Skupina WP29 vydala další vodítka k výkladu ustanovení, které přináší již brzy účinné (25.5.2018) Nařízení o ochraně osobních údajů (GDPR). Tentokrát se Working Party zaměřila na podrobnou interpretaci institutu souhlasu. Souhlas je jedním právních základů pro zpracovávání osobních údajů. Je třeba opakovaně uvést, že souhlas je z pohledu GDPR méně preferovaným právním základem pro zpracování, přičemž nařízení dává jasnou přednost zákonným důvodům jiným.
Definice souhlasu se zpracováním je obsažena v článku 4 odst. 11 GDPR: „Souhlas je svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.“
Konkrétní prvky potřebné pro platnost souhlasu tedy jsou: svobodnost, určitost, informovanost, jednoznačnost. Working Party se vyjádřila k jednotlivým prvkům takto:
Svoboda udělení souhlasu – subjektům údajů musí být poskytnuta možnost skutečného výběru, rozhodnutí a následné kontroly nad uděleným souhlasem, jinak souhlas nebude platný. Pokud je nutné v rámci služby provádět více zpracování pro více účelů, je nutné udělit konkrétní souhlas vždy pro každou konkrétní operaci odděleně. „Generální“ souhlas pro více sloučených účelů zpracování by byl neplatný. Je nepřípustné, aby zpracování osobních údajů na základě souhlasu bylo určitou formou protislužby za plnění smlouvy. Potencionálním odmítnutím souhlasu nesmí subjekt údajů utrpět újmu, správce musí být vždy schopen prokázat, že služba umožňuje odvolat souhlas bez jakýchkoliv negativních důsledků. Pro zpracování osobních údajů veřejnými orgány nebo zaměstnavatelem by měly být téměř výlučně používány zákonné důvody.
Určitost souhlasu – určitost souhlasu má zajistit možnost kontroly a transparentnosti zpracování osobních údajů. Požadavek určitosti je naplněn, pokud je jasně stanoven účel zpracování, souhlas je udělován pro každou oddělenou operaci zvlášť a informace týkající se udělení souhlasu jsou zřetelně vymezeny od ostatních informací. Získání platného souhlasu musí předcházet stanovení určitého, výslovně vyjádřeného a legitimního účelu pro zamýšlené činnosti zpracování. V žádosti správce o souhlas k několika různým účelům by měly být dány samostatně na výběr možnosti (především udělení souhlasu odmítnout) pro každý jednotlivý účel.
Informovanost subjektu údajů – souhlas musí být informovaný. V praxi je vyžadováno několik náležitostí, aby souhlas tuto podmínku splňoval. Informace musí být podána o: totožnosti správce, účelu každé z operací zpracování, pro které je žádáno o souhlas, druhy údajů, které budou zpracovány, existence práva odvolat souhlas, informace o případném profilování, případné náležitosti při předávání informací. Seznámit se s informacemi nesmí být pro dotčený subjekt údajů nijak obtížné, sdělení musí být jasné, srozumitelné a pokud možno stručné. Neúplné, nepřesné nebo vůbec neposkytnuté informace mají za následek neplatnost udělení souhlasu.
Jednoznačnost souhlasu – z jednání dotčeného subjektu údajů musí být zcela zřejmé, že daný souhlas je jím udělen. Musí jít o aktivní konání subjektu, konkludentnost udělení je vyloučena. Z jednání také musí být zřejmé ke kterému konkrétnímu zpracování se vztahuje.
Specifická forma souhlasu, souhlas udělený elektronicky – v případě, kdy je souhlas se zpracováním udělován elektronicky, by takové udělení mělo být pro uživatele co nejméně zatěžující. Vzhledem k tomu, že mnoho digitálních služeb vyžaduje osobní údaje pro svou funkci, panuje obava, že neustálé udělování může vést k jisté míře tzv. „klikací únavy“. V praxi poté uživatel (potencionální subjekt údajů) souhlas dává instinktivně, bez toho, aby si byť jen částečně podmínky přečetl. Jedním z možných řešení nastíněných WP29 je získání souhlasu vycházející z nastavení prohlížeče.
