Ako formulovať súhlas na spracovanie osobných údajov podľa GDPR

By /

V súčasnosti sa nariadenie GDPR (General Data Protection Regulation) stalo jednou z najčastejšie skloňovaných skratiek v oblasti ochrany osobných údajov. Ide o nariadenie Európskeho Parlamentu a Rady (EÚ) 2016/679, ktoré je od 25. mája 2018 účinné v členských štátoch EÚ. GDPR definuje nové pojmy, zavádza nové práva pre fyzické osoby a povinnosti pre subjekty spracúvajúce osobné údaje fyzických osôb, najmä vzhľadom na rýchly rozvoj kybernetickej kriminality. V podmienkach Slovenskej republiky sa uvedené nariadenie GDPR premietlo do nového zákona č. 18/2018 Z. z. o ochrane osobných údajov, účinného od 25. mája 2018, ktorý nahradil dovtedy platný zákon č. 122/2013 Z. z. o ochrane osobných údajov.

Čo sú osobné údaje podľa GDPR?

Podľa európskeho nariadenia GDPR (čl. 4 bod 1) sú osobnými údajmi akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby. Identifikovateľná fyzická osoba je taká, ktorá môže byť priamo či nepriamo identifikovaná, najmä na základe identifikátora, ako je meno a priezvisko fyzickej osoby, identifikačné číslo, lokalizačné údaje, online identifikátor alebo na základe jedného či viacerých faktorov špecifických pre fyzickú, fyziologickú, genetickú, psychickú, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby.

Medzi osobné údaje tak patria napríklad:

  • Meno a priezvisko
  • Adresa bydliska
  • Emailová adresa
  • Telefónne číslo
  • Rodné číslo
  • Číslo občianskeho preukazu alebo iného dokladu totožnosti
  • Biometrické údaje (snímok tváre, odtlačok prsta)
  • IP adresa, identifikátor mobilného zariadenia
  • Súbory cookies a iné technické údaje, pokiaľ umožňujú identifikáciu konkrétnej fyzickej osoby.

Technické údaje ako IP adresa či cookies patria medzi osobné údaje len za predpokladu, že umožňujú identifikáciu konkrétnej fyzickej osoby (napr. IP adresu je možné použiť na zistenie, kde sa konkrétna fyzická osoba nachádza).

Za osobné údaje sa naopak nepovažuje napríklad názov, sídlo a identifikačné číslo obchodnej spoločnosti. Tieto údaje sú verejne dostupné v príslušných registroch a neviažu sa na fyzickú osobu.

Ilustrácia znázorňujúca rôzne typy osobných údajov

Kedy podľa GDPR ide o spracúvanie osobných údajov?

Spracúvaním osobných údajov sa podľa GDPR (čl. 4 bod 2) rozumie akákoľvek operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov, bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami. Medzi takéto operácie patria napríklad:

  • Získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie alebo zmena osobných údajov.
  • Vyhľadávanie, prehliadanie, využívanie osobných údajov.
  • Poskytovanie osobných údajov prenosom, šírením alebo iným spôsobom sprístupnenia.
  • Preskupovanie alebo kombinovanie osobných údajov.
  • Obmedzenie, vymazanie alebo likvidácia osobných údajov.

Čo je súhlas so spracúvaním osobných údajov podľa GDPR?

GDPR (čl. 4 bod 11) definuje súhlas dotknutej osoby ako akýkoľvek slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týka.

Aké požiadavky musí súhlas so spracúvaním osobných údajov podľa GDPR spĺňať?

