Čo sú osobné údaje? Kedy je súhlas na ich spracúvanie nevyhnutný a naopak kedy nie je potrebný? Aká forma súhlasu je akceptovateľná a aké požiadavky musí súhlas na spracúvanie osobných údajov podľa GDPR od 25. 5. 2018 spĺňať?
GDPR (General Data Protection Regulation) sa v súčasnosti stala jednou z najčastejšie skloňovaných skratiek. Ide sa o nariadenie Európskeho Parlamentu a Rady (EÚ) 2016/679 pre ochranu osobných údajov, ktoré je od 25. 5. 2018 účinné v členských štátoch EÚ. Definuje nové pojmy, zavádza nové práva pre fyzické osoby a povinnosti pre subjekty spracúvajúce osobné údaje fyzických osôb, najmä vzhľadom na rýchly rozvoj kyber-kriminality.
V podmienkach SR sa uvedené nariadenie GDPR premietlo do nového zákona č. 18/2018 Z. z. o ochrane osobných údajov účinného od 25. 5. 2018, ktorý nahradil dovtedy platný zákon č. 122/2013 Z. z. o ochrane osobných údajov.
Čo sú osobné údaje podľa GDPR?
Podľa európskeho nariadenia GDPR (čl. 4 bod 1) sú osobnými údajmi akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (tzv. dotknutá osoba).
Za identifikovateľnú fyzickú osobu sa považuje osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom:
- na identifikátor (meno, priezvisko, identifikačné číslo, lokalizačné údaje, online identifikátor) alebo
- na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby.
Jednoducho povedané, osobnými údajmi sú len také údaje, na základe ktorých možno fyzickú osobu identifikovať, prípadne aj také, na základe ktorých sa fyzická osoba stáva identifikovateľnou.
Za osobné údaje fyzickej osoby sa považujú napríklad:
- titul, meno, priezvisko, vek
- adresa trvalého či prechodného pobytu
- dátum narodenia, rodné číslo
- telefónne číslo, e-mail (ktorý je dostatočne určitý – napr. pozostáva z reálneho mena a priezviska fyzickej osoby)
- biometrické údaje (snímok tváre, odtlačok prsta)
- IP adresa, identifikátor mobilného zariadenia
- súbory cookies a i.
Technické údaje ako IP adresa či cookies však patria medzi osobné údaje len za predpokladu, že umožňujú identifikáciu konkrétnej fyzickej osoby (napr. IP adresuje možné použiť na zistenie, kde sa konkrétna fyzická osoba nachádza).
Za osobné údaje sa nepovažuje napríklad názov, sídlo a identifikačné číslo obchodnej spoločnosti. To sú údaje, ktoré sú verejne dostupné v príslušných registroch.
Kedy podľa GDPR ide o spracúvanie osobných údajov?
Spracúvaním osobných údajov sa podľa GDPR (čl. 4 bod 2) rozumie operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov, napríklad:
- získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie osobných údajov,
- zmena, vyhľadávanie, prehliadanie, využívanie osobných údajov,
- poskytovanie osobných údajov prenosom, šírením alebo iným spôsobom,
- preskupovanie alebo kombinovanie osobných údajov,
- obmedzenie, vymazanie alebo likvidácia osobných údajov,
bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami.
Čo je súhlas so spracúvaním osobných údajov podľa GDPR?
GDPR (čl. 4 bod 11) definuje čo treba rozumieť pod pojmom súhlas dotknutej osoby. Ide o akýkoľvek slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týka.
Aké požiadavky musí súhlas so spracúvaním osobných údajov podľa GDPR spĺňať?
GDPR pred súhlasom dotknutej osoby uprednostňuje iné právne základy na spracúvanie osobných údajov (napr. osobitný zákon alebo zmluvu). Pokiaľ však má byť na spracúvanie osobných údajov použitý len súhlas, GDPR jasne ustanovuje spôsob udelenia súhlasu dotknutou osobou na spracúvanie jej osobných údajov.
Ako vyplýva z vyššie uvedenej definície súhlas dotknutej osoby so spracúvaním osobných údajov musí v súlade s GDPR od 25. 5. 2018 byť:
- slobodný,
- konkrétny,
- informovaný a
- jednoznačný.
Súhlas so spracúvaním osobných údajov musí byť slobodný
To znamená, že fyzická osoba, ktorá súhlas poskytuje, musí mať reálnu možnosť výberu. Ak dotknutá osoba nemá skutočne na výber (napr. bola k súhlasu donútená), súhlas nie je platný.
Súhlas so spracúvaním osobných údajov musí byť konkrétny (určitý)
Zo súhlasu získaného dotknutou osobou musí byť bezpochyby zrejmé, za akým účelom sú osobné údaje poskytované a tiež v akom rozsahu budú daným subjektom spracúvané. Subjekt, ktorý osobné údaje dotknutej osoby spracúva vo vlastnom mene je označovaný ako prevádzkovateľ (napr. podnikateľ, orgán štátnej správy). V prípade, že osobné údaje dotknutej osoby majú byť spracúvané na viac účelov, súhlas by mal byť poskytnutý pre každý z nich.
