Nepřístupný dokument, nutné přihlášení
Input:

Souhrnně k souhlasu se zpracováním osobních údajů

4.11.2019, , Zdroj: Verlag Dashöfer

2.7
Souhrnně k souhlasu se zpracováním osobních údajů

Mgr. Mgr. Radana Burešová

I více než rok po vstupu obecného nařízení o ochraně osobních údajů v platnost přetrvává u části správců osobních údajů dojem, že souhlas subjektu osobních údajů je jakýmsi univerzálním právním důvodem zpracování osobních údajů, který zhojí jakékoli případné nedostatky, a proto se ho snaží využívat, mimo jiné proto, aby se vyhnuli rozhodování, o který (jiný) právní důvod uvedený v čl. 6 odst. 1 GDPR mají své zpracování osobních údajů opřít, a to i přes opětovná upozornění Úřadu pro ochranu osobních údajů, že tento postup není správný.

Tento přístup částečně přetrvává z doby platnosti předchozí právní úpravy, kdy tomu tak skutečně bylo (první věta § 5 odst. 2 zákona č. 101/2000 Sb., o ochraně osobních údajů), nicméně již tehdy Úřad pro ochranu osobních údajů upozorňoval na nadužívání souhlasu .

GDPR je koncipováno odlišně. Podle čl. 6 odst. 1 GDPR je souhlas jen jednou z rovnocenných podmínek zákonnosti zpracování, a to bez ohledu na to, že je ve výčtu těchto podmínek (právních důvodů zpracování) uveden jako první, pod písmenem a). Navíc se s ohledem na podmínky kladené na takovýto souhlas v článku 7 GDPR, zejména na podmínku svobody souhlasu a jeho odvolatelnosti, rovněž jedná o právní důvod zpracování osobních údajů, který je v praxi nejproblematičtější.

Řada správců osobních údajů se pokouší „pojistit” si zákonnost svého zpracování, opomíjí ale skutečnost, že takový souhlas je, pokud existuje jiný právní důvod zpracování, nadbytečný, nebo přímo neplatný, a to buď proto, že nebyl udělen svobodně nebo proto, že takové zpracování osobních údajů je prováděno nad rámec tzv. minimalizace údajů (čl. 5 odst. 1 písm. c) GDPR).

Jako zásadní vodítko při využívání souhlasu se zpracováním osobních údajů lze doporučit Pokyny pro souhlas podle nařízení 2016/679 ve verzi z roku 2018 ( Guidelines on consent under Regulation 2016/679 , WP259 rev. 01), vydané WP29 a schválené Evropským sborem pro ochranu osobních údajů, dále jen „Pokyny”). Seznámení se s těmito Pokyny lze nanejvýš doporučit.

Pokyny obsahují řadu praktických informací, které se týkají zpracování osobních údajů na základě souhlasu. Jedním z nejzásadnějších závěrů, který z nich vyplývá, je, že využívání souhlasu jako právního základu zpracování osobních údajů je v zásadě zcela vyloučeno v pracovněprávních vztazích, a to vzhledem k mocenské nerovnováze zaměstnanců a zaměstnavatelů a z toho plynoucím obavám ze ztráty zaměstnání při případném odmítnutí udělení souhlasu. Souhlas je však nesvobodný a neplatný i všude tam, kde je souhlasem podmíněno čerpání určité služby nebo výhody, tj. tam, kde daná služba/výhoda bez tohoto souhlasu nebude poskytnuta.

Značně komplikované je rovněž získávání souhlasu od dětí. U mladších dětí za ně mohou souhlas platně udělit pouze rodiče, takže správce by se měl alespoň pokusit spolehlivě ověřit, že souhlas za dítě skutečně udělila oprávněná osoba. Jak dítě postupně dospívá, měl by být souhlas jeho rodičů nahrazen jeho vlastním, který by si měl správce aktivně obstarat. Určení příslušné věkové hranice však může být poměrně složité, jelikož záleží i na konkrétních okolnostech. Výše uvedené vyžaduje, aby správce postupoval