GDPRochrana údajůosobní údajeWP29
GDPR: Pracovní skupina WP29 k souhlasům se zpracováním
16.2.2018
Nezařazené
Comments Off on GDPR: Pracovní skupina WP29 k souhlasům se zpracováním
Jaroslav Tajbr
Skupina WP29 vydala další vodítka k výkladu ustanovení, které přináší již brzy účinné (25.5.2018) Nařízení o ochraně osobních údajů (GDPR). Tentokrát se Working Party zaměřila na podrobnou interpretaci institutu souhlasu. Souhlas je jedním právních základů pro zpracovávání osobních údajů. Je třeba opakovaně uvést, že souhlas je z pohledu GDPR méně preferovaným právním základem pro zpracování, přičemž nařízení dává jasnou přednost zákonným důvodům jiným.
Definice souhlasu se zpracováním je obsažena v článku 4 odst. 11 GDPR: „Souhlas je svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.“
Konkrétní prvky potřebné pro platnost souhlasu tedy jsou: svobodnost, určitost, informovanost, jednoznačnost. Working Party se vyjádřila k jednotlivým prvkům takto:
Svoboda udělení souhlasu – subjektům údajů musí být poskytnuta možnost skutečného výběru, rozhodnutí a následné kontroly nad uděleným souhlasem, jinak souhlas nebude platný. Pokud je nutné v rámci služby provádět více zpracování pro více účelů, je nutné udělit konkrétní souhlas vždy pro každou konkrétní operaci odděleně. „Generální“ souhlas pro více sloučených účelů zpracování by byl neplatný. Je nepřípustné, aby zpracování osobních údajů na základě souhlasu bylo určitou formou protislužby za plnění smlouvy. Potencionálním odmítnutím souhlasu nesmí subjekt údajů utrpět újmu, správce musí být vždy schopen prokázat, že služba umožňuje odvolat souhlas bez jakýchkoliv negativních důsledků. Pro zpracování osobních údajů veřejnými orgány nebo zaměstnavatelem by měly být téměř výlučně používány zákonné důvody.
Určitost souhlasu – určitost souhlasu má zajistit možnost kontroly a transparentnosti zpracování osobních údajů. Požadavek určitosti je naplněn, pokud je jasně stanoven účel zpracování, souhlas je udělován pro každou oddělenou operaci zvlášť a informace týkající se udělení souhlasu jsou zřetelně vymezeny od ostatních informací. Získání platného souhlasu musí předcházet stanovení určitého, výslovně vyjádřeného a legitimního účelu pro zamýšlené činnosti zpracování. V žádosti správce o souhlas k několika různým účelům by měly být dány samostatně na výběr možnosti (především udělení souhlasu odmítnout) pro každý jednotlivý účel.
Informovanost subjektu údajů – souhlas musí být informovaný. V praxi je vyžadováno několik náležitostí, aby souhlas tuto podmínku splňoval. Informace musí být podána o: totožnosti správce, účelu každé z operací zpracování, pro které je žádáno o souhlas, druhy údajů, které budou zpracovány, existence práva odvolat souhlas, informace o případném profilování, případné náležitosti při předávání informací. Seznámit se s informacemi nesmí být pro dotčený subjekt údajů nijak obtížné, sdělení musí být jasné, srozumitelné a pokud možno stručné. Neúplné, nepřesné nebo vůbec neposkytnuté informace mají za následek neplatnost udělení souhlasu.
Jednoznačnost souhlasu – z jednání dotčeného subjektu údajů musí být zcela zřejmé, že daný souhlas je jím udělen. Musí jít o aktivní konání subjektu, konkludentnost udělení je vyloučena. Z jednání také musí být zřejmé ke kterému konkrétnímu zpracování se vztahuje.
Specifická forma souhlasu, souhlas udělený elektronicky – v případě, kdy je souhlas se zpracováním udělován elektronicky, by takové udělení mělo být pro uživatele co nejméně zatěžující. Vzhledem k tomu, že mnoho digitálních služeb vyžaduje osobní údaje pro svou funkci, panuje obava, že neustálé udělování může vést k jisté míře tzv. „klikací únavy“. V praxi poté uživatel (potencionální subjekt údajů) souhlas dává instinktivně, bez toho, aby si byť jen částečně podmínky přečetl. Jedním z možných řešení nastíněných WP29 je získání souhlasu vycházející z nastavení prohlížeče.
GDPRochrana údajůosobní údajeWP29