Súhlas so spracovaním osobných údajov – podmienky a forma

Jedným z právnych základov, ktorý umožňuje spracúvať osobné údaje dotknutých osôb je súhlas so spracovaním osobných údajov, ktorý udeľuje dotknutá osoba. Akou formou je možné ho udeliť a kedy je vhodné právnym základom na spracúvanie osobných údajov?

Viac informácií sa dozviete v našom článku.

Všeobecne: súhlas so spracovaním osobných údajov

Súhlas so spracúvaním osobných údajov je jedným zo šiestich právnych základov,1 ktoré umožňujú spracúvanie osobných údajov dotknutých osôb. Nariadenie GDPR súhlas dotknutej osoby definuje ako „akýkoľvek slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorý formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týkajú.2

V praxi sa často stáva, že prevádzkovatelia považujú súhlas so spracovaním osobných údajov za „privilegovaný“ právny základ. Súhlas v mnohých prípadoch používajú aj tam, kde nie je vhodný. Vyhodnotenie právneho základu pre spracovateľskú operáciu je dôležité a súhlas je jednou z možností. Všetky právne základy v rámci Nariadenia sú rovnocenné a pri každom účele spracúvania osobných údajov je potrebné skúmať, aký právny základ je pre daný účel najvhodnejší. Uvedené vyplýva z viacerých odporúčaní dozorných orgánov. Či už nášho Úradu na ochranu osobných údajov SR alebo zahraničných dozorných orgánov. Odporúčania vydal napríklad aj Írsky úrad na ochranu osobných údajov – Data Protection Commission.

Príklad: Zamestnávatelia často vyžadujú od svojich zamestnancov súhlas so spracovaním ich osobných údajov na účely plnenia povinností vyplývajúcich z pracovnoprávneho vzťahu – plnenie zmluvných povinností. V pracovnej zmluve je uvedené: „Zamestanec súhlasí so spracovaním osobných údajov zamestnávateľom pre plnenie zmluvy“. V tomto prípade ide o povinnosti, ktoré zamestnávateľovi vyplývajú z uzatvorenej pracovnej zmluvy, resp. z príslušných právnych predpisov. Nie je vhodné určiť ako právny základ súhlas. Právnym základom nie je súhlas, ale plnenie zmluvných, resp. zákonných povinností zamestnávateľa. 3

Podmienky platne udeleného súhlasu

Ako vyplýva zo samotnej definície súhlasu, súhlas je platne udelený len vtedy, ak

  • je udelený slobodne a konkrétne,
  • je informovaný, a
  • ide o jednoznačný prejav vôle dotknutej osoby.

Sloboda udelenia súhlasu vyjadruje požiadavku, aby dotknutá osoba bola pri jeho udeľovaní v takom postavení, že neudelenie súhlasu pre ňu nebude mať žiadne nevýhodné následky. Súhlas preto nie je slobodne udelený najmä v takých prípadoch, kedy dotknutá osoba a prevádzkovateľ sú vo vzájomne nerovnovážnom postavení.4

Súhlas so spracovaním osobných údajov musí byť udelený konkrétne. Dotknutá osoba by preto mala udeliť súhlas vždy na konkrétny účel spracúvania, ktorý jej prevádzkovateľ dostatočným spôsobom oznámi. Súhlas je možné udeliť aj na viacero účelov spracúvania súčasne. V takom prípade je potrebné, aby dotknutá osoba mala možnosť voľby, na ktoré účely spracúvania svoj súhlas udelí.

Súhlas-osobne-udaje-2020

Súhlas so spracovaním osobných údajov. Zdroj: pexels.com

GDPR výslovne ustanovuje, že v prípade, ak má dotknutá osoba udeliť súhlas v rámci písomného vyhlásenia, ktoré sa týka aj iných skutočností, žiadosť o vyjadrenie súhlasu musí byť predložená tak, aby bola jasne odlíšená od iných skutočností. Žiadosť o vyjadrenie súhlasu musí byť v zrozumiteľnej a ľahko dostupnej forme. Textácia žiadosti musí byť vyjadrená jasne a jednoducho.

