Souhlas se stal jedním ze 6 právních důvodů, na základě kterých je správce oprávněn zpracovávat osobní údaje.

Právníci hovoří o tom, že máme v našem prostředí „presouhlasováno“ – zvažte, jestli souhlas opravdu potřebujete, jestli např. nemáte pouze údaje, které jsou nezbytné např. pro realizaci smluvního vztahu.

Zároveň si dejte pozor na záměnu Souhlasu se zpracováním osobních údajů a Souhlasu se zasíláním obchodních sdělení  (řeší jiná právní norma).

Koncepce souhlasu se výrazně mění, je nutné dodržovat tato základní pravidla:

  • souhlas nesmí být podmínkou poskytnutí  služby – musí být oddělen od např. smlouvy
  • musí být dán svobodně (pozor u zaměstnanců – viz Zaměstnanci a zaměstnavatelé, výkonu veřejné moci a podobném nerovnovážném postavení)
  • vrstevnatý – pro každý účel samostatně, aby byla zachována možnost volby
  • musí být konkrétní, informovaný a jednoznačný
  • subjekt musí projevit aktivní vůli – zaškrtnout políčko (pozor nepoužívejte předzaškrtnuté)
  • mlčení a nečinnost nelze považovat za souhlas
  • souhlas by měl být srozumitelný, za použití jasného a jednoduchého jazyka a neměl by obsahovat nepřiměřené podmínky

 

Souhlas by měl obsahovat:

  1. KOMU – totožnost správce
  2. CO – jaká data
  3. PROČ – účel/y zpracování
  4. JAK – informace o zpracování – zpravidla odkaz na samostatný dokument
  5. KOMU – jakým třetím osobám budou data předávána
  6. KONEC – jak jej lze odvolat

Poskytnutí souhlasu musí správce být schopen doložit – v písemné podobě je to jednoznačné, u digitálního souhlasu nezapomeňte uchovat záznam o tom, kdy, jak a jakou verzi souhlasu vám subjekt „podepsal“.


Specifické podmínky souhlasu jsou řešeny v souvislosti s vědeckým výzkumem, „veřejným zdravím“, trestním právem, …


DĚTI
Za děti musí souhlas poskytnout zákonný zástupce.
Věková hranice bude dána národní legislativou, v návrhu je 13 let.


Ověření totožnosti:

Prokázání totožnosti při elektronickém zpracování – doporučuje se double opt-in.
Toto ověření vlastníka e-mailové adresy by mělo proběhnout i při písemném poskytnutí souhlasu.

Dtto při odvolání souhlasu.

 

 

Definice:

„souhlasem“ subjektu údajů jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů;

Článek 7

Podmínky vyjádření souhlasu

1.Pokud je zpracování založeno na souhlasu, musí být správce schopen doložit, že subjekt údajů udělil souhlas se zpracováním svých osobních údajů.

2.Pokud je souhlas subjektu údajů vyjádřen písemným prohlášením, které se týká rovněž jiných skutečností, musí být žádost o vyjádření souhlasu předložena způsobem, který je od těchto jiných skutečností jasně odlišitelný, a je srozumitelný a snadno přístupný za použití jasných a jednoduchých jazykových prostředků. Jakákoli část tohoto prohlášení, která představuje porušení tohoto nařízení, není závazná.

3.Subjekt údajů má právo svůj souhlas kdykoli odvolat. Odvoláním souhlasu není dotčena zákonnost zpracování vycházejícího ze souhlasu, který byl dán před jeho odvoláním. Před udělením souhlasu o tom bude subjekt údajů informován. Odvolat souhlas musí být stejně snadné jako jej poskytnout.

4.Při posuzování toho, zda je souhlas svobodný, musí být důsledně zohledněna skutečnost, zda je mimo jiné plnění smlouvy, včetně poskytnutí služby, podmíněno souhlasem se zpracováním osobních údajů, které není pro plnění dané smlouvy nutné.

