Spracúvate osobné údaje vašich stávajúcich či potenciálnych zákazníkov alebo zamestnancov? Nie je vám jasné, kedy potrebujete súhlas s ich spracovaním a kedy nie? Poznáte súčasnú právnu úpravu a chcete vedieť, ako sa zmenia požiadavky na súhlas podľa GDPR s účinnosťou od 25. mája 2018?
Požiadavky na súhlas podľa platnej právnej úpravy:
Kedy je možné spracovanie osobných údajov bez súhlasu dotknutej osoby?
Prevádzkovateľ môže spracúvať osobné údaje bez súhlasu dotknutej osoby na základe osobitného zákona alebo zmluvného vzťahu s dotknutou osobou. Osobitným zákonom môže byť napríklad Zákonník práce, zákon o sociálnom poistení, zákon o zdravotnom poistení a pod.
Špeciálnymi prípadmi je spracovanie osobných údajov na účely priameho marketingu alebo spracovanie preukázateľne zverejnených osobných údajov. Patrí sem aj spracovanie na účel splnenia dôležitej úlohy vo verejnom záujme. Podobne aj prevádzkovanie kamerového systému na účel ochrany majetku, finančných alebo iných záujmov prevádzkovateľa a jeho bezpečnosti.
Príklad z praxe 1:
Zamestnávateľ je povinný po uzatvorení pracovného pomeru prihlásiť zamestnanca do sociálnej a zdravotnej poisťovne. Prihlásenie je určené osobitnými zákonmi (zákonom o sociálnom poistení a zákonom o zdravotnom poistení). V tomto prípade sa nevyžaduje súhlas zamestnanca.
Bez súhlasu dotknutej osoby môže na základe právneho základu spracúvať osobné údaje taktiež sprostredkovateľ.
Príklad z praxe 2:
Firma ABC, s. r. o. si dáva externe spracúvať mzdy firmou XYZ, s. r. o. S externou účtovnou firmou má uzatvorenú písomnú zmluvu o sprostredkovaní (§ 8 ods. 3 zákona o ochrane osobných údajov). Účtovná firma XYZ, s. r. o. môže v kontexte zákona o ochrane osobných údajov spracúvať mzdy zamestnancov firmy ABC, s. r. o. na základe právneho základu (zákona o účtovníctve a uzatvorenej zmluvy o sprostredkovaní).
Kedy sa vyžaduje súhlas dotknutej osoby?
Na základe súhlasu sú najčastejšie spracúvané osobné údaje pri marketingovej komunikácii, pri vernostných programoch alebo pri prevádzkovaní e-shopu. Taktiež pri organizovaní spotrebiteľskej súťaže alebo pri zverejňovaní fotografií na webe. Je to najmä vtedy, keď iniciatívu kontaktovať dotknutú osobu vyvíja prevádzkovateľ.
Zákon o ochrane osobných údajov stanovuje, čo musí obsahovať súhlas so spracovaním osobných údajov:
- kto súhlas udeľuje,
- komu sa súhlas udeľuje,
- na aký účel sa súhlas udeľuje,
- zoznam alebo rozsah osobných údajov, ktoré majú byť predmetom spracovania,
- čas platnosti súhlasu.
Súhlas so spracovaním osobných údajov musí byť preukázateľný, nie je vyžadovaná jeho písomná forma. Pri elektronickom súhlase (napríklad pri registrácii na webovej stránke prevádzkovateľa), musí byť súhlas poskytnutý vedomým úkonom. Najčastejšie sa tak deje zaškrtnutím políčka s príslušným textom súhlasu.
Ale pozor, nie je možné prediktívne vyžadovať súhlas so spracovaním osobných údajov. Čo sa tým myslí?
Príklad z praxe:
"Odoslaním formulára vyjadrujete súhlas s …". Nie je teda možné spájať viac účelov spracovania osobných údajov do jedného súhlasu. Pre každý účel musí byť samostatné zaškrtávacie políčko.
Aké sú požiadavky na súhlas podľa GDPR od 25. mája 2018?
