Souhlas podle GDPR – další vodítko pracovní skupiny WP29

Napsal Mgr. Pavel Malatinský ze společnosti SEDLAKOVAL LEGAL s.r.o. dne 09.02.2018

Pracovní skupina WP29 se při své činnosti opět po delší době rozhodla věnovat tématu souhlasu v souvislosti s poskytováním a zpracováváním osobních údajů, kterým se mimo jiné zabývala ve svém stanovisku č. 15/2011. Proto byl dne 28. 11. 2017 schválen další dokument s názvem Vodítka k souhlasu podle nařízení 2016/679 (dále také jako „Vodítko“), který má za cíl poskytnout zevrubný náhled na problematiku udělování a vyžadování souhlasů v rozličných situacích.

Jak vyplývá ze samotného nařízení č. 2016/679 (dále jen „GDPR“), legitimně udělený souhlas je jedním z právních základů pro zpracovávání osobních údajů. Ačkoliv však souhlas na první pohled vypadá jako vždy zcela neprůstřelný způsob zajištění souladu s právní úpravou, mnohdy tomu tak není, a to z důvodů, které budou rozvedeny níže. Jak vyplývá z Vodítka, a ostatně také z odůvodnění samotného GDPR, souhlas může být legitimním právním základem pro zpracování údajů pouze v případě, že je subjektu údajů poskytnuta reálná kontrola a opravdový výběr s ohledem na to, zda mu v případě odmítnutí udělení souhlasu hrozí jakákoliv sankce ze strany správce. Platně udělený souhlas subjektu údajů má tedy plnit zejména tu funkci, že subjektu ponechává moc nad tím, zda jeho údaje budou či nebudou zpracovány, případně jakým způsobem, a zda je možné toto zpracování zastavit.

Legitimně udělený souhlas však musí naplňovat několik podstatných náležitostí, které jsou obsaženy ve znění čl. 4 odst. 11 GDPR. Dle tohoto ustanovení se souhlasen rozumí: „jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, který subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů“. Nyní blíže k těmto kategoriím.

1. SVOBODNOST

Jak již bylo naznačeno výše, svobodnost uděleného souhlasu spočívá zejména v tom, že subjekt údajů má opravdový výběr a kontrolu nad tím, zda souhlas udělí či nikoliv, přičemž mu za odmítnutí nehrozí žádný postih. Nad to Vodítko dodává, že o svobodnosti souhlasu nelze uvažovat např. v případě jeho zakomponování do znění obchodních podmínek či samotné smlouvy, netýkající se poskytování osobních údajů. Postup některých správců, kdy bude souhlasem se zpracováním zjevně nesouvisejících osobních údajů vyžadován pro to, aby subjekt mohl jejich služby vůbec odebírat, je taktéž považován za nežádoucí. Jak však z Vodítka vyplývá, hlavní úskalí svobodnosti uděleného souhlasu pracovní skupina spatřuje ve vztazích zaměstnanosti.

Dalším příkladem nerovnovážného postavení dvou subjektů, podobně jako u zaměstnaneckých vztahů, bude situace, kdy v pozici správce údajů vystupuje orgán veřejné moci. Je totiž jasné, že v drtivé většině případů nebude mít subjekt údajů jinou možnost, než akceptovat jasně nastavená pravidla státním orgánem, čímž bude prvek svobodnosti zcela vyloučen. Je proto vhodné, aby orgány státní správy volily jiné, mnohdy patřičnější, důvody pro zpracování osobních údajů a neopatřovaly si nadbytečné souhlasy subjektů.

Výše již byla naznačena nevhodnost postupu, kdy správce údajů záměrně zakomponuje souhlas s jejich zpracováním do znění samotných smluvních podmínek. V takovém případě je de facto uzavření právního vztahu podmíněno udělením souhlasu, kdy se subjekt údajů v případě jeho odepření vystavuje riziku, že v této návaznosti uzavřen nebude. Pracovní skupina ve Vodítku jasně konstatuje, že takto udělený souhlas nebude možné požadovat za platný.

2. URČITOST

Nutnost určitosti uděleného souhlasu potvrzuje zejména čl. 6 odst. 1 písm. a) GDPR, který říká, že souhlas musí být udělen pro jeden či více konkrétních účelů a že subjekt údajů musí mít ohledně každého z nich na výběr.

Co se týče účelu udělení souhlasu, tak tento funguje jako jakási „pojistka“ proti neoprávněnému rozšíření o další způsoby využití, neboť by takový postup byl neoprávněný. Pro názorný příklad je možné uvést poskytovatele kabelové televize, který, pod zákonně uděleným souhlasem, zpracovává osobní údaje svých zákazníků za účelem individualizace nabídky nabízených televizních stanic či programů. Tento účel by musel být v rámci písemného souhlasu jasně vymezen. Pokud by však poskytovatel došel k závěru, že by bylo stejně lukrativní tyto osobní údaje předávat třetí straně za účelem zasílání další cílené nabídky, bylo by třeba opatřit souhlas nový, kde by byl tento účel jasně vymezen.