Príklad: Základná škola ako prevádzkovateľ má záujem spracúvať osobné údaje svojich žiakov, okrem plnenia zákonných povinností aj tak, že bude zverejňovať fotografie a videá na nástenkách v priestoroch školy, na svojej webovej stránke, na sociálnych sieťach. Základná škola plánuje prihlasovať svojich žiakov na rôzne súťaže, olympiády a výsledky z týchto podujatí taktiež zverejňovať prostredníctvom webovej stránky, sociálnych sietí. Uvedené plány zahŕňajú viacero účelov spracúvania, ktoré nie sú plnením zákonných povinností základenej školy. Základná škola ako prevádzkovateľ preto zvolí za právny základ súhlas dotnutej osoby. Vzhľadom k tomu, že účelov spracúvania je viac, dotknutá osoba preto musí mať možnosť výberu, na ktoré účely spracúvania udelí svoj súhlas. Navyše, v prípade žiakov základnej školy ide o deti a teda osoby, ktoré nemajú úplnú spôsobilosť na právne úkony. V uvedenom prípade môže nastať situácia, že prevádzkovateľ bude povinný získať súhlas od zákonného zástupcu dotknutej osoby. Za platne udelený súhlas nebude možné považovať napr. vyhlásenie zákonného zástupcu dotknutej osoby, ktoré bude fomulované tak, že zákonný zástupca udeľuje všeobecný súhlas so spracovaním osobných údajov žiaka, bez špecifikácie jednotlivých účelov spracúvania. 

Informovanosť súhlasu súvisí s plnením informačnej povinnosti prevádzkovateľa. Dotknutá osoba by mala byť informovaná o tom, komu a na aký účel udeľuje súhlas so spracovaním svojich osobných údajov. Okrem toho je prevádzkovateľ povinný dotknutú osobu informovať o tom, že je oprávnená svoj súhlas kedykoľvek odvolať. GDPR výslovne ustanovuje, že odvolanie súhlasu musí byť rovnako jednoduché ako je jeho udelenie.

Nemožno opomenúť ani stanovenie doby, na ktorú je súhlas udelený. Každý účel spracúvania musí mať stanovenú dobu, počas ktorej spracúvame osobné údaje. A to v súlade so zásadou minimalizácie. Platí to aj pre súhlas.

Vzhľadom na skutočnosť, že pri udeľovaní súhlasu získava prevádzkovateľ osobné údaje dotknutých osôb, v prevažnej miere priamo od dotknutých osôb, je povinný si splniť informačnú povinnosť v zmysle čl. 13 Nariadenia GDPR. V závislosti od formy udeľovania súhlasu je možné túto povinnosť plniť napríklad uvedením vyžadovaných informácií priamo v listinnom dokumente, ktorým dotknutá osoba udeľuje súhlas, či zverejnením informačnej povinnosti na webovej stránke prevádzkovateľa a umiestnením odkazu na túto informačnú povinnosť vedľa check-boxu, prostredníctvom ktorého dotknutá osoba udeľuje súhlas elektronicky.

Formy udelenia súhlasu

Prevádzkovateľ musí v každom prípade spracúvania na základe súhlasu vedieť preukázať, že dotknutá osoba udelila súhlas so spracovaním svojich osobných údajov. Uvedené nadväzuje na formu, akou dotknutá osoba súhlas so spracovaním jej osobných údajov udeľuje.

GDPR Nariadenie povinnú formu vyjadrenia súhlasu so spracovaním neustanovuje. Súhlas tak môže byť udelený písomne, elektronicky, ústne alebo konkludentne. Bez ohľadu na formu musí byť súhlas  jednoznačným prejavom vôle dotknutej osoby, z ktorej je zrejmé, že dotknutá osoba udeľuje súhlas so spracúvaním jej osobných údajov.

Pri udeľovaní súhlasu prostredníctvom písomného vyhlásenia alebo elektronicky (napr. zakliknutím check-boxu či prostredníctvom e-mailu) je preukázateľnosť udelenia súhlasu v zásade bezproblémová. Pri elektronickej forme odporúčame výber vhodného nástroja, ktorý súhlas zachytí, ako aj automatizáciu opätovného získania súhlasu pred uplynutím doby, na ktorú je súhlas udelený.5

V prípade ústneho alebo konkludentného súhlasu (teda prostredníctvom jednoznačného faktického úkonu dotknutej osoby) je situácia odlišná. Aj v týchto prípadoch je prevádzkovateľ povinný zabezpečiť, aby súhlas spĺňal všetky legislatívne požiadavky v zmysle predpisov o ochrane osobných údajov (aby bol slobodný, informovaný, jednoznačný a pod.). Taktiež je prevádzkovateľ povinný v prípade kontroly dozorného orgánu preukázať, že dotknutá osoba súhlas skutočne udelila.

