V květnu tomu bude rok, co se evropská společnost více či méně ochotně přizpůsobila nařízení o ochraně osobních údajů, anglicky General Data Protection Regulation (GDPR).1 💬 Ačkoliv toto nařízení ve většině případů pouze navázalo na dosavadní evropská pravidla pro ochranu osobních údajů, některé nové povinnosti a přísnější sankce vyvolaly bez nadsázky celosvětový rozruch.
Důvodem je v první řadě široká působnost nařízení. Vztahuje se totiž i na subjekty mimo Evropskou unii za předpokladu, že v EU působí nebo zpracovávají údaje občanů členských států. Totéž platí i pro ustanovení upravující výše sankcí za porušení. Dnem účinnosti nařízení tak například přestaly být pro Evropany dočasně dostupné některé americké webové stránky, a v Austrálii se dokonce začalo debatovat, zda by i tam nemělo dojít k rozšíření ochrany osobních údajů po vzoru GDPR.
V evropských zemích pak po celý minulý rok probíhala informační smršť. Pořádalo se nesčetně školení, publikovalo tisíce článků a e-mailové schránky nás všech se plnily žádostmi o udělení nových souhlasů.
Celá oblast ochrany osobních údajů i profese, které se jí věnují, zažily nevídaný rozmach. I přes tuto pozornost, které se nařízení dostalo, však v praxi stále přetrvává řada výkladových nejasností. V tomto článku přinášíme jedinečné shrnutí zkušeností a postřehů právních poradců Deloitte Legal nejen v České republice, ale také z Pobaltí či regionu středovýchodní Evropy, které Deloitte Legal již dříve vydal formou reportu pod názvem The GDPR: Six Months After Implementation.2 💬
Úskalí dobrovolnosti
Jedním z nejčastějších problémů je přílišné nadužívání souhlasů ke zpracování osobních údajů. Příčinou tohoto problému je pravděpodobně nepochopení základních konceptů GDPR. Pokud existuje jiný právní důvod pro zpracování osobních údajů, jako například plnění smlouvy, oprávněný zájem správce nebo zákonná povinnost, není vyžádání souhlasu tím správným postupem.
Podmiňuje-li navíc obchodník poskytnutí služby či zboží udělením souhlasu k takovému zpracování osobních údajů, které jinak není pro poskytnutí dané služby nebo zboží nutné, svědčí to o tom, že souhlas nebyl udělen dobrovolně. Jenže podmínku dobrovolnosti právě nařízení vyžaduje.
Každý má přitom právo udělený souhlas odvolat. Pokud o to dotyčný požádá, musí být správce schopen rozlišit, jaké údaje zpracovával na základě ostatních právních důvodů a jaké na základě souhlasu. Následně by měl svého zákazníka či klienta informovat o tom, jaké údaje bude i nadále zpracovávat. Například odvolání souhlasu k zasílání nejrůznějších informací nezbavuje správce povinnosti dodávat zboží podle smlouvy, a to bez zpracování některých údajů nejde.
Pokud také správce informuje subjekt, že údaje zpracovává na základě souhlasu, ačkoliv mu taková povinnost už plyne ze zákona, neplní řádně svou informační povinnost.
Nadužívání souhlasů uvádí i český Úřad pro ochranu osobních údajů jako jeden z deseti nejčasnějších omylů při výkladu GDPR.3 💬 Zároveň je tento problém ukázkou toho, že určité výkladové nejasnosti existovaly i před účinností nařízení. Nadužíváním souhlasů se totiž úřad zabýval i před platností nařízení.4 💬
Chcete číst dál?
Ještě na vás čeká 70 % článku.
S předplatným získáte
- Web Ekonom.cz bez reklam
- Možnost sdílet prémiový obsah zdarma (5 článků měsíčně)
- Možnost ukládat si články na později