Úřad pro ochranu osobních údajů


International


Vyhledávání

 

GDPR telefonní linka

Základní odkazy


Cesta: Titulní stránka > Hlavní menu > Archiv

 

Stanovisko č. 2/2008 - Souhlas se zpracováním osobních údajů

 

Odkazy


 
 

září 2008, aktualizace červenec 2014[1]


Zpracováním osobních údajů dochází k zásahu do soukromí jejich nositele. Proto směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a s volným pohybem těchto údajů (dále jen „směrnice 95/46/ES“), i zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „zákon o ochraně osobních údajů“) stanoví obecné pravidlo, že zpracování osobních údajů se může zásadně dít pouze se souhlasem jejich nositele, právní terminologií subjektu údajů (s výhradou některých výjimek, v českém právním řádu upravených v § 5 odst. 2 citovaného zákona[2]).

Z tohoto důvodu je institut souhlasu se zpracováním osobních údajů jedním z nejvýznamnějších v celé oblasti ochrany osobních údajů. Směrnice 95/46/ES v čl. 2 písm. h) souhlas upravuje takto: „Pro účely této směrnice se rozumí ´souhlasem dotčené osoby´ jakýkoli svobodný, výslovný a vědomý projev vůle, kterým dotčená osoba přijímá, aby osobní údaje, které se jí týkají, byly předmětem zpracování.“

Zákon o ochraně osobních údajů v § 4 písm. n) stanoví, že pro účely tohoto zákona se rozumí souhlasem subjektu údajů svobodný a vědomý projev vůle subjektu údajů, jehož obsahem je svolení subjektu údajů se zpracováním osobních údajů. Při souhlasu se zpracováním citlivých údajů[3] je úprava odlišná, resp. přísnější. Podle § 9 písm. a) zákona o ochraně osobních údajů je citlivé údaje možné zpracovávat pouze v případě, že subjekt údajů dal ke zpracování výslovný souhlas. Kromě výše uvedených podmínek souhlasu tedy přibývá ještě to, že souhlas musí být výslovný.

Obecně řečeno je poskytnutí souhlasu právním jednáním, a proto je pro posouzení jeho platnosti nutné vzít v potaz i úpravu právních jednání v obecném právním předpisu, jímž je v tomto případě zákon č. 89/2012 Sb., občanský zákoník[4], který upravuje náležitosti právních jednání v § 545 a násl. Ustanovení § 545 definuje, že „právní jednání vyvolává právní následky, které jsou v něm vyjádřeny, jakož i právní následky plynoucí ze zákona, dobrých mravů, zvyklostí a zavedené praxe stran“. V kontextu tohoto stanoviska jsou poté klíčová ustanovení § 547, § 551 až § 554 a § 587 občanského zákoníku, dle kterých musí být právní jednání učiněno svobodně, vážně, určitě a srozumitelně.

Zákon o ochraně osobních údajů, který má jako zvláštní právní předpis před občanským zákoníkem při aplikaci občanskoprávních institutů v něm obsažených přednost, vymezuje náležitosti poskytnutí souhlasu se zpracováním osobních údajů v § 4 písm. n) takto: Souhlas musí být svobodný a dále vědomý.

Jestliže tedy zákon o ochraně osobních údajů k platnosti poskytnutí souhlasu vyžaduje jeho svobodu a vědomost, je rovněž třeba posuzovat, jako u každého právního jednání, i ostatní náležitosti právního jednání stanovené občanským zákoníkem. Aby souhlas se zpracováním osobních údajů byl poskytnut platně, musí mít náležitosti vůle, čili být svobodný a vážný, a tato vůle musí být náležitě, tedy určitě a srozumitelně, projevena a nesmí být v rozporu s dobrými mravy a se zákonem.

