4. Súhlas so spracovaním osobných údajov
Jedným zo šiestich právnych základov pre spracovanie osobných údajov aj v rámci právnej úpravy GDPR zostáva súhlas dotknutej osoby. Tento právny základ bude v mnohých právnych vzťahom asi najčastejšie používaným právnym základom a nakoľko GDPR spresňuje jeho používanie a to najmä stanovením náležitostí súhlasu, vyžaduje si táto právna úprava v rámci GDPR osobitnú pozornosť.
Základom právnej úpravy súhlasu so spracovaním osobných údajov sú jeho štyri náležitosti a to:
- Súhlas musí byť udelený slobodne.
- Musí byť dostatočne určitý.
- Musí byť udelený subjektom, ktorý bol dostatočne informovaný o jeho obsahu.
- Zo súhlasu musí jednoznačne vyplývať želanie dotknutej osoby, aby jej osobné údaje boli spracované, a to buď jednoznačným vyhlásením, alebo jednoznačným konaním.
Slobodným je súhlas, ak ide o slobodnú voľbu subjektu, ktorý súhlas dáva, pričom subjekt musí mať nad súhlasom absolútnu kontrolu. Subjekt udeľujúci súhlas nesmie v prípade jeho neudelenia „pocítiť“ žiadne negatívne dôsledky. Len týmto môže byť jeho slobodná vôľa naozaj zaručená. Taktiež nesmie byť súhlas so spracovaním osobných údajov uvedený vo všeobecných obchodných podmienkach, ktoré nie sú predmetom dojednávania, ale sú dané ako nezmeniteľné.
Osobitne je potrebné sa venovať problematike nerovnosti moci subjektov, ktorá je riešená priamo v ods. 43 GDPR[1]. GDPR v texte sa priamo zameriava na nerovnosť subjektov, ak je správcom osobných údajov orgán verejnej moci, kedy takýto orgán bude zo svojej samotnej podstaty vždy v pozícii silnejšieho subjektu. Avšak aj zo samotného konceptu vyplýva, že v obdobnom postavení bude aj zamestnávateľ vo vzťahu k zamestnancovi.
Práve z uvedeného dôvodu je možné vyhodnotiť, že súhlas so spracovaním osobných údajov udelený vo vzťahu zamestnanec – zamestnávateľ, bude z hľadiska právnej úpravy GDPR problematický. S týmto stanoviskom sa stotožňuje aj WP29, ktorá v rámci svojho stanoviska k súhlasu dotknutej osoby uvádza, že „vzhľadom na vzniknutú závislosť vo vzťahu medzi zamestnávateľom a zamestnancom je nepravdepodobné, že dotknutá osoba môže zamietnuť jeho / jej zamestnávateľovi súhlas so spracovaním osobných údajov bez toho, aby zažili strach alebo skutočné riziko škodlivých účinkov ako dôsledku odmietnutia. Je nepravdepodobné, že by zamestnanec mohol slobodne reagovať na žiadosť o súhlas svojho zamestnávateľa, napríklad na aktiváciu monitorovacích systémov, ako je monitorovanie pracoviska kamerami, alebo vyplniť formuláre hodnotenia bez toho, aby cítil tlak. Preto WP29 považuje pre zamestnávateľov za problematické spracovávať osobné údaje aktuálneho alebo budúcich zamestnancov na základe súhlasu, pretože je nepravdepodobné, že by boli takéto súhlasy slobodne poskytnuté. Pre väčšinu z nich takéto spracovanie údajov v práci, zákonný základ nemôže a nemal by byť súhlasom zamestnancov (článok 6 ods. 1a) vzhľadom na povahu vzťahu medzi zamestnávateľom a zamestnancom.“
Z uvedeného dôvodíme, že súhlas ako právny základ na spracovanie osobných údajov v zásade v pracovnoprávnom vzťahu v praxi nebude možné využívať. Aj keď WP29 vo svojom vodítku uvádza, že sa nejedná o absolútny zákaz použitia súhlasu ako právneho základu pre spracovanie osobných údajov v pracovnoprávnom vzťahu a že môžu existovať situácie kedy je možné súhlas použiť, tak samotný príklad[2], ktorý pre takéto použitie uvádza, naznačuje, že pôjde len o situácie, ktoré sa priamo pracovného vzťahu netýkajú. Samotná reštriktívnosť úpravy GDPR je tak ešte umocnená názorom WP29, ktorý bude v praxi jedným zo základných výkladových dokumentov.