Udeľovaniu súhlasu konkludentne alebo ústne sa vo svojich metodických odporúčaniach venujú viaceré zahraničné dozorné orgány pre oblasť spracúvania osobných údajov, ako aj slovenský Úrad na ochranu osobných údajov. Z toho je zrejmé, že ústne udelenie súhlasu nie je zakázané. Nesie však so sebou uvedené riziká. Pri ústnom udelení súhlasu je najbežnejšou formou udeľovanie súhlasu telefonicky, kde je prevádzkovateľ schopný zachytiť prejav vôle dotknutej osoby napr. zaznamením telefonického rozhovoru.

Pri udeľovaní konkludentného súhlasu prichádza do úvahy viacero foriem, pričom najčastejšie pôjde o prípady vyhotovovania a zverejňovania fotografií z rôznych podujatí (firemných večierkov, kultúrnych a spoločnských poduajtí a pod). Z odporúčaní viacerých dozorných orgánov (medzinárodných dozorných orgánov, ako aj Úradu na ochranu osobných údajov SR) a z praxe vyplýva, že prevádzkovateľ môže získať konkludentný súhlas so spracovaním osobných údajov doktnutých osôb viacerými spôsobmi.

Dotknutá osoba môže udeliť súhlas so spracovaním svojich osobných údajov konkludentne, napr.:

  • tak, že dotknutá osoba sama nahrá fotografiu na intranet prevázdkovateľa, ktorý je jej zamestnávateľom. Súhlas môže doktnutá osoba odvolať tak, že fotku z intranetu alebo iného webového rozhrania odstráni,
  • tak, že dotknuté osoby vstúpia do miestnosti, kde sa budú vyhotovovať ich fotografie. Prevádzkovateľ je povinný túto miestnosť zreteľne označiť, prípadne iným spôsobom odlíšiť od priestorov, kde nie sú vyhotovované fotografie. Dotknuté osoby musia byť o tom, že vstupom do vyznačeného priestoru udeľujú súhlas so spracovaním svojich osobných údajov dostatočne a jasne oboznámené,
  • tak, že svoj súhlas dotknuté osoby vyjadria prostredníctvom gesta, z ktorého bude zrejmé, že súhlasia s vyhotovením fotografie alebo že budú na sebe za týmto účelom nosiť zreteĺné označenie, napr. náramok alebo nálepku. Vyššie uvedené ich tak odlíši od iných osôb, ktoré súhlas so spracovaním svojich osobných údajov neudelili. Prevádzkovateľ bude mať zároveň možnosť jednoznačne preukázať, že dotknuté osoby svoj súhlas udelili.

Záver

Spôsobov, ako je možné udeliť súhlas so spracovaním osobných údajov je viacero. V každom prípade je prevádzkovateľ povinný vedieť preukázať, že súhlas bol udelený. Ešte pred jeho udelením je však prevádzkovateľ povinný zvážiť, či je súhlas naozaj najvhodnejším právnym základom na spracúvanie osobných údajov dotknutých osôb. Ak je súhlas podľa prevádzkovateľa vhodný, je potrebné zohľadniť podmienky udelenia súhlasu.

Pri výbere formy je potrebné dbať na to, že od výberu formy závisí jednozančnosť preukázania udelenia súhlasu.

Pozrite si naše videoškolenie: Súhlas so spracovaním osobných údajov GDPR:

 

Potrebujete pomôcť s ochranou osobných údajov?


  1. Právne základy sú uvedené v čl. 6 ods. 1 Naradenia GDPR 

  2. Čl. 6 ods. 1 písm. a) Nariadenia GDPR 

  3. Tento postup je v rozpore so súčasnou legislatívou a bol aj v rozpore so zákonom č. 122/2013 Z. z. o ochrane osobných údajov. 

  4. Nerovnovážne postavenie môže nastať v situáciách, kedy je prevádzkovateľ orgánom verejnej moci alebo zamestnávateľom dotknutej osoby. 

  5. Napríklad nástroj ako Malichimp pri newsletteroch a kontaktných formulároch. 

Odoberajte náš newsletter

Odporúčané články

Potrebujete pomôcť?

Ak potrebujete pomôcť s riešením osobných údajov, neváhajte nás kontaktovať. Radi vám pomôžeme.

Spracúvame vaše osobné údaje za účelom vybavenia vašej požiadavky. Viac info tu.