Účinnost obecného nařízení o ochraně osobních údajů (GDPR) v květnu 2018 s sebou přinesla překvapivé množství dezinformací, výkladových absurdit, zaručených informací ze zasvěcených kruhů a vůbec důvodů pro zděšení každého, kdo nějak nakládá s osobními údaji. Velmi často byly tyto výklady motivovány snahou různých pofidérních subjektů prodat to jedno zaručeně správné školení, které vás vyděsí ze všech nejvíc. I šest let po účinnosti GDPR se nicméně některé omyly drží ve všeobecném povědomí. Tenhle článek poukazuje na nejčastější nepochopení v souvislosti s nařízením.
GDPR, IT, informační povinnost, souhlas, zpracování osobních údajů, strategické řízení organizace
S účinností GDPR zažily e-mailové schránky mnohých z nás nebývalou aktivitu. Bohužel to není proto, že by si na ně vzpomněli staří známí, či protože by jim chtělo tolik lidí pogratulovat k úspěchům. Emaily, které vzaly schránky útokem, začínají obvykle slovy „Záleží nám na vašem soukromí“ či „Staráme se o vaše osobní údaje“ a končí prosbou o kliknutí „ZDE“ v případě, že chcete dále využívat výhod nebo i v budoucnu dostávat užitečné tipy. A naopak, leckdy jsme to byli my sami, kdo jsme takové zprávy posílali, a stálo nás mnoho administrativního úsilí a prostředků.
Představa, že v souvislosti s GDPR je potřeba nezbytně získat souhlasy lidí, a to jak se zpracováním osobních údajů, tak se zasíláním obchodních sdělení, je však mylná. Obecné nařízení o ochraně osobních údajů ukládá správcům osobních údajů povinnost informovat subjekty osobních údajů (ty osoby, jejichž osobní údaje se zpracovávají) o skutečnostech souvisejících se zpracováním osobních údajů. Připomínáme, že správcem osobních údajů může být kdokoliv, fyzická i právnická osoba, která určuje účel a prostředky zpracování osobních údajů. Je jím tedy například zaměstnavatel (vůči svým zaměstnancům), daňový účetní (vůči klientům), lékař (vůči pacientům) nebo třeba provozovatel e-shopu (vůči zákazníkům).
O čem je v rámci informační povinnosti nutné subjekty informovat? Zejména o tom, jaké kategorie osobních údajů jsou zpracovány, jakým způsobem a za jakým účelem dochází k jejich zpracování. Tato povinnost, vymezená v článcích 12–14 GDPR, mimochodem není žádnou novinkou. Už před účinností GDPR tuto povinnost ukládal § 11 odst. 1 zákona č. 101/2000 Sb., o ochraně osobních údajů. Snaha uvést vše do souladu s novou přísnější legislativou je však pochopitelná.
GDPR nicméně nikde nestanoví správcům povinnost získat potvrzení subjektů, že se s těmito novými informacemi seznámily. Stejně tak není nutné nechávat si svou novou či pozměněnou dokumentaci informující o zpracování osobních údajů odsouhlasit subjekty osobních údajů. Článek 12 GDPR pouze upřesňuje, že by informace měly být poskytnuty stručným, transparentním, srozumitelným a snadno přístupným způsobem.
Informační povinnost se často zaměňuje za souhlas se zpracováním osobních údajů. Souhlas je jedním ze zákonných důvodů, na kterých lze založit zpracování osobních údajů. Zákonné důvody pro zpracování jsou vymezeny v čl. 6 odst. 1 GDPR a kromě (i) souhlasu se jedná o zpracování nezbytné pro (ii) splnění smlouvy, (iii) plnění právních povinností (ze zákona), (iv) ochranu životně důležitých zájmů, (v) splnění úkolu ve veřejném zájmu nebo při výkonu veřejné moci a (vi) účely oprávněných zájmů.