Není účelem tohoto stanoviska podat vyčerpávající definici obecných pojmů uvedených v občanském zákoníku, proto pouze stručně:

-     svoboda vůle subjektu údajů, jak ji vyjadřuje § 4 písm. n) zákona o ochraně osobních údajů, nekoresponduje plně s výše citovaným ustanovením § 587 odst. 1 občanského zákoníku. Jelikož je třeba upřednostňovat zákon o ochraně osobních údajů, znamená svoboda vůle svobodu jejího vytvoření; vůle je tedy vytvořena dobrovolně, bez fyzického či psychického donucení. O svobodný a dobrovolný souhlas se však nebude jednat v případě, pokud subjekt údajů bude muset přijmout klauzuli o souhlasu se zpracováním svých osobních údajů, která bude takovou součástí smlouvy, o níž není možno jednat[5],

-     existenci vážné vůle u jednání lze předpokládat z objektivních skutečností, za nichž bylo učiněno, tedy zejména bylo-li učiněno způsobem a za okolností, které nevzbuzují pochybnosti, že subjekt projevující vůli zamýšlel přivodit právní účinky, které zákon s takovým projevem vůle spojuje. Pokud o vážnosti vůle vzniknou pochybnosti, pak je třeba posuzovat konkrétní okolnosti případu a následky jsou přičítány tomu, kdo je svým jednáním způsobil[6]. V tomto kontextu je také důležité uvést, že podle starší judikatury[7] v případě, že jedna strana učiní právní jednání (například poskytne souhlas se zpracováním svých osobních údajů) s vnitřní výhradou, vnitřním rozhodnutím, že toto jednání nemyslí vážně, a druhé straně (tedy tomu, kdo požaduje souhlas ke zpracování osobních údajů) to nemůže být zřejmé, pak tato mentální rezervace nemá žádný právní význam a zpracování osobních údajů této osoby bude plně legální;

-     právní jednání je určité, jestliže je určitý a jednoznačný jeho obsah. O neurčitost se bude jednat i v případě, že projev vůle je po jazykové stránce srozumitelný, ale neurčitost jeho obsahu nelze odstranit a překlenout výkladem;

-     právní jednání je nesrozumitelné, jestliže objektivně posuzováno (tedy ne u konkrétního adresáta právního jednání) ani jeho výkladem nelze zjistit, co jím mělo být, po slovní či jiné stránce, vyjádřeno, v důsledku čehož druhé straně není možno se s tímto sdělením seznámit a pochopit jej (viz též starší judikaturu)[8].      

Absence svobody vůle znamená relativní neplatnost právního jednání, poskytnutí souhlasu, a bude se k ní přihlížet pouze, pokud se jí subjekt údajů dovolá (viz § 587 odst. 1 občanského zákoníku). Absence vážnosti vůle, stejně jako její určitosti a srozumitelnosti má za následek zdánlivé právní jednání, ke kterému se podle § 554 občanského zákoníku nepřihlíží. Takovéto „právní jednání“ nikdy nebylo učiněno, tuto vadu nelze zhojit, resp. nelze ji zhojit jinak než bezvadným právním jednáním novým, který bude splňovat všechny uvedené podstatné náležitosti. Výjimkou je případ upravený v § 553 odst. 2 občanského zákoníku, podle kterého se v případě neurčitosti nebo nesrozumitelnosti k této vadě nepřihlíží, pokud byl projev vůle mezi stranami dodatečně vyjasněn.

Novela zákona o ochraně osobních údajů č. 439/2004 Sb. přinesla do definičních ustanovení § 4 tohoto právního předpisu nově vymezení pojmu souhlas: „Souhlasem subjektu údajů se rozumí svobodný a vědomý projev vůle subjektu údajů, jehož obsahem je svolení subjektu údajů se zpracováním osobních údajů.“ Zákonodárce k tomu v důvodové zprávě uvádí, že zákonná úprava souhlasu má být konformní se směrnicí 95/46/ES, tedy že v případě souhlasu se musí jednat o projev vůle subjektu údajů, jehož obsahem je svobodné, zřejmé a vědomé vyslovení podmínek, za kterých má ke zpracování osobních údajů dojít[9].

