Souhlas je jedním ze šesti právních základů pro zpracování osobních údajů vyjmenovaných v článku 6 GDPR. Skupina WP 29 vydala právě k souhlasu dle GDPR podrobné stanovisko. Společně si projděme některé základní body, které jsou ve stanovisku zmíněny.
Souhlas musí být:
- svobodný,
- konkrétní,
- informovaný a
- jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.
Svobodný souhlas
Souhlas obecně může být odpovídajícím právním základem jen, pokud je subjektu údajů umožněna kontrola a opravdový výběr s ohledem na přijmutí nabízených podmínek nebo jejich odmítnutí, aniž by tím byl poškozen. Pojem „svobodný“ naznačuje, že subjekty údajů mají mít opravdový výběr a kontrolu, zda souhlas udělí, nebo neudělí. Obecné nařízení v článku 7 odst. 4 uvádí, že, mimo jiné, případy „slučování“ souhlasu s přijmutím smluvních podmínek nebo „vázání“ smlouvy nebo služby na souhlas se zpracováním osobních údajů, které nejsou nezbytné pro plnění smlouvy nebo poskytnutí služby, je považováno za vysoce nežádoucí.
(Například: Banka požádá klienta o souhlas s použitím informací o jeho platbách pro účely marketingu. Toto zpracování není nezbytné pro plnění smlouvy s klientem a k poskytování běžných služeb vztahujících se k bankovnímu účtu. Pokud by klientovo zamítnutí udělit souhlas pro takový účel zpracování vedlo k odmítnutí bankovních služeb, zrušení bankovního účtu nebo zvýšení poplatku, souhlas by nebyl svobodný nebo odvolatelný.)
Správce musí být schopen prokázat, že souhlas je možné odmítnout nebo odvolat, aniž by byl subjekt údajů poškozen (Recitál 42). Správce musí například doložit, že stažení souhlasu nepovede k žádným vícenákladům, a tedy k žádnému znevýhodnění pro ty, kteří ho odvolají.
Konkrétní souhlas
V rámci souhlasu musí být jasně a přesně vymezeny účely zpracování a rozsah zpracovávaných osobních údajů. Služba může zahrnovat více operací zpracování pro více než jediný účel. V takovém případě by měl mít subjekt údajů volnost si vybrat, který z těchto účelů bude akceptovat a neměl by být nucen souhlasit s celým balíkem účelů zpracování. Podle Obecného nařízení by v takovém případě mohlo být při nabízení služby vyžadováno souhlasů několik.
Článek 6 odst. 1 písm. a) potvrzuje, že souhlas subjektu údajů musí být udělen pro „jeden nebo více konkrétních účelů“ a že subjekt údajů má ohledně každého z nich na výběr. Požadavek určitosti souhlasu míří na zajištění jisté míry kontroly ze strany subjektu údajů a průhlednosti.
Souhrnně řečeno, aby byl správce v souladu s požadavkem „konkrétnosti“, musí uplatnit následující:
- stanovení účelu jako ochrany před rozšířením o neplánované funkce,
- vrstevnatost žádostí o souhlas, a
- zřetelné oddělení informací ohledně souhlasu k činnostem zpracování dat od informací o jiných věcech.
Informovaný a jednoznačný souhlas
Obecné nařízení zesiluje požadavek, aby souhlas byl informovaný. Vycházeje z článku 5 Obecného nařízení je požadavek transparentnosti jedním ze základních principů úzce navázaného na zásadu korektnosti a zákonnosti. Poskytnutí informace subjektům údajů ještě před získáním jejich souhlasu je důležité proto, aby mohly činit informovaná rozhodnutí, chápaly, k čemu dávají souhlas a mohly, kupříkladu, využít práva na odvolání souhlasu. Neposkytne-li správce srozumitelnou informaci, stává se uživatelská kontrola iluzorní a souhlas neplatným základem pro zpracování.
Obecné nařízení mluví jasně o tom, že souhlas vyžaduje prohlášení subjektu údajů nebo jednoznačné potvrzení, což znamená, že tak vždy musí být učiněno aktivním úkonem nebo prohlášením. Musí být zřejmé, že subjekt údajů s daným konkrétním zpracováním souhlasil.
Další povinnosti správce
Výslovný souhlas je vyžadován v určitých situacích, kdy hrozí vážné riziko z hlediska ochrany dat a je tedy žádoucí vysoká úroveň kontroly jednotlivce nad svými osobními údaji.
Obecné nařízení v článku 7 odst. 1 jasně vyjadřuje výslovnou povinnost správce doložit, že subjekt údajů udělil souhlas. Důkazní břemeno leží podle článku 7 odst. 1 na správci.
Odvolání souhlasu zaujímá v Obecném nařízení prominentní postavení. Souhlas musí být odvolatelný stejně snadno, jako byl dán.
(Například: Vstupenky na hudební festival jsou prodávány přes internet. Při prodeji každého jednotlivého lístku je vyžadován souhlas s použitím kontaktních údajů pro marketingové účely. K vyjádření souhlasu pro tento účel mohou zákazníci zvolit buď Ne nebo Ano. Správce zákazníky informuje, že mají možnost souhlas odvolat. K tomu mohou bezplatně kontaktovat call centrum v pracovní dny mezi 8.00 a 17.00 hod. Správce v tomto případě neplní ustanovení článku 7 odst. 3 Obecného nařízení. Odvolání souhlasu zde vyžaduje telefonický hovor během pracovní doby, je to tedy více obtěžující než jedno kliknutí myší, kterého bylo potřeba pro udělení souhlasu u internetového prodejce dostupného 24 hodin každý den v týdnu)
Práva subjektu údajů
Je-li zpracovatelská činnost založena na souhlasu subjektu údajů, bude mít vliv na práva tohoto jednotlivce. Subjekt údajů může, pokud je zpracování opřeno o souhlas, mít nárok uplatnit právo na přenositelnost údajů (Článek 20). Zároveň ale právo na námitku (Článek 21) nelze uplatnit v případě zpracování na základě souhlasu, byť právo na odvolání souhlasu kdykoliv může přinést podobný výsledek. Obecné nařízení v článcích 16 až 20 naznačuje, že je-li zpracování založeno na souhlasu, mají subjekty údajů právo na výmaz, dále právo na zapomnění, poté co souhlas byl odvolán, jakož i právo na omezení, opravu a přístup.
Předchozí souhlasy a jejich změna
Správci, kteří v současné době zpracovávají osobní údaje na základě souhlasu v souladu s národní legislativou na ochranu osobních údajů, automaticky nemusí zcela oprašovat všechny na základě souhlasu existující vztahy se subjekty údajů v rámci příprav na Obecné nařízení. Souhlas, který byl do této doby získán, zůstává v platnosti, pokud odpovídá podmínkám stanoveným GDPR.