Úřad pro ochranu osobních údajů


International


Vyhledávání

 

GDPR telefonní linka

Základní odkazy


Cesta: Titulní stránka

 

Souhlas se zpracováním osobních údajů

 
 
 

Institut souhlasu se zpracováváním osobních údajů, daného osobou, o níž jsou údaje zpracovávány, je jedním z klíčových ustanovení, zakotvených v právních předpisech evropských zemí, zabezpečujících ochranu osobních údajů. Český zákon (č. 101/2000 Sb., ve znění pozdějších předpisů) jej kodifikuje ve druhém odstavci § 5. Primární zásadou je zde právě zpracování údajů pouze se souhlasem subjektu údajů. O šesti základních výjimkách, kdy je možné zpracování bez souhlasu, hovoří zmíněný odstavec dále pod písmeny a – f. Další náležitosti souhlasu upravují odstavce 4 – 10 citovaného paragrafu. O složitosti poskytování souhlasu svědčí nejen rozsah ustanovení, která jej upravují, ale i fakt, že řadu změn do nich vnesla novela zákona o ochraně osobních údajů, která vstoupila v platnost posledního května letošního roku. Je nutno poznamenat, že některá uvolnění režimu souhlasu pro správce osobních údajů byla přijata i pod vlivem určitých lobby, zejména marketingových společností.

Obdobná je však situace i jinde v Evropě. Diskutuje se o tom, k čemu dát a k čemu nedat souhlas, o prokazatelnosti souhlasu poskytovaného např. prostřednictvím internetu i o dalších aspektech. Na letošní Evropské konferenci komisařů pro ochranu údajů, která se konala v květnu v Aténách, přednesl zajímavý příspěvek na toto téma Michel Gentot, prezident Národní komise pro informatiku a svobody (CNIL), která je francouzskou obdobou našeho Úřadu pro ochranu osobních údajů. Příspěvek, který se soustřeďuje na čtyři základní otázky (k čemu dát souhlas, jak dát souhlas, jak vymezit rozdíl mezi poskytnutím souhlasu a právem nesouhlasit a jak vymezit nutnost poskytnout souhlas, jde-li o obecný zájem), přináší inspirující pohled ze země, která má v ochraně osobních údajů jednu z nejdelších tradic a přece je v mnohém stále na cestě hledání optimálního řešení.

-lh

Z vystoupení Michela Gentota, prezidenta CNIL (Francie) na Evropské konferenci komisařů pro ochranu údajů v Aténách

Evropská konference komisařů pro ochranu údajů
Atény 9. – 11. května 2001

S O U H L A S

Michel GENTOT, prezident CNIL
(Commission Nationale de l´Informatique et des Libertés - Národní komise pro informatiku a svobody)
Francie

Francouzský zákon z 6. ledna 1978 pojednává na rozdíl od evropských směrnic jen velmi okrajově o souhlasu se zpracováním osobních údajů. Tento rozdíl je patrný ve směrnici z 24. října 1995 (Směrnice č.95/46/ES – pozn. překl.) týkající se osobních údajů, podle níž je souhlas jednou ze zásad oprávněnosti zpracování údajů, nebo ve směrnici z 15. prosince 1997 o telekomunikacích, která se o tomto pojmu zmiňuje na několika místech. Lze dodat, že během dvaceti let pracovalo s tímto pojmem pouze jedno ustanovení francouzského zákona, a to v případě citlivých údajů (rasový původ, politická, odborová, náboženská a filozofická příslušnost). Nedávno byla zavedena povinnost získat souhlas pro některá zpracování z oblasti výzkumu, v případě užití „biologického odběru s možností identifikace“ nebo „invazivního výkonu“ (v praxi jde o genetický výzkum nebo odběr krve v rámci klinického pokusu).

Absence pojmu „souhlas“ ve francouzském zákonu o „informatice a svobodách“ je o to více zarážející, že tento pojem je velice pevně spjat se soukromým životem. Ve francouzském právu je požadavek získat souhlas skutečným „zámkem“, který chrání soukromý život. S tímto pojmem se setkáváme v občanském zákoníku (je to právo zobrazení, které může být vykonáno pouze se svolením zainteresovaných osob), v trestním zákoníku (který zakazuje telefonický odposlech nebo nahrávání rozhovorů bez svolení zainteresovaných osob nebo vyfotografování osoby na soukromém místě bez svolení této osoby) a dále ještě v předpisech upravujících trestní řízení (v době předběžného vyšetřování nesmějí být prováděny v bydlišti osoby prohlídky nebo exekuce, s výjimkou výslovného souhlasu osoby, které se věc týká). Příkladů by se dala uvést celá řada.

