Mýty o GDPR: Vše lze sfouknout paušálním souhlasem

12. 6. 2018
Doba čtení: 2 minuty

Sdílet

Ilustrační obrázek Autor: www.shutterstock.com, podle licence: Rights Managed
Ilustrační obrázek
Souhlas se zpracováním údajů pro jednotlivé účely? Netřeba, vše stačí sfouknout paušálním souhlasem. To je však mýlka.

Jak upozorňuje Úřad pro ochranu osobních údajů (ÚOOÚ), tento názor vychází z nepochopení souhlasu subjektu údajů. Případné držení či získávání paušálního souhlasu subjektu údajů pro veškerá zpracování je totiž v rozporu hned s několika ustanoveními GDPR.

Čtěte také: Mýty o GDPR: Skoro každá firma musí mít pověřence pro ochranu osobních údajů

Paušální souhlas není v souladu s GDPR

Někteří podnikatelé se domnívají, že problematiku souhlasu subjektů se zpracováním osobních údajů vyřeší paušálním souhlasem a nemusí se proto zabývat jednotlivými zákonnými důvody. Jak ovšem varuje ÚOOÚ, takovýto postup není možný. Případné paušální získávání souhlasu subjektu údajů pro veškerá zpracování, která správce bude provádět k různým účelům, je v rozporu hned s několika ustanoveními obecného nařízení – počínaje povinností shromažďovat osobní údaje pro určité, výslovně vyjádřené a legitimní účely, přes zásadu transparentnosti vůči subjektu údajů a konče svobodností souhlasu ve vztahu k smluvním vztahům správce a subjektu údajů. Podnikatelé tak musí o souhlas žádat pro jednotlivé účely zvlášť.

Čtěte také: Začněte třídit databáze svých kontaktů, jen tak obstojíte po zavedení GDPR

skoleni_8_1

Souhlas fyzické osoby, jejíž osobní údaje hodlá správce zpracovávat, je klíčovým institutem evropského modelu ochrany osobních údajů od samých počátků, nelze jej však uplatňovat tam, kde platí jiné právní tituly zpracování (s nimiž nelze souhlas zaměňovat), např. sjednávání a plnění smluv, plnění povinností či ochrana práv a právem chráněných zájmů. V obecném nařízení je udělení souhlasu subjektu údajů se zpracováním pro jeden či více konkrétních účelů jednou ze šesti právních podmínek zákonnosti zpracování (jeho právním základem) a nařízení výslovně upravuje podmínky jeho získání, doplnil ÚOOÚ.

Ve srovnání s předchozím stavem v České republice přineslo GDPR změnu v tom, že souhlas je rovnocenný pěti dalším právním důvodům/titulům, zatímco dříve byl důvodem/titulem základním a všechny ostatní byly formálně zakotveny jako výjimky, na něž se zpravidla hledělo tak, že mají být vykládány co nejúžeji. Optické srovnání významu uznávaných právních důvodů neznamená snížení váhy souhlasu dotčeného subjektu údajů; jedním ze základních projevů toho je, že souhlas se zpracováním se skutečně uplatní jen tam, kde mohou být naplněny jeho základní znaky, totiž svobodnost a informovanost. Souhlas může subjekt údajů kdykoli odvolat, uzavřel ÚOOÚ.

Autor článku

Daniel je zástupce šéfredaktora Podnikatel.cz a jako ekonom se věnuje oblasti byznysu a také ekonomice. 

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).