Skočit na obsah
🕽 607 044 670 (-) , FAQ

GDPR a zpracování osobních údajů: stačí souhlas?

Co  je GDPR, osobní údaj, kdo je správce a jaké má zhruba povinnosti, jsme rozebrali v prvním článku ze série na téma GDPR – strašák, nebo pomocník?

Pokud jste si už ve vaší firmě zmapovali odkud a přes jaké kanály sbíráte osobní údaje a na jaký účel je potřebujete, posvítíme si nyní na to jak osobní údaje sbíráte = na zákonnost jejich zpracování, která se odvíjí od tzv. právního titulu zpracování osobních údajů.

Jednoduše řečeno budeme se ptát, zda je správným řešením všude umísťovat souhlas se zpracováním osobních údajů? Odpověď podle GDPR je jasná: NE. Proč? Dozvíte se v článku.

Právní titul zpracovaní – co se pod tím skrývá?

Právní titul zpracování osobních údajů v podstatě představuje podmínku, které splnění udělá zpracovaní osobních údajů přes vaše systémy zákonným.

Dosud byl nejčastějším téměř všude používaným právním titulem souhlas dotyčné osoby se zpracováním osobních údajů.

GDPR však prosazuje opačnou filozofii a souhlas jako právní základ pro zpracování osobních údajů ve vaší firmě je až poslední možností jak zpracovávat osobní údaje zákonně.

Mezi zmíněné jiné právní základy patří:

1. plnění smlouvy, kterou smluvní stranou je dotčená osoba

Přklad č. 1:
Na webové stránce provozujete e-shop. V rámci objednávkového formuláře musí osoba – potenciální kupující/už existující zákazník – vyplnit osobní údaje, aby mu bylo objednané zboží doručeno. Odesláním objednávkového formuláře zákazník zasílá návrh na uzavření smlouvy, kdy potvrzením z vaší strany dochází k uzavření smlouvy.

V smyslu GDPR takový objednávkový formulář nemusí a ani nemá obsahovat checkbox na udělení souhlasu se zpracováním zadaných osobních údajů, pokud budete zasílat jen objednané zboží a váš newsletter s nabídkou podobného zboží. E-mailová adresa zákazníka na zasílání newsletteru by však podle stanoviska Úradu na ochranu osobních údajů mala podléhat double opt-in ověření, protože stále máte vůči zákazníkovi info povinnost o použití jeho osobních údajů.

Máte tedy povinnost informovat kupujícího, že tu jde o právní základ zpracování v podobě plnění smlouvy jako i o tom, které z jeho osobních údajů nevyhnutelně potřebujete na plnění smlouvy a jaké má váš zákazník práva (víc v mojí připravované 3. části GDPR série).

2. plnění zákonné povinnosti správce

Příklad č. 2:
Jako zaměstnavatel máte např. zákonnou povinnost vést mzdové listy zaměstnanců, a proto nepotřebujete souhlas zaměstnanců se zpracováním jejich osobních údajů. Vyžadování souhlasu je navíc a je postupem, který není je v souladu s GDPR. Obdobně je potřebné o této skutečnosti informovat minimálně v zásadách zpracování osobních údajů.

GDPR uvádí i další právní základy zpracování osobních údajů jakým je  ochrana životně důležitých zájmů dotyčné osoby/jiné fyzické osoby – zde patří např. zpracování osobních údajů nemocnicemi; nebo splnění úlohy ve veřejném zájmu – např. zpracování osobních údajů úřady – ty však uvádíme jen okrajově pro úplnost.

3. oprávněný zájem, který sleduje správce

Oprávněný zájem je po plnění smlouvy druhým nejdůležitějším právním základem, především při online byznysu. Je proto potřebné zjišťovat, zda můžete na zpracování osobních údajů použít váš oprávněný zájem, a pokud by nebyl možný a převážil nad ním zájem dotčené osoby = osoby jejíž údaje zpracováváte, tak je nutné sáhnout k použití checkboxu se souhlasem dotyčné osoby.

Pod oprávněným zájmem správce GDPR například myslí i zpracování osobních údajů na účely zajištění bezpečnosti sítě a informační bezpečnosti – tedy na účely zabránění neoprávněným přístupům, útokům apod.

Příklad č. 3:
Máte databázi existujících zákazníků, kteří odebírají vaše produkty. Zasílání newsletteru zákazníkům na vaše produkty je vašim oprávněným zájmem. Souhlas zákazníků nepotřebujete, jediné co potřebujete, je informovat už existující zákazníky o tomto účelu použití jejich osobních údajů.

ALE

Pokud byste chtěli zasílat váš newsletter třetím osobám, ne-zákazníkům, kteří zadají adresu na webové stránce – tady už neexistuje váš oprávněný zájem pracovat s existujícími zákazníky a proto nevyhnutně potřebujete checkbox se souhlasem na konkrétní účel.

4. Starý známy souhlas dotyčné osoby ve vynovené verzi 🙂

Souhlas v souladu s GDPR má být:

  • na konkrétní účel + na každý účel samostatný
  • prokazatelný (double opt-in, web logs)
  • odlišitelný od jiných skutečností na webové stránce (např. od objednávky)
  • kdykoliv odvolatelný, informovaný (více v  mojí připravované 3. časti GDPR série)
  • svobodný (nepodmíněný) – vylučuje to automaticky zaškrtnuté checkboxy se souhlasem + např. když zákazník nezaškrtne souhlas se zasíláním newsletterů třetích stran na jeho e-mail, musí mu být umožněné i přesto nakupovat v e-shopu.

Zároveň třeba zdůraznit, že výslovný souhlas se zpracováním osobních údajů si ponechal výsostní postavení jako právní základ na zpracování speciální kategorie osobních údajů, tzv. extra citlivých osobních údajů jakými jsou např. údaje o rase, příslušnosti k etniku, politických názorech, o sexuální orientáci apod.

Těším se na vás při připravovaném třetím článku na téma:
GDPR: Třetí rébus – informační povinnost o ochraně osobních údajů vůči zákazníkům

Všechny díly seriálu o GDPR:

  1. GDPR 2018: strašák nebo pomocník?
  2. GDPR a zpracování osobních údajů: stačí souhlas? (právě čtete)
  3. GDPR: o čem všem informovat zákazníka?
  4. GDPR: právo na zapomnění a další práva I.
  5. GDPR: právo na zapomnění a další práva II.
  6. GDPR a analýza chování zákazníků

2 komentáře

Rado sa stalo :)
Děkuji za upřesnění.

Přidat komentář