3. INFORMOVANOST

GDPR dále zesiluje požadavek informovanosti legitimně uděleného souhlasu. Vychází z premisy, že pokud má být udělený souhlas považován za legitimní, musí mu předcházet transparentní poučení subjektu údajů o všechny podstatných okolnostech a skutečnostech, které by na jeho rozhodování mohly mít vliv. Pokud subjekt není zevrubně informován, ztrácí nad podstatou svého souhlasu kontrolu, neboť ta se stává pouze iluzorní.

Z Vodítka vyplývá, že aby mohl být souhlas považován za informovaný, musí obsahovat následující náležitosti: (i) totožnost správce, (ii) účel každé operace zpracování, (iii) jaké údaje budou shromažďovány a používány, (iv) existence práva odvolat souhlas a (v) informace o případném použití dat k rozhodnutí čistě na bázi automatizovaného zpracování. Co se týče bodů i-iii, tak pracovní skupina dodává, že pokud dochází k předávání osobních údajů třetím osobám pro další účely, je třeba při prvním udělení vyjmenovat všechny zainteresované organizace, které se na takovém zpracování podílí.

Pokud jde o způsob, jakým informace nejlépe poskytnout, tak GDPR obecně nepředepisuje, jakou formu nebo podobu by mělo informování subjektu mít. Z povahy tohoto úkonu vyplývá, že je možné jej učinit písemně či ústně, případně také v podobě obrazové či zvukové zprávy. Dalším požadavkem je užití jednoduchého a laicky srozumitelného jazyka, neboť subjekt údajů povětšinou neovládá právnický žargon, který byl hojně v minulosti využíván při tvorbě obchodních podmínek ve spotřebitelských vztazích a jako takový se stal nežádoucím.

4. ELEKTRONICKÝ SOUHLAS

Samostatnou kategorii dle Vodítka představuje souhlas poskytovaný subjekty údajů v elektronické formě, například při využívání mobilních aplikací. Ze závěrů pracovní skupiny vyplývá, že ačkoliv by udělení takového souhlasu nemělo být nadměrně dotěrné a nemělo by narušovat využívání předmětné služby, je na druhou stranu vhodné, aby udělení souhlasu proběhlo jednoznačným způsobem, kdy si subjekt údajů bude tohoto udělení jasně vědom.

V souladu s GDPR je za správný postup k udělení souhlasu považováno zejména užívání fyzických kroků, pro příklad Vodítko uvádí tah prstem po displeji, zamávání před chytrou kamerou, otočení chytrého telefonu ve směru hodinových ručiček nebo ve tvaru osmičky a podobně. Je však nezbytné, aby subjekt údajů byl zřetelně informován, co tímto fyzickým gestem učiní a že je možné tento souhlas kdykoliv odvolat. Stejně tak musí být správce schopen toto udělení souhlasu prokázat.

Tímto lze plynule navázat na závěry pracovní skupiny o možnosti odvolat již jednou udělený souhlas. Jedním z ústředních požadavků na GDPR je, aby bylo možné udělený souhlas odvolat kdykoliv a stejně jednoduchým způsobem, jakým byl udělen. Otázkou však zůstává, jak bude takové odvolání probíhat třeba u shora uvedených možností elektronického udělení souhlasu. Zde bude bezesporu prostor pro vývojové IT experty, kteří budou muset přijít s novými a sofistikovanými řešeními, která nabídnou koncovým uživatelům stejný komfort při odvolání jejich souhlasu, stejně jako při jeho udělení.

Co se týče konkurence zákonných důvodů pro zpracování osobních údajů, pak Vodítko vidí úskalí zejména ve správci hojně využívané kumulaci těchto „licencí“. Je obecným pravidlem, že zpracování pro konkrétní účel nemůže být založeno na několika právních základech. Z toho důvodu je nežádoucí postup správců, kteří zajišťují mnohdy nadbytečné souhlasy subjektů údajů s tím, že pokud nebude souhlas platně dán, budou spoléhat na zbytkovou kategorii oprávněného zájmu.

Závěrem je třeba říci, ani souhlasy udělené podle směrnice 95/45/ES nebudou v zásadě po účinností GDPR považovány za neplatné, pokud budou obsahovat podstatné náležitosti dle tohoto nařízení. Bude tedy vhodné, aby správci do konce května 2018 prověřili své postupy a procesy a ujistili se, že stávající souhlasy splňují tyto požadavky. Protože jedna z věcí, která je kolem fenoménu jménem GDPR již zcela jistá, je datum jeho účinnosti.

Za SEDLAKOVAL LEGAL s.r.o., Mgr. Pavel Malatinský