Tato smršť mimo spousty lidí popudila i Úřad pro ochranu osobních údajů, a proto jsme se rozhodli varovat před jejich nesprávným používáním a více konkretizovat náš článek ze 17. 4. 2018. Použitím souhlasu si totiž někdy můžete dost výrazně přitížit. Ano, i neoprávněně požadovaný souhlas může společnosti zajistit přispět na fungování státní správy nějakou tou pokutou.
Za účinnosti zákona o ochraně osobních údajů (zák. č. 101/2000 Sb., o ochraně osobních údajů) (dále o něm budu psát jen jako o „zákonu“) se rozmohl nešvar vkládat souhlas se zpracováním osobních údajů všude, kde se jen osobní údaje objevily. Může za to ne úplně šťastná formulace zákona. Ten totiž ve zkratce říká (říkal), že je možné zpracovávat osobní údaje na základě souhlasu a pokud není souhlas, je možné zpracovávat na základě dalších vyjmenovaných skutečností. Což si pochopitelně drtivá většina lidí vysvětlila tak, že pokud kamkoli vloží souhlas, dál už nic řešit nemusí. Což tak ale po pravdě řečeno není. Naopak daleko jasněji tuto situaci upravuje nařízení se zlověstnou zkratkou GDPR (Nařízení Evropského parlamentu a Rady (EU) č. 2016/679).
Jak to tedy se souhlasem skutečně je a proč je úřad ze souhlasů tak namíchnutý?
Z vyjádření zástupců Úřadu pro ochranu osobních údajů je zcela evidentní, že nadměrné souhlasy má tento úřad takříkajíc na mušce. I proto před nedávnem vydal upozornění, ve kterém se „strefuje“ do advokátů a poradců, kteří princip souhlasu tak úplně nepochopili. Zásadním měřítkem je, jestli byl souhlas udělen svobodně, tzn. že subjekt (zákazník, zaměstnanec apod.) si může vybrat, jestli souhlas udělí nebo ne, aniž by to pro něj mělo jakékoli negativní důsledky. Nejčastější situace, kdy je souhlas požadován úplně zbytečně a tím pádem velmi často i nezákonně (rozumějte: může být pokuta), jsou tyto:
- zpracování je nutné pro plnění smlouvy (např. prodej zboží v e-shopu, uzavření pracovní smlouvy apod.);
- zpracování je nutné pro splnění právní povinnosti (např. archivace účetních dokladů, předávání údajů o zaměstnancích na „sociálku“ apod.);
- zpracování je nezbytné pro účely oprávněných zájmů (k tomu za chvilku).
..chvilka.
Ke třetímu bodu – ten je totiž někdy poněkud problematický. Naprosto jednoznačným příkladem, který často zmiňuje i Úřad pro ochranu osobních údajů, je ale zasílání obchodních sdělení stávajícím zákazníkům. Můžete (!) posílat obchodní sdělení Vašim stávajícím zákazníkům, aniž byste k tomu měli souhlas (!!), pokud zasíláte obchodní sdělení, které souvisí se zbožím nebo službou, které si od Vás zákazník již zakoupil. Za tuto možnost poděkujte tzv. antispamovému zákonu (zák. č. 480/2004 Sb., o některých službách informační společnosti). Na druhou stranu ale musíte v každém takovém sdělení:
- zřetelně a jasně uvést, že jde o obchodní sdělení;
- neschovávat se, ale přiznat barvu, kdo jste (označit toho, jehož jménem se komunikace uskutečňuje);
- dát jednoduchou možnost k odhlášení.
Pomůcka
Pokud budete zejména s bodem 1 a 2 váhat, zkuste pomůcku – před tím, než někoho budete žádat o souhlas, představte si situaci, že subjekt Vám už souhlas udělil a položte si otázku: „Co by se stalo, kdyby svůj souhlas odvolal?“ Například: „Co by se stalo, kdyby zákazník e-shopu, který si objednal zboží, odvolal svůj souhlas?“ V takovém případě byste teoreticky měli smazat jeho osobní údaje a tím pádem tedy nevím, jak byste mu byli schopni doručit zboží. Tedy nesmysl. Podobně u předávání údajů na „sociálku“, protože pokud by zaměstnanec mohl odvolat souhlas s předáváním svých údajů, nesměli byste je na „sociálku“ předat, za což byste od státu pochvalu asi nedostali.
Shrnuto podtrženo
Před tím, než budete žádat o souhlas se zpracováním osobních údajů, důkladně si promyslete, jestli pro zpracování není jiný důvod (viz body 1 až 3). Pokud Vám to pořád nebude jasné, zkuste si výše uvedenou pomůcku. Pokud si i tak nebudete jisti, napište nám info@maceklegal.cz nebo zavolejte na +420 604 873 614 a rádi se s Vámi domluvíme na spolupráci. Případně pokud budete v centru Prahy, sídlíme kousek od Staroměstského náměstí (Haštalská 6), neváhejte zazvonit a zastavit se u nás na kus řeči.
Užitečné odkazy
https://www.uoou.cz/vyzadovani-souhlasu-a-nbsp-gdpr/d-30815
https://www.zakonyprolidi.cz/cs/2004-480 (zejména § 7)
https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=20112 (kompletní text GDPR… příjemnou zábavu)
Mgr. Vít Hruška, advokátní koncipient
www.maceklegal.cz