Článek 8

Podmínky použitelné na souhlas dítěte v souvislosti se službami informační společnosti

1.Pokud se použije čl. 6 odst. 1 písm. a) v souvislosti s nabídkou služeb informační společnosti přímo dítěti, je zpracování osobních údajů dítěte zákonné, je-li dítě ve věku nejméně 16 let. Je-li dítě mladší 16 let, je takové zpracování zákonné pouze tehdy a do té míry, pokud byl tento souhlas vyjádřen nebo schválen osobou, která vykonává rodičovskou zodpovědnost k dítěti. Členské státy mohou pro uvedené účely právním předpisem stanovit nižší věk, ne však nižší než 13 let.

2.Správce vyvine přiměřené úsilí s ohledem na dostupnou technologii, aby v takovýchto případech ověřil, že byl souhlas vyjádřen nebo schválen osobou, která vykonává rodičovskou zodpovědnost k dítěti.

3.Odstavcem 1 není dotčeno obecné smluvní právo členských států, například pravidla týkající se platnosti, uzavírání nebo účinků smlouvy vzhledem k dítěti.

 

 

(32)

Souhlas by měl být dán jednoznačným potvrzením, které je vyjádřením svobodného, konkrétního, informovaného a jednoznačného svolení subjektu údajů ke zpracování osobních údajů, které se jej týkají, a to v podobě písemného prohlášení, i učiněného elektronicky, nebo ústního prohlášení. Mohlo by se například jednat o zaškrtnutí políčka při návštěvě internetové stránky, volbu technického nastavení pro služby informační společnosti nebo jiné prohlášení či jednání, které v této souvislosti jasně signalizuje souhlas subjektu údajů s navrhovaným zpracováním jeho osobních údajů. Mlčení, předem zaškrtnutá políčka nebo nečinnost by tudíž neměly být považovány za souhlas. Souhlas by se měl vztahovat na veškeré činnosti zpracování prováděné pro stejný účel nebo stejné účely. Jestliže má zpracování několik účelů, měl by být souhlas udělen pro všechny. Má-li subjekt údajů vyjádřit souhlas na základě žádosti podané elektronickými prostředky, musí být žádost jasná a stručná a nesmí zbytečně narušit využívání služby, pro kterou je souhlas dáván.

(38)

Děti zasluhují zvláštní ochranu osobních údajů, protože si mohou být méně vědomy dotčených rizik, důsledků a záruk a svých práv v souvislosti se zpracováním osobních údajů. Tato zvláštní ochrana by se měla zejména vztahovat na používání osobních údajů dětí pro účely marketingu nebo vytváření osobnostních či uživatelských profilů a shromažďování osobních údajů týkajících se dětí při využívání služeb nabízených přímo dětem. Souhlas nositele rodičovské zodpovědnosti by neměl být nutný v případě preventivních či poradenských služeb nabízených přímo dětem.

(42)

Pokud je zpracování založeno na souhlasu subjektu údajů, měl by být správce schopen prokázat, že subjekt údajů vyjádřil s danou operací zpracování souhlas. Zejména v případě písemného prohlášení souvisejícího s jinou skutečností by mělo být pomocí záruk zajištěno, že si je subjekt údajů vědom toho, že dává souhlas a v jakém rozsahu. V souladu se směrnicí Rady 93/13/EHS (1) by prohlášení o souhlasu navržené správcem mělo být poskytnuto ve srozumitelném a snadno přístupném znění za použití jasného a jednoduchého jazyka a nemělo by obsahovat nepřiměřené podmínky. Aby se zajistilo, že souhlas bude informovaný, měl by subjekt údajů znát alespoň totožnost správce a účely zpracování, k nimž jsou jeho osobní údaje určeny. Souhlas by neměl být považován za svobodný, pokud subjekt údajů nemá skutečnou nebo svobodnou volbu nebo nemůže souhlas odmítnout nebo odvolat, aniž by byl poškozen.

Skupina W29 vydala Vodítka k souhlasu WP259 , ve kterých se podrobně věnuje podmínkám Souhlasů.