Obecné nařízení o ochraně osobních údajů 2016/679 (dále též „GDPR“) jako jeden ze zákonných důvodů pro zpracování některých osobních údajů získání souhlasu subjektu údajů. Protože při získávání osobních subjektů se jedná o zásah do jeho práva na soukromí, tak GDPR stanoví takové podmínky, aby si byl subjekt vědom tohoto následku.
Nařízení stanoví, že v případě souhlasu se jedná o jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů. Souhlas může být učiněn písemně, elektronicky nebo ústně, i když posledně jmenované nelze doporučovat s ohledem na povinnost správce doložit jeho existenci. Není jím naopak mlčení, předem zaškrtnutá políčka nebo nečinnost.
Souhlas tedy musí být současně:
Souhlas by neměl být učiněn pod nátlakem. Proto by neměl být souhlas považován za svobodný, pokud subjekt údajů nemá skutečnou nebo svobodnou volbu nebo nemůže souhlas odmítnout nebo odvolat, aniž by byl poškozen. Souhlas dokonce není svobodný, není-li možné vyjádřit samostatný souhlas s jednotlivými operacemi zpracování osobních údajů, i když je to v daném případě vhodné, nebo je-li plnění smlouvy, včetně poskytnutí služby učiněno závislým na souhlasu, i když to není pro toto plnění nezbytné.
Ze souhlasu musí vyplývat, za kterým účelem je získáván, tedy dostatečná konkrétnost. Souhlas by se měl vztahovat na veškeré činnosti zpracování prováděné pro stejný účel nebo stejné účely. Jestliže má zpracování několik účelů, měl by být souhlas udělen pro všechny.
Aby se zajistilo, že souhlas bude informovaný, měl by subjekt údajů znát alespoň totožnost správce a účely zpracování, k nimž jsou jeho osobní údaje určeny.
Povinností správce je doložit existenci souhlasu se zpracováním osobních údajů. Bude tak nutné přijmout vhodná technická opatření, která poskytnutý souhlas zachytí a uchovají pro pozdější potřeby.
GDPR se dále věnuje i umístění souhlasu v rámci psaného dokumentu, např. ve smlouvě. Pokud se dokument věnuje jiným skutečnostem než souhlasu s poskytnutím osobních údajů, tak musí být žádost o vyjádření souhlasu předložena způsobem, který je od těchto jiných skutečností jasně odlišitelný, a je srozumitelný a snadno přístupný za použití jasných a jednoduchých jazykových prostředků. Takové poskytnutí souhlasu by mohlo např. probíhat zaškrtnutím zvláštního políčka „Souhlasím s poskytnutím osobních údajů“, přičemž subjekt by zároveň mohl okamžitě získat přístup k dané části textu. Pokud jakákoliv část takového dokumentu odporuje výše uvedeným pravidlům týkajících se souhlasu, tak tato část není závazná. Zvláštní úprava se týká poskytování souhlasu dětmi v souvislosti se službami informační společnosti. Pro zákonnost zpracování osobních údajů založeném na souhlasu dítěte postačí, je-li dítě ve věku nejméně 16 let. U mladších dětí bude třeba získat souhlas osoby, která vůči dítěti vykonává rodičovskou zodpovědnost. Povinností správce bude v tomto případě vyvinout přiměřené úsilí, aby ověřil, že souhlas je poskytován výše uvedenou osobou.
Jednou z hlavních změn, kterou zavedlo Obecné nařízení o ochraně osobních údajů 2016/679 (GDPR), je povinnost ohlašovat případy, kdy dojde k narušení bezpečnosti ochrany osobních údajů (data breach).
Zobrazit víceObecné nařízení o ochraně osobních údajů 2016/679 (dále též „GDPR“), které znamená modernizovaný rámec pro ochranu osobních údajů v Evropě, se stane účinným v květnu 2018. Významnou roli v zajišťování souladu s jeho ustanoveními budou v organizacích zajišťovat pověřenci pro ochranu osobních údajů. Tento článek přibližuje povinnost jmenování těchto klíčových hráčů v novém systému správy dat, jejich postavení i úkoly.
Zobrazit více