Dalo by se tedy předpokládat, že tento pojem bude mít své místo v zákoně o ochraně osobních údajů; přesto tam není, až na dvě uvedené výjimky.

To bezpochyby znamená, že zákonodárci, když schvalovali zákon z roku 1978, se domnívali, že zpracování našich osobních údajů daleko překračuje rámec ochrany soukromého života a že se dotýká samotných základů práva. Občan nemůže souhlasit s potlačením záruk, které mu dává právo, tedy společenská smlouva, jež ho, alespoň teoreticky, zakládá.

Jistě vás tedy neudiví, že se Francouz pouští do kritické analýzy tohoto pojmu, byť ve snaze být co nejkonstruktivnější.

Nejdříve se budu na příkladech věnovat čtyřem otázkám:
- k čemu dát souhlas?
- jak dát souhlas?
- vymezení rozdílu mezi poskytnutím souhlasu a právem nesouhlasit
- vymezení rozdílu mezi souhlasem a obecným zájmem.

1  K čemu dát souhlas?

To je jistě otázka, která nás nabádá, abychom byli velmi opatrní. K čemu by byla záruka, že ke zpracování osobních údajů je nutné mít souhlas, pokud by lidé v praxi nevěděli, k čemu svůj souhlas poskytují? Avšak často obava, že ani dokonalá informovanost nevede lidi k odmítnutí souhlasu, nebo určitý „marketingový“ přístup k problému se může podílet na určitém zastření této otázky a nedodržování požadavku získat souhlas.

Uvedu první příklad, se kterým jsme se setkali. Vychází ze směrnice z 24. října 1995. Jde o tok údajů přes hranice. Směrnice uvádí, že na základě výjimky ze zásady odpovídající ochrany se může takový přenos údajů uskutečnit, pokud zainteresovaná osoba „nepochybně poskytla souhlas k přenosu“. Co takový předpis znamená v praxi? Byl souhlas poskytnut, když daná osoba byla informována o účelu přenosu a jeho destinaci (Spojené státy např.), nebo má tento požadavek vést k tomu, že daná osoba bude přesně informována nejen o tom, že její údaje budou převedeny do Spojených států, ale také o tom, že ve Spojených státech neexistuje žádné pravidlo na ochranu osobních údajů, nebo že ji nechrání dostatečně účinně proti zneužití osobních údajů, jejichž přenos se uskutečnil? Cítíme, že v jedné a druhé hypotéze nebude mít souhlas stejný dopad, a zejména, že odpověď na otázku nebude stejná.

Uvedu další příklad. Ve Francii jsme se setkali s praxí některých subjektů, které vytvářejí „megadatabáze“ k marketingovému nebo obchodnímu využití. Tyto subjekty rozdávají v milionech exemplářů dotazníky týkající se našeho nákupního chování, volného času a zálib. Tyto dotazníky obsahují několik stovek dotazů. Jsou rozdávány zdarma a uvádějí, že odpovědi jsou dobrovolné, a obsahují poznámku či sdělení, jímž se má povolit postoupení údajů třetím osobám. Je tohoto znění: „Přeji si obdržet vaším prostřednictvím poukázky na slevy nebo dárky od vašich obchodních partnerů“. Má taková formulace platnost souhlasu? Když dané osoby „souhlasí“ s tím, že dostanou dárky, jsou si plně vědomy, že jejich údaje budou postoupeny, využity, vyprofilovány, někdy jejich vlastní bankou (kterou subjekt, který shromáždil údaje, zná, protože položil otázku přesně k tomuto tématu, nebo jejich telekomunikačním podnikem, atd.)?

CNIL (Národní komise pro informatiku a svobody) se pochopitelně do věci vložila. Chceme, aby tato formulace byla jasnější, aby osoby, které odpovídají v dotaznících s jediným cílem získat finanční výhody, si byly plně vědomy toho, že svými odpověďmi dodávají údaje do databáze, která bude předmětem obchodování.

