Přihlásit Registrovat
728 x 90

Jak získat souhlas ke zpracování osobních údajů?

Jak získat souhlas ke zpracování osobních údajů?

Zasíláte svým zákazníkům e-mailem informace o nových produktech? Máte souhlas s tímto zasíláním zahrnutý v obchodních či všeobecných podmínkách a odsouhlasením těchto podmínek podmiňujete nákup? To už nebude od května možné.

Je důležité si uvědomit, že souhlas je jedním ze šesti zákonných důvodů, které opravňují ke zpracování osobních údajů. Většinu z nich však použijete pro splnění právních povinností uložených jinými zákony, typicky vedení personální agendy, archivaci účetních dokladů apod. nebo v souvislosti s plněním ze smlouvy.

Ovšem v případě, že byste rádi subjekty obeslali e-mailovým zpravodajem s nabídkou vašich produktů či služeb, budete jen těžko moci uplatňovat některý z právních titulů zmíněných výše, budete totiž potřebovat souhlas subjektu údajů.

V současné době jste jistě pro zasílání obchodních sdělení využívali titul plnění ze smlouvy, tedy typicky vztah dodavatele a zákazníka, případně i souhlas, který byl udělen na základě prostého potvrzení se zasíláním obchodních sdělení. Tento přístup již však nebude od nabytí účinnosti GDPR možný.

Pokud tedy budete chtít zasílat svým zákazníkům obchodní nabídky, bude nutné mít souhlas, nový, kvalifikovaný. I Obecné nařízení o ochraně osobních údajů předpokládá přechod souhlasu, avšak s podmínkou, že souhlas byl udělen způsobem a v souladu s podmínkami GDPR.

To může být někdy v praxi problematické, jelikož v minulosti získávaný souhlas ne vždy bude plně splňovat podmínky stanovené v čl. 7 GDPR. Například podmínku odlišitelnosti souhlasu (souhlas nesmí být neoddělitelnou součástí obchodních podmínek) či podmínku také nepodmiňovat poskytnutí služby vyžadováním udělení souhlasu se zpracováním osobních údajů.

On totiž často starý souhlas byl udělen za stavu, kdy jej nešlo odmítnout. To GDPR však zásadně mění, čl. 7/4 GDPR. V tom bude zřejmě hlavní problém starých souhlasů, a je tedy nutné vzít v úvahu fakt, že souhlas vynucený tím, že nešlo dále pokračovat, je neplatný.

Další z věcí, která bude asi také každému chybět, je část týkající se poučení subjektu údajů, ovšem tento dodatek o právech subjektu údajů by teoreticky bylo možné doplnit tak, že bude ve formě informačního memoranda umístěn například na webu společnosti. Subjekt údajů pak akorát musí dostat informaci o umístění tohoto dodatku (obvyklým komunikačním kanálem) i s uvedením práva na odvolání svého souhlasu.

Toto poučení nijak nemění práva subjektu údajů a pouze je upřesňuje způsobem, který nemá žádný právní dopad na samotný subjekt údajů. Další chybějící části je však nutné posoudit zvlášť.

Tedy není až tak podstatné, co je obsahem souhlasu, to se dá upravit, či doplnit, avšak vynucený souhlas není souhlasem, a je tak nutné si vyžádat souhlas nový.

Kvalifikovaný souhlas

Co by měl nový, resp. kvalifikovaný souhlas obsahovat? Pojďme si jednotlivé části tohoto souhlasu rozebrat. Souhlas se zpracováním osobních údajů, tak aby vyhovoval principům GDPR musí být:

Prokazatelný

Jako správce osobních údajů nesete důkazní břemeno ohledně udělení souhlasu, tzn., že musíte využít všech dostupných prostředků k ověření pravosti souhlasu, abyste byli schopni tento souhlas prokázat.

Například v případě vyžádání si souhlasu formou e-mailů některé společnosti nabízející aplikace pro zasílání e-mailingových zpráv přijali technické řešení spočívající v zaslání ověřovacího e-mailu na uvedenou adresu s odkazem pro potvrzení. V případě udělení souhlasu po telefonu se pak zase bude jednat o nahrávku apod.

Dobrovolný

Dobrovolnost nebo také nepodmíněnost je reakcí na častou praxi, kdy docházelo ke spojování a podmiňování souhlasů. Vznikaly tak situace, kdy nebylo možné provést nákup bez potvrzení zcela abstraktního souhlasu se zpracováním osobních údajů.

V mnoha případech se jednalo o skryté souhlasy, které byly součástí všeobecných obchodních podmínek, ve kterých pak byl někde hluboko zakotven souhlas se zpracováním osobních údajů a zároveň i se zasíláním obchodních sdělení.

