Hlavní navigace

Skutečně pokaždé potřebujete souhlas se zpracováním osobních údajů?

Autor: www.shutterstock.com, podle licence: Rights Managed
Jiří Matzner

V jakých případech je třeba osobní údaje zpracovávat na základě souhlasu, jaké jsou jeho náležitosti a jaká je jeho využitelnost v pracovněprávních vztazích?

Doba čtení: 5 minut

Souhlas se zpracováním osobních údajů a jeho náležitosti již několik měsíců upravuje nové obecné nařízení o ochraně osobních údajů, známé pod anglickou zkratkou „GDPR“. 

Jelikož nařízení GDPR bylo dlouhou dobu před nabytím jeho účinnosti dne 25. května 2018 podnikateli a dalšími povinnými osobami vehementně diskutováno a mnozí se na něj snažili co nejlépe připravit, vedlo to často k vytváření a získávání nových souhlasů se zpracováním osobních údajů v případech, kdy to nebylo nezbytně nutné. 

Vyžadování souhlasu se zpracováním osobních údajů může být mnohdy dokonce kontraproduktivní – jako třeba v pracovních vztazích. Pojďme si krátce připomenout, v jakých případech je třeba osobní údaje zpracovávat na základě souhlasu, jaké jsou jeho náležitosti a jaká je jeho případná využitelnost v pracovněprávních vztazích.

Po nabytí účinnosti GDPR si řada správců osobních údajů (např. podnikatelů zpracovávajících osobní údaje svých zákazníků) chtěla svůj soulad s nařízením jednoduše zajistit tím, že bude pro téměř každé zpracování osobních údajů vyžadovat souhlas. Tento přístup, který byl kritizován i českým Úřadem pro ochranu osobních údajů, je samozřejmě chybný. Souhlas se zpracováním osobních údajů by jako titul pro zpracování osobních údajů měl být využíván pouze, pokud neexistuje jiný důvod pro zpracování osobních údajů – jako třeba smlouva se zákazníkem nebo plnění zákonné povinnosti správcem.

Náležitosti souhlasu se zpracováním osobních údajů

Nařízení GDPR podstatně zpřísnilo požadavky na získání platného souhlasu se zpracováním osobních údajů. Aby byl souhlas se zpracováním osobních údajů platný, musí se jednat o jednoznačný projev vůle, který je dostatečně informovaný, konkrétní a v neposlední řadě svobodně poskytnutý. 

Poskytnutí dostatečných informací subjektům údajů před získáním jejich souhlasu je klíčové pro to, aby jim bylo umožněno činit informovaná rozhodnutí a plně chápat, s čím souhlasí. Aby byl souhlas dostatečně informovaný, je potřeba subjektům údajů poskytnout alespoň informace: 

  1. o totožnosti a kontaktních údajích správce a případného pověřence pro ochranu osobních údajů, je-li jmenován,
  2. o účelu nebo účelech zpracování osobních údajů, 
  3. o typech zpracovávaných údajů a příjemcích dat, 
  4. o existenci práva souhlas kdykoliv odvolat, 
  5. o případném předávání osobních údajů do zahraničí.

Čtěte také: Lze částečně obejít GDPR? Ano, ale s vědomím možného postihu

Bude-li to nezbytné pro zajištění spravedlivého a transparentního zpracování, měl by správce vedle výše uvedených informací subjektu poskytnout také informace o době, po kterou budou osobní údaje zpracovávány, o existenci práva podat stížnost k Úřadu pro ochranu osobních údajů, jakož i o dalších zákonných právech subjektů údajů (jako např. práva subjektu požadovat od správce přístup k osobním údajům, jejich opravu nebo výmaz, popřípadě omezení zpracování, práva vznést námitku proti zpracování nebo práva na přenositelnost údajů). 

Pokud dochází k využití osobních údajů pro tzv. automatizované rozhodování (vč. profilování), měl by i o tomto správce ve svém souhlasu subjekty patřičně informovat.

