Stále mě překvapuje, jak firmy nadužívají souhlasy ke zpracování osobních údajů. Podle starého zákona o ochraně osobních údajů se užívání souhlasů dalo ještě pochopit, protože souhlas byl zdánlivě preferovaným důvodem pro zpracování osobních údajů. Podle znění GDPR je souhlas „pouze“ jedním z důvodů zpracování osobních údajů.
Zákon č. 101/2000 Sb., o ochraně osobních údajů stanovil doslova, že správce může zpracovávat osobní údaje pouze se souhlasem subjektu údajů. Poté vypočítával další důvody, kdy je možné osobní údaje zpracovávat i bez souhlasu. Proto se firmy snažily mnohdy získat souhlas se zpracováním osobních údajů, a pokud to z nějakého důvodu nebylo možné, hledaly v zákoně další důvody zpracování.
Přestože tuto praxi kritizoval Úřad pro ochranu osobních údajů a upozorňoval na rovnocennost důvodů zpracování, nemohl se po přečtení zákona nikdo divit, že byl souhlas preferován.
V čem je nadbytečný souhlas problematický?
Každý z důvodů zpracování má svá specifika a své využití. Podle důvodu zpracování se liší i práva subjektu údajů, která má vůči správci. Souhlas se zpracováním může subjekt údajů kdykoliv odvolat a požádat o výmaz osobních údajů. Pokud se tomu tak stane, a Vy potřebujete osobní údaje z jiného důvodu uchovávat, můžete mít v případě výmazu problémy s finančním úřadem. Nebo nedokážete (např. u soudu) že si u Vás subjekt údajů objednal zboží. Jestliže osobní údaje nevymažete a budete je dál zpracovávat, abyste se problémům vyhnuli, uvedli jste subjekt údajů v omyl ohledně jeho práv.
Jaký důvod byste měli použít?
GDPR uvádí šest důvodů zpracování. Tyto důvody jsou rovnocenné. Než začnete sepisovat souhlas se zpracováním osobních údajů, zamyslete se nad zejména následujícími otázkami:
Existuje nějaký předpis, který mi zpracovávání údajů přímo nařizuje (např. zákon o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu, tzv. AML zákon), nebo požaduje uchovávání dokumentů, kde mohou být i osobní údaje (např. zákon o účetnictví)?
Budu muset osobní údaje zpracovávat, i když subjekt údajů souhlas odvolá a požádá o výmaz?
Objednal si zákazník moji službu, nebo zboží a já potřebuji jeho údaje k poskytnutí služby nebo dodávce zboží?
Mohu bez osobních údajů zákazníka zboží nebo službu poskytnout?
Je v mém zájmu nebo v zájmu jiných osob osobní údaje zpracovávat (např. pro zabránění krádežím, finančním podvodům, újmě na zdraví, apod.)?
Pokud si nejste jistí, jaký z důvodů pro zpracování osobních údajů využít a jak správně subjekty údajů informovat o jejich právech, doporučuji se poradit s odborníkem. Ráda s Vámi zkonzultuji zpracování osobních údajů, které ve Vaší firmě provádíte, a zhodnotím, jestli je pro konkrétní zpracování osobních údajů souhlas tím správným důvodem.