Súhlas náš každodenný alebo je súhlas tým najlepším právnym základom na spracovanie osobných údajov?

V súčasnej digitálnej ére, v ktorej osobné údaje predstavujú cennú komoditu, ochrana súkromia získava na dôležitosti viac ako kedykoľvek predtým. S príchodom GDPR (Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679) sa pravidlá spracovania osobných údajov v Európskej únii výrazne zmenili. GDPR kladie prísne povinnosti na spracovateľov osobných údajov, no zároveň ponúka rôzne právne základy na ich spracovanie.

Autor článku sa častokrát stretáva so situáciou, v ktorej mu klient tvrdí, že predsa musí mať súhlas s vykonaním určitej spracovateľskej operácie, lebo tak káže GDPR.  Aj keď súhlas je často považovaný za najbežnejší a najtransparentnejší základ, nie vždy je najvhodnejším riešením a zďaleka nie je jediným využiteľným právnym základom na spracúvanie osobných údajov. Tento článok analyzuje najbežnejšie právne základy spracovania osobných údajov podľa GDPR, so zameraním na súhlas, jeho výhody a nevýhody, a situácie, kedy sú iné právne základy vhodnejšie.

Právne základy spracovania osobných údajov podľa GDPR

Podľa článku 6 GDPR možno spracúvať osobné údaje iba vtedy, ak je splnená aspoň jedna z nasledujúcich podmienok:

1. Súhlas dotknutej osoby – Osoba, ktorej sa údaje týkajú, musí dať dobrovoľný, konkrétny, informovaný a jednoznačný súhlas na spracovanie svojich osobných údajov.

2. Plnenie zmluvy – Spracovanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo na vykonanie opatrení pred uzatvorením zmluvy na žiadosť dotknutej osoby.

3. Plnenie zákonnej povinnosti – Spracovanie je nevyhnutné na splnenie zákonnej povinnosti, ktorá sa vzťahuje na prevádzkovateľa.

4. Ochrana životne dôležitých záujmov – Spracovanie je nevyhnutné na ochranu životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby.

5. Verejný záujem alebo výkon verejnej moci – Spracovanie je nevyhnutné na splnenie úlohy vykonávanej vo verejnom záujme alebo pri výkone verejnej moci, ktorá bola zverená prevádzkovateľovi.

6. Oprávnený záujem – Spracovanie je nevyhnutné na účely oprávnených záujmov prevádzkovateľa alebo tretej strany, pokiaľ nad nimi neprevažujú záujmy alebo základné práva a slobody dotknutej osoby.

Detailnejší pohľad na súhlas

Súhlas dotknutej osoby je často považovaný laikmi za najlepší, či dokonca jediný právny základ spracovania osobných údajov. Tento inštitút je založený na myšlienke, že jednotlivci majú kontrolu nad svojimi údajmi a môžu slobodne rozhodovať, komu ich poskytnú a na aký účel.

Súhlas musí spĺňať nasledovné podmienky:

• Dobrovoľnosť: Osoba musí mať skutočnú možnosť voľby bez nátlaku.

• Konkrétnosť: Súhlas sa musí týkať konkrétneho účelu alebo účelov spracovania.

• Informovanosť: Osoba musí byť informovaná o tom, kto bude spracúvať jej údaje, na aký účel, aké údaje budú spracúvané, etc.

• Jednoznačnosť: Súhlas musí byť vyjadrený jasne a bez pochybností.

Podľa Berthotyho a spol., „Právne perfektný súhlas dotknutej osoby musí:

• umožniť preukázateľne jednoznačným spôsobom vyjadriť dotknutej osobe vedomým konaním (napr. podpisom, zaškrtnutím kontrolného poľa, úpravou online registračného procesu, vytvorením autentizačnej schémy a pod.) nepochybne slobodný súhlas so spracúvaním jej osobných údajov;

• ak bude súhlas získavaný v rámci inkorporácie do konsenzuálneho dvojstranného právneho vzťahu (zmluvy), bude vždy poskytnutý oddelene a jasne odlíšiteľne od iných zmluvných ustanovení;

• ak bude súhlas na účel nesúvisiaci a nezlučiteľný so zmluvným účelom spracúvania osobných údajov získavaný v rámci inkorporácie do konsenzuálneho dvojstranného právneho vzťahu (zmluvy), vždy bude zachovaná možnosť dotknutej osoby neudeliť súhlas bez akéhokoľvek vplyvu na uzatvorenie zmluvy;

