Souhlas se zpracováním osobních údajů ve světle nové legislativy

12.2.2018 | JUDr. Nikola Horká

Datum účinnosti nařízení Evropského parlamentu a Rady (EU) č. 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)[1] (dále jen „Obecné nařízení“) se neúprosně blíží a obsah základních institutů Obecného nařízení se konkretizuje a připravuje na uvedení v praxi. Předmětem tohoto krátkého příspěvku je přiblížit požadavky institutu souhlasu se zpracováním osobních údajů, jakožto jednoho z právních titulů pro zpracovávání osobních údajů, a to zejména ve světle aktuálního stanoviska Pracovní skupiny 29, jakožto orgánu složeného z vedoucích zástupců dozorových úřadů členských zemí Evropské unie.

Obecné nařízení, resp. instituty, které zavádí, jsou aktuálním tématem pro širokou veřejnost. Obecné nařízení totiž dopadá nejen na právnické osoby, kterým předepisuje nové povinnosti, ale zejména na fyzické osoby, kterým připisuje široký katalog práv. Jedním z diskutovaných institutů Obecného nařízení je právě souhlas se zpracováním osobních údajů. V současné české právní úpravě je tento institut již sice dlouhodobě zakotven[2], avšak v praxi je často nesprávně využíván (někdy dokonce i protiprávně). Souhlas se zpracováním osobních údajů dle Obecného nařízení je relevantní napříč celou evropskou regulativou související s osobními údaji[3].

Souhlas dle Obecného nařízení

Souhlas je jedním z právních titulů[4], na základě kterého mohou být osobní údaje zpracovávány. Souhlasem[5] se ve smyslu Obecného nařízení dle článku 4 odst. 1 rozumí „jakýkoliv svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.“. Požadavky kladené na získávání souhlasu se zpracováním osobních údajů upravuje Obecné nařízení v ustanovení článku 7 a recitálech (32), (33), (42) a (43). Podmínky vyjádření a získávání souhlasu jsou tak zakotveny v ustanovení čl. 7 Obecného nařízení, když:

(i) správce musí být schopen doložit, že subjekt údajů udělil souhlas se zpracováním svých osobních údajů;
(ii) pokud je souhlas vyjádřen písemným prohlášením, které se týká jiných skutečností, musí být žádost o vyjádření souhlasu předložena způsobem, který je od těchto jiných skutečností jasně odlišitelný, a je srozumitelný za použití jasných a jednoduchých jazykových prostředků;
(iii) subjekt údajů má právo svůj souhlas kdykoliv odvolat; a
(iv) při posuzování kritéria svobodnosti poskytnutí souhlasu se zohledňuje skutečnost, zda je mimo jiné plnění smlouvy podmíněno souhlasem se zpracováním osobních údajů, který není pro plnění dané smlouvy nutný.

Výše uvedené recitály pak dávají příklady získávání souhlasu se zpracováním osobních údajů, kdy zákonným získáním souhlasu je například zaškrtnutí políčka při návštěvě internetové stránky a nezákonným získáním souhlasu je pak mlčení (nečinnost) subjektu údajů, nebo předem zaškrtnutá políčka. Současně recitály uvádí, že písemné prohlášení o souhlasu navrženém správcem (v praxi se bude jednat o blanketní formulář, který správce předkládá subjektu údajů) by mělo být poskytnuto ve srozumitelném a snadno přístupném znění za použití jasného a jednoduchého jazyka a nemělo by obsahovat nepřiměřené podmínky.

Obecné nařízení bližší specifikaci souhlasu se zpracováním osobních údajů neposkytuje

Souhlas dle Pracovní skupiny 29

Pracovní skupina 29 (dále jen „WP 29“) již v minulosti vypracovala na problematiku souhlasu se zpracováním osobních údajů stanovisko, a to stanovisko 15/2011 k definici souhlasu, které nadále zůstává relevantní, avšak je do značné míry konkretizováno aktuálním stanoviskem (vodítkem) WP259 ze dne 28. 11. 2017 (dále jen „Stanovisko WP29“)

Stanovisko WP29 je poměrně obsáhlé a poskytuje vodítka k následujícím aspektům souhlasu se zpracováním osobních údajů: (i) atributy souhlasu; (ii) získávání explicitního souhlasu; (iii) doplňující podmínky pro získávání souhlasu; (iv) vztah souhlasu s jinými právními tituly získávání osobních údajů; (v) souhlas ve specifických případech a (vi) souhlas získaný v režimu současné úpravy[6].

