Využíváme cookies pro zajištění snadnějšího použití našich webových stránek. Pokračováním v prohlížení webu předpokládáme, že s tím souhlasíte. Rozumím Více informací

Jak získat souhlas ke zpracování osobních údajů?


Mgr. Tomáš Prchal
28. 3. 2018
Vytisknout článek Odeslat článek mailem Diskuse k článku

Pokud budete chtít obesílat vaše zákazníky e-mailovým zpravodajem s nabídkou produktů, budete potřebovat jejich souhlas.

Foto: 123RF

 

Zasíláte svým zákazníkům e-mailem informace o nových produktech? Máte souhlas s tímto zasíláním zahrnutý v obchodních či všeobecných podmínkách a odsouhlasením těchto podmínek podmiňujete nákup? To už nebude od května možné.


 
Je důležité si uvědomit, že souhlas je jedním ze šesti zákonných důvodů, které opravňují ke zpracování osobních údajů. Většinu z nich však použijete pro splnění právních povinností uložených jinými zákony, typicky vedení personální agendy, archivaci účetních dokladů apod. nebo v souvislosti s plněním ze smlouvy.

Ovšem v případě, že byste rádi subjekty obeslali e-mailovým zpravodajem s nabídkou vašich produktů či služeb, budete jen těžko moci uplatňovat některý z právních titulů zmíněných výše, budete totiž potřebovat souhlas subjektu údajů.

V současné době jste jistě pro zasílání obchodních sdělení využívali titul plnění ze smlouvy, tedy typicky vztah dodavatele a zákazníka, případně i souhlas, který byl udělen na základě prostého potvrzení se zasíláním obchodních sdělení. Tento přístup již však nebude od nabytí účinnosti GDPR možný.

Pokud tedy budete chtít zasílat svým zákazníkům obchodní nabídky, bude nutné mít souhlas, nový, kvalifikovaný. I Obecné nařízení o ochraně osobních údajů předpokládá přechod souhlasu, avšak s podmínkou, že souhlas byl udělen způsobem a v souladu s podmínkami GDPR.

To může být někdy v praxi problematické, jelikož v minulosti získávaný souhlas ne vždy bude plně splňovat podmínky stanovené v čl. 7 GDPR. Například podmínku odlišitelnosti souhlasu (souhlas nesmí být neoddělitelnou součástí obchodních podmínek) či podmínku také nepodmiňovat poskytnutí služby vyžadováním udělení souhlasu se zpracováním osobních údajů.

On totiž často starý souhlas byl udělen za stavu, kdy jej nešlo odmítnout. To GDPR však zásadně mění, čl. 7/4 GDPR. V tom bude zřejmě hlavní problém starých souhlasů, a je tedy nutné vzít v úvahu fakt, že souhlas vynucený tím, že nešlo dále pokračovat, je neplatný.

Další z věcí, která bude asi také každému chybět, je část týkající se poučení subjektu údajů, ovšem tento dodatek o právech subjektu údajů by teoreticky bylo možné doplnit tak, že bude ve formě informačního memoranda umístěn například na webu společnosti. Subjekt údajů pak akorát musí dostat informaci o umístění tohoto dodatku (obvyklým komunikačním kanálem) i s uvedením práva na odvolání svého souhlasu.

Toto poučení nijak nemění práva subjektu údajů a pouze je upřesňuje způsobem, který nemá žádný právní dopad na samotný subjekt údajů. Další chybějící části je však nutné posoudit zvlášť.

Tedy není až tak podstatné, co je obsahem souhlasu, to se dá upravit, či doplnit, avšak vynucený souhlas není souhlasem, a je tak nutné si vyžádat souhlas nový.

Kvalifikovaný souhlas

Co by měl nový, resp. kvalifikovaný souhlas obsahovat? Pojďme si jednotlivé části tohoto souhlasu rozebrat. Souhlas se zpracováním osobních údajů, tak aby vyhovoval principům GDPR musí být:

Prokazatelný

Jako správce osobních údajů nesete důkazní břemeno ohledně udělení souhlasu, tzn., že musíte využít všech dostupných prostředků k ověření pravosti souhlasu, abyste byli schopni tento souhlas prokázat.

Například v případě vyžádání si souhlasu formou e-mailů některé společnosti nabízející aplikace pro zasílání e-mailingových zpráv přijali technické řešení spočívající v zaslání ověřovacího e-mailu na uvedenou adresu s odkazem pro potvrzení. V případě udělení souhlasu po telefonu se pak zase bude jednat o nahrávku apod.

Dobrovolný

Dobrovolnost nebo také nepodmíněnost je reakcí na častou praxi, kdy docházelo ke spojování a podmiňování souhlasů. Vznikaly tak situace, kdy nebylo možné provést nákup bez potvrzení zcela abstraktního souhlasu se zpracováním osobních údajů.