Aby byl souhlas dostatečně konkrétní, musí být udělen pro jeden či více konkrétních „účelů“ zpracování, přičemž subjekt údajů musí mít možnost volby ve vztahu ke každému z nich – za neplatné tak budou považovány takové souhlasy, u nichž správce žádá o souhlas pro různé účely zpracování, avšak neumožňuje uživatelům udělit souhlas pro každý z těchto účelů zvlášť. 

Aby byl souhlas platný, musí být také projev vůle při jeho poskytnutí jednoznačný – tj. musí být učiněn aktivním jednáním nebo prohlášením subjektu údajů (např. vlastnoručním podpisem při udělování souhlasu písemně nebo zaškrtnutím políčka „souhlasím“ při udělování souhlasu elektronicky). K tomu musí být souhlas také svobodně udělený. Zde obecně platí, že pokud subjekt údajů nemá žádnou skutečnou volbu, cítí se být k souhlasu nucen nebo neposkytne-li souhlas, utrpí tím určité negativní důsledky, pak bude takto poskytnutý souhlas neplatný. 

Psali jsme: Problematika osobních údajů podle nového nařízení GDPR

Použitelnost souhlasu v pracovních vztazích

Zde se dostáváme k reálné využitelnosti souhlasu v pracovních vztazích. Vzhledem k všeobecné nerovnováze plynoucí z pracovněprávního vztahu mezi zaměstnavatelem a zaměstnancem je totiž podle oficiálních výkladů k GDPR značně nepravděpodobné, že by subjekt údajů byl reálně schopen svému zaměstnavateli odmítnout dát souhlas se zpracováním bez toho, aby v důsledku takového odmítnutí cítil jistý tlak na to, aby souhlasil. 

Proto je ve většině případů značně nepravděpodobné, že souhlas se zpracováním bude v pracovněprávních vztazích poskytován svobodně a bude platný. Na druhou stranu to samozřejmě plošně neznamená, že zaměstnavatelé nebudou moci nikdy souhlas využít jako právní základ pro zpracování – půjde však spíše o výjimky.

Psali jsme: Jaké budou sankce při porušení GDPR a lze se nějak bránit?

Ptejte se odborníka v poradně GDPR po praktické stránce
Ing. Kamil Beránek
poradce pro GDPR

Souhlas bude možné v pracovněprávních vztazích využít například jako titul pro zpracování osobních údajů uchazečů o zaměstnání nebo také pro případné zpracování fotografií či jiných osobních údajů zaměstnanců v průběhu pracovního poměru, jejichž zpracování není dostatečně kryto zákonným titulem nebo smlouvou se zaměstnancem. 

Zpracování osobních údajů na základě souhlasu je i pro zaměstnavatele administrativně náročnější a tedy méně výhodné než zpracování na základě zákona nebo smlouvy. Pokud je totiž zpracování založeno na souhlasu, musí být zaměstnavatel jakožto správce schopen kdykoliv doložit, že subjekt údajů souhlas se zpracováním svých osobních údajů udělil – jinak mu hrozí nemalá pokuta ze strany dozorového úřadu. 

Současně pokud je souhlas vyjádřen písemným prohlášením, které se týká rovněž jiných skutečností (např. souhlas je součástí pracovní smlouvy), musí být vyjádření souhlasu učiněno takovým způsobem, který je od těchto jiných skutečností jednoznačně odlišitelný. Souhlas tak musí být např. obsažen na samostatné straně, zvýrazněn červeným rámečkem apod. 

Přemýšlejte, jestli souhlas skutečně potřebujete

Z výše uvedeného je zjevné, že náležitosti platného souhlasu se zpracováním osobních údajů jsou v nařízení GDPR stanoveny celkem přísně, přičemž v pracovních vztazích bude nadto velice obtížné od zaměstnance získat takový souhlas, který bude (vedle ostatních zákonných náležitostí) udělen svobodně a bude platný. 

Z toho důvodu nelze než doporučit si před sběrem případných souhlasů nejprve dobře rozmyslet, zda je souhlas pro vaše zpracování osobních údajů opravdu nezbytný a až následně přistoupit k jeho případnému vypracovávání a získávání.