Kedy vyžadovať súhlas a kedy nie? Prečo mu venovať náležitú pozornosť? Súhlas aj po rokoch od účinnosti Nariadenia GDPR býva používaný nesprávne.
Súhlas ako právny základ
Je jedným zo šiestich právnych základov, ktoré umožňujú spracúvanie osobných údajov dotknutých osôb. Nariadenie GDPR súhlas dotknutej osoby definuje ako „akýkoľvek slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorý formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracovaním osobných údajov, ktoré sa jej týkajú.“
V praxi sa často stáva, že podnikatelia aj zamestnávatelia ho používajú pri každej zmienke k ochrane osobných údajov:
- pracovná zmluva: V pracovnej zmluve je uvedené: „Zamestnanec súhlasí so spracovaním osobných údajov zamestnávateľom pre plnenie zmluvy“. V tomto prípade ide o povinnosti, ktoré zamestnávateľovi vyplývajú z uzatvorenej pracovnej zmluvy, resp. z príslušných právnych predpisov. Nie je vhodné určiť ako právny základ súhlas. Právnym základom nie je súhlas, ale plnenie zmluvných, resp. zákonných povinností zamestnávateľa.
- e-shop: V poslednom kroku nákupného košíka je uvedené: “Nákupom súhlasíte so spracovaním osobných údajov.” V tomto prípade ide o povinnosť podnikateľa plniť si zmluvné a zákonné povinnosti – viesť účtovné doklady, vybaviť objednávku, prípadne reklamáciu… Právnym základom pri určitých účeloch je zmluvná povinnosť, a pri ďalších zákonná povinnosť.
- kamery: Pri vstupe do priestorov je piktogram, kde je uvedené: “Vstupom do priestorov súhlasíte s monitorovaním a nahrávaním.”. V tomto prípade je monitorovanie prevažne oprávneným záujmom monitorovať priestory (pri orgánoch štátnej správy možno aplikovať verejný záujem).
Súhlas treba vyžadovať len v relevantných prípadoch, nie vtedy, ak ho nepotrebujeme.
Právne základy v rámci Nariadenia GDPR sú na jednej úrovni – sú rovnocenné. Pri účele spracúvania je potrebné vybrať najvhodnejší, a ten odôvodniť. Prípadne, podporiť výber právneho základu odkazom na právne predpisy (napríklad pri oprávnenom záujme / verejnom záujme tam, kde zákon definuje, že subjekt “môže” vykonávať určité činnosti)
Podmienky platne udeleného súhlasu
Súhlas je platne udelený len vtedy, ak je a) udelený slobodne a konkrétne,, b)je informovaný, a c) ide o jednoznačný prejav vôle dotknutej osoby.
Sloboda = neudelenie súhlasu pre ňu nebude mať žiadne nevýhodné následky. Súhlas nie je udelený slobodne najmä v takých prípadoch, kedy je jedna zmluvná strana “silnejšia” – napríklad zamestnávateľ vs. zamestnanec.
Konkrétnosť = súhlas sa udeľuje na konkrétny účel / účely spracúvania, ktorý je konkrétny – určitý.
Informovanosť = súvisí s plnením informačnej povinnosti prevádzkovateľa a zverejnením konkrétnych informácií v súlade s čl. 13 a čl. 14 Nariadenia GDPR. Nemožno opomenúť ani stanovenie doby, na ktorú je súhlas udelený.
Jednoznačný prejav vôle = aktívne udelenie súhlasu. Dotknutá osoba musí vykonať úkon (opt-in) k tomu, aby bola prejavená vôľa súhlas udeliť.
Odporúčania na záver
Každý zamestnávateľ a podnikateľ, ak spracúva osobné údaje na základe súhlasu každom prípade je prevádzkovateľ povinný vedieť preukázať, že súhlas bol udelený.
Ešte pred jeho udelením je však prevádzkovateľ povinný zvážiť, či je súhlas naozaj najvhodnejším právnym základom na spracúvanie osobných údajov dotknutých osôb. Ak je súhlas podľa prevádzkovateľa vhodný, je potrebné zohľadniť podmienky udelenia súhlasu.
Pri výbere formy je potrebné dbať na to, že od výberu formy závisí jednoznačnosť preukázania udelenia súhlasu.
S vypracovaním GDPR dokumentácie Vám radi pomôžeme.