K tomu, aby bylo možné dát souhlas, je minimálně potřeba mít jasnou a výslovnou informaci. Bez ní by záruka byla pouze léčkou. Z tohoto důvodu a vzhledem k tomu, že jde o problém neobjednaného obchodního průzkumu, se CNIL spíše než teoretickou diskusí srovnávacích výhod „opt-in“ a „opt-out“, zabývá realitou a přesností těchto prvotních informačních poznámek a sdělení o využití údajů. Jedna věc je v této oblasti jasná: sběr e-mailových adres z veřejného prostoru na internetu (diskusní fóra, seznam adresátů) je věcí nekalou a musí být považován za neregulérní; ve všech ostatních případech musí být uživatelé internetu jasně informováni o obchodním využití, ke kterému jejich údaje mohou sloužit, a musí být schopni se proti tomu „on-line“ bránit tím, že jim bude nabídnuto políčko k zaškrtnutí, aby se vyjádřili k dalšímu využití nebo postupování svých údajů k těmto účelům. Musíme přiznat, že tento náhled na věc se nakonec ujal, že většina francouzských internetových operátorů na něj přistoupila. Několik etických a morálních profesních kodexů, které vyšly z doporučení CNIL, stanoví, že na každém formuláři určeném ke sběru osobních údajů, musí existovat políčko, v němž se zaškrtne souhlas nebo nesouhlas. Komise se domnívá, že pokud tento údaj formulář sběru dat neobsahuje, nesmějí být sebrané údaje poskytnuty třetím osobám a jakékoliv postoupení údajů za těchto podmínek představuje trestný čin.

2  Jak dát souhlas?

To je druhá otázka, která je spojena s problémem slušného, poctivého chování, ale také s problémem důkazním.

O porušení zásady poctivého a slušného chování jde v častých případech, když se na formulářích určených ke sběru informací, zejména na internetu, objevuje již zaškrtnuté políčko, které je doplněno formulací typu „souhlasím s tím, aby moje údaje byly předány třetím osobám“. Takové praktiky, které jsou bohužel značně rozšířeny, považujeme za nekalé.

Problém ale může nastat také v případě důkazu o poskytnutí souhlasu: jak může osoba odpovědná za zpracování údajů podat důkaz, že zainteresovaná osoba skutečně souhlasila se zpracováním nebo s postoupením svých údajů.

Pokud je ve Francii požadováno poskytnutí souhlasu, pak zákon uvádí, že souhlas musí být výslovný, což zejména nejvyšší jurisdikce vysvětlovala jako souhlas písemný. To je výhoda při řešení problému, jak podat důkaz o souhlasu. Na internetu je celá věc nepochybně složitější. „Dvojí kliknutí“ může být považováno za projev vůle, když prvním „kliknutím“ byla osoba informována o svých právech a druhým „kliknutím“ souhlasila se znalostí věci.

Tento požadavek důkazu může vést k tomu, že v praxi je poskytován písemný souhlas i v těch případech, kdy výslovný souhlas není požadován. Tak je tomu ve Francii zejména v oblasti lékařského výzkumu, který vyžaduje souhlas jen ve dvou přesně daných situacích (v případě invazivního odběru nebo biologického odběru, který může identifikovat jedince), ne však ve všech situacích. Pacientům jsou ovšem často předkládány informační dokumenty, které se vracejí lékaři s pacientovým podpisem, aby se doložilo, že jeho přispění k lékařské studii nebo výzkumu je zcela dobrovolné.

Musíme však mít na zřeteli, že ani formálně ošetřený postup nemusí vždy znamenat záruku.

Uvedu jen jeden příklad. Na CNIL se nedávno obrátili rodiče dítěte nemocného rakovinou, kterým byl předán materiál, jenž je informoval, že případ jejich dítěte přispěje k výzkumu specifického onemocnění, kterým dítě trpělo. Byl od nich požadován souhlas se zpracování zdravotních údajů dítěte. Materiál byl natolik nejasný, že rodiče, i když proti uvedené možnosti rozhodně nebyli, si zapamatovali pouze jednu věc: že jde o snahu vynutit si jejich souhlas, aniž by byl uveden jeho dopad nebo následky.

Je pravda, že v takových případech je požadovaný podpis rodičů často využíván jako důkaz, aby se předešlo eventuálnímu uplatnění odpovědnosti na lékaři, a takový doklad může někdy připomínat bianko šek nebo „vymáhání“, což je značně vzdálené souhlasu, který má být poskytován dobrovolně.

Tento příklad svědčí o tom, že pokud hovoříme o souhlasu, musíme hovořit o formě, jakou má souhlas mít. Pokud tomu tak není, zůstáváme na poli čiré teorie.