• právna formulácia súhlasu bude zrozumiteľná, presná a jednoduchá;

• vždy sa v rámci základnej právnej formulácie súhlasu explicitne uvedie informácia o tom, že dotknutá osoba má právo udelený súhlas kedykoľvek odvolať;

• podniknú sa v praxi také úkony, aby odvolanie súhlasu bolo minimálne také jednoduché, aké bolo jeho udelenie a poskytne sa o tom dotknutej osobe transparentná informácia napríklad v Privacy Policy (napr. ak sa udeľuje súhlas online formou, bude sa musieť dať odvolať tiež online formou – napr. e-mailom).“

(BERTHOTY, Jakub, ZIMEN, Ondrej. KAPITOLA 5 [Právne základy spracúvania osobných údajov]. In: BERTHOTY, Jakub. Všeobecné nariadenie o ochrane osobných údajov. 1. vydanie. Praha: C. H. Beck, 2018, s. 226, marg. č. 70.)

Ďalej podľa Berthotyho a spol., „Súhlas dotknutej osoby so spracúvaním jej osobných údajov nemôže byť získavaný tzv. opt-out metódou, ktorá predpokladá, že súhlas existuje až do momentu, kým dotknutá osoba neuskutoční konkrétne vymedzené kroky na zabránenie spracúvania jej osobných údajov (napr. podanie námietky, zaslanie prázdneho e-mailu, aktivácia URL odkazu na odhlásenie z odberu elektronického obsahu – tzv. unsubscribe a pod.). Opt-out model získavania súhlasu v podstate nie je súhlas podľa Nariadenia. Tento model je však stále použiteľný aj podľa Nariadenia v prípadoch, keď nie je právnym základom súhlas. Napríklad Nariadenie umožňuje spracúvanie osobných údajov na účely priameho marketingu aj na právnom základe oprávneného záujmu, pričom v každom prípade spracúvania osobných údajov na účely priameho marketingu má dotknutá osoba právo na opt-out prostredníctvom námietky podľa článku 21 ods. 2 Nariadenia. To isté platí aj v režime podľa § 62 ods. 3 zákona o elektronických komunikáciách.“ (BERTHOTY, Jakub, ZIMEN, Ondrej. KAPITOLA 5 [Právne základy spracúvania osobných údajov]. In: BERTHOTY, Jakub. Všeobecné nariadenie o ochrane osobných údajov. 1. vydanie. Praha: C. H. Beck, 2018, s. 226, marg. č. 70.)

Nevýhody súhlasu ako právneho základu: Prečo súhlas nie je vždy najlepšie riešenie?

Súhlas ako právny základ spracovania osobných údajov ponúka transparentnosť a jasné povolenie od dotknutej osoby, ale v praxi môže priniesť množstvo komplikácií:

1. Komplexnosť získavania súhlasu: Získanie platného súhlasu môže byť časovo náročné a zložité, najmä ak prevádzkovateľ spracúva údaje na viaceré účely. Tento proces môže viesť k neefektívnosti a zbytočným administratívnym nákladom.

2. Možnosť odvolania súhlasu: Dotknutá osoba má právo svoj súhlas kedykoľvek odvolať. To núti prevádzkovateľa okamžite ukončiť spracúvanie a odstrániť údaje, čo môže spôsobiť stratu cenných informácií a komplikácie v ďalšom spracovaní. Súhlas musí byť vždy dobrovoľný a nepodmienený, takže nemôžeme podmieňovať poskytovanie služby udelením súhlasu so spracúvaním osobných údajov.

3. Nevhodnosť v niektorých situáciách: Súhlas nie je vždy vhodným právnym základom. Napríklad, ak je spracúvanie údajov nevyhnutné na plnenie zákonných povinností alebo ak existuje výrazná nerovnováha moci, ako v pracovnoprávnych vzťahoch, súhlas nemusí byť dostatočným právnym základom.

4. Zložitá administrácia: Správa záznamov o súhlasoch, ich odvolaniach a všetkých súvisiacich interakciách môže predstavovať značnú administratívnu záťaž, najmä pre spracovateľov, ktorí spracúvajú veľké množstvo údajov.

