Právní tituly pro zpracování osobních údajů

6

Právní tituly pro zpracování osobních údajů

JUDr. Eva Wierzbicka Mendrok, LL.M, Mgr. Tomáš Vavro, Mgr. Marek Zeman

Zpracování osobních údajů se tedy vždy vztahuje ke konkrétnímu účelu, na jehož základě se určí právní důvod zpracování osobních údajů. Právním titulem se rozumí podmínka, bez níž by zpracování osobních údajů nebylo legální, tj. musí být jasné, „co” dovoluje údaje zpracovávat (např. zákon, souhlas dotčené osoby, plnění povinnosti apod.). Nezřídka může docházet i k tomu, že tytéž osobní údaje budou správcem zpracovávány pro různé účely (viz příklad výše). Jednotlivé účely zpracovávání mohou také postupem času odpadávat. Jakmile však zanikne i poslední z právních důvodů ke zpracování osobních údajů, je správce povinen osobní údaje smazat, zlikvidovat či zanonymizovat.

Výše uvedený výčet právních důvodů zpracování [body a) až f)] se na tomto místě pokusíme trochu podrobněji přiblížit:

Prvním právním důvodem zpracování osobních údajů je existence právního předpisu, který obsahuje povinnost správce zpracovávat osobní údaje subjektu údajů. Pokud je tedy pro zpracovávání osobních údajů opodstatnění v textu právního předpisu, pak budou osobní údaje subjektu údajů zpracovávány řádně a legálně bez ohledu na udělení souhlasu subjektu údajů s jejich zpracováním.

Pro účely zpracování osobních údajů školami či školskými zařízeními bude takovým předpisem, který obsahuje oprávnění/povinnost osobní údaje zpracovávat (tento výčet samozřejmě není vyčerpávající, ale jen příkladmý):

- GDPR,

- zákon o zpracování osobních údajů,

- Listina základních práv a svobod, Listina základních práv Evropské unie, případně jiné mezinárodní smlouvy (Úmluva o ochraně lidských práv a základních svobod, Úmluva o právech dítěte nebo Úmluva o právech osob se zdravotním postižením),

- zákon č. 561/2004 Sb., o předškolním, základním, středním, vyšším odborném a jiném vzdělávání (školský zákon), ve znění pozdějších předpisů,

- zákon č. 111/1998 Sb., o vysokých školách a o změně a doplnění dalších zákonů (zákon o vysokých školách), ve znění pozdějších předpisů,

- vyhláška č. 364/2005 Sb., o vedení dokumentace škol a školských zařízení a školní matriky a o předávání údajů z dokumentace škol a školských zařízení a ze školní matriky (vyhláška o dokumentaci škol a školských zařízení), ve znění pozdějších předpisů.

Pokud není právním důvodem zpracování existence právního předpisu, který správce opravňuje ke zpracování osobních údajů subjektu údajů, nebo pokud zpracování nelze podřadit pod ostatní právní důvody [body b) až f) výše], bude možné zpracování osobních údajů považovat za zákonné, bude-li podloženo souhlasem osoby, jejíž osobní údaje se zpracovávají.

Souhlasem je podle legální definice obsažené v čl. 4 bod 11 GDPR „svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů”. Souhlas se vždy poskytuje k určitému účelu zpracování, s čímž musí být osoba udělující souhlas obeznámena.

Je však nutno si uvědomit, že získání souhlasu (i velmi detailního) žádným způsobem nemůže rušit či zmírňovat povinnosti správce dodržovat základní zásady zpracování osobních údajů zakotvené především v čl. 5 GDPR, tedy zejména pokud jde o korektnost, nezbytnost, přiměřenost a kvalitu údajů. Ani souhlas udělený subjektem údajů se zpracováním osobních údajů neopravňuje správce ke shromažďování osobních údajů, které nejsou nutné s ohledem na stanovený účel, a takové zpracování by bylo vůči subjektu údajů zcela nekorektní a tím v rozporu s GDPR.

Souhlasem je tedy aktivní a dobrovolný projev vůle subjektu údajů, k němuž nesmí být v žádném případě a nikým nucen. Souhlas by měl být vždy získán ještě před tím, než správce zahájí zpracování osobních údajů, pro které je souhlas potřeba. Dodatečně získaný souhlas tedy nezhojí protiprávní jednání správce, pokud tento zpracovával osobní údaje, aniž by k tomuto měl souhlas subjektu údajů jako právní důvod zpracování. Přestože GDPR doslovně nepředepisuje, že souhlas musí být dán před zahájením zpracovatelské operace, jednoznačně to z něj vyplývá. Z článku 6 GDPR¹ a z recitálu 40² Preambule GDPR logicky vyplývá, že platný právní základ musí existovat před zahájením zpracování. Ve většině případů bude pak stačit požádat subjekt údajů o souhlas jen jednou (pokud tento bude udělen). Správce však musí vždy získat nový a konkrétní souhlas subjektu údajů, pokud dojde ke změně účelů zpracování osobních údajů poté, co byl udělen původní souhlas, nebo je-li plánováno přidat další účel zpracování.