Sloboda udelenia súhlasu sa musí prejaviť aj v tom, že takýto súhlas musí byť udelený spôsobom, ktorý subjekt, ktorý súhlas udeľuje, nebude tlačiť k takémuto udeleniu, a to či už napríklad jeho zapracovaním vo všeobecných obchodných podmienkach, alebo podmienením plnenia zmluvy udelením súhlasu so spracovaním osobných údajov.
Súhlas musí mať aj možnosť rozdeliť ho na jednotlivé účely spracovania osobných údajov. Účel spracovania osobných údajov je jeden z kľúčových pojmov GDPR, ktorý definuje čo je cieľom správcu osobných údajov a kam teda smeruje ich spracovanie. Nie je vylúčené, aby jeden súhlas obsahoval viacej účelov spracovania, avšak subjekt musí mať možnosť tieto účely zadefinovať aj individuálne, aby bola splnená podmienka, že súhlas bol udelený slobodne.
Správca taktiež musí v procese, v ktorom sa súhlas udeľuje, veľmi jednoznačne subjektu, ktorý súhlas udeľuje demonštrovať, že v prípade, ak aj súhlas odmietne udeliť, nebude ho nijakým spôsobom sankcionovať. Pričom správca nie je oprávnený ani žiadnym spôsobom zvýhodniť subjekty, ktoré súhlas so spracovaním osobných údajov poskytnú.
Určitosť súhlasu je ďalším aspektom, ktorý je nevyhnutné splniť pre to, aby mohol byť takýto súhlas považovaný za zákonne udelený.
Určitosť znamená, že súhlas, ktorý subjekt udeľuje musí spĺňať niekoľko podmienok, a to:
a) Musí jednoznačne vyjadriť účel na ktorý sa súhlas udeľuje.
b) Musí obsahovať možnosť, aby bol udelený len na niektorý z účelov.
c) Informácie k udeleniu súhlasu musia byť oddelené od iných informácii.
Informácie k udeleniu súhlasu sú ďalším z dôležitých aspektov pre to, aby bol súhlas považovaný za platne udelený v zmysle GDPR.
WP29 vypracovalo zoznam informácii, ktoré je potrebné subjektu poskytnúť pre to, aby bolo možné považovať subjekt za dostatočne informovaný, a teda aj súhlas za platne udelený, pričom ide o nasledovné informácie:
a) identita správcu,
b) účel spracovania, na ktorý sa súhlas má vzťahovať,
c) aký typ osobných údajov sa bude za účelom spracovania zbierať a používať,
d) existencia práva neudeliť súhlas,
e) informácia či budú osobné údaje použité na profilovanie, a/alebo automatizované rozhodovanie,
f) ak sa súhlas týka aj prevodu osobných údajov, informácie o rizikách takéhoto prevodu.
Rozsah a podmienky poskytnutia týchto informácii vychádzajú zo zásady transparentnosti, ktorú je možné identifikovať naprieč celým GDPR.
Informácie, ktoré subjektu správca poskytuje, musia byť písané zrozumiteľne a jednoduchým jazykom. Informácie musia obsahovať jednoduchú možnosť identifikácie správcu údajov aj účelu spracovania.
Zo zásady transparentnosti vychádza aj požiadavka, aby boli informácie k udeleniu súhlasu oddelené od iných informácii. Týmto spôsobom by sa malo zabrániť, aby správcovia zneužili záplavu informácii za účelom zahltiť subjekt dlhými textami a naopak upriamiť jeho pozornosť na informácie týkajúce sa jeho súhlasu so spracovaním osobných údajov.
Novým prístupom z pohľadu poskytovania informácii je nutnosť ich prispôsobenia publiku, ktoré má byť cieľovou skupinou spracovania osobných údajov.
Správca by teda mal prispôsobiť jazyk, ktorým vyjadruje príslušné informácie tak, aby napríklad v prípade, ak bude zbierať údaje o maloletých, títo tieto informácie mohli pochopiť aj v ich veku.
Správca je tiež povinný pri poskytovaní informácii zohľadniť nosič na ktorom sa informácie a súhlas podávajú. Inak je potrebné pristúpiť k podaniu informácii, ak sa podávajú elektronicky a inak, ak sa nachádzajú v papierovej forme.