Vodítko k souhlasu Evropského sboru pro ochranu osobních údajů uvádí, že pokud správce žádá o souhlas se zpracováním osobních údajů pro daný účel, nemělo by se takové zpracování opírat o jiný zákonný důvod. Může-li tedy správce každé konkrétní zpracování osobních údajů podřadit pod jiný zákonný důvod, neměl by od subjektů vyžadovat jejich souhlas. Souhlas se zpracováním osobních údajů jako zákonný důvod pro zpracování tak přichází na řadu až ve chvíli, kdy není zpracování pro daný účel založeno na jiném z uplatnitelných důvodů.
Mnozí správci však zpracování osobních údajů opírají primárně o souhlas subjektu. Úřad pro ochranu osobních údajů („ÚOOÚ“) vydal v souvislosti s touto praxí stanovisko, kde říká, že množství žádostí o souhlas se zpracováním je výrazem nepochopení principů ochrany osobních údajů. Znovu také odkazuje na svá předchozí stanoviska. V jednom z nich uvádí, že nedůvodné vyžadování souhlasu bez odpovídající informace může být posouzeno jako porušení základních zásad pro zpracování a tedy být stiženo sankcí.
Správcům tak doporučujeme nežádat subjekty osobních údajů o „odsouhlasení“ dokumentů pro splnění informační povinnosti. Jednak to pro ně představuje nedůvodnou zátěž při správě databáze jejich kontaktů. Navíc důsledkem žádosti, jejímž záměrem bylo zajistit soulad s GDPR, může paradoxně být naopak porušení tohoto nařízení.
Kromě porušení Obecného nařízení o ochraně osobních údajů může zasílání e-mailů s žádostí o souhlas představovat též porušení právních povinností vycházejících ze zákona č. 480/2004 Sb., o některých službách informační společnosti. Pokud totiž správci osobních údajů nesvědčí pro zpracování těchto e-mailových adres žádný zákonný důvod (např. je získal pomocí tzv. data scrapingu webových stránek) a nyní se snaží takovou situaci napravit získáním souhlasu subjektů osobních údajů, představuje jeho e-mail nedovolené obchodní sdělení.
Právní úprava zasílání obchodních sdělení, kterou obsahuje zákon o některých službách informační společnosti, je ve světle Obecného nařízení o ochraně osobních údajů poněkud zastíněna. Dochází tak často ke zmatení povinností, které přináší GDPR, a které vyplývají ze zákona o některých službách informační společnosti. V souvislosti s účinností GDPR bývá otázka zasílání obchodních sdělení taktéž zmiňována a klienti se často svých advokátů ptají, zda nyní musejí získat souhlas svých zákazníků s přímým marketingem prostřednictvím sítí elektronických komunikací (adresných obchodních sdělení zasílaných emailem). Dochází k zaměňování či směšování souhlasu se zpracováváním osobních údajů a souhlasu se zasíláním obchodních sdělení.
Zákon o některých službách informační společnosti zakládá pro tzv. šíření obchodních sdělení dvojí režim. První je dán § 7 odst. 2 a je běžně označován jako „opt-in“, druhý režim označovaný „opt-out“ je upraven v § 7 odst. 3. Rozdíl mezi oběma režimy je následující:
Pro nabídky služeb a zboží, které nejsou obdobné těm, o které zákazník v minulosti projevil zájem, či pro nabídky těm subjektům, kdo nejsou smluvními partnery či jinými klienty odesílatele obchodních sdělení, již bude potřeba využít režimu opt-in podle § 7 odst. 2 zákona o některých službách informační společnosti. Takové osoby musejí předem se zasíláním reklamních sdělení souhlasit. Souhlas musí mít písemnou formu a nesmí být konkludentní; není proto možné využít například předem zaškrtnutého políčka pod formulářem, či takový souhlas vtělit do obchodních podmínek. Je vždy třeba, aby uživatel aktivním úkonem projevil svůj souhlas. Podmínky pro udělení souhlasu i pro jeho odvolání jsou pak velmi srovnatelné se souhlasem se zpracováním osobních údajů.
