Souhlas se zpracováním osobních údajů: kdy ho potřebujete?

Přinášíme druhý ze série populárně-naučných článků, kterými Svaz průmyslu a dopravy ČR vysvětluje nejčastější mýty a omyly o GDPR. V textech o GDPR najdete praktické návody, jak případné omyly napravit. 

OMYL PRVNÍ: PRO UDRŽENÍ KONTAKTU SE SVÝMI ZÁKAZNÍKY A KLIENTY NUTNĚ POTŘEBUJI JEJICH SOUHLAS SE ZPRACOVÁNÍM OSOBNÍCH ÚDAJŮ

Taky jste v prvním pololetí tohoto roku měli plný mailbox žádostí o souhlas se zpracováním osobních údajů? Bombardovaly Vás žádostmi o souhlas úřady, banky, pojišťovny, školy, školky nebo knihovny? A v panice z tohoto dění jste podlehli dojmu, že by i Vaše firma měla plošně získat souhlas se zpracováním údajů ode všech svých klientů nebo zrevidovat souhlasy udělené Vašimi zaměstnanci? Pak vězte, že jste si tuto námahu mohli ušetřit.

GDPR totiž jako právní základ pro zpracování osobních údajů zakotvuje více titulů než jen souhlas. Tyto tituly navíc mají před souhlasem přednost.

  • Plnění právní povinnosti – platí pro všechny případy, kdy zpracování údajů vyplývá ze zákona nebo jiného obecně závazného právního předpisu.
  • Plnění smlouvy – je závazné pro všechny smluvní vztahy, ať už podchycené formálně písemnou smlouvou, nebo jen v podobě objednávka-faktura případně ústní dohodou o jakémkoli plnění.
  • Oprávněný zájem – platí, když si ve firmě vyhodnotíte, že nutně potřebujete získávat a zpracovávat osobní údaje z důvodu ochrany Vašich ekonomických nebo jiných vážných zájmů. Mezi oprávněné zájmy ekonomické zájmy patří monitoring prostoru kamerovými systémy, sledování pohybu osob, ale i marketingové a obchodní zájmy. Nesmíte tím však nadbytečně omezovat subjekty údajů na jejich právech.
  • Ochrana životně důležitých zájmů subjektů údajů – platí pro situace, když ve firemním prostředí sledováním osob chráníte jejich život nebo zdraví. Bývá to například ve vysoce rizikových provozech a podobně.
  • Výkon veřejné moci – lze použít ve veřejné sféře, když se s využitím osobních údajů realizuje veřejná moc.

Našli jste mezi těmito tituly ten, na jehož základě pracujete s osobními daty svých klientů či zaměstnanců? Velmi pravděpodobně ano. Pro tyto případy rozhodně nepotřebujete souhlas se zpracováním údajů. A nepotřebují jej obvykle ani ti, kteří se Vašeho souhlasu tak vehementně dožadují.

OMYL DRUHÝ: SOUHLASU JE ZAPOTŘEBÍ PRO POŘIZOVÁNÍ FOTOGRAFIÍ A VIDEOZÁZNAMŮ KLIENTŮ I ZAMĚSTNANCŮ

V životě každé firmy se obvykle vyskytují události, které přímo vyžadují nebo při kterých je obvyklé fotografovat nebo pořizovat video či audiozáznamy. Jde o firemní školení, akce, teambuildingy, ale i dokumentaci zaměstnanců při práci a šíření obrazových informací o atmosféře ve firmě v rámci udržování vztahů s veřejností.

Ani v tomto případě nemusíte mít podepsaný souhlas se zpracováním údajů! Vedle obecné legislativy k ochraně osobních údajů (GDPR je obecné nařízení a vznikající zákon o zpracování osobních údajů v tomto ohledu žádná upřesňující pravidla nepřináší) totiž i nadále platí i speciální právní předpisy, na poli ochrany osobnosti tedy zejména občanský zákoník, který upravuje způsob získání a aplikace svolení s pořízením a zpracováním podoby fyzické osoby a jejích osobních projevů. Právě těmito pravidly se řídí pořizování a využívání fotografií a podle nich je k pořízení podobenky fyzické osoby zapotřebí jejího svolení. To ovšem není totožné se souhlasem se zpracováním osobních údajů.

Stačí, aby osoby věděly, že je fotíte nebo nahráváte, a byly si vědomy toho, že mohou své zvěčnění na fotografii nebo audio/video záznam případně odmítnout. Pokud to od nich samozřejmě nepožaduje nějaký právní předpis. Odmítnutí si lze těžko představit například u pořizování pasové fotografie. Pokud neodmítnou, měly by počítat s tím, že fotografie nebo záznam můžete odpovídajícím způsobem využít – např. publikovat na webové stránce, sociálních sítích nebo ve firemním bulletinu.

Pokud se zaměstnanec nebo klient dovolává ochrany svých osobních údajů a dotazuje se, zda máte jeho souhlas se zpracováním osobních údajů, že jej fotíte nebo nahráváte, můžete mu s klidným svědomím vysvětlit, že souhlasu se zpracováním údajů zde není zapotřebí. Má ale samozřejmě možnost udělit i odmítnout své svolení (neformální, ústní anebo konkludentní) s tím, aby byl vyfotografován nebo jinak dokumentován.