Preambule GDPR v recitálu 32 stanoví, že „souhlas by měl být dán jednoznačným potvrzením, které je vyjádřením svobodného, konkrétního, informovaného a jednoznačného svolení subjektu údajů ke zpracování osobních údajů, které se jej týkají, a to v podobě písemného prohlášení, i učiněného elektronicky, nebo ústního prohlášení. Mohlo by se například jednat o zaškrtnutí políčka při návštěvě internetové stránky, volbu technického nastavení pro služby informační společnosti nebo jiné prohlášení či jednání, které v této souvislosti jasně signalizuje souhlas subjektu údajů s navrhovaným zpracováním jeho osobních údajů.” Naopak za souhlas nelze považovat mlčení či nečinnost subjektu údajů, předem zaškrtnutá políčka ve formuláři apod. Souhlas by se dále měl vztahovat na veškeré činnosti zpracování prováděné pro stejný účel nebo stejné účely.

GDPR nestanoví žádnou konkrétní dobu, po kterou udělený souhlas trvá. Jak dlouho souhlas zůstane v platnosti, bude záviset především na okolnostech, rozsahu původního souhlasu a na očekáváních subjektu údajů. Pokud by se účely zpracování osobních údajů výrazně změnily či rozšířily, pozbude původně udělený souhlas platnosti a správce bude povinen získat nový odpovídající souhlas.

Jak bylo naznačeno výše, na začátku celého procesu zpracovávání je rovněž potřeba uvědomit si, že pokud nejde o zpracovávání osobních údajů z důvodů stanovených právním předpisem, osoba, o jejíž osobní údaje se jedná, není povinna poskytnout souhlas se zpracováním osobních a nelze ji k tomu jakkoliv nutit. Aby byl naplněn předpoklad svobodnosti, konkrétnosti, informovanosti a jednoznačnosti svolení subjektu údajů ke zpracování osobních údajů, jak je to předpokládáno v Preambuli GDPR a v čl. 4 bod 11 GDPR, ustanovení čl. 7³ GDPR obsahuje podmínky pro vyjádření souhlasu.

 NahoruOdlišitelnost souhlasu

Stěžejní je odlišitelnost souhlasu (čl. 7 odst. 2 GDPR), což znamená, že souhlas musí být jasně odlišitelný od jiných prohlášení subjektu údajů. Souhlas tak musí být oddělený např. od smlouvy či obchodních podmínek, to znamená, že již není možné, aby byl jejich nedílnou součástí. Zároveň nesmí být uzavření smlouvy (např. na dodání zboží či na poskytnutí služby) podmiňováno poskytnutím souhlasu se zpracováním osobních údajů. Je však samozřejmé, že v některých případech bude správce muset zpracovávat (bez souhlasu) určité množství osobních údajů subjektu údajů právě pro účely plnění smlouvy či plnění zákonem stanovené povinnosti, což činí bez souhlasu subjektu údajů, avšak je zde naplněn jiný (zákonný) právní důvod zpracování.

 NahoruOdvolatelnost souhlasu

Souhlas je odvolatelný. Subjekt údajů má tak právo svůj již udělený souhlas kdykoliv odvolat. S tímto tedy musí správce počítat a měl by být připraven i na další procesní kroky spojené s odvoláním souhlasu (např. likvidace osobních údajů, pokud tyto nebudou zpracovávány ještě pro jiné účely souhlasem nepodmíněné). Odvoláním souhlasu samozřejmě není dotčena zákonnost zpracování osobních údajů vycházejícího ze souhlasu subjektu údajů, který byl dán před jeho odvoláním, jakmile by však došlo ke zpracování osobních údajů po odvolání původně uděleného souhlasu, bude docházet ke zpracování v rozporu se zásadou zákonnosti.

Na tomto místě je vhodné zdůraznit, že odvolání souhlasu subjektu údajů nemusí nutně znamenat, že správce musí zlikvidovat veškeré osobní údaje, které o subjektu údajů zpracovává. Odvolání souhlasu bude mít vliv pouze na osobní údaje, jež správce zpracovával pro účel, pro který byl udělen souhlas, ale pokud byly totožné údaje…