Skočiť na obsah
🕽 0948 881 081 (-) , FAQ

GDPR a spracovanie osobných údajov: stačí súhlas?

Ochrana osobných údajov #2

GDPR a spracovanie osobných údajov: stačí súhlas?

Čo to je GDPR, osobný údaj, kto je prevádzkovateľom a aké má zhruba povinnosti, sme rozobrali v prvom článku zo série na tému GDPR – strašiak alebo pomocník?

Ak ste si už vo vašej firme zmapovali odkiaľ a cez aké kanály zbierate osobné údaje a na aký účel ich potrebujete, posvietime si teraz na to ako osobné údaje zbierate = na zákonnosť ich spracovania, ktorá sa odvíja od tzv. právneho titulu spracovania osobných údajov.

Jednoducho povedané budeme sa pýtať, či je správnym riešením všade umiestňovať súhlas so spracovaním osobných údajov? Odpoveď podľa GDPR je jasná: NIE. Prečo? Dozviete sa v článku.

Právny titul spracovania – čo sa pod tým skrýva?

Právny titul spracovania osobných údajov v podstate predstavuje podmienku, ktorej splnenie urobí spracovanie osobných údajov cez vaše systémy zákonným.

Doteraz bol najčastejším a takmer všade používaným právnym titulom súhlas dotknutej osoby so spracovaním osobných údajov.

GDPR však presadzuje obrátenú filozofiu a súhlas ako právny základ pre spracovanie osobných údajov vo vašej firme je až poslednou možnosťou ako spracovávať osobné údaje zákonne.

Medzi spomenuté iné právne základy patria:

1. plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba

Príklad č. 1:
Na webovej stránke prevádzkujete e-shop. V rámci objednávkového formulára musí osoba – potenciálny kupujúci/už existujúci zákazník – vyplniť osobné údaje, aby mu bol objednaný tovar doručený. Odoslaním objednávkového formulára zákazník zasiela návrh na uzavretie zmluvy, pričom potvrdením z vašej strany dochádza k uzavretiu zmluvy.

V zmysle GDPR takýto objednávkový formulár nemusí a ani nemá obsahovať checkbox na udelenie súhlasu so spracovaním zadaných osobných údajov, ak budete zasielať len objednaný tovar a váš newsletter s ponukou obdobného tovaru. E-mailová adresa zákazníka na zasielanie newsletter-a by však podľa stanoviska Úradu na ochranu osobných údajov mala podliehať double