Pojem vědomosti souhlasu subjektu údajů se zpracováním jeho osobních údajů je tedy další náležitostí, kterou souhlas musí splňovat, aby byl platný a zpracování osobních údajů legální (v opačném případě bude souhlas od počátku neplatný[10]). Subjekt údajů si při poskytování souhlasu má být vědom, resp. dle okolností je zjevné, že si mohl a měl být vědom, důsledku svého konání, poskytnutí souhlasu se zpracováním svých osobních údajů.  Toto zpracování je očekávaným a předpokládaným důsledkem souhlasu a subjekt údajů s ním vědomě a cíleně souhlasí.

Ten, kdo hodlá zpracovávat osobní údaje (správce), musí dle ustanovení § 5 odst. 4 zákona o ochraně osobních údajů informovat subjekt údajů o tom, jaký je účel zamýšleného zpracování (proč budou osobní údaje zpracovávány, s jakým cílem), jaké osobní údaje budou zpracovávány (konkrétní kategorie údajů a jejich rozsah), kdo je bude zpracovávat (správce se musí jednoznačně identifikovat) a jak dlouho (na jakou dobu je souhlas s tímto konkrétním zpracováním osobních údajů poskytován). Pouze takové zpracování, o němž je subjekt údajů dostatečně poučen, může řádně posoudit a rozhodnout se, zda s ním bude souhlasit[11].

Jestliže má být souhlas v tomto smyslu informovaný, pak uvedené skutečnosti musejí být subjektu údajů sděleny před tím, než souhlas poskytne. Pouze pokud je subjekt údajů před vyjádřením souhlasu informován o těchto náležitostech, může se zpracováním svých osobních údajů řádně souhlasit. 

K povinnosti informovat subjekt údajů o zamýšleném zpracování jeho osobních údajů se rovněž vážou povinnosti správce údajů stanovené v § 11 odst. 1 a 2 zákona o ochraně osobních údajů. V případě shromažďování osobních údajů, které v praxi často následuje bezprostředně po poskytnutí souhlasu se zpracováním, je správce povinen subjekt údajů informovat, jestliže subjektu údajů tyto informace nejsou známy (například díky jeho informování správcem před získáním souhlasu), v jakém rozsahu, pro jaký účel a kým budou shromažďované osobní údaje zpracovávány.

Při shromažďování osobních údajů musí být subjekt údajů dále poučen o tom, komu mohou být jeho osobní údaje zpřístupněny, a také o svých právech dle § 12 a 21 zákona o ochraně osobních údajů. Ustanovení § 12 upravuje povinnost správce poskytnout na žádost subjektu údajů informaci o zpracování jeho osobních údajů, o jeho účelu, o osobních údajích, které jsou předmětem zpracování, včetně informací o jejich zdroji, povaze případného automatizovaného zpracování a o příjemcích osobních údajů, tedy o těch, komu byly osobní údaje subjektu údajů zpřístupněny. Ustanovení § 21 potom zakotvuje právo subjektu údajů požadovat po správci vysvětlení zpracování svých osobních údajů v případě, kdy subjekt zjistil nebo se domnívá, že toto zpracování neprobíhá řádným způsobem, a právo požadovat po správci nápravu tohoto stavu.

Úprava souhlasu se zpracováním citlivých údajů je přísnější. Kromě všech náležitostí souhlasu tak, jak jsou výše uvedeny, musí být tento souhlas dle § 9 písm. a) zákona o ochraně osobních údajů rovněž výslovný. Výslovným je jednání učiněné ústně nebo písemně[12], subjekt údajů tedy musí svými slovy nebo svým podpisem stvrdit, že se zpracováním svých citlivých údajů souhlasí.

U souhlasu se zpracováním osobních údajů, jež citlivé nejsou, podmínka výslovnosti v zákoně o ochraně osobních údajů není stanovena. Takovýto souhlas může být poskytnut i konkludentně, tedy jinak než výslovně. Subjekt údajů například může po obdržení patřičné informace své osobní údaje správci poskytnout, čímž mlčky, ne výslovně, souhlasí s jejich zpracováním. K určení obsahu vůle může totiž sloužit i širší kontext jednání, případně i jednání následného, jestliže je z něho možné na obsah vůle zpětně usuzovat[13].

Zákon o ochraně osobních údajů pro souhlas se zpracováním osobních údajů nestanoví povinnou formu, například písemnou. V této souvislosti je rovněž třeba poukázat na § 5 odst. 4 větu druhou zákona o ochraně osobních údajů, která stanoví, že správce musí být po celou dobu zpracování schopen prokázat, že mu subjekt údajů ke zpracování poskytl svůj souhlas. V případě konfliktní situace, kdy subjekt údajů bude tvrdit, že správce zpracovává jeho osobní údaje bez souhlasu, je tedy důkazní břemeno na straně správce. V tomto případě bude správce povinen prokázat, že subjekt údajů se zpracováním souhlasil a že souhlas splňoval všechny výše uvedené náležitosti.

Závěr
Aby souhlas se zpracováním osobních údajů byl platný a zpracování probíhalo v souladu se zákonem o ochraně osobních údajů, je třeba, aby:

-     splňoval všechny výše uvedené náležitosti právního jednání, aby byl svobodný, vážný, určitý, srozumitelný, zákonný a v souladu s dobrými mravy;

-     ten, kdo souhlas poskytuje, byl předem informován, za jakým účelem, kým, na jak dlouho a konkrétně jaké jeho osobní údaje budou zpracovávány (obecná formulace typu Souhlasím se zpracováním svých osobních údajů dle zákona o ochraně osobních údajů, se kterou se Úřad ve své praxi setkává, je tedy zásadně nevyhovující);

-     v případě očekávaného zpracování citlivých údajů byl učiněn výslovně;

-      byl prokazatelný po celou dobu trvání zpracování.


[1] Podle stavu právních předpisů k 1. lednu 2014.

[2]Jedná se např. o zpracování na základě zákonného zmocnění, zpracování, které je nezbytné pro plnění smlouvy, k ochraně životně důležitých zájmů subjektů údajů atd.

[3] Citlivé údaje směrnice 95/46/ES definuje v čl. 8 odst. 1, zákon o ochraně osobních údajů je taxativně vypočítává v § 4 písm. b); jsou jimi například údaje vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, zdravotním stavu atd.

[4] Srovnej Kučerová, A., Bartík, V., Peca, J., Neuwirt, K., Nejedlý, J.: Zákon o ochraně osobních údajů. Komentář. 1. vyd., Praha, C. H. Beck, 2003.

[5] Pracovní dokument (WP 125) ze dne 26. 9. 2006 o ochraně údajů a důsledcích iniciativy eCall na ochranu soukromí Pracovní skupiny pro ochranu dat podle článku 29 (WP29) směrnice 95/46/ES.

[6] Rozsudek Nejvyššího soudu ze dne 27. května 2004, sp. zn. 30 Cdo 1912/2003.

[7] Např. rozsudek Nejvyššího soudu ze dne 12. srpna 2003, sp. zn. 22 Cdo 290/2003.

[8] Rozsudek Nejvyššího soudu ze dne 16. ledna 2007, sp. zn. 26 Cdo 3294/2006.

[9] Důvodová zpráva k návrhu zákona, kterým se mění zákon o ochraně osobních údajů a který byl vyhlášen pod č. 439/2004 Sb.

[10] Důvodová zpráva k návrhu zákona, kterým se mění zákon o ochraně osobních údajů a který byl vyhlášen pod č. 439/2004 Sb.

[11] Srovnej Matoušová, M., Hejlík, L.: Osobní údaje a jejich ochrana, 2. vyd., Praha, ASPI, 2008.

[12] Madar, Zd. a kol.: Slovník českého práva, Linde, Praha 1995. I. díl.

[13] Rozsudek Nejvyššího soudu ze dne 31. července 2000, sp. zn. 20 Cdo 1713/1998.

 

Odkazy


 
Zodpovídá: PhDr. David Pavlát
Vytvořeno / změněno: 21.3.2013 / 21.3.2013

 
 
 

Nacházíte se v módu "Bez grafiky", takže vidíte tuto stránku bez zdobné grafiky a pokročilého formátování. Pokud váš prohlížeč podporuje CSS2, můžete se přepnout do grafického módu.


Copyright © 2013 Úřad pro ochranu osobních údajů. Všechna práva vyhrazena.
web & design , redakční systém