GDPR a správný souhlas se zpracováním osobních údajů

Mezinárodní advokátní kancelář Taylor Wessing se zaměřuje již delší dobu na problematiku GDPR.  V rámci nového nařízení EU na ochranu osobních údajů upozorňuje na některé povinnosti, které se týkají správného souhlasu se zpracováním osobních údajů. Zejména je v této souvislosti nutno upozornit na fakt, že souhlas by měl být svobodný, konkrétní, informovaný a především jednoznačný. Měl by být napsán srozumitelným, jednoduchým a jasným jazykem. Karin Pomaizlová, expertka na GDPR a partnerka advokátní kanceláře Taylor Wessing Praha upozorňuje na nové povinnosti, které z tohoto nařízení v této oblasti vyplývají.

Správný souhlas se zpracováním osobních údajů

Kromě výše uvedeného musí být správce schopen jej doložit po celou dobu zpracování osobních údajů, ke kterému se souhlas vztahuje. To ale neznamená, že musí být vždy jen písemný. Souhlas musí být odlišen od jiného obsahu, ideálně na zvláštní listině, v separátním “okně”. Pokud se zobrazuje na webu, neměl by být například součástí smlouvy nebo všeobecných obchodních podmínek. Před udělením svého souhlasu musí být dotyčná osoba, které se to týká, informována o tom, že jej může kdykoliv svobodně odvolat, resp. že není povinna souhlas udělit a pokud jej udělí, může jej kdykoliv odvolat. Souhlas není svobodný, pokud je plnění ze smlouvy podmíněno udělením souhlasu. 

A Pomaizlová dodává: „Základní informační povinnosti a poučení jsou v zásadě podobné stávající právní úpravě podle zákona č. 101/2000 Sb., o ochraně osobních údajů. Co se týče novinek v této oblasti, chtěli bychom upozornit zejména na rozšíření poučovací povinnosti o právo subjektu údajů na přenositelnost osobních údajů a o právo podat stížnost dozorovému úřadu.“

Oproti předchozí právní úpravě se klade důraz zejména na to, aby souhlas nebyl vyžadován tam, kde se údaje zpracovávají na jiném právním podkladě (uzavření smlouvy a plnění smlouvy, plnění právní povinnosti, oprávněné zájmy správce atd.). A zejména účel zpracování a příjemce osobních údajů by měli být uvedeni konkrétně a jednoznačně.

Aby mohl být souhlas svobodný, měla by se osoba, které se to týká, mít  možnost rozhodnout svobodně o jednotlivých způsobech zpracování. Proto by ten měl být strukturován a osoba by měla mít možnost se u jednotlivého zpracování, např. podle účelu nebo podle druhu osobních údajů, rozhodnout, zda dá souhlas s poskytnutím osobních údajů či nikoliv. Např. zákazník e-shopu by měl mít možnost se rozhodnout, zda dá souhlas ke zpracování k marketingovým účelům jen svého telefonu, nebo jen svého e-mailu nebo k oběma kontaktům.

Jak zajistit, že má firma platný souhlas

Firmy si musí  vyhodnotit, zda stávající souhlas splňuje podmínky GDPR, tj. zejména přehodnotit si, zda souhlas skutečně potřebují nebo zpracovávají osobní údaje z jiných právních důvodů, zda při získání souhlasu ten nebyl spojen s přijetím všeobecných obchodních podmínek, zda je v něm zejména dostatečně vymezen účel zpracování a příjemce osobních údajů.

Jak zajistit pravidelné obnovování souhlasu

      To může být velmi různé. Záleží na zavedené praxi, zda firma komunikuje se zákazníky emailem či jinak, za jakým účelem souhlas potřebuje. Ovšem nedoporučuje se plošné rozesílání emailů s žádostí o souhlas, protože v takovém případě (při absenci předcházejícího platného souhlasu) by šlo o nevyžádané obchodní sdělení v rozporu se zákonem č. 480/2004 Sb., o některých službách informační společnosti.

Jak správně chránit osobní data zaměstnanců, a to jak v počítačové databázi, tak i ty “fyzické”

Na to neexistuje univerzální návod. Každá firma si musí vyhodnocení provést sama, konzultovat i s odborníky na kybernetickou bezpečnost a na bezpečnost obecně. Firma je povinna zabezpečit osobní údaje zejména proti neautorizovanému přístupu, změně, likvidaci a kopírování. To znamená především vymezit okruh lidí, kteří mají legitimní přístup k těmto údajům a jaké jsou jejich pravomoci. Digitální soubory lze minimálně chránit heslem. Je také možné některé osobní údaje spravovat v databázi, která není propojená s internetem. Zaměstnavatel může technicky zamezit využití USB portu a pořizování kopií souborů. Předpokládá se, že osobní údaje budou zálohovány na jiném místě (i např. pro případ povodní či záplav). Fyzické listiny, které obsahují osobní údaje, by měly být minimálně schraňovány v uzamčených skříních a v uzamčené místnosti. Lze zvážit i použití trezorových nehořlavých skříní nebo elektronického zabezpečení uložiště dokumentů.

Výhody/nevýhody GDPR pro koncové uživatele

A Pomaizlová shrnuje: “Jednoznačně pozitivní je zdůraznění svobodného souhlasu a zákazu podmiňovat dodání zboží či poskytnutí služby udělením souhlasu se zpracováním osobních údajů, což se dnes často děje, např. v e-shopech. Další zajímavou novinkou je právo na přenostitelnost osobních údajů. Koncoví uživatelé, resp. subjekty údajů, jednotlivci, by měli profitovat z většího respektu k jejich soukromí a osobním údajům.”

O Taylor Wessing:

Taylor Wessing je mezinárodní advokátní kancelář poskytující svým klientům celosvětově kompletní servis ve všech odvětvích jejich podnikání. Více než 1 200 právníků přistupuje k poradenství cílevědomě a o obchodních záležitostech klientů přemýšlí inovativně, čímž jim pomáhá uspět zejména v rychle se rozvíjejících oblastech. Taylor Wessing podporuje své klienty všude tam, kde chtějí podnikat. Celkem 33 kanceláří v Evropě, na Středních východě a v Asii, stejně tak dvě kanceláře v USA, nejsou jen symbolickým zastoupením;  jedná se o týmy se znalostí místního obchodního, průmyslového a kulturního prostředí, ale zároveň s mezinárodní zkušeností, která advokátní kanceláři umožňuje vždy poskytovat efektivní a integrovaná řešení.