Jednoznačný v účelu a rozsahu

Souhlas musí být transparentní, tedy uvedený samostatně a dostatečně jasně, nikoliv tedy skrytě ve všeobecných obchodních podmínkách. Musí být také zcela jasné, za jakým účelem osobní údaje subjekty údajů poskytují a v jakém rozsahu budou zpracovávány.

Tedy, když subjekt údajů poskytne souhlas čistě se zasíláním obecných obchodních sdělení a za tímto účelem poskytne také svou e-mailovou adresu, znamená to, že správce může použít pro zasílání obchodních sdělení pouze tento údaj a v uvedeném rozsahu.

Pokud byste však chtěli subjektům údajů posílat personalizované zprávy podle toho, jaké produkty si prohlédly na vašich webových stránkách, museli byste mít jejich souhlas i k tomuto.

Jednoznačný projev vůle

Opět se zde odkazuje na všeobecnou praxi o ukrytých souhlasech ve všeobecných obchodních podmínkách. Dle GDPR platí, že souhlas musí být udělen jednoznačným projevem vůle osoby.

Z tohoto projevu tak musí být zjevné, že osoba skutečně chtěla udělit souhlas se zpracováním osobních údajů, nikoli že pouze vyjadřovala souhlas, resp. uzavřela smlouvu, případně, že nesouhlas nevyjádřila.

Informovaný

Existence informovanosti subjektu údajů platí již dnes. GDPR také specifikuje, že subjekt, který uděluje souhlas, musí vědět, komu konkrétně tento souhlas uděluje, subjekt údajů musí být také informován o účelu a rozsahu zpracování.

Při získání souhlasu musí být také uvedeno označení konkrétního správce, případně i zpracovatelů, kteří budou mít přístup k osobním údajům a především jak konkrétně budou údaje použity. A to tak, aby příjemce obchodních sdělení věděl, kdo, co a v jakém rozsahu mu bude zpravodaje posílat.

Zvláštní důraz je pak kladen na upozornění na jakékoliv zpracování probíhající mimo území EU. Zvláště v případě využívání cloudových služeb je nutné dát pozor na to, že data mohou opustit EU. Není také přípustné, aby tyto informace byly skryté ve všeobecných podmínkách.

Subjekt údajů musí mít také možnost souhlas odvolat, což samozřejmě znamená i odvolání souhlasu se zasíláním obchodních sdělení. Odvolat souhlas musí být stejně snadné jako jej poskytnout, tedy mělo by být umožněno jej odvolat stejným způsobem, jako jej bylo možné poskytnout, tedy elektronicky, telefonem, písemně…

I přes skutečnost, že se na první pohled jedná o komplikovaná pravidla, nejde o žádnou novinku. GDPR přesněji stanoví zavedená pravidla a důsledněji trvá na jejich dodržování. Přitom zejména klade důraz na transparentnost a větší informovanost subjektu údajů.

Cílem je bezpochyby validace adresářů tak, aby se při zasílání obchodních sdělení předešlo zahlcování e-mailových schránek subjektu údajů nevyžádanými zprávami, což jistě povede k vedení adresářů s výrazně méně adresami, zato však kvalitními a se souhlasy, které by odpovídaly GDPR.

Zanechte komentář

Pro přidání komentáře se přihlaste.

Rychlé zprávy

  • Jednotný kurz za rok 2023

    22. 02. 2024 |

    Fyzické osoby, které nevedou účetnictví a mají příjmy či výdaje v cizí měně, mohou použít pro přepočet cizí měny jednotný kurz. Jednotný kurz za rok 2023 byl vyhlášen ve Finančním zpravodaji číslo 1/2024. Například pro euro činí 23,97 Kč, pro dolar 22,14 Kč. Pro přepočet cizích měn, které nejsou uvedené v kurzovním lístku, se použije přepočet přes třetí měnu, kterou si mezi sebou poplatníci dohodnou. Případně je možné využít služeb znalců se specializací na devizovou problematiku.

Rychlé zprávy ►

Kurzovní lístek

vlajka EU
Načítám hodnoty
vlajka USA
Načítám hodnoty
Více ▼

Užitečné informace

Účetní souvztažnosti Majetkové daně Účetní slovníček Vzory smluv Výpočet čisté mzdy Cestovní náhrady
Portál POHODA
 | 

Nahoru

Copyright © 2024 STORMWARE s.r.o. Jakékoliv užití obsahu včetně převzetí a šíření článků a fotografií je bez souhlasu STORMWARE s.r.o. zakázáno.
Změna nastavení cookies