Vzhledem k omezenému rozsahu tohoto příspěvku se zaměříme především na ad (i) atributy souhlasu a ad (vi) souhlas získaný v režimu současné úpravy.

Co se jednotlivých atributů souhlasu se zpracováním osobních údajů týče, ve světle Stanoviska WP29 je lze vykládat následovně:

Svobodný

znamená, že subjekt údajů měl volbu, resp., kontrolu nad svým rozhodnutím, zda souhlas udělí. Subjekt údajů nesmí cítit nátlak, že v případě neudělení souhlasu, bude trpět negativní konsekvence. Současně musí být brána ve zřetel případná nerovnost mezi subjektem údajů a správcem (např. vztah zaměstnavatele a zaměstnance či podnikatele a spotřebitele);

[Příklad Stanoviska WP29]

Mobilní aplikace pro editaci fotografií požaduje po uživateli aktivaci jeho GPS lokace v okamžiku užívání dané aplikace. Aplikace současně sděluje uživateli, že takto získaná data o lokaci uživatele jsou získávána pro behaviorální reklamní účely. Vzhledem k tomu, že lokace uživatele aplikace není nutná pro naplnění účelu aplikace (tj. editaci fotografií) a uživatel nemůže aplikaci bez aktivace GPS lokalizátoru využívat, souhlas se zpracováním osobních údajů subjektu údajů není udělen svobodně.

Konkrétní

znamená, že subjekt údajů udělí souhlas ke konkrétnímu účelu (účelům) zpracování jeho osobních údajů, dále musí být dodržena granularita získávání souhlasu (tj. mechanismus získávání souhlasu musí být štěpen ve vztahu ke každému účelu zpracování) a správce musí ke každému účelu zpracování naplnit informační povinnost, která se k danému účelu zpracování váže;

[Příklad Stanoviska WP29]

Poskytovatel televizního vysílání sbírá osobní údaje TV diváků na základě jejich souhlasu za účelem doporučení filmů, které by je podle jejich preferencí mohly zajímat. Následně se však poskytovatel televizního vysílání rozhodne, že takto získané osobní údaje předá třetí osobě, která bude na základě individuálních preferencí zasílat divákům cílenou reklamu. Vzhledem k tomuto novému účelu zpracování osobních údajů je nezbytné získat nový souhlas od subjektu údajů.

Informovaný

znamená, že ve vztahu k subjektu údajů je splněna informační povinnost před udělením souhlasu (nebo alespoň současně s udělením souhlasu). Pro splnění informační povinnosti musí být subjektu údajů sděleny alespoň následující informace[7]:

identifikace správce;
účel zpracování, a to ve vztahu ke každému osobnímu údaji;
jaké osobní údaje jsou zpracovávány;
právo odvolat souhlas;
informaci, zda jsou osobní údaje zpracovávaný automatizovaně, včetně profilování; a
v případě, že jsou osobní údaje předávány do třetí země, informaci o případné rizikovosti tohoto předávání.

Nadto, informační povinnost může být splněna písemně i ústně, pomocí audio nebo video zprávy. Obsah informací musí být však pro subjekt údajů jasný, srozumitelný a snadno dostupný. Správce tak musí zohlednit cílovou skupinu subjektů údajů, vůči kterým informační povinnost plní (v praxi musí třeba obchodníci brát v potaz rozumové schopnosti průměrného spotřebitele).

[Příklad]

Společnost, která zpracovává osobní údaje na základě souhlasu, poskytuje subjektům údajů tzv. vrstvené informace[8]. V první informační vrstvě však nemá uvedené, že subjekt údajů má právo svůj souhlas odvolat. Souhlas udělený za takto nedostatečné informovanosti není získaný v souladu s Obecným nařízením.

Jednoznačný

znamená, že subjekt údajů aktivně a prokazatelně vyjádří svůj souhlas se zpracováním osobních údajů.

[Příklad Stanoviska WP29]

V rámci instalace softwaru se aplikace zeptá uživatele, zda souhlasí s odesíláním reportů o selhání (tzv. crash reports) za účelem aktualizace softwaru. Aplikace současně poskytne uživateli vrstvenou informaci o zpracovávání osobních údajů pro tento účel a na konci aplikace je zaškrtávací box s popiskem „Souhlasím“. Tento postup je v souladu s Obecným nařízením.

