Úřad pro ochranu osobních údajů


International


Vyhledávání

 

GDPR telefonní linka

Základní odkazy


Cesta: Titulní stránka

 

Stanovisko č. 3/2014 - K nadbytečnému vyžadování souhlasu se zpracováním osobních údajů a souvisejícímu nesprávnému plnění informační povinnosti

 

Odkazy


 
 

srpen 2014[1]

 

Úvod

Jednou ze základních povinností správce je zpracovávat osobní údaje pouze na základě existence řádného právního titulu, jinak řečeno pouze v zákonem předvídané situaci, kdy lze údaje legálně zpracovávat. Výčet právních titulů pro zpracování osobních údajů je uveden v § 5 odst. 2 zákona č. 101/2000 Sb., pro zpracování citlivých údajů v § 9 téhož zákona. Samostatný právní titul pro zpracování osobních údajů za účelem zasílání nabídek obchodu nebo služeb je upraven v § 5 odst. 5 zákona č. 101/2000 Sb.

V obou uvedených výčtech možných právních titulů, tedy v § 5 odst. 2 a v § 9 zákona č. 101/2000 Sb. je jako první uveden (výslovný) souhlas dotčené osoby, subjektu údajů. Z této skutečnosti jsou v praxi nezřídka vyvozovány nepřesné závěry ústící ve vymáhání souhlasu se zpracováním osobních údajů i v případě, kdy je například toto zpracování správci uloženo zvláštním zákonem, a souhlas, či případný nesouhlas subjektu údajů, proto nehraje roli. Uvedený postup má za následek mimo jiné i nesprávné informování subjektu údajů o charakteru zpracování jeho údajů a tím nedostatečné plnění zákonné informační povinnosti ze strany správce. Nastíněnou otázkou se Úřad pro ochranu osobních údajů (dále jen „Úřad“) částečně zabýval v jednom ze svých předchozích stanovisek,[2] nicméně pro vyjasnění se k této otázce vrací s detailnějším komentářem.

Základní právní úprava

V první řadě je nutno upozornit na skutečnost, že v doktríně ochrany osobních údajů má souhlas se zpracováním specifický význam. Není chápán jako integrální součást smlouvy podle § 5 odst. 2 písm. b) zákona č. 101/2000 Sb., nýbrž jako právní titul k takovému zpracování osobních údajů, které není nezbytné. Typicky se může jednat o souhlas se zasíláním reklamy, s účastí ve spotřebitelské soutěži, na slosování apod.

Jak je již výše uvedeno, souhlas se zpracováním osobních údajů je v zákoně č. 101/2000 Sb. uveden na prvém místě výčtu možných právních titulů pro zpracování osobních údajů. Ze zákona však jednoznačně plyne, že všechny právní tituly jsou si rovnocenné v tom smyslu, že postačí, pokud správce může konkrétní zpracování opřít o jakýkoliv jeden z nich, aby zpracování jako celek bylo možné.[3] Vzhledem k šíři katalogu právních titulů je možno konstatovat, že ve většině běžných životních situací souhlas dotčené osoby se zpracováním jejích osobních údajů není nezbytný, neboť osobní údaje obvykle lze zpracovávat z jiného právního důvodu, ať už se jedná o zpracování osobních údajů přímo uložené správci zákonem, zpracování nezbytné pro uzavření či realizaci smlouvy, nebo pro ochranu práv správce, další využití oprávněně zveřejněných osobních údajů atd.

Souhlas se zpracováním osobních údajů, jako i ostatní právní tituly, má svá specifika.[4] V kontextu tohoto stanoviska je důležitá především ta skutečnost, že souhlas se zpracováním osobních údajů je jednostranným právním jednáním, svobodným a vědomým úkonem, který může ten, kdo jej učinil, kdykoliv odvolat[5].

