1.1 Souhlas

23.05.2017

Souhlas subjektu údajů musí být dán jednoznačným potvrzením, souhlasem se rozumí jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů (dále jen klient) dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů a to v podobě písemného prohlášení, i učiněného elektronicky, nebo ústního prohlášení.

Souhlas musí být:

  • SVOBODNÝ
  • KONKRÉTNÍ
  • INFORMOVANÝ
  • JEDNOZNAČNÝ

Mohlo by se například jednat o zaškrtnutí políčka při návštěvě internetové stránky, volbu technického nastavení pro služby informační společnosti nebo jiné prohlášení či jednání, které v této souvislosti jasně signalizuje souhlas subjektu údajů s navrhovaným zpracováním jeho osobních údajů. Souhlas by se měl vztahovat na veškeré činnosti zpracování prováděné pro stejný účel nebo stejné účely. Jestliže má zpracování několik účelů, měl by být souhlas udělen pro všechny.

Správce (dále jen organizace) musí být schopen doložit, že subjekt údajů (klient) udělil souhlas se zpracováním svých osobních údajů.

Po 25.5.2018 budou platné pouze souhlasy udělené v souladu s GDPR!

SVOBODNÝ SOUHLAS

Lze předpokládat, že souhlas není svobodný, není-li možné vyjádřit samostatný souhlas s jednotlivými operacemi zpracování osobních údajů, i když je to v daném případě vhodné, nebo je-li plnění smlouvy, včetně poskytnutí služby učiněno závislým na souhlasu, i když to není pro toto plnění nezbytné. GDPR zakazuje praxi "take it or leave it"

Vyjímku tvoří zvláštní kategorie osobních údajů

Souhlas není svobodný když:

  • je souhlas podmínkou pro uzavření smlouvy ("uzavřením této smlouvy souhlasíte se zpracováním osobních údajů...")
  • je souhlas jako povinné zaškrtávací pole na formuláři, bez jehož zaškrtnutí nelze dále pokračovat
  • s klientem není uzavřena smlouva, pokud neposkytne souhlas (vyjímku tvoří zvláštní kategorie osobních údajů)

KONKRÉTNÍ SOUHLAS

Souhlas není konkrétní když:

  • není jasný účel zpracování - "... tímto souhlasíte se zpracováním osobních údajů pro vnitřní potřebu zdravotnického zařízení..."
  • není jasný správce - "... souhlasíte se zpracováním osobních údajů dalšími subjekty, kterým společnost údaje předá..."

INFORMOVANÝ SOUHLAS

Souhlas není informovaný tehdy, pokud klient nemůže posoudit, jaké má pro něj zpracování důsledky. Pokud se osobní údaje získávají od klienta, poskytne organizace v okamžiku získání osobních údajů klientovi tyto informace:

  • totožnost a kontaktní údaje správce a jeho případného zástupce
  • kontaktní údaje případného pověřence pro ochranu osobních údajů
  • účel a právní základ pro zpracování
  • oprávněné zájmy správce nebo třetí strany
  • případný úmysl organizace předat osobní údaje do třetí země nebo mezinárodní organizaci
  • doba, po kterou budou osobní údaje uloženy
  • sdělení práva přístupu k osobním údajům klienta, jejich opravu nebo výmaz, popřípadě omezení zpracování, a vznést námitku proti zpracování, jakož i práva na přenositelnost údajů a odvolání souhlasu
  • sdělení práva podat stížnost u dozorového úřadu
  • skutečnost, zda poskytování osobních údajů je zákonným či smluvním požadavkem, nebo požadavkem, který je nutné uvést do smlouvy, a zda má subjekt údajů povinnost osobní údaje poskytnout, a ohledně možných důsledků neposkytnutí těchto údajů
  • skutečnost, že dochází k automatizovanému rozhodování, včetně profilování
  • pokud organizace hodlá osobní údaje dále zpracovávat pro jiný účel, než je účel, pro který byly shromážděny, poskytne klientovi ještě před uvedeným dalším zpracováním informace o tomto jiném účelu