GDPR uprednostňuje iné právne základy na spracúvanie osobných údajov, ako je plnenie zákonnej povinnosti, plnenie zmluvy alebo oprávnený záujem. Pokiaľ však má byť na spracúvanie osobných údajov použitý len súhlas, musí spĺňať prísne požiadavky:

  1. Slobodný: Fyzická osoba musí mať reálnu možnosť výberu. Ak bola k súhlasu donútená alebo ak by jej neudelenie súhlasu spôsobilo nevýhodu, súhlas nie je platný. Napríklad, zamestnávateľ nemôže podmieňovať pracovnú zmluvu udelením súhlasu na spracovanie osobných údajov, ktoré nie sú nevyhnutné na plnenie pracovnej zmluvy.
  2. Konkrétny (určitý): Zo súhlasu musí byť bezpochyby zrejmé, za akým účelom sú osobné údaje poskytované a v akom rozsahu budú spracúvané. Ak sa údaje spracúvajú na viacero účelov, súhlas by mal byť poskytnutý pre každý z nich osobitne. Všeobecné formulácie ako „súhlasím so spracovaním svojich osobných údajov“ sú neplatné.
  3. Informovaný: Pred udelením súhlasu musí byť dotknutej osobe poskytnutá jasná a zrozumiteľná informácia o:
    • Totožnosti a kontaktných údajoch prevádzkovateľa.
    • Účele spracúvania a právnom základe.
    • Lehote uchovávania osobných údajov.
    • Práve kedykoľvek odvolať súhlas.
    • Práve podať sťažnosť dozornému orgánu.
    • Možných rizikách prenosu údajov do tretích krajín.Tieto informácie by nemali byť ukryté vo všeobecných obchodných podmienkach, ale prezentované stručne a zrozumiteľne.
  4. Jednoznačný: Súhlas musí byť vyjadrený jasným prejavom vôle alebo jednoznačným potvrdzujúcim úkonom. Predtým začiarknuté políčka (tzv. pre-checked boxes) nie sú platným prejavom súhlasu.

Infografika znázorňujúca štyri kľúčové požiadavky na platný súhlas

Forma súhlasu so spracúvaním osobných údajov podľa GDPR

GDPR neustanovuje predpísanú formu súhlasu, ale zdôrazňuje, že musí byť odlíšený od iných skutočností a vyjadrený jasne, zrozumiteľne a ľahko dostupnou formou. Keďže prevádzkovateľ je povinný súhlas preukázať, ústne udelenie súhlasu nie je v praxi dostatočné, pokiaľ nie je zaznamenané (napr. audio nahrávka). Najčastejšie prichádza do úvahy:

  • Písomná forma: Listinná alebo elektronická (napr. vyplnenie a podpísanie formulára, zaškrtnutie políčka na webovej stránke).
  • Elektronický súhlas: Musí byť poskytnutý vedomým úkonom dotknutej osoby, napríklad zakliknutím políčka s príslušným textom ako „Súhlasím so spracovaním osobných údajov“.

Zo súhlasu by malo byť zrejmé: kto súhlas udelil, komu je udelený, na aký účel, v akom rozsahu, aká je doba platnosti a aké informácie dotknutá osoba dostala.

Kedy sa podľa GDPR súhlas na spracúvanie osobných údajov vyžaduje?

Súhlas je jedným zo šiestich právnych základov spracúvania osobných údajov. Používa sa najmä v prípadoch, keď neexistuje iný zákonný dôvod. Typickými príkladmi sú:

  • Marketingová komunikácia: Zasielanie newsletterov, reklamných ponúk, ak s tým zákazník výslovne nesúhlasil prostredníctvom iného právneho základu (napr. oprávnený záujem pri existujúcich zákazníkoch).
  • Vernostné programy a spotrebiteľské súťaže.
  • Zverejňovanie fotografií na webových stránkach alebo sociálnych sieťach, ak sa nejedná o udalosti verejného charakteru, kde je súhlas predpokladaný.
  • Výberové konanie na pracovnú pozíciu: Uchádzač udeľuje súhlas so spracovaním svojich údajov počas výberového procesu.

Kedy sa podľa GDPR súhlas na spracúvanie osobných údajov nevyžaduje?