Bezprostřední souvislost s náležitostmi souhlasu se zpracováním osobních údajů, především s jeho vědomostí, má i informační povinnost správce. Rozsah informací, které je správce při shromažďování osobních údajů přímo od subjektu údajů povinen této osobě poskytnout, a to bez ohledu na právní titul, o který dané shromažďování osobních údajů opírá, je uveden v § 11 odst. 1 zákona č. 101/2000 Sb. Podle § 11 odst. 2 tohoto předpisu je správce rovněž povinen danou osobu poučit o tom, zda je poskytnutí údajů dobrovolné, či povinné, uložené zvláštním zákonem. V případě, kdy je subjekt údajů povinen osobní údaje poskytnout, správce jej musí informovat také o možných následcích odmítnutí splnit takovou povinnost.[6]

Příklady, kdy je určité zpracování osobních údajů správci právem přímo uloženo a odmítnutí jejich poskytnutí ze strany subjektu údajů bude mít konkrétní důsledky, lze nalézt jak v soukromém, tak veřejném sektoru. Kupříkladu zákon č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu, ukládá širokému spektru podnikatelů (bankám, investičním a leasingovým společnostem, pojišťovnám, peněžním makléřům atd.) povinnost identifikovat klienta, fyzickou osobu, a jeho osobní údaje ve stanoveném rozsahu po stanovenou dobu uchovávat; pokud by se klient odmítl identifikovat, povinný subjekt s ním obchod neuskuteční. Stejně tak poskytnutí dávek státní sociální podpory či jiného sociálního benefitu je podmíněno tím, že příslušný úřad konkrétní osobu identifikuje a v některých případech zkoumá, zda má na přiznání dávky nárok (tzv. testovaná dávka). Pokud by žadatel o takovouto dávku odmítl poskytnout údaje nezbytné k posouzení, zda mu dávka může být přiznána, úřadu nezbude, než dávku nepřiznat.[7]

Praktické problémy

Úřad se ve své praxi nikoliv ojediněle setkává s tím, že některými správci je souhlas vymáhán i pro ta zpracování, která jim jsou zvláštním zákonem přímo uložena. Takovýto postup je možné označit jednak za nadbytečný, když správce je na základě zákona povinen dané zpracování provádět bez ohledu na souhlas či nesouhlas dotčených osob, a zároveň za matoucí či dokonce klamavý. Dotčeným subjektům údajů je totiž tím, že je po nich takovýto souhlas vymáhán, poskytována informace, že předmětné zpracování probíhá na základě vyjádření jejich vůle, a poskytnutí údajů je tudíž z jejich strany dobrovolné, nikoliv povinné. Informace, že zpracování údajů bude probíhat se souhlasem dotčených osob a poskytnutí údajů je tedy dobrovolné, je v řadě případů dokonce i výslovně uváděna. Takový postup, ač je zjevně nesprávný, je někdy hájen různými zavádějícími, resp. irelevantními tvrzeními o ochraně práv a zájmů správce či subjektu údajů, o edukativní roli správce, který takto více dbá o informovanost a výkon práv ze strany dotčené osoby apod.

 

Důsledky takovéhoto jednání pro dotčenou osobu a pro správce, který subjektu údajů nepřesnou informaci poskytuje

Dotčená osoba, které správce tvrdí, že určité zpracování osobních údajů probíhá na základě jejího souhlasu, bude mít o zpracování nesprávné informace a bude se např. moci pokusit jej zastavit tím, že svůj (nadbytečně vymáhaný) souhlas odvolá. Správce, jemuž pro dané zpracování svědčí jiný právní titul (například je mu určité zpracování uloženo zvláštním zákonem), v něm nicméně bude povinen pokračovat, ačkoliv se subjekt údajů bude domnívat, že zpracování již na základě projevení jeho vůle bylo ukončeno. Pokud o této skutečnosti správce daný subjekt údajů ani nevyrozumí, tento pak do jisté míry ztratí kontrolu nad svými osobními údaji.

Z pohledu odpovědné osoby, správce, se jedná o nepravdivé a tím nedostatečné plnění informační povinnosti při shromažďování osobních údajů, jinak řečeno o porušení povinnosti stanovené v § 11 odst. 2 zákona č. 101/2000 Sb. Porušení zákona může být ze strany Úřadu s přihlédnutím ke všem okolnostem případu, např. zda správce jednal v omylu, či subjekty údajů klamal úmyslně, jaké důsledky toto jeho porušení zákona pro dotčené osoby mělo, kolik osob bylo dotčeno apod., řešeno jak uložením opatření k nápravě, tak pokutou pro daného správce. Popsané jednání, nadbytečné vymáhání souhlasu se zpracováním osobních údajů a z něj vyplývající řádné nesplnění informační povinnosti správce, totiž naplňuje skutkovou podstatu přestupku podle § 44 odst. 2 písm. f) zákona č. 101/2000 Sb. a správního deliktu podle § 45 odst. 1 písm. f) téhož zákona, tj. neposkytne subjektu údajů informace v rozsahu a způsobem, které stanovuje zákon.[8]

