Stávající právní úprava
Práva a povinnosti při zpracování osobních údajů v době publikace článku upravuje zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů (dále jen „ZOOÚ“), který odráží směrnici Evropského parlamentu a Rady 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „směrnice“).
Směrnice v čl. 7 uvádí, že „Členské státy stanoví, že zpracování osobních údajů může být provedeno pouze pokud: a) subjekt údajů nezpochybnitelně udělil souhlas; nebo b) je zpracování nezbytné pro splnění smlouvy, kde je subjekt údajů jednou ze stran, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu; nebo c) je nezbytné pro splnění právní povinnosti, které podléhá správce; nebo …“ Je tak zřejmé, že účel směrnice byl, aby členské státy Evropské unie do svých právních řádů zakotvily několik rovnocenných důvodů, při jejichž naplnění je zpracování osobních údajů možné. Zákonodárce však koncept důvodnosti zpracování osobních údajů pojal odlišně, a to když v § 5 odst. 2 ZOOÚ stanovil, že „Správce může zpracovávat osobní údaje pouze se souhlasem subjektu údajů. Bez tohoto souhlasu je může zpracovávat, a) jestliže provádí zpracování nezbytné pro dodržení právní povinnosti správce, b) jestliže je zpracování nezbytné pro plnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro jednání o uzavření nebo změně smlouvy uskutečněné na návrh subjektu údajů, …“ Pro laiky tak z uvedeného ustanovení zcela oprávněně vyplývá závěr, že souhlas se zpracováním osobních údajů je nadřazen ostatním důvodům zpracování osobních údajů. Proto je tak obvyklé, že správci vyžadují po subjektech údajů udělení souhlasu i v případech, kdy to není nutné (např. obvykle v rámci důvodu splnění smlouvy). Pravda je však taková, že účel směrnice, ani ZOOÚ není stanovit správcům povinnost vyžadovat při každém zpracování osobních údajů souhlas subjektu údajů a vytvářet si tak „nekonečné“ databáze souhlasů se zpracováním osobních údajů, ale stanovit správci možnost zpracovat osobní údaje i tehdy (na základě souhlasu), kdy k tomu nebude svědčit žádný jiný důvod.
GDPR
I nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „GDPR“) s přímou použitelností od 25. 5. 2018 se k souhlasu se zpracováním osobních údajů staví obdobně jako směrnice – jako jednu z podmínek zpracování osobních údajů ho zakotvuje v čl. 6 odst. 1: „Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu: a) subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů; b) zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů; c) zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje; …“ Z uvedeného textu taktéž zřetelně vyplývá, že souhlas se zpracováním osobních údajů je „jen“ jedním z více důvodů ke zpracování osobních údajů.
Praktické aspekty
Závěr, že souhlas se zpracováním osobních údajů slouží a bude sloužit pouze jako „doplňkový“ důvod pro zpracování osobních údajů, je také možné demonstrovat na modelovém případu, kdy správce uzavře se subjektem údajů např. kupní smlouvu. Bývá obvyklé, že v takovém případě správce požaduje po subjektu údajů souhlas se zpracováním osobních údajů v domnění, že je to nezbytné k tomu, aby bylo podle smlouvy plněno a aby mohl správce vést osobní údaje subjektu údajů jako svého zákazníka ve své databázi v souvislosti se splněním smlouvy.
Takový přístup je však problematický. Pokud by totiž správce prováděl zpracování osobních údajů ke splnění smlouvy pouze na základě uděleného souhlasu se zpracováním osobních údajů, ve chvíli, kdy by subjekt údajů tento svůj souhlas odvolal, což směrnice i ZOOÚ implicitně dovolují[1] a GDPR explicitně uvádí v čl. 7 odst. 3, pozbyl by správce právní důvod pro další zpracování těchto údajů a nemusel by být s to podle smlouvy plnit, neboť by vlastně pozbyl veškeré informace o svém zákazníkovi.
Nastíněný případ však odporuje logice a účelu právní úpravy ochrany osobních údajů – ten jistě nespočívá v tom, založit možné ochromení běžných obchodních transakcí a dalších v praxi běžných postupů. Je tak zcela bez diskuze, že v modelovém případě bude moci správce provádět zpracování osobních údajů i po odvolání souhlasu se zpracováním osobních údajů subjektem údajů, a to z důvodu splnění smlouvy, který je prakticky totožně upraven v čl. 7 písm. b) směrnice, § 5 odst. 2 písm. b) ZOOÚ a čl. 6 odst. 1 písm. b) GDPR.
Z uvedeného taktéž vyplývá, že vyžadováním souhlasů se zpracováním osobních údajů v nedůvodných případech a případným řešením jejich odvolání subjekty údajů, správci zbytečně vynakládají prostředky (finanční, časové aj.), které by mohli upotřebit jinde.
Závěr
I když byl souhlas se zpracováním osobních údajů zařazen na pomyslné první místo zákonnosti zpracování jak ve směrnici, tak v ZOOÚ a také v GDPR, nelze z toho usuzovat, že má nějaké privilegované postavení mezi důvody zpracování osobních údajů. Ano, z nešťastně zvoleného znění § 5 odst. 2 ZOOÚ by bylo možné usuzovat na to, že souhlas se zpracováním osobních údajů hraje prim, to však autoři příspěvku vyloučili argumenty uvedenými výše.
Pokud by i přes uvedené chtěli správci využívat souhlas se zpracováním osobních údajů jak v případech, kdy ho není třeba, tak v případech, kdy je jediným důvodem ke zpracování osobních údajů, je nezbytné je upozornit na skutečnost, že s příchodem přímé použitelnosti GDPR dostane souhlas se zpracováním osobních údajů nový „kabát“. Ten bude spočívat v mnohem přísnějších náležitostech takového souhlasu – GDPR vyjmenovává celou řadu vlastností, které bude muset naplňovat (svobodný, konkrétní, informovaný atd.). Taktéž lze upozornit správce na to, že i souhlasy udělené před přímou použitelností GDPR budou muset po 25. 5. 2018 splňovat veškeré náležitosti kladené na ně právě GDPR.
[1] K tomu blíže viz rozhodnutí Úřadu pro ochranu osobních údajů ze dne 4. 6. 2013, č. j. UOOU-01652/13-13.
Diskuze k článku ()