Alternatívne právne základy spracovania osobných údajov

Vzhľadom na nevýhody súhlasu je rozumné zvážiť použitie iných právnych základov spracovania osobných údajov, ktoré môžu byť v niektorých situáciách vhodnejšie, napríklad:

1. Plnenie zmluvy: Ak je spracovanie osobných údajov nevyhnutné na plnenie zmluvy, tento právny základ je často praktickejší než súhlas, pretože poskytuje pevný právny rámec bez potreby získavania súhlasu a bez hrozby jeho odvolania.

2. Plnenie zákonnej povinnosti: Pri spracúvaní údajov, ktoré je vyžadované zákonom (napríklad uchovávanie údajov na daňové účely), je tento právny základ logickejším riešením, než súhlas.

3. Oprávnený záujem: Tento právny základ umožňuje spracovanie údajov, ak je to nevyhnutné na účely oprávnených záujmov prevádzkovateľa alebo tretej strany. Oprávnený záujem však musí byť starostlivo zvážený a vyvážený oproti právam a slobodám dotknutej osoby.

Praktické úvahy: Kedy uprednostniť iné právne základy pred súhlasom?

V praxi sa často stáva, že sa zbytočne vyžaduje súhlas so spracovaním osobných údajov v prípadoch, kedy je vhodnejšie použiť iný právny základ, napríklad plnenie zmluvy. Asi všetci sme už videli zmluvy, ktoré obsahovali (zväčša v záverečných ustanoveniach) ustanovenie o udelení súhlasu na spracovanie osobných údajov. Tento prístup však môže byť problematický, ak dotknutá osoba svoj súhlas počas trvania zmluvného vzťahu odvolá. Ako bude v takej situácii spracovateľ postupovať? Odmietne odvolanie súhlasu a vyhlási, že ho potrebuje na spracúvanie osobných údajov počas trvania zmluvy? Dá sa takýto súhlas považovať za udelený dobrovoľne a nepodmienene, dá sa takýto súhlas považovať za odvolateľný, ako prikazuje GDPR? Nie, v týchto prípadoch je súhlas skutočne veľmi nepraktickým právnym základom.

Plnenie zmluvy ako právny základ 

Pre spracovanie osobných údajov je jednou z najčastejšie využívaných alternatív právny základ - plnenie zmluvy. Tento právny základ umožňuje spracovanie osobných údajov, keď je to nevyhnutné pre splnenie zmluvy medzi prevádzkovateľom a dotknutou osobou, alebo na vykonanie opatrení pred uzatvorením zmluvy.

Výhody plnenia zmluvy ako právneho základu

1. Jednoduchosť a jasnosť: Spracovanie údajov na základe plnenia zmluvy je priamočiare a jednoznačné. Spracovateľ nemusí získavať výslovný súhlas, čo zjednodušuje administratívne procesy.

2. Bez nutnosti súhlasu: Nakoľko tento právny základ nevyžaduje súhlas, vyhnete sa komplikáciám spojeným so zmenou alebo odvolaním súhlasu zo strany dotknutej osoby.

3. Legitímnosť spracovania: Ak je spracovanie nevyhnutné pre splnenie zmluvy, považuje sa za primerané a legitímne, pretože dotknutá osoba očakáva, že údaje budú spracované v súvislosti s plnením dohody (napr. doručenie tovaru, fakturácia).

Nevýhody plnenia zmluvy ako právneho základu

1. Obmedzený rozsah: Plnenie zmluvy môže byť použité iba vtedy, ak je spracovanie údajov skutočne nevyhnutné na splnenie konkrétnej zmluvy alebo na vykonanie predzmluvných opatrení. Ak sa spracovanie údajov týka iných činností, ktoré nie sú priamo spojené so zmluvou, tento právny základ nie je použiteľný.

2. Nejasnosti pri vedľajších aktivitách: Ak spracovateľ chce spracovávať údaje na ďalšie účely, ktoré nesúvisia priamo so zmluvou (napríklad na marketingové účely), musí získať súhlas alebo sa spoliehať na iný právny základ, čo môže spôsobiť komplikácie.