V mnoha případech se jednalo o skryté souhlasy, které byly součástí všeobecných obchodních podmínek, ve kterých pak byl někde hluboko zakotven souhlas se zpracováním osobních údajů a zároveň i se zasíláním obchodních sdělení.

Jednoznačný v účelu a rozsahu

Souhlas musí být transparentní, tedy uvedený samostatně a dostatečně jasně, nikoliv tedy skrytě ve všeobecných obchodních podmínkách. Musí být také zcela jasné, za jakým účelem osobní údaje subjekty údajů poskytují a v jakém rozsahu budou zpracovávány.

Tedy, když subjekt údajů poskytne souhlas čistě se zasíláním obecných obchodních sdělení a za tímto účelem poskytne také svou e-mailovou adresu, znamená to, že správce může použít pro zasílání obchodních sdělení pouze tento údaj a v uvedeném rozsahu.

Pokud byste však chtěli subjektům údajů posílat personalizované zprávy podle toho, jaké produkty si prohlédly na vašich webových stránkách, museli byste mít jejich souhlas i k tomuto.

Jednoznačný projev vůle

Opět se zde odkazuje na všeobecnou praxi o ukrytých souhlasech ve všeobecných obchodních podmínkách. Dle GDPR platí, že souhlas musí být udělen jednoznačným projevem vůle osoby.

Z tohoto projevu tak musí být zjevné, že osoba skutečně chtěla udělit souhlas se zpracováním osobních údajů, nikoli že pouze vyjadřovala souhlas, resp. uzavřela smlouvu, případně, že nesouhlas nevyjádřila.

Informovaný

Existence informovanosti subjektu údajů platí již dnes. GDPR také specifikuje, že subjekt, který uděluje souhlas, musí vědět, komu konkrétně tento souhlas uděluje, subjekt údajů musí být také informován o účelu a rozsahu zpracování.

Při získání souhlasu musí být také uvedeno označení konkrétního správce, případně i zpracovatelů, kteří budou mít přístup k osobním údajům a především jak konkrétně budou údaje použity. A to tak, aby příjemce obchodních sdělení věděl, kdo, co a v jakém rozsahu mu bude zpravodaje posílat.

Zvláštní důraz je pak kladen na upozornění na jakékoliv zpracování probíhající mimo území EU. Zvláště v případě využívání cloudových služeb je nutné dát pozor na to, že data mohou opustit EU. Není také přípustné, aby tyto informace byly skryté ve všeobecných podmínkách.

Subjekt údajů musí mít také možnost souhlas odvolat, což samozřejmě znamená i odvolání souhlasu se zasíláním obchodních sdělení. Odvolat souhlas musí být stejně snadné jako jej poskytnout, tedy mělo by být umožněno jej odvolat stejným způsobem, jako jej bylo možné poskytnout, tedy elektronicky, telefonem, písemně…

I přes skutečnost, že se na první pohled jedná o komplikovaná pravidla, nejde o žádnou novinku. GDPR přesněji stanoví zavedená pravidla a důsledněji trvá na jejich dodržování. Přitom zejména klade důraz na transparentnost a větší informovanost subjektu údajů.

Cílem je bezpochyby validace adresářů tak, aby se při zasílání obchodních sdělení předešlo zahlcování e-mailových schránek subjektu údajů nevyžádanými zprávami, což jistě povede k vedení adresářů s výrazně méně adresami, zato však kvalitními a se souhlasy, které by odpovídaly GDPR.

Diskuse k článku

Zatím žádný komentář.

Přidat nový příspěvek do diskuse

Přihlásit k odběru




 
 
Security code 
 

Firmy v Pohodě
 
1.bilanční s.r.o.
Firma poskytující komplexní ekonomický a účetní servis.
www.danovypoplatnik.cz

Geodézie Pardubice s.r.o.
Geodetické práce v katastru nemovitostí a inženýrské geodezii
www.geodeziepce.cz

Daňový kalendář

20. 7. 2018 Měsíční odvod úhrnu sražených záloh na daň z příjmů fyzických osob ze závislé činnosti
20. 7. 2018 Daňové přiznání MOSS (2. čtvrtletí 2018)
25. 7. 2018 Kontrolní hlášení (za červen 2018 a 2. čtvrtletí 2018)
25. 7. 2018 Přiznání DPH (za červen 2018)

Další termíny

Kurzovní lístek

25,92 Kč
0,065 Kč
22,37 Kč
0,100 Kč

Více
Zdroj: ČNB, 19.07.2018

Ze života daňového poradce


Přihlášení k odběru newsletteru