Všechny informace musí být srozumitelné

JEDNOZNAČNÝ SOUHLAS

Souhlas není jednoznačný, pakliže je:

  • udělen mlčením, předem zaškrtnutým políčkem nebo nečinností
  • nepřehledně začleněn do jiných prohlášení (obchodní podmínky)

Jednoznačný souhlas musí být dán jednoznačným potvrzením a musí být odlišitelný od jiných prohlášení, musí být poskytnut ve srozumitelné a snadno přístupné podobě, pomocí jasného a srozumitelného jazyka za účelem zpracování dat připojeným k tomuto souhlasu. 

Pro zpracování osobních údajů je jednoznačný souhlas dostačující. 


Vyjímka: Zvláštní kategorie údajů

Pro zpracování zvláštních kategorií osobních údajů (osobní údaje, které jsou svou povahou obzvláště citlivé, např. údaje o zdravotním stavu, bometrické údaje apod.) je vyžadován 

VÝSLOVNÝ SOUHLAS:

  • v textové formě - písemný souhlas
  • v online formě - "Přihlásit se"
  • může být podmínkou uzavření smlouvy
  • při odvolání souhlasu může být smlouva ukončena

Souhlas u dětí

Děti zasluhují zvláštní ochranu osobních údajů, protože si nemusí být vědomy dotčených rizik, důsledků, záruk a svých práv v souvislosti se zpracováním osobních údajů. 

Zpracování osobních údajů dítěte je zákonné v případě:

  • je-li dítě starší 16 let
  • je-li dítě mladší 16 let pouze pokud byl vyjádřen nebo schválen souhlas osobou, která vykonává rodičovskou zodpovědnost k dítěti.

Odvolání souhlasu

  • Klient má právo svůj souhlas kdykoli odvolat
  • Odvoláním souhlasu není dotčena zákonnost zpracování vycházejícího ze souhlasu, který byl dán před jeho odvoláním. Před udělením souhlasu o tom musí být klient informován. 
  • Odvolat souhlas musí být stejně snadné jako jej poskytnout.

Kdy souhlas není potřeba?

Pokud se nejedná o zvláštní kategorie osobních údajů a zpracování je nezbytné pro:

  • Plnění či uzavření smlouvy (pokud je iniciátorem klient)
  • Plnění právní povinnosti
  • Oprávněné zájmy organizace
  • Plnění úkolů ve veřejném zájmu či při výkonu veřejné moci
  • Ochranu životně důležitých zájmů fyzické osoby

Kdy souhlas je potřeba?

Pokud se jedná o zpracování obzvláště citlyvých osobních údajů jako

  • Údaje o zdravotním stavu
  • Biometrické údaje
  • Další zvláštní kategorie osobních údajů

nebo

  • Předání údajů třetím osobám k marketingovým účelům

Co z toho plyne do praxe?

  • Souhlas by neměl být primárním titulem, vždy je třeba nejprve hledat jiné tituly
  • Souhlas nesmí být podmínkou uzavření smlouvy (existují vyjímky)
  • Souhlas musí jít odvolat
  • Souhlas musí být odděleně os jiných prohlášení (problém u obchodních podmínek)
  • Souhlas musí být dán jednoznačnou kladnou akcí
  • Souhlasy je třeba uvést do souladu co nejdříve - po 25.5.2018 budou platné pouze ty, které budou v souladu s GDPR

Předchozí: 1. Zákonnost                                Další: 1.2 Plnění smlouvy

Share
GDPR | Pověřenec pro Ochranu Osobních Údajů | Data Protection Officer | ISMS
Vytvořeno službou Webnode Cookies
Vytvořte si webové stránky zdarma! Tento web je vytvořený pomocí Webnode. Vytvořte si vlastní stránky zdarma ještě dnes! Vytvořit stránky