Detailní pokyny k souhlasům podle GDPR
Na začátku května vydal Evropský sbor pro ochranu osobních údajů (dříve tzv. Pracovní skupina 29) nové pokyny týkající se získávání a prokazování souhlasů se zpracováním osobních údajů udělených ze strany subjektů údajů. Pokyny doplňují dřívější stanoviska Pracovní skupiny 29 k tomuto tématu, která zůstávají i nadále relevantní v rozsahu, ve kterém jsou v souladu s obecným nařízením o ochraně osobních údajů (GDPR).
Souhlas je jedním ze šesti možných základů (právních titulů) pro zpracování osobních údajů. Souhlasem se přitom dle GDPR rozumí svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává svolení ke zpracování svých osobních údajů.
Evropský sbor zdůraznil, že aby byl souhlas opravdu svobodný, nesmí jím být podmíněn přístup k plnění ze smlouvy. Jako příklad, kdy souhlas nebude považován za svobodně udělený, lze uvést mobilní aplikaci pro úpravu fotografií, která by pro své fungování vyžadovala od uživatelů aktivování GPS lokalizátoru a udělení souhlasu se zpracováním osobních údajů pro marketingové účely. GPS lokalizátor a zpracování osobních údajů za účelem reklamy totiž nejsou pro fungování dané mobilní aplikace nezbytné. Stejně tak nelze souhlas zahrnout do všeobecných obchodních podmínek, jejichž znění nemůže zákazník nikterak ovlivnit.
Zpracování osobních údajů je možné pouze na základě jednoznačného projevu vůle subjektu údajů, ze kterého je zřejmé, že subjekt se zpracováním v daném rozsahu souhlasí. K takovému projevu může dojít aktivním zaškrtnutím tlačítka „souhlasím“, variantou ale může být například i přejetí proužku na dotykové obrazovce, pokud je jasné, že daný pohyb představuje udělení konkrétního souhlasu. Evropský sbor nicméně upozorňuje, že kupříkladu „rolování“ webových stránek není možné pro účely udělení souhlasu použít, jelikož by ho šlo jen stěží odlišit od běžné aktivity uživatele. V takovém případě by zároveň bylo obtížné poskytnout uživateli stejně snadný způsob pro odvolání souhlasu, což je jeden z požadavků zakotvených v GDPR.
Sbor rovněž připomněl, že souhlas musí být náležitě informovaný. Subjekt osobních údajů si tedy musí být vědom zejména rozsahu zpracování, za jakým účelem bude prováděno nebo jakým způsobem může již udělený souhlas odvolat. GDPR nepředepisuje konkrétní formu pro splnění této informační povinnosti, může se jednat o ústní nebo písemné sdělení, zvukové nebo i audiovizuální zprávy. Správce osobních údajů je nicméně povinen zajistit, aby poskytnutá informace byla srozumitelná pro průměrného člověka a nejen pro právníky. Sbor doslova uvedl, že informace by měla být prosta „právního žargonu“.
Sbor se dále se zabýval i otázkou nerovnováhy sil v souvislosti se zpracováním osobních údajů, přičemž nedoporučil zpracovávat osobní údaje na základě souhlasu například v rámci pracovněprávních vztahů. Zaměstnavatel jen stěží prokáže, že souhlas se zpracováním údajů zaměstnanec udělil, aniž by se tak stalo ze strachu z možné újmy v případě odmítnutí. Sbor shrnul, že zpracování na základě souhlasu není v takových případech zcela nemožné, ale je velmi problematické, a mělo by k němu docházet pouze ve výjimečných případech.
Pokyny mimoto rozebírají i další specifické případy, například situaci, kdy je nezbytný výslovný souhlas, nebo zpracování osobních údajů nezletilých dětí či zpracování za účelem výzkumu.