GDPR uprednostňuje pred súhlasom iné právne základy na spracovanie osobných údajov (napr. osobitný zákon alebo zmluvu). Ak však je použitý len súhlas dotknutej osoby, musí byť jasný a aktívny prejav jej vôle.
Čl. 4 ods. 11 GDPR hovorí:
„Súhlas dotknutej osoby je akýkoľvek slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním jej osobných údajov.“
Súhlas môže byť vyjadrený:
- písomným vyhlásením,
- ústnym vyhlásením,
- označením (zakliknutím) políčka.
Súhlas musí byť formulovaný v zrozumiteľnej a ľahko dostupnej forme, jasne a jednoducho.
Súhlas musí byť preukázateľný!
Prevádzkovateľ musí vedieť preukázať, že dotknutá osoba vyjadrila súhlas so spracovaním svojich osobných údajov. A to aj v prípade, keď ho dotknutá osoba vyjadrila len ústnym vyhlásením.
V praxi sa najčastejšie používa písomný súhlas, v špeciálnych prípadoch je možné súhlas nahrať a takýto záznam uchovávať pre prípad kontroly z Úradu pre ochranu osobných údajov.
Predbežne označené políčka sa nebudú považovať za súhlas!
Podľa GDPR už nebude možné používať predbežne označené políčka na získanie súhlasu so spracovaním osobných údajov. Dotknutá osoba bude musieť vykonať prejav súhlasu aktívnym zaškrtnutím políčka.
Pred potvrdením súhlasu:
Po potvrdení súhlasu (aktívnom zaškrtnutí políčka):
Text súhlasu sa užívateľovi zobrazí po kliknutí na odkaz "osobných údajov" - modrým písmom, je nevyhnutné upraviť ho pre konkrétny prípad, aby spĺňal náležitosti požadované zákonom.
Súhlas nesmie byť skrytý, ani ničím podmienený!
Súhlas nesmie byť zapracovaný napríklad do textu obchodných podmienok. Nesmie byť podmienený poskytnutím služby či dodaním tovaru. Výnimkou môže byť len prípad, že je súhlas na plnenie obchodnej zmluvy, dodanie tovaru či poskytnutie služby nevyhnutný.
Dá sa odvolať súhlas so spracovaním osobných údajov?
Dotknutá osoba má právo kedykoľvek odvolať svoj súhlas. Odvolanie súhlasu musí byť také jednoduché ako jeho poskytnutie.
Súhlas so spracovaním osobných údajov dieťaťa
GDPR určuje špecifické podmienky pre súhlas so spracovaním osobných údajov dieťaťa. Spracovanie osobných údajov dieťaťa je zákonné, ak má dieťa aspoň 16 rokov. Pri spracovaní osobných údajov maloletého do 16 rokov, musí dať súhlas jeho zákonný zástupca alebo zákonný opatrovník.
TIP PRE VÁS:
Pripravte sa s nami na aplikáciu nového nariadenia v praxi už teraz a zosúlaďte súčasné súhlasy s požiadavkami GDPR v predstihu!
GDPR nie je strašiak, ktorého sa treba báť. Väčšina firiem zaoberajúcich sa ochranou osobných údajov znepokojuje hrozbami vysokých pokút. Áno, pokuty pri nepripravenosti a nedôslednom uplatňovaní pravidiel GDPR skutočne hrozia. To je neodškriepiteľný fakt!
Naša stratégia je iná: pomôžeme sa vám vo všetkom zorientovať! Spravíme vám analýzu a vypracujeme bezpečnostný plán. Implementácia GDPR tak bude pre vás celkom jednoduchá!
My na tom zapracujeme a vy môžete svoj čas venovať dôležitejším veciam vo svojom podnikaní.
Objednajte si u nás nezáväznú Rozdielovú analýzu!
Posúdime (ne)súlad vašich IS s novým nariadením, predložíme konkrétne návrhy na realizáciu primeraných opatrení na zabezpečenie súladu.