1.61
Jak se připravit na nové nařízení o ochraně osobních údajů – 2. díl
Mgr. Mgr. Radana Burešová
V rámci přípravy na GDPR je vhodné provést následující kroky:
1. zhodnotit nakládání s osobními údaji z hlediska nezbytnosti zpracování osobních dat
2. zvážit, zda je skutečně nutné, aby dotčené osoby udělily souhlas se zpracováním osobních údajů.
Dále se musí podniknout opatření:
3. ve vztahu k ochraně zpracovávaných osobních údajů
4. ve vztahu k fyzickým osobám, jichž se osobní údaje týkají (tzv. subjekty údajů),
5. ve vztahu k dozorovému úřadu.
ad 2) Nutnost udělení souhlasu se zpracováním osobních údajů
Po revizi rozsahu zpracovávaných osobních údajů je namístě zaměřit se na to, zda je k jejich zpracovávání třeba souhlasu subjektů údajů, nebo postačuje některý jiný právní důvod uvedený v čl. 6 odst. 1 GDPR.
Pro většinu běžných podnikatelských činností není výslovný souhlas subjektu údajů potřebný, naopak často jen způsobuje komplikace.
Nově souhlasu nebude třeba ani v případě zpracování osobních údajů pro účely přímého marketingu (viz bod 47 in fine odůvodnění GDPR), nicméně subjekt údajů bude mít právo vznést proti zpracovávání osobních údajů, které se ho týkají, námitku podle čl. 21 odst. 2 GDPR. I nadále však zůstane omezeno marketingové využití e-mailové adresy a telefonního čísla, na které se vztahuje zákon č. 480/2004 Sb., a to s výjimkou uvedenou níže.
Souhlasu subjektu údajů ke zpracování osobních údajů není třeba v případech uvedených v čl. 6 odst. 1 písm. b) až f) GDPR, tedy pokud je zpracování nezbytné pro:
1. splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů - jedná se o nezbytné údaje zákazníků a obchodních partnerů, které poskytují v souvislosti s realizací konkrétní smlouvy (je nerozhodné, zda je smlouva uzavírána v písemné podobě, nebo ústně);
2. splnění právní povinnosti, která se vztahuje na správce osobních údajů – tento bod postihuje např. údaje, které musí být povinně uváděny na účetních a daňových dokladech (fakturách), údaje zaměstnanců nezbytně nutné pro provádění zdravotního pojištění a sociálního zabezpečení nebo údaje o hostech ubytovacích zařízení podle zákona o pobytu cizinců;
3. ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby – myšleny jsou skutečně jen případy, kdy je dotčená osoba ohrožena na životě, např. pokud je oběť dopravní nehody v bezvědomí dopravena do nemocnice, mohou být provedeny úkony potřebné pro její záchranu;
4. splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce;
5. účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě – do této kategorie spadá např. provozování kamerových systémů za účelem ochrany majetku (pozor, aby monitoring byl v souladu s právními předpisy, je třeba splnit celou řadu podmínek) nebo kontrola zaměstnanců v mezích § 316 ZP, nově sem spadá i využití osobních údajů pro přímý marketing, s výjimkou využití e-mailové adresy a telefonního čísla.
Za podmínek uvedených v § 7 odst. 3 zákona č. 480/2004 Sb. lze bez souhlasu subjektu údajů využít jeho e-mailovou adresu k zaslání obchodního sdělení, pokud správce získá od svého zákazníka jeho e-mailovou adresu v souvislosti s prodejem výrobku nebo služby podle požadavků ochrany osobních údajů upravených v zákoně, a šířená obchodní sdělení se týkají jen vlastních obdobných výrobků nebo služeb správce za předpokladu, že zákazník má jasnou a zřetelnou možnost jednoduchým způsobem, zdarma nebo na účet této fyzické nebo právnické osoby odmítnout souhlas s takovýmto využitím svého elektronického kontaktu i při zasílání každé jednotlivé zprávy, pokud původně toto využití neodmítl. Další povinnosti v této souvislosti upravuje § 7 odst. 4 zákona č. 480/2004 Sb. Po vstupu ePrivacy v účinnost se tyto podmínky mohou změnit.
Ve všech ostatních případech je souhlas subjektu údajů nutný.
Podle bodu 32 odůvodnění GDPR platí tyto principy: "Souhlas by měl být dán jednoznačným potvrzením, které je vyjádřením svobodného, konkrétního, informovaného a jednoznačného svolení subjektu údajů ke zpracování osobních údajů, které se jej týkají, a to v podobě písemného prohlášení, i učiněného elektronicky, nebo ústního prohlášení. Mohlo by se například jednat o zaškrtnutí políčka při návštěvě internetové stránky, volbu technického nastavení pro služby informační společnosti nebo jiné prohlášení či jednání, které v této souvislosti jasně signalizuje souhlas subjektu údajů s navrhovaným zpracováním jeho osobních údajů. Mlčení, předem zaškrtnutá políčka nebo nečinnost by tudíž neměly být považovány za souhlas. Souhlas by se měl vztahovat na veškeré činnosti zpracování prováděné pro stejný účel nebo stejné účely. Jestliže má zpracování několik účelů, měl by být souhlas udělen pro všechny. Má-li subjekt údajů vyjádřit souhlas na základě žádosti podané elektronickými prostředky, musí být žádost jasná a stručná a nesmí zbytečně narušit využívání služby, pro kterou je souhlas dáván."
Konkrétně je třeba důsledně dodržet článek 7 GDPR, který upravuje podmínky souhlasu. Je třeba splnit mimo jiné následující požadavky:
-
Správce musí být schopen doložit, že subjekt údajů udělil souhlas se zpracováním svých osobních údajů – proto je vhodné, aby byl souhlas udělen v písemné podobě spíše než ústně.
-
Pokud je souhlas subjektu údajů vyjádřen písemným prohlášením, které se týká rovněž jiných skutečností (tedy…