S ohledem na nové atributy souhlasu se zpracováním osobních údajů v souladu s Obecným nařízením jsou zásadní rovněž otázky, zda souhlasy udělené před nabytím účinnosti Obecného nařízení lze zákonně využívat i po 25. 5. 2018. Odpověď na tuto problematiku nalezneme též ve Stanovisku WP29. Správci, kteří v současnosti zpracovávají osobní údaje na základě souhlasu v souladu s národní legislativou[9], nemusí automaticky získávat od subjektů údajů nové (s Obecným nařízením konformní) souhlasy se zpracováním osobních údajů. Souhlas získaný v současnosti zůstává platný i po nabytí účinnosti Obecného nařízení, ale pouze za předpokladu, že naplňuje podmínky získávání souhlasu stanovené Obecným nařízením. Správci tedy musí primárně prověřit své současné procesy získávání souhlasů se zpracováním osobních údajů, zda odpovídají standardům Obecného nařízení[10]. Pokud tedy správce získal souhlas se zpracováním osobních údajů od subjektu ústní formou a nemá o takto získaném souhlasu žádný záznam (důkaz), nelze takto získaný souhlas zpracovávat za účinnosti Obecného nařízení. Obdobný závěr platí i pro případ, kdy správce získal souhlas se zpracováním osobních údajů tím, že na webových stránkách měl přednastavené zaškrtnutí boxu „Souhlasím se zpracováním osobních údajů“.

Závěr

Přestože je problematice Obecného nařízení věnováno mnoho pozornosti, většinou se z logiky věci jedná pouze o teoretický náhled na věc. Evropští zákonodárci zcela úmyslně nechali poměrně dlouhou legisvakační lhůtu právě s tím úmyslem, aby správci (zpracovatelé) měli dostatečný časový prostor se na nadcházející změny připravit. Příprava by však nebyla dostatečně efektivní právě bez stanovisek WP29, která osvětlují obsah Obecného nařízení. Stanoviska WP29 jsou však pouhým vodítkem, jak na jednotlivé instituty Obecného nařízení nahlížet a až praxe ukáže, do jaké míry lze maximální souladnost s Obecným nařízením dodržovat.

JUDr. Nikola Horká,
advokátní koncipientka

______________________________________

[1]Obecné nařízení nabude účinnosti dne 25. 5. 2018.
[2] Konkrétně v ustanovení § 5 odst. 2 zákona č. 101/2000 sb., o ochraně osobních údajů, ve znění pozdějších předpisů.
[3] Souhlas ve smyslu Obecného nařízení je využíván zejména v návrhu Nařízení Evropského parlamentu a Rady o respektování soukromého života a ochraně osobních údajů v elektronických komunikacích a o zrušení směrnice 2002/58/ES (nařízení o soukromí a elektronických komunikacích).
[4] Obecné nařízení taxativně v ustanovení čl. 7 vyjmenovává právní tituly pro zpracování osobních údajů, kdy vedle souhlasu lze osobní údaje zpracovávat na základě (i) plnění smlouvy; (ii) plnění zákonné povinnosti; (iii) oprávněného zájmu správce (či třetí osoby); (iv) souhlasu subjektu údajů; (v) ochrany životně důležitých zájmů subjektu údajů anebo (vi) plnění úkolů ve veřejném zájmu nebo při výkonu veřejné moci.
[5] Předložený příspěvek je věnován pouze souhlasu se zpracováním osobních údajů zletilých osob. Režim získávání souhlasu od zákonných zástupců dětí je více striktní a s ohledem na omezený rozsah tohoto příspěvku není jeho předmětem.
[6] Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.
[7] Uvedený minimální obsah informační povinnosti je zakotven v ustanovení článku 13 Obecného nařízení.
[8] Odborná literatura ve vztahu ke splnění informační povinnosti doporučuje subjektům údajů poskytovat povinné informace v jednotlivých vrstvách (nejlépe třech).
[9] Zákon č. 101/2000 sb., o ochraně osobních údajů, ve znění pozdějších předpisů.
[10] Blíže k této problematice v recitálu (171) Obecného nařízení.