3  Souhlas a právo souhlas neposkytnout

Teoreticky je možné hovořit o poskytnutí souhlasu jen potud, pokud existuje právo souhlas neposkytnout. Tak je tomu např. v případě obchodních průzkumů prováděných telefonicky nebo faxem (od platnosti směrnice z 15. prosince 1997) a elektronického průzkumu zachycováním e-mailů na veřejně přístupných prostorech na internetu. V takovém případě existuje volba, je možné svolit nebo nesvolit, a pokud není souhlas dán, musí být využití těchto prostředků vyloučeno. CNIL při posuzování návrhu zákona o informačních společnostech, který pojednává právě o neobjednaném obchodním průzkumu prováděném elektronickou cestou, využila příležitosti a v zájmu větší efektivnosti záruk navrhla vládě, aby do návrhu zákona zapracovala zvláštní sankci, která by byla vhodná pro internet a spočívala by v pokutě za každou adresu při sběru e-mailů k účelům zjišťování obchodního zájmu z veřejně přístupných prostorů internetu (diskusní fóra, seznam adresátů atd.).

Přesto v četných případech dochází k poskytnutí souhlasu bez možnosti volby.

Tak je tomu zejména v centrálních registrech neplatičů, zvláště u úvěrů na nákup spotřebního zboží. Pokud je spotřebiteli nabízena služba (zřízení mobilní telefonní linky, pronájem auta, úvěr na nákup spotřebního zboží) pouze za podmínky, že bude souhlasit s tím, aby informace o něm byly zaznamenány do centrálního registru přístupného všem subjektům působícím v dané profesi, v případě, že by nehradil všechny splátky půjčky, má spotřebitel opravdu svobodnou volbu odmítnout dát souhlas s šířením údajů o své osobě třetím osobám? Má jinou volbu? Ve Francii zásada bankovního tajemství zakazuje vytváření pozitivních registrů a umožňuje pouze vytváření tzv. „negativních“ registrů, tedy o neplatičích. Aby mohly být negativní registry vytvářeny, musel k tomu vzniknout zákon, alespoň pro bankovnictví, což dokazuje, že za těchto podmínek pouhé poskytnutí souhlasu nestačí.

CNIL učinila v tomto ohledu dva kroky: první iniciativou byla zpráva pro veřejnost a stanovisko k používání registrů v boji proti podvodům v oblasti úvěrů na nákup spotřebního zboží (v níž se požaduje na subjektech působících v tomto oboru, aby vůči spotřebiteli jednaly daleko jasněji, zejména pokud jde o výčet jejich práv); druhou iniciativou bylo, že se Komise oficiálně obrátila na ministra spravedlnosti v otázce četného výskytu „obecných“ registrů neplatičů, tedy takových, které se týkají několika odvětví a které se ve Francii začínají objevovat, zatímco dosud se registry tohoto typu týkaly pouze určitého daného odvětví.

Nedávno jsme dostali stížnost, která poukazuje na problém „poskytnutí souhlasu“ bez možnosti volby. Francouzská dceřiná společnost jednoho amerického podniku požadovala od všech zaměstnanců, aby „svolili“ s přenosem osobních údajů z personálního oddělení do Spojených států, s odvoláním na výjimky uvedené ve směrnici z 24. října 1995. Společnost měla zájem na tom, aby se zbavila povinnosti vypracovat smlouvu o toku údajů přes hranice. Mají zaměstnanci volbu nesouhlasit? Pochopitelně nemají, i přes odvahu toho zaměstnance, který se obrátil se stížností v této věci na CNIL.

Nakonec je třeba zdůraznit, že největší cynikové tvrdí, že nutnost získat souhlas pro ně neznamená žádný problém: pokud povinnost existuje, podrobují se jí a při požadování svolení zároveň nabízejí různé výhody více či méně chimérické, ale pro ně samé většinou málo nákladné: v takovém případě jde o koupi částečně svobodné volby nesouhlasit.

Tyto dva poslední příklady nás mají přivést k otázce, jaké je vymezení mezi souhlasem a obecným zájmem; to bude poslední bod, o němž budu hovořit.

4  Souhlas a obecný zájem

Jde o jednu otázku, která má dva naprosto odlišné aspekty.

Pokud se podporuje myšlenka poskytování souhlasu, neznamená to, že se někdy do jisté míry opouští požadavek veřejného nebo obecného zájmu ve prospěch vůle jedné osoby. Tento problém jasně nastoluje lékařský nebo epidemiologický výzkum. Pokud je ve výslovném zájmu bojovat proti nemoci nebo epidemii a tento boj vyžaduje sběr a zpracování osobních údajů, je oprávněné, aby dané osoby mohly odmítnout, aby jejich údaje byly použity k těmto účelům? V takové formě se otázka může jevit jako provokace.