§ 7 odst. 3 zákona o některých službách informační společnosti říká, že „…pokud fyzická nebo právnická osoba získá od svého zákazníka podrobnosti jeho elektronického kontaktu pro elektronickou poštu v souvislosti s prodejem výrobku nebo služby podle požadavků ochrany osobních údajů upravených zvláštním právním předpisem nebo přímo použitelným předpisem Evropské unie, může tato fyzická či právnická osoba využít tyto podrobnosti elektronického kontaktu pro potřeby šíření obchodních sdělení týkajících se jejích vlastních obdobných výrobků nebo služeb za předpokladu, že zákazník má jasnou a zřetelnou možnost jednoduchým způsobem, zdarma nebo na účet této fyzické nebo právnické osoby odmítnout souhlas s takovýmto využitím svého elektronického kontaktu i při zasílání každé jednotlivé zprávy, pokud původně toto využití neodmítl...“
Toto ustanovení jako jednu z podmínek pro přímý marketing vypočítává právě soulad s předpisy na ochranu osobních údajů. Z hlediska ochrany osobních údajů je tak potřeba se nejprve zabývat otázkou, z jakého zákonného důvodu vyplývá zpracování osobních údajů. Pokud ke zpracování osobních údajů subjektů dochází v souvislosti s nabídkou zboží a služeb (např. zákazník poskytne své osobní údaje za účelem objednání zboží z e-shopu; zákonným důvodem pro zpracování bude splnění smlouvy), pak lze předpokládat, že zákazník důvodně očekává, že mu budou zasílány nabídky obdobných služeb a zboží.
Takové zpracování osobních údajů pak bude kryto jiným účelem (tím bude zasílání obchodních sdělení – přímý marketing) a bude založeno na jiném zákonném důvodu. Stanovisko ÚOOÚ z června 2018 potvrzuje, že takovým zákonným důvodem bude oprávněný zájem správce podle čl. 6 odst. 1 písm. f) GDPR. Pro zasílání obchodních sdělení svým zákazníkům tak správce nemusí žádat o souhlas se zpracováním osobních údajů.
Aby nejednal v rozporu se zákonem o některých službách informační společnosti, musí odesílatel obchodního sdělení nabídnout zřetelně (např. prostřednictvím linku v e-mailu) možnost zrušit zasílání obchodních sdělení. Upozorňujeme však, že režim opt-out se uplatní jen v případě, že nabízené služby či zboží jsou obdobné těm, o které zákazník v minulosti projevil zájem.
V příloze článku najdete 7 základních věcí, které si musíte pohlídat u souhlasu se zpracováním osobních údajů. Jde o základní checklist, co by měli správce údajů a forma, kterou je souhlas udělen, splňovat.
JUDr. Libor Vašíček
Mgr. Veronika Žolnerčíková
Legal Partners, advokátní kancelář s.r.o.
"Šéfe, házím si áčko, ju?" Takhle si nejspíš omluvu za absenci zaměstnance nikdo nepředstavuje. Ale existuje jeden ještě horší způsob: absence bez omluvy. Co na to říkají zaměstnavatelé, je asi jasné. Co na to ale říká zákon? Jak se proti tomu bránit?
Zobrazit víceObecné nařízení o ochraně osobních údajů 2016/679 (dále též „GDPR“) jako jeden ze zákonných důvodů pro zpracování některých osobních údajů získání souhlasu subjektu údajů. Protože při získávání osobních subjektů se jedná o zásah do jeho práva na soukromí, tak GDPR stanoví takové podmínky, aby si byl subjekt vědom tohoto následku.
Zobrazit víceJednou z hlavních změn, kterou zavedlo Obecné nařízení o ochraně osobních údajů 2016/679 (GDPR), je povinnost ohlašovat případy, kdy dojde k narušení bezpečnosti ochrany osobních údajů (data breach).
Zobrazit více