OMYL TŘETÍ: I SOUHLAS SE ZASÍLÁNÍM OBCHODNÍCH SDĚLENÍ MUSÍ MÍT DLE GDPR NOVĚ PODOBU SOUHLASU SE ZPRACOVÁNÍM ÚDAJŮ

Většina firem rozesílá svá obchodní sdělení – nabídky výrobků, služeb, akcí a podobně. Mnoho z nich letos podlehlo mylnému dojmu, že k tomu nově musí mít souhlas se zpracováním osobních údajů zákazníků nebo potenciálních zákazníků, které tímto způsobem oslovuje.

Opak je však pravdou. I legislativa, která upravuje zasílání obchodních sdělení (konkrétně zákon o některých službách informační společnosti) je totiž ve vztahu k GDPR předpisem speciálním a obsahuje zjednodušená pravidla pro rozesílku obchodních sdělení. Pokud jste s daným adresátem obchodního sdělení byli již v nějakém obchodním kontaktu, platí princip tzv. opt-out. Můžete předpokládat, že daná osoba automaticky souhlasí se zasíláním obchodních sdělení, a to až do doby, kdy explicitně vyjádří svůj nesouhlas (buď v úvodním formuláři, nebo „na dně“ resp. v samotném obsahu Vaší obchodní nabídky, kde tuto možnost máte povinnost uvést).

U osob, s kterými jste v předchozím obchodním kontaktu nebyli, naopak platí povinnost získat jejich souhlas se zasíláním obchodních sdělení ještě před odesláním prvního obchodního sdělení. V opačném případě by se jednalo z Vaší strany o spam a zakázanou obchodní praktiku.

A ještě jednou pozor. Souhlas se zasíláním obchodních sdělení není roven souhlasu se zpracováním osobních údajů. Jedná se o jednodušší nástroj, který nemusí mít složitou a košatou strukturu souhlasu se zpracováním osobních údajů tak, jak jej popisuje GDPR.

Ulevilo se Vám? Vidíte, ani zde GDPR není takovým strašákem, jak se o něm míní.

JAK TYTO OMYLY ŘEŠIT V PRAXI

Spoléhejte jen na zaručené informace, publikované Úřadem pro ochranu osobních údajů na jeho webové stránce www.uoou.cz nebo ve spolupráci s ním.

Pokud se aplikace GDPR týče, nezačleňujte se do hlavního proudu a nepodléhejte mylně dojmu, že pokud souhlasy vyžadují v určitých situacích všichni okolo Vás, i Vaše firma je potřebuje.

Buďte si vědomi toho, že v České republice platila a nadále bude platit speciální legislativa, která upravuje nejrůznější situace v životě občanů i firem i z pohledu jejich práva na ochranu osobnosti a soukromí, a ne všechna pravidla jsou obsažena přímo v GDPR. Níže naleznete odkaz na užitečná ustanovení občanského zákoníku i zákona o některých službách informační společnosti, která se použijí právě pro případy svolení s pořízením a využitím podoby fyzické osoby a pro rozesílku obchodních sdělení:


Svaz průmyslu a dopravy ČR se přípravě českých firem na GDPR věnuje soustavně již od počátku roku 2017. V prvním pololetí 2017 připravil sérii regionálních diskuzních fór pro firmy. Od června 2017 do dubna 2018 pak zorganizoval projekt Akademie GDPR. Spolu s partnery Svaz připravil celkem 22 tematických seminářů a workshopů věnovaných 17 tématům určených k praktické přípravě českých firem na účinnost GDPR. V roce 2018 také spustil e-learningovou platformu Vyškoleno CZ (www.vyskoleno.cz), kde mohou firmy absolvovat zevrubnou i základní verzi e-learningových kurzů k GDPR určeným jak pro vrcholový management firem a jejich pověřence nebo manažery pro ochranu osobních údajů, tak i pro běžné zaměstnance. Všechny tyto projekty Svaz realizuje v úzké partnerské spolupráci s Úřadem pro ochranu osobních údajů, který je také jejich odborným garantem.

Nyní Svaz připravuje sérii populárně-naučných článků, jejichž cílem je rozptýlit nejčastější dezinformace a dezinterpretace, které se ohledně GDPR na českém trhu vyskytují. Postupně se tak bude věnovat tématům:

  1. Kontext a souvislosti GDPR
  2. Souhlasy se zpracováním osobních údajů
  3. Pověřenci pro zpracování osobních údajů
  4. Přeshraniční přenosy osobních údajů
  5. Procesy implementace GDPR ve firmách

K 25. květnu letošního roku nabylo účinnosti obecné nařízení o ochraně osobních údajů (General Data Protection Regulation), takzvané GDPR. Firmy jsou vystaveny extrémnímu tlaku, aby zajistily, že se v jejich podniku budou uchovávat data a nakládat s nimi v souladu s tímto nařízením. Ne vždy k tomu však mají přesné a úplné informace. Výsledkem je obrovský chaos, který na trhu panuje. Podniky zavádí opatření, která je často stojí spoustu prostředků, aniž by vedla k zamýšlenému výsledku. Tím je slovy nařízení přijetí „takových technických a organizačních opatření firem jako správců údajů, která povedou k zabezpečení nakládání s osobními údaji a splnění povinností správců údajů i naplňování práv subjektů údajů“.

 Více o samotném nařízení GDPR se dočtete v článku GDPR. Strašák nebo příležitost? 

Mgr. Tereza Šamanová, 

tsamanova@spcr.cz

kategorie Právní infoservis