Príklad: E-shop lekáreň ako prevádzkovateľ získal na základe predchádzajúcej objednávky zákazníka (napr. objednávky na vitamíny) súhlas tohto zákazníka na zasielanie bežných obchodných ponúk na jeho osobný e-mail, tzv. propagačných e-mailov. Podnikateľ teda môže osobný e-mail tohto zákazníka ďalej využívať iba pre tento účel, teda pre zasielanie ponúk podobných produktov, ako tých, čo predtým zákazník kúpil, t. j. vitamínov (súhlas sa nevyžaduje, lebo právnym základom spracúvania osobných údajov zákazníka je oprávnený záujem prevádzkovateľa). Ak by však podnikateľ chcel tomuto zákazníkovi posielať aj propagačné e-maily s ponukou iných jeho produktov (napr. voľnopredajných liekov), ktorá priamo nesúvisí s už skôr dodanými produktmi (vitamínmi) alebo s ponukou jeho služieb (napr. dermatologické poradenstvo), o ktorých predpokladá, že by mohli tohto zákazníka osloviť, musí pre tento ďalší účel získať súhlas tohto zákazníka.
Súhlas so spracúvaním osobných údajov musí byť informovaný
Aby bola táto požiadavka splnená, je nevyhnutné vopred (pred získaním súhlasu) dotknutej osobe poskytnúť základné informácie napríklad o:
- totožnosti a kontaktných údajoch prevádzkovateľa,
- druhu údajov, ktoré budú spracovávané,
- účele spracúvania, na ktoré sú osobné údaje určené, aj právny základ spracúvania,
- práve kedykoľvek súhlas odvolať a podať sťažnosť dozornému orgánu,
- dobe uchovávania osobných údajov,
- možných rizikách prenosu osobných údajov do tretích krajín.
Uvedené informácie by mali byť formulované stručne, jednoducho a zrozumiteľne. Nemali by sa teda využívať zdĺhavé a nezrozumiteľné vety či súvetia právnej terminológie a tiež by sa tieto informácie nemali ukrývať vo všeobecných obchodných podmienkach.
Poskytnutie takýchto základných informácií ešte pred samotným získaním súhlasu dotknutej osoby je dôležité najmä preto, aby sa táto osoba mohla slobodne rozhodnúť, či súhlas udelí a tiež, aby chápala na čo súhlas danému subjektu vlastne udeľuje.
Súhlas so spracúvaním osobných údajov musí byť jednoznačný
Táto požiadavka kladie dôraz na to, aby pri udelení súhlasu neexistovali žiadne pochybnosti o tom, že dotknutá osoba súhlasí so spracúvaním svojich osobných údajov. Preto musí ísť o vyhlásenie alebo úkon, ktorý jasne znamená, že dotknutá osoba súhlasí s navrhovaným spracúvaním jej osobných údajov.
Súhlas so spracúvaním osobných údajov nesmie byť súčasťou všeobecných obchodných podmienok podnikateľa, zmluvy ani žiadnej internej smernice. Taktiež nesmie byť podmienený poskytnutím nejakej služby alebo dodaním tovaru.
Forma súhlasu so spracúvaním osobných údajov podľa GDPR
GDPR pre súhlas so spracúvaním osobných údajov neustanovuje žiadnu predpísanú formu. Avšak uvádza, že súhlas musí byť odlíšený od iných skutočností (aby sa zabránilo situácii, že ho dotknutá osoba prehliadne) a musí byť vyjadrený jasne, v zrozumiteľnej a ľahko dostupnej forme.
Nakoľko je však prevádzkovateľ povinný súhlas získaný dotknutou osobou preukázať, nepostačuje v praxi získanie súhlasu len v ústnej forme (aj keď je to platný spôsob udelenia súhlasu, z dôvodu jeho preukázania je potrebné ho napríklad nahrať). Do úvahy teda prichádza hlavne písomná forma súhlasu (listinná alebo elektronická). Pri tzv. elektronickom súhlase musí byť súhlas na spracúvanie osobných údajov poskytnutý vedomým úkonom dotknutej osoby. Najčastejšie sa to realizuje zakliknutím políčka s príslušným textom: „Súhlasím so spracovaním osobných údajov“ (napr. pri registrácii na webovej stránke podnikateľa).
V prípade súdneho sporu dôkazné bremeno na preukázanie platného súhlasu dotknutej osoby a tiež splnenia si informačnej povinnosti pred získaním súhlasu viazne vždy na prevádzkovateľovi.
Príklady platne a neplatne udeleného súhlasu
Platne udelený súhlas | Neplatne udelený súhlas |
---|---|
V zmysle GDPR by malo byť z udeleného súhlasu zrejmé:
- kto súhlas udelil (označenie dotknutej osoby),
- komu sa súhlas udelil (označenie prevádzkovateľa)
- účel, na ktorý sa súhlas udelil,
- v akom rozsahu sa súhlas udelil (rozsah osobných údajov, ktoré budú spracúvané),
- právo dotknutej osoby súhlas odvolať,
- doba platnosti súhlasu,
- aké informácie dostala dotknutá osoba pred udelením súhlasu,
- aký spôsobom sa súhlas udelil (písomne či elektronicky),
- kedy sa súhlas udelil (dátum udelenia súhlasu).