Formu je potrebné zohľadniť aj pre naplnenie kritéria jednoznačného prejavu vôle. V tomto kritériu je tiež badať aspekt slobody udelenia súhlas keď váha sa dáva najmä tomu, aby si subjekt bol jednoznačne vedomý, že súhlas udeľuje a v akom rozsahu ho udeľuje. Práve aj z tohto dôvodu je nutné zdôrazniť, že súhlas daný omisívne je z pohľadu GDPR absolútne vylúčený.
Pri klasický právnych úkonoch by mohlo možné tento aspekt naplniť, ak by samotný subjekt takýto súhlas formuloval, avšak v praxi to takto často nebude možné, ani vhodné aplikovať.
Z uvedených dôvodov aj WP29 definuje, ako by mal takýto postup udelenia súhlasu vyzerať, a to aj čo spôsobu a formy.
Najčastejšou formou súhlasu, ktorá sa bude v praxi vyskytovať bude pravdepodobne elektronický súhlas.
V prípade elektronického súhlasu sa v zmysle vyššie spomenutého aspektu prejavu vôle vylučuje, aby bol súhlas udelený formou vopred zaškrtnutého políčka, ako sa v praxi často dialo.
Na druhej strane aj WP29 uvádza, že sa počíta s tým, že elektronicky udelený súhlas môže byť udelený najnovšími technologickými postupmi vrátane kývania do kamery, alebo pohybom mobilného telefónu, avšak takto udelený súhlas musí byť zaznamenateľný a musí byť aj spätne dohľadateľné, že subjekt udelil takýto súhlas s vedomým, že takto prejavená vôľa smeruje k udeleniu tohto súhlasu.
5. Záver
GDPR podľa nášho názoru nie je možné nazývať revolúciou v oblasti ochrany osobných údajov, ide však celkom jednoznačne o právny predpis, ktorý si zaslúži pozornosť množstva subjektov, pričom sa týka každého zo zamestnávateľov. Väčšina konceptov, ktoré GDPR obsahuje, je však pre subjekty, ktoré mali zosúladené svoje procesy už so Zákonom známa a nevyžaduje radikálny zásah do ich fungovania.
GDPR je však špecifické aj tým, že nie je úplné bežné, aby tak silná právna norma Európskej únie ovplyvnila bežné fungovanie tak veľkého počtu subjektov v rámci Európskej únie.
V praxi tak možno očakávať, že zamestnávatelia budú rozdelení na dve skupiny, a to tú, ktorá doteraz vôbec ochranu osobných údajov neriešila a pre ktorú tak budú opatrenia, ktoré bude povinná zaviesť naozaj revolučné, a tú, ktorá len modifikuje doteraz správne nastavené procesy zodpovedajúce Zákonu tak, aby zodpovedali aj právnej úprave GDPR, pričom témy, ktoré sú pomerne detailne analyzované v tomto článku budú rezonovať ako najpodstatnejšie rozdiely oproti doterajšej právnej úprave.
[1] Aby sa zabezpečilo, že súhlas sa poskytol slobodne, súhlas by nemal byť platným právnym dôvodom na spracúvanie osobných údajov v konkrétnom prípade, ak medzi postavením dotknutej osoby a prevádzkovateľa existuje jednoznačný nepomer, najmä ak je prevádzkovateľ orgánom verejnej moci, a preto nie je pravdepodobné, že sa súhlas poskytol slobodne za všetkých okolností danej konkrétnej situácie. Súhlas sa nepovažuje za poskytnutý slobodne, ak nie je možné dať samostatný súhlas na jednotlivé spracovateľské operácie osobných údajov napriek tomu, že by to bolo v konkrétnom prípade vhodné, alebo ak sa plnenie zmluvy vrátane poskytnutia služby podmieňuje takýmto súhlasom, aj keď to na takéto plnenie nie je takýto súhlas nevyhnutný.
[2] Filmový štáb bude natáčať v určitej časti kancelárie. Zamestnávateľ požiada všetkých zamestnancov, ktorí sedia tejto oblasti na ich súhlas s filmovaním, pretože sa môžu objaviť na videu. Tí, ktorí nechcú byť filmovaní, nie sú penalizovaní žiadnym spôsobom, ale sú im pridelené iné pracovné stoly v budove.
Diskuze k článku ()