Oprávnený záujem ako právny základ

Oprávnený záujem je ďalším dôležitým právnym základom pre spracovanie osobných údajov podľa GDPR. Tento základ umožňuje spracovateľom údajov spracovávať osobné údaje bez nutnosti získavania súhlasu, pokiaľ je možné preukázať, že oprávnený záujem prevádzkovateľa nezasahuje do práv a slobôd dotknutých osôb. Oprávnený záujem je často využívaný v situáciách, kde je potrebné spracovať údaje dlhodobo alebo na účely, ktoré by inak vyžadovali opakované získavanie súhlasov. Tento právny základ však vyžaduje starostlivé vyhodnotenie, tzv. „balancing test“ (test proporcionality), ktorý zabezpečuje, že práva dotknutých osôb sú dostatočne chránené. Preto je oprávnený záujem obľúbený najmä v prípadoch, kde je potrebné dosiahnuť rovnováhu medzi efektívnosťou spracovania údajov a ochranou súkromia.

Výhody oprávneného záujmu:

1. Flexibilita a kontinuálnosť: Oprávnený záujem umožňuje spracúvať osobné údaje dlhodobo bez nutnosti opätovného získavania súhlasu, pokiaľ sa preukáže, že spracovanie nezasahuje do práv a slobôd dotknutých osôb.

2. Zníženie administratívnej záťaže: Pri oprávnenom záujme nie je potrebné získavať aktívny súhlas od každého jednotlivca, čo znižuje administratívne náklady a zjednodušuje proces spracovania osobných údajov.

3. Zabezpečenie ochrany údajov: Oprávnený záujem si vyžaduje vykonanie tzv. „balancing testu“ (testu proporcionality), kde sa hodnotí rovnováha medzi záujmami správcu údajov a právami dotknutých osôb, čím sa predchádza zneužitiu osobných údajov.

Nevýhody oprávneného záujmu:

1. Nutnosť dôkladného vyhodnotenia: Správca údajov musí starostlivo zvážiť, či jeho oprávnený záujem nezasahuje do práv a slobôd dotknutých osôb. Tento proces je časovo náročný a vyžaduje podrobnú dokumentáciu a odborné znalosti.

2. Riziko sporu: Ak dôjde k sporu, správca údajov môže čeliť náročnému procesu dokazovania, že oprávnený záujem bol správne vyhodnotený a že nezasahuje do práv dotknutých osôb, čo môže byť zložité a nákladné.

3. Obmedzená použiteľnosť: Oprávnený záujem nie je vhodný pre všetky situácie, najmä ak ide o citlivé osobné údaje alebo prípady, kde sa vyžaduje vysoká úroveň ochrany osobných údajov. Ak dotknutá osoba namieta voči spracúvaniu na účely priameho marketingu, osobné údaje sa už na také účely nesmú spracúvať, to znamená, aj ak by spracovateľ vypracoval test proporcionality, ktorý by mu vyšiel tak, že spracovanie osobných údajov je vyvážené s právami a slobodami dotknutých osôb, nesmie po tejto námietke v ďalšom spracúvaní osobných údajov pokračovať.

Záver

Súhlas je významným právnym základom pre spracovanie osobných údajov, ale nemusí byť vždy najpraktickejším alebo najvhodnejším riešením pre každú situáciu.

Spracovatelia osobných údajov by mali starostlivo posúdiť všetky dostupné právne základy podľa nariadenia GDPR a zvoliť ten, ktorý najlepšie vyhovuje konkrétnym potrebám a okolnostiam spracovania.

Pri rozhodovaní medzi súhlasom, plnením zmluvy, oprávneným záujmom alebo inými právnymi základmi je kľúčové zvážiť všetky aspekty ochrany súkromia a osobných údajov. Ochrana práv a slobôd dotknutých osôb musí byť vždy prioritou. Výber správneho právneho základu preto vyžaduje maximálnu starostlivosť a odborný prístup, aby bol zabezpečený súlad s GDPR a zároveň efektívne spracovanie osobných údajov.

Ako odborník na ochranu osobných údajov vám môžem pomôcť identifikovať najvhodnejší právny základ pre vaše potreby, zabezpečiť súlad s GDPR a ochrániť práva dotknutých osôb.

#GDPR #OchranaOsobnýchÚdajov #OprávnenýZáujem #PlnenieZmluvy #PrávnyZáklad #SúhlasSoSpracovaním #SpracovanieÚdajov #PrávnePoradenstvo #BezpečnosťDát #SpracovanieOsobnýchÚdajov #Podnikanie #Právo #DigitálnaTransformácia #Slovensko