Kedy sa podľa GDPR súhlas na spracúvanie osobných údajov vyžaduje?
Súhlas dotknutej osoby je jedným z právnych základov, na základe ktorého môžu byť osobné údaje spracúvané. Prevádzkovateľ teda môže spracúvať osobné údaje dotknutej osoby, ak táto vyjadrila (udelila) súhlas so spracúvaním svojich osobných údajov aspoň na jeden konkrétny účel.
Najčastejšie sa na základe súhlasu dotknutej osoby spracúvajú osobné údaje napríklad pri marketingovej komunikácii, vernostných programoch, pri prevádzkovaní e-shopov alebo pri organizovaní spotrebiteľskej súťaže či zverejňovaní fotografií na webových stránkach.
Ako sme už vyššie uviedli, GDPR pred súhlasom dotknutej osoby uprednostňuje iné právne základy na spracúvanie osobných údajov (napr. osobitný zákon alebo zmluvu). To znamená, že súhlas ako právny základ pre spracúvanie osobných údajov je až poslednou možnosťou ako osobné údaje zákonne spracúvať. Teda až vtedy, keď iný právny základ nie je možné nájsť, môže si prevádzkovateľ vyžiadať od dotknutej osoby súhlas so spracúvaním jej osobných údajov.
Kedy sa podľa GDPR súhlas na spracúvanie osobných údajov nevyžaduje?
Prevádzkovateľ môže osobné údaje spracúvať bez súhlasu dotknutej osoby, ak je ich spracúvanie nevyhnutné:
- na splnenie zákonnej povinnosti prevádzkovateľa, t. j. osobné údaje sa spracovávajú na základe osobitného zákona (napr. Zákonníka práce, zákona o sociálnom poistení) alebo medzinárodnej zmluvy, ktorou je SR viazaná
Príklad: Zamestnávateľ má po uzatvorení pracovnej zmluvy so zamestnancom povinnosť prihlásiť ho do Sociálnej a zdravotnej poisťovne. Takéto prihlásenie do poisťovní určujú osobitné zákony - o sociálnom poistení a o zdravotnom poistení. V danom prípade sa tak súhlas zamestnanca ako dotknutej osoby, ktorej osobné údaje sa spracúvajú, nevyžaduje.
- na účely plnenia zmluvy, ktorej zmluvnou stranou je dotknutá osoba
Príklad: Zákazník si z e-shopu objednal oblečenie. Prevádzkovateľ tohto e-shopu si na účel spracovania jeho objednávky a dodania tovaru nemusí vyžiadať súhlas tohto zákazníka ako dotknutej osoby, pretože v danom prípade je spracúvanie osobných údajov nevyhnutné na plnenie kúpnej zmluvy. Prevádzkovateľ tak môže spracúvať tie údaje, ktoré sú nevyhnutné na výkon kúpnej zmluvy (meno a priezvisko, doručovaciu adresu, číslo kreditnej karty a i.).
- na ochranu životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby (napr. života, zdravia či majetku)
Príklad: Fyzická osoba mala závažnú dopravnú autonehodu. Nemocnica, v ktorej je táto osoba liečená, nepotrebuje súhlas pacienta na vyhľadanie občianskeho preukazu za účelom zistenia, či sa tento pacient nachádza v databáze nemocnice.
- na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi
Príklad: Slovenská komora advokátov ako profesijné združenie, ktorému bola udelená úradná právomoc, môže viesť disciplinárne konanie proti niektorým svojim členom.
- na účel oprávneného záujmu, ktorý sleduje prevádzkovateľ alebo tretia strana (o oprávnený záujemide vtedy, ak medzi prevádzkovateľom a dotknutou osobou už existujenejaký vzťah, napríklad pracovnoprávny)
Príklad: Spoločnosť AB s.r.o. má na území SR viacero prevádzok (pobočiek), v ktorým zamestnáva niekoľko fyzických osôb. Jej oprávneným záujmom je teda vnútorný prenos osobných údajov zamestnancov medzi jednotlivými pobočkami. Preto sa na spracovanie osobných údajov zamestnancov medzi týmito pobočkami nebude vyžadovať ich súhlas.
Na záver zdôrazňujeme, že dotknutá osoba, ktorá súhlas na spracúvanie jej osobných údajov udelila, ho môže kedykoľvek odvolať. Odvolanie súhlasu musí byť také jednoduché ako jeho poskytnutie. Všetky súhlasy získané do účinnosti GDPR a nového zákona o ochrane osobných údajov sú na ďalej platné len, ak spĺňajú všetky vyššie uvedené požiadavky podľa GDPR a nového zákona. V opačnom prípade je nutné, aby si prevádzkovatelia od dotknutých osôb vyžiadali nové súhlasy alebo zvolili iný právny základ na spracúvanie osobných údajov.
Ako sú slovenské firmy pripravené na GDPR? Pozrite si reláciu Poďme k veci na tému GDPR - nový míľnik v ochrane súkromia alebo zbytočná byrokracia?