Závěr

Správné a důsledné plnění informační povinnosti správce osobních údajů je jedním ze základních předpokladů pro to, aby dotčená osoba mohla uplatnit veškerá svá relevantní práva. Z praxe Úřadu však vyplývá i to, že řádné poskytnutí úplných a pravdivých informací o zpracování osobních údajů posiluje důvěru dotčených osob ke správci, který jejich údaje shromažďuje a dále zpracovává, a předchází tak případným nedorozuměním, nejasnostem a stížnostem ze strany osob, jejichž údaje jsou zpracovávány. Vyžadování souhlasu se zpracováním osobních údajů tam, kde je toto zpracování přímo uloženo zákonem, je jak z právního hlediska nadbytečné, tak i zavádějící a pro dotčené osoby matoucí, protože ze skutečnosti, že je pro zpracování jejich údajů vymáhán jejich souhlas, mohou vyvozovat nesprávné závěry týkající se tohoto zásahu do jejich soukromí. Z obou těchto důvodů a s přihlédnutím k praktickým poznatkům ze své  dozorové činnosti, proto Úřad upozorňuje i na výše popsanou nezbytnou součást informační povinnosti správce.


[1] Podle stavu právních předpisů k 15. srpnu 2014.

[2] Stanovisko Úřadu pro ochranu osobních údajů č. 2/2011 Zpracování osobních údajů na základě souhlasu ve smlouvě nebo Všeobecných obchodních podmínkách a s tím související problémy.

[3] Celkový soulad zpracování s požadavky zákona č. 101/2000 Sb. a dalších předpisů je však nutno hodnotit s přihlédnutím ke všem jeho aspektům, jako je účel zpracování, rozsah a doba uchování údajů, jejich zabezpečení atd. 

[4] Srov. stanovisko Úřadu pro ochranu osobních údajů č. 2/2008 Souhlas se zpracováním osobních údajů.

[5] V tomto případě je zjevně možné postupovat analogicky k úpravě odvolání souhlasu s použitím písemnosti osobní povahy, podobizny nebo zvukového či obrazového záznamu týkajícího se člověka nebo jeho projevů osobní povahy, jak je upravena v § 87 nového občanského zákoníku.

[6] Výjimky z informační povinnosti jsou upraveny v § 11 odst. 3 zákona č. 101/2000 Sb. a odlišná forma, resp. doba jejího plnění v případě, kdy se jedná o zpracování nezbytné k ochraně práv a právem chráněných zájmů správce, příjemce nebo jiné dotčené osoby, potom v § 11 odst. 5 tohoto zákona.

[7] Pro úplnost daného příkladu je nutno doplnit, že osoba žádající o sociální dávky podle zákona č. 117/1995 Sb., o státní sociální podpoře, musí dle §50 tohoto předpisu navíc písemně souhlasit s tím, že další dotčené orgány či právnické nebo fyzické osoby mohou sdělit orgánům státní sociální podpory některé rozhodné skutečnosti.

[8] Nad rámec tohoto stanoviska je možné rovněž odkázat na porušení práva na ochranu spotřebitelů.  V návaznosti na míru nepřesnosti poskytnuté informace a další související okolnosti lze uvažovat o nekalých, klamavých či případně i agresivních obchodních praktikách ve smyslu § 4 a násl. zákona č. 634/1992 Sb., o ochraně spotřebitele.

 

Odkazy


 
Zodpovídá: PhDr. David Pavlát
Vytvořeno / změněno: 21.8.2014 / 21.8.2014

 
 
 

Nacházíte se v módu "Bez grafiky", takže vidíte tuto stránku bez zdobné grafiky a pokročilého formátování. Pokud váš prohlížeč podporuje CSS2, můžete se přepnout do grafického módu.


Copyright © 2013 Úřad pro ochranu osobních údajů. Všechna práva vyhrazena.
web & design , redakční systém