Hlavní navigace

Vyžádáním souhlasu se zpracováním osobních údajů nelze nic zkazit? Velký omyl

5. 11. 2021
Doba čtení: 4 minuty

Sdílet

 Autor: Depositphotos.com, podle licence: Rights Managed
Vyžádáním souhlasu se zpracováním osobních údajů za všech okolností nelze nic zkazit, myslí si řada e-shopů. To je ale omyl, je to totiž v rozporu s GDPR.

Souhlas se zpracováním osobních údajů bývá u e-shopů velmi často užívaným právním titulem pro zpracování osobních údajů. Náležitosti souhlasu se zpracováním osobních údajů dnes upravuje nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „GDPR“). Jaké musí mít tento souhlas náležitosti, zejména pokud je udělován elektronicky (online), a v jakých případech je vhodné souhlas vyžadovat v rámci běžné obchodní praxe českých e-shopů? Pojďme se pokusit na tyto otázky nalézt uspokojivou odpověď.

Kdy souhlas se zpracováním osobních údajů vyžadovat

Souhlas se zpracováním osobních údajů by měl být e-shopy vyžadován až ve chvíli, kdy není k dispozici jiný právní titul ke zpracování osobních údajů – zejména pak smlouva (popř. obchodní podmínky) nebo zákon. Internetové obchody by tak zásadně neměly vyžadovat od klientů souhlas se zpracováním osobních údajů pro zpracování osobních údajů nezbytných například pro uzavření smlouvy či vytvoření a zadání objednávky zboží nebo služeb – jako třeba jméno a příjmení, adresa, telefon nebo email klienta. V takovýchto případech totiž bude právním podkladem pro zpracování osobních údajů plnění smlouvy dle ustanovení článku 6 odst. 1 písm. b) GDPR.

Souhlas se zpracováním osobních údajů tak bude u e-shopů nutný zpravidla v případech, kdy zpracovávaná data nepůjde podřadit pod žádný jiný titul – zejména půjde o situace, kdy budou vyžadovány osobní údaje, které nejsou pro plnění smluvního vztahu nezbytně nutné (např. fotografie klienta, číslo dokladu totožnosti atp.).

Kdy je souhlas nadbytečný

Souhlas by neměl být vyžadován ani pro sběr osobních údajů potenciálních klientů (např. prostřednictvím kontaktního formuláře umístěného na webové stránce příslušného e-shopu), využívaných ke zprostředkování úvodního kontaktu, jehož cílem je vstoupit do smluvního vztahu s dotyčnou osobou. Takovýto sběr dat by totiž měl být též subsumován pod právní titul specifikovaný v článku 6 odst. 1 písm. b) GDPR, za účelem předsmluvních jednání a provedení opatření přijatých před uzavřením smlouvy.

Nadbytečné vyžadování souhlasu je v rozporu s GDPR

Při provozování internetových obchodů bývá častou praxí, že oprávněnost zpracování osobních údajů se řeší právě vyžadováním souhlasu se zpracováním osobních údajů, a to i v případech, kdy je vyžadování souhlasu z pohledu GDPR nadbytečné. Zde je třeba zdůraznit, že takováto praxe není správná, jakkoliv se může zdát, že nadbytečným vyžadováním souhlasu nelze nic zkazit, ale opak je pravdou. Samotný Úřad pro ochranu osobních údajů opakovaně varoval před nadbytečným vyžadováním souhlasu se zpracováním osobních údajů a tento postup označil jako v rozporu s GDPR.

Při vyžadování souhlasu je proto nutné být obezřetný a důkladně vždy vyhodnotit situaci s ohledem na to, zda je souhlas se zpracováním osobních údajů opravdu vhodný právní podklad pro zpracování osobních údajů či nikoliv. Jelikož pro laika v oblasti GDPR nemusí být takovéto posouzení vždy jednoduché, lze v podobných případech jednoznačně doporučit věc zkonzultovat s odborníkem.

Jak má souhlas se zpracováním osobních údajů vypadat?

Pokud pro zpracování osobních údajů nebude existovat jiný právní základ, bude samozřejmé namístě souhlas se zpracováním osobních údajů vyžadovat. S ohledem na jeho zákonné náležitosti souhlas musí být vždy výslovný, svobodně udělený, dostatečně konkrétní a informovaný. V souhlasu musí být vždy uvedena totožnost správce osobních údajů a jeho kontaktní údaje, jakož i kontaktní údaje případného pověřence pro ochranu osobních údajů, je-li ustanoven. V souhlasu je dále také nutné subjekty údajů informovat o účelech zpracování jejich osobních údajů, jakož i o typech zpracovávaných údajů (např. zda jsou zpracovávány identifikační, kontaktní či jiné osobní údaje). Současně je subjekty údajů nutné informovat a poučit o eventuálních příjemcích dat, kterými jsou tzv. zpracovatelé osobních údajů – zde se může jednat např. o externí účetní společnost, správce výpočetní techniky, daňového poradce atp.

školení-leden22-molín

Nad rámec uvedeného by měly být v souhlasu obsaženy rovněž informace o době, po kterou budou osobní údaje zpracovávány, o existenci práva podat stížnost k Úřadu pro ochranu osobních údajů, jakož i o dalších právech subjektů údajů plynoucích z GDPR. V neposlední řadě by měl být subjekt údajů poučen o existenci práva souhlas kdykoliv odvolat a informován o případném předávání osobních údajů do zahraničí. Souhlas může samozřejmě být poskytnut i elektronicky, a to zpravidla zaškrtnutím tlačítka „souhlasím“ obsaženém na webových stránkách příslušného e-shopu – takovéto tlačítko však nikdy nesmí být předem vyplněno či zaškrtnuto. Není ani vhodné souhlas zahrnovat do textu obchodních podmínek či zásad zpracování osobních údajů (tzv. privacy policy), jelikož v takovém případě by existovalo vysoké riziko neplatnosti uděleného souhlasu.

Při udělování souhlasu se zpracováním osobních údajů je také potřeba dát si pozor na případné udělování souhlasu k „více účelům“ zpracování. V takovém případě totiž subjekt údajů musí mít ve vztahu ke každému účelu zpracování možnost volby udělit svůj souhlas jen pro některý z nich. V praxi se toto řeší zpravidla formou zaškrtávacích políček, vztahujících se ke každému z účelů zpracování. Pokud by totiž nebylo subjektu údajů umožněno si z vícera účelů zpracování vybrat, byl by v takovém případě souhlas neplatný. Proto je důležité si na tento zdánlivý detail dát pozor, stejně tak jako i na zbývající formální náležitosti souhlasu stanovené v GDPR.

Autor článku

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).