Prevádzkovateľ môže spracúvať osobné údaje bez súhlasu dotknutej osoby, ak je spracúvanie nevyhnutné na:

  1. Splnenie zákonnej povinnosti: Spracúvanie je nariadené osobitným zákonom.

    • Príklad: Zamestnávateľ musí spracúvať osobné údaje zamestnancov na účely miezd, odvodov do poisťovní a plnenia daňových povinností. Účelom spracúvania osobných údajov v oblasti účtovníctva a obchodnej agendy je plnenie zákonných povinností prevádzkovateľa vyplývajúcich z osobitných predpisov (zákon o účtovníctve, zákon o dani z pridanej hodnoty, zákon o dani z príjmov, a podobne). Právnym základom spracúvania osobných údajov (vrátane ich poskytovania tretím stranám) je plnenie zákonnej povinnosti v zmysle čl. 6 ods. 1 písm. c) Nariadenia. Lehota uchovávania osobných údajov je 10 rokov.
    • Príklad: Evidencia a kontrola jednorazového vstupu fyzických osôb do priestorov prevádzkovateľa na účely ochrany majetku, zdravia a verejného poriadku. Právnym základom je oprávnený záujem sledovaný prevádzkovateľom v zmysle čl. 6 ods. 1 písm. f) Nariadenia. Oprávneným záujmom prevádzkovateľa je právo na ochranu majetku a právo na kontrolu vstupu fyzických osôb do priestorov prevádzkovateľa. Lehota uchovávania osobných údajov je 1 rok.
    • Príklad: Spracúvanie osobných údajov na účely správy registratúry v súlade so zákonom o archívoch a registratúrach a zákonom o e-Governmente. Právnym základom je plnenie zákonných povinností prevádzkovateľa v zmysle čl. 6 ods. 1 písm. c) Nariadenia.
    • Príklad: Spracúvanie osobných údajov na účely evidencie oznámení týkajúcich sa protispoločenskej činnosti v zmysle zákona o ochrane oznamovateľov. Právnym základom je plnenie zákonných povinností prevádzkovateľa v zmysle čl. 6 ods. 1 písm. c) Nariadenia. Doba uchovávania osobných údajov je 3 roky odo dňa doručenia oznámenia.

  2. Plnenie zmluvy: Spracúvanie je nevyhnutné na realizáciu zmluvy, ktorej zmluvnou stranou je dotknutá osoba.

    • Príklad: Pri objednávke tovaru z e-shopu prevádzkovateľ spracúva meno, adresu a platobné údaje zákazníka na účely dodania tovaru. Účelom spracúvania osobných údajov v oblasti obchodnej komunikácie je príprava a realizácia podnikateľských aktivít prevádzkovateľa. Právnym základom spracúvania osobných údajov je oprávnený záujem sledovaný prevádzkovateľom v zmysle čl. 6 ods. 1 písm. f) Nariadenia. Lehota uchovávania je determinovaná trvaním obchodnoprávneho vzťahu, ako aj obdobím 2 rokov od jeho ukončenia.
    • Príklad: V oblasti personálnej a mzdovej agendy je spracúvanie údajov nevyhnutné na uzatvorenie a plnenie pracovnej zmluvy. Právnym základom spracúvania je plnenie zákonnej povinnosti v zmysle čl. 6 ods. 1 písm. c) Nariadenia a pracovná zmluva alebo dohoda v zmysle čl. 6 ods. 1 písm. b) Nariadenia uzatvorená s dotknutou osobou.

  3. Ochrana životne dôležitých záujmov: Spracúvanie je nevyhnutné na ochranu života alebo zdravia dotknutej osoby alebo inej fyzickej osoby.

    • Príklad: Nemocnica spracúva údaje pacienta na účely jeho liečby bez jeho súhlasu, ak nie je schopný súhlas udeliť.

  4. Výkon verejnej moci: Spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi.

    • Príklad: Orgány verejnej správy pri výkone svojich kompetencií.

  5. Oprávnený záujem prevádzkovateľa alebo tretej strany: Spracúvanie je nevyhnutné na účely oprávnených záujmov prevádzkovateľa alebo tretej strany, pokiaľ nad týmito záujmami neprevažujú záujmy alebo základné práva a slobody dotknutej osoby.

    • Príklad: Vnútorný prenos osobných údajov zamestnancov v rámci skupiny podnikov ZKW na účely lepšej komunikácie, plánovania a koordinácie vzdelávacích aktivít. Právnym základom je oprávnený záujem sledovaný prevádzkovateľom v zmysle čl. 6 ods. 1 písm. f) Nariadenia.
    • Príklad: Zverejnenie firemných kontaktných údajov zamestnancov na webovom sídle a intranete na účely komunikácie so zákazníkmi a dodávateľmi, ako aj efektívnejšej komunikácie medzi zamestnancami. Právnym základom je oprávnenie v zmysle § 78 ods. 3 zákona č. 18/2018 Z. z.
    • Príklad: Vydávanie firemného časopisu na prezentáciu aktivít spoločnosti. Právnym základom je oprávnený záujem prevádzkovateľa v zmysle čl. 6 ods. 1 písm. f) Nariadenia v spojení s § 78 ods. 1 zákona č. 18/2018 Z. z. (literárna činnosť). Lehota uchovávania je 10 rokov.
    • Príklad: Kamerový systém na pracovisku na účely ochrany majetku a zdravia zamestnancov.

Súhlas v pracovnoprávnom vzťahu

V oblasti pracovného práva je potrebné postupovať mimoriadne obozretne. Vzhľadom na nerovnovážne postavenie zamestnanca a zamestnávateľa je sloboda udelenia súhlasu zamestnanca často obmedzená. Vo väčšine prípadov, keď zamestnávateľ spracúva osobné údaje zamestnanca na účely plnenia zákonných povinností alebo pracovnej zmluvy, súhlas nie je potrebný a jeho vyžadovanie by bolo v rozpore s GDPR.

V oblasti personálnej a mzdovej agendy je spracúvanie údajov nevyhnutné na prípravu a uzatvorenie pracovnej zmluvy alebo dohody, evidenciu podkladov o pracovnej spôsobilosti, výplatu mzdy, odvody, plnenie povinností voči orgánom štátnej správy, evidenciu dochádzky, vzdelávania, majetku, ako aj plnenie ďalších zákonných a zmluvných povinností. Právnym základom je plnenie zákonnej povinnosti (čl. 6 ods. 1 písm. c) GDPR) a pracovná zmluva alebo dohoda (čl. 6 ods. 1 písm. b) GDPR).

Spracúvanie osobných údajov v oblasti bezpečnosti a ochrany zdravia pri práci (BOZP) je tiež založené na plnení zákonných povinností zamestnávateľa, ako je realizácia školení, evidencia pracovných úrazov a zabezpečovanie lekárskych prehliadok. Právnym základom je plnenie zákonných povinností (čl. 6 ods. 1 písm. c) GDPR).

Lehota uchovávania osobných údajov v osobnom spise zamestnanca je obdobie ohraničené prípravou pracovnoprávneho vzťahu a dovŕšením sedemdesiateho roku života zamestnanca (aj bývalého).

Odvolanie súhlasu

Dotknutá osoba má právo kedykoľvek odvolať svoj súhlas so spracúvaním osobných údajov. Odvolanie musí byť rovnako jednoduché ako jeho udelenie. Po odvolaní súhlasu je prevádzkovateľ povinný bezodkladne ukončiť spracúvanie údajov na daný účel a údaje vymazať, ak neexistuje iný právny základ na ich uchovanie. Odvolanie súhlasu nemá vplyv na zákonnosť spracúvania vykonaného pred jeho odvolaním.

Všetky súhlasy získané pred účinnosťou GDPR a nového zákona o ochrane osobných údajov sú platné len vtedy, ak spĺňajú všetky požiadavky GDPR. V opačnom prípade je potrebné od dotknutých osôb vyžiadať nové súhlasy alebo zvoliť iný právny základ na spracúvanie osobných údajov.

Je dôležité si uvedomiť, že nesprávne formulovaný alebo neprimerane vyžadovaný súhlas môže viesť k sankciám zo strany Úradu na ochranu osobných údajov SR. Prevádzkovatelia by mali dôkladne zmapovať všetky svoje spracovateľské operácie a zabezpečiť, aby boli v súlade s platnou legislatívou.

tags: #ako #ma #byt #formulovany #suhlas #na

Populárne príspevky:

  • Obnova Trenčianskeho hradu
  • Región s potenciálom bývania a investícií v Pezinku
  • Viac informácií o prenájme obchodných priestorov v Prievidzi, vrátane sídliska Zapotôčky.
  • Developerské projekty v Bratislave
  • Nová relácia Markízy