Přesto se právě o této otázce ve Francii mnoho let velice vášnivě diskutovalo. V nedávné době tato otázka znovu vyvstala při zavedení epidemiologického registru o seropozitivitě HIV. Problémy soukromého života jsou právě v této oblasti obzvláště citlivé. Veřejný zájem však přikazuje, aby dané osoby byly výjimečně zbaveny možnosti zpomalit pokrok výzkumu.

Tato otázka, kterou si klade mnoho vědců, si zaslouží hluboké zamyšlení už proto, že určité způsoby získávání souhlasu jsou v současné době obcházeny, nejsou dostatečně jasné a jsou vytvořené pouze s cílem, aby osoby „nevědomě souhlasily“. Neměl by obecný zájem a důstojnost zainteresovaných osob vést k tomu, aby byla dána přednost solidaritě se znalostí věci před souhlasem, jemuž nepředcházelo vysvětlení?

Je to hlavní otázka, o které bychom chtěli hovořit na pařížské konferenci. Ale je tu ještě jedna a stejně naléhavá.

Neznamená podpora myšlenky poskytování souhlasu zánik záruk veřejného zájmu s odůvodněním, že osoby by beztak souhlasily?

Příklad toku údajů přes hranice na toto riziko poukazuje. Evropská směrnice podmiňuje tok údajů přes hranice požadavkem odpovídajícího zabezpečení a uvádí určité výjimky z tohoto požadavku, z nichž jedna spočívá v souhlasu zainteresovaných osob. Nějaký podnik může např. využít souhlasu (a viděli jsme, za jakých podmínek), aby se zbavil povinnosti odpovídajícího zabezpečení.

Při hodnocení návrhu zákona o internetu, si Komise kladla otázku o ustanovení směrnice z 15. prosince 1997, které povoluje operátorům v odvětví telekomunikací archivovat fakturační údaje po celou dobu, po níž může být vůči faktuře vznesena výhrada. Směrnice také umožňuje operátorům, aby si tyto údaje sami zpracovávali za podmínky, že abonenti k tomu dají svolení. Vyvstává tato otázka: Když je souhlas poskytnut, opravňuje operátora ke zpracování a uchování údajů i po skončení doby, která je nutná k fakturaci? Je to právně možné ? A pokud tomu tak je, je to oprávněné s ohledem na citlivost těchto údajů a na zásadu přiměřenosti, kterou směrnice sleduje?

Může souhlas jedné osoby poškodit nebo zničit obecné záruky? Mohl by někdo souhlasit s tím, aby mu byl odposloucháván telefon nebo aby byl dán do vězení, když by byl nevinen? Tyto tvrdé otázky se týkají více než pojmu poskytnutí souhlasu povahy ochrany, kterou nám v každé zemi poskytuje příslušný zákon o ochraně osobních údajů.

Proto francouzský zákon vydává v některých oblastech skutečné zákazy, aby „souhlas“ neumožňoval takové postupy, které se jeví jako protikladné našim obecným zásadám.

Týká se to zejména použití údajů z lékařských předpisů k obchodním účelům. Tyto informace sice mohou být využívány ke statistickým účelům privátními subjekty (zejména laboratořemi, které dělají výzkum), zákon o zdravotním pojištění však jasně zakotvuje zásadu zákazu obchodního využívání těchto údajů, pokud jsou spojeny s identitou předepisujícího lékaře. Tento zákaz vznikl v době, kdy čím dál tím více soukromých společností nabízelo lékařům se soukromou praxí a lékárníkům vybavení ordinace nebo lékárny výpočetní technikou zdarma za to, že získají vyčerpávající informace o tom, jaké léky jsou předepisovány.

Nedávno se CNIL obrátila na ministra zdravotnictví s požadavkem uplatnění stejné zásady zákazu obchodního využití údajů o zdraví na internetu.

Tyto příklady ukazují, že pokud poskytnutí souhlasu může být v některých případech zárukou, jeho možné obcházení nás má vést k tomu, abychom nepodporovali společnost, v níž by vše – náš soukromý život a naše základní principy – byly zcizitelné.

 

Kontext

Umístění: Složky dokumentů > Mapa stránek > Hlavní menu > Archiv > Zahraničí > Informace ze světa > Souhlas se zpracováním osobních údajů

Zobrazit aktuální dokumenty | archiv dokumentů | dokumenty včetně archivu

 
 

Nacházíte se v módu "Bez grafiky", takže vidíte tuto stránku bez zdobné grafiky a pokročilého formátování. Pokud váš prohlížeč podporuje CSS2, můžete se přepnout do grafického módu.


Copyright © 2013 Úřad pro ochranu osobních údajů. Všechna práva vyhrazena.
web & design , redakční systém