Úřad pro ochranu osobních údajů


International


Vyhledávání

 

GDPR telefonní linka

Základní odkazy


Cesta: Titulní stránka > Hlavní menu > Archiv

 

Stanovisko č. 2/2011 – Zpracování osobních údajů na základě souhlasu ve smlouvě nebo Všeobecných obchodních podmínkách a s tím související problémy

 

Odkazy


 
 

srpen 2011, aktualizace únor 2014[1]

 

Úvod

V souvislosti s řadou smluvních vztahů, zejména tzv. spotřebitelských smluv mezi dodavatelem a spotřebitelem, dochází ke zpracování osobních údajů fyzické osoby. V takovém případě je dodavatel, tj. profesionál (podnikatel) v postavení poskytovatele určité služby nebo zboží, v postavení správce osobních údajů a spotřebitel, který je fyzickou osobou, v postavení subjektu údajů (dále jen „klient“).

V praktické rovině se lze velmi často setkat s tím, že součástí smluvních ujednání jsou tzv. Všeobecné obchodní podmínky (dále jen „VOP“), kterými si dodavatel upravuje formulářovým způsobem podmínky jím uzavíraných smluvních vztahů. Toto stanovisko se zaměřuje především na některé instituty zpracování osobních údajů (souhlas a informační povinnost) používané právě ve VOP, ale shodná východiska platí i pro běžné smlouvy.

Relevantní právní úprava

V případě smluvního vztahu mezi podnikatelem (správcem osobních údajů) a klientem (subjektem údajů) nepochybně dochází a musí docházet ke zpracování osobních údajů, a to k řadě účelů [viz § 5 odst. 1 písm. a) zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů (dále jen „zákon o ochraně osobních údajů“)].

Tím nejběžnějším a nejzákladnějším účelem zpracování je uzavření a plnění smlouvy a s tím související identifikace smluvních stran. Je logické, že podnikatel potřebuje v řadě případů identifikovat svého klienta tak, aby mohli uzavřít platnou smlouvu, a potřebuje znát jeho identifikační údaje, aby mu mohl řádně plnit, tj. doručit zboží, poskytnout službu apod. Ke zpracování osobních údajů za tímto účelem přitom není potřeba souhlasu subjektu údajů, neboť zákon o ochraně osobních údajů tyto případy předpokládá v § 5 odst. 2 písm. b), a nevyžaduje tak nadbytečné udělování souhlasu vedle vlastního uzavření smlouvy.

Lze přitom uvést, že se Úřad pro ochranu osobních údajů (dále jen „Úřad“) nadále setkává s případy, kdy VOP obsahují ustanovení o souhlasu se zpracováním osobních údajů za účelem uzavření a plnění smlouvy a dokonce existencí tohoto souhlasu podmiňují trvání smluvního vztahu; taková ustanovení jsou pro klienta zavádějící a i případné odvolání souhlasu nemění nic na skutečnosti, že podnikatel může dále zpracovávat osobní údaje klienta bez jeho souhlasu. Namísto formulace souhlasu k účelu uzavření a plnění smlouvy je proto žádoucí zaměřit se na důsledné plnění informační povinnosti podle § 11 zákona o ochraně osobních údajů.

 

Souhlas ve VOP

Ve VOP se lze dále setkat s dalšími účely zpracování osobních údajů, ke kterým je již souhlas subjektu údajů nezbytný. Těmito účely jsou zejména přímý marketing (s výjimkou postupu podle § 5 odst. 5 zákona o ochraně osobních údajů, respektive použití osobních údajů k nabízení obchodů a služeb, a to buď přímo samotným podnikatelem, nebo i jejich předání za tímto účelem jiným subjektům), předání údajů do dlužnických registrů, nahrávání telefonních hovorů na zákaznické lince apod. V takových případech VOP obsahují formulaci o tom, že klient souhlasí se zpracováním osobních údajů za shora uvedeným účelem.

K problematice souhlasu se Úřad vyjádřil ve stanovisku č. 2/2008 (Souhlas se zpracováním osobních údajů). Použití obecných závěrů tohoto stanoviska na problematiku VOP vede především k otázce posouzení dobrovolnosti úkonu klienta ve chvíli, kdy je mu předkládána formulářová smlouva, resp. VOP, obsahující text souhlasu se zpracováním osobních údajů. Podle § 4 písm. n) zákona o ochraně osobních údajů je souhlasem subjektu údajů svobodný a vědomý projev vůle, jehož obsahem je svolení subjektu údajů se zpracováním osobních údajů. Souhlas se zpracováním osobních údajů je tedy projevem vůle subjektu údajů (jednostranným právním úkonem), a ne dvoustrannou smlouvou mezi správcem a subjektem údajů. Již z tohoto důvodu lze uvést, že zařazení souhlasu se zpracováním osobních údajů do smluvního ujednání je nevhodné a pro subjekt údajů matoucí, neboť s vlastním smluvním ujednáním nemá nic společného. Naopak, subjekt údajů nad rámec vlastního smluvního vztahu souhlasí, aby správce použil jeho osobní údaje za stanoveným účelem. Z toho vyplývá, že souhlas se zpracováním osobních údajů nemůže a nesmí být podmínkou, která by sama o sobě znemožňovala (v případě jeho neudělení) uzavření smluvního vztahu, neboť osobní údaje nemohou být vedle peněz dalším platidlem za poskytnutou službu nebo zboží.

V praktické rovině je proto čistě na vůli klienta, zda s částí VOP, která obsahuje souhlas se zpracováním osobních údajů, vysloví svůj souhlas tím, že smlouvu v předložené podobě uzavře, nebo ne. Projev vůle, znamenající to, že klient nemá v úmyslu poskytnout svůj souhlas se zpracováním osobních údajů, může být zaznamenán několika způsoby. V případě, kdy je uzavírána smlouva písemně, může klient buď konkrétní ustanovení o souhlasu ve VOP přeškrtnout nebo k tomuto ustanovení (nebo na jiné vhodné místo ve smlouvě) dopsat poznámku, ze které by byla jeho vůle zřejmá (např. „nesouhlasím se zpracováním osobních údajů za účelem marketingu“). Je přitom povinností správce tento projev vůle respektovat a, jak bylo shora uvedeno, nepodmiňovat uzavření smluvního vztahu (tj. vynucovat si) udělením souhlasu. V případě, kdy klient uzavře smlouvu s takto upravenými VOP, znamená to, že souhlas se zpracováním osobních údajů správci neudělil.

V případě, kdy je souhlas ze strany klienta při uzavření smlouvy udělen, nic nebrání subjektu údajů po uzavření smlouvy, pokud dospěje k závěru, že si již nepřeje, aby byly jeho osobní údaje zpracovávány, svůj souhlas odvolat. Již proto je vynucování si souhlasu na straně správců při uzavírání smluv zbytečné.

S ohledem na výše uvedené lze klientům doporučit nechat si potvrdit kopii smlouvy, resp. VOP bez souhlasu, a to především tehdy, pokud se týká VOP, které nejsou neoddělitelně připojeny k vlastní smlouvě.

V případě, kdy je smluvní vztah uzavírán tzv. prostředky komunikace na dálku, tj. především přes internet, závisí otázka způsobu projevu vůle na konkrétním použitém webovém formuláři pro uzavření smlouvy. Je ovšem třeba uvést, že aby byl souhlas svobodný, musí správce umožnit subjektu údajů projevit svoji vůli, tedy uzavřít smluvní vztah bez souhlasu s nesouvisejícím zpracováním osobních údajů. Toho lze dosáhnout např. kolonkou pro poznámku, doplňující informace, vzkaz apod. Jako nezákonně získaný (vynucený), a tedy neplatný souhlas, tak lze popsat ten způsob jeho získání, kdy by k uzavření smlouvy došlo prostředky komunikace na dálku (přes internet), a to vyplněním smluvního formuláře na webových stránkách podnikatele odkazujícího na VOP obsahující souhlas se zpracováním osobních údajů, pokud by současně neobsahoval prostor pro subjekt údajů před „potvrzením a odesláním“ vyplněných údajů vyjádřit svoji vůli.

 

Souhlas s předáním osobních údajů třetím subjektům

Dalším problémem, se kterým se Úřad v souvislosti s VOP setkává, je formulace souhlasu s předáváním osobních údajů třetím subjektům a se zpracováním osobních údajů těmito třetími subjekty (nejčastěji za účelem přímého marketingu nebo tzv. úvěrovým registrům). Pokud je totiž udělen souhlas k předání osobních údajů třetímu subjektu, musí z něj jednoznačně vyplývat nejen identifikace tohoto subjektu, ale také účel, za kterým bude osobní údaje zpracovávat.

Tato povinnost vyplývá z § 5 odst. 4 zákona o ochraně osobních údajů, podle kterého musí být subjekt údajů při udělení souhlasu informován mimo jiné o tom, jakému správci a k jakému účelu svůj souhlas uděluje. Tato podmínka znamená, že text souhlasu musí správce označit běžnými identifikačními údaji (názvem nebo jménem a příjmením, sídlem nebo adresou, IČ) tak, aby ho případně mohl subjekt údajů kontaktovat a uplatnit u něj svoje práva. Proto jsou nedostatečné používané formulace VOP obsahující souhlas s předáním osobních údajů dalším subjektům sdruženým se správcem v holdingu, osobám se správcem spolupracujícím, osobám, se kterými má správce uzavřené smlouvy nebo snad dokonce v budoucnu smlouvy uzavře, pokud nejsou současně tyto spolupracující osoby subjektu údajů sděleny jiným způsobem při udělování souhlasu (např. na samostatné listině). V těchto případech totiž subjekt údajů neví, jakému konkrétnímu správci souhlas uděluje, přičemž „bianco“ souhlas zákon neumožňuje. Uvedené také znamená, že pokud se podnikatel rozhodne předat osobní údaje dalšímu subjektu (s výjimkou postupu podle § 5 odst. 6 zákona o ochraně osobních údajů), se kterým v době získávání souhlasu klientů nespolupracoval, musí nejprve oslovit svoje klienty s žádostí o souhlas s tímto předáním a o účelu zpracování u třetího subjektu je informovat.

Řada VOP obsahuje také ustanovení o způsobu jejich změny a způsobu akceptace změny ze strany klienta. Bez výjimky lze hovořit o tom, že souhlas se změnou VOP je konstruován na základě oznámení změny a nečinnosti klienta. Z hlediska zpracování osobních údajů je takto konstruovaná forma souhlasu se zpracováním osobních údajů ve změně VOP v rozporu s § 4 písm. n) zákona o ochraně osobních údajů, neboť nesplňuje podmínku projevu vůle subjektu údajů, jehož obsahem je svolení subjektu údajů se zpracováním osobních údajů (analogicky viz také § 1740 a dále i § 555 a násl. občanského zákoníku - mlčení a nečinnost samy o sobě neznamenají přijetí návrhu). Současně by v tomto případě správce nebyl schopen takový souhlas prokázat (§ 5 odst. 4 věta druhá zákona o ochraně osobních údajů), neboť skutečnost, že subjekt údajů změnu VOP obdržel, že se s ní seznámil a že na ni vědomě nereagoval, není pro správce prokazatelná a plně závisí na postoji subjektu údajů.

 

Rozsah zpracovávaných osobních údajů

Dále lze upozornit na povinnost správce podle § 5 odst. 1 písm. d) zákona o ochraně osobních údajů, tedy povinnost shromažďovat osobní údaje odpovídající pouze stanovenému účelu a v rozsahu nezbytném pro naplnění stanoveného účelu. Z tohoto důvodu je potřeba i u těch zpracování, která jsou prováděna se souhlasem subjektu údajů, řádně stanovit ve formulaci VOP rozsah vyžadovaných osobních údajů tak, aby nezahrnoval údaje zjevně nadbytečné pro daný účel (např. velikost oblečení pro účely marketingu telekomunikačního operátora). K porušení této povinnosti může dojít nejčastěji v případě, kdy je souhlas formulován ke všem osobním údajům uvedeným na kopii občanského průkazu, přičemž zjevně údaje o rodinném stavu, dětech a jejich rodných číslech nebývají pro účely zpracování stanovené správci ve VOP nezbytné. Je třeba přitom zdůraznit, že ani souhlas subjektu údajů nezbavuje správce odpovědnosti za to, že vyžaduje a shromažďuje a dále uchovává, tedy zpracovává, nadbytečné osobní údaje.

 

Informační povinnost

Vzhledem k tomu, že VOP jsou jedním z prvních dokumentů vyměněných mezi správcem a subjektem údajů v rámci jejich vzájemného vztahu, je logické, že jsou používány také ke splnění informační povinnosti podle § 11 zákona o ochraně osobních údajů. Některé z těchto informací jsou přitom součástí souhlasu se zpracováním osobních údajů (§ 5 odst. 4 zákona o ochraně osobních údajů – účel, rozsah, správce, období) a není nutné je znovu v rámci ustanovení s informační povinností opakovat. Pro přehlednost a srozumitelnost poskytované informace o zpracování osobních údajů lze přitom doporučit členit informaci podle § 11 odst. 1 zákona č. 101/2000 Sb. podle jednotlivých účelů zpracování, tj. uzavření a plnění smlouvy, marketing, předání třetím subjektům za účelem marketingu, dlužnické registry atd.

 

Závěr

V případě používání VOP pro oblast zpracování osobních údajů je třeba rozlišovat situace, kdy je souhlas se zpracováním osobních údajů nezbytný (marketing, dlužnické registry atd.) a kdy souhlas není potřeba (uzavření a plnění smlouvy, vymáhání pohledávek ze smlouvy). Těmto případům je třeba uzpůsobit formulaci souhlasu a případné plnění informační povinnosti. V případě poskytování souhlasu je třeba umožnit subjektu údajů projevit svoji vůli a tento projev respektovat tak, aby se jednalo o svobodně a dobrovolně udělený souhlas se zpracováním osobních údajů. Jako nejvhodnější způsob lze doporučit samostatně formulované části VOP doplněné o „zaškrtávací“ pole, jehož vyplněním by subjekt údajů souhlas udělil. Pokud je souhlas přímo v textu VOP, musí správce respektovat vyškrtnutí takové části VOP ze strany subjektu údajů. Pro předávání osobních údajů třetím subjektům musí být nejprve subjekt údajů informován o účelu zpracování třetím subjektem a o identifikaci tohoto subjektu.


[1] Právní stav k 1. lednu 2014.

 

Odkazy


Hesla rejstříku této stránky

 
Zodpovídá: PhDr. David Pavlát
Vytvořeno / změněno: 21.3.2013 / 21.3.2013

 
 
 

Nacházíte se v módu "Bez grafiky", takže vidíte tuto stránku bez zdobné grafiky a pokročilého formátování. Pokud váš prohlížeč podporuje CSS2, můžete se přepnout do grafického módu.


Copyright © 2013 Úřad pro ochranu osobních údajů. Všechna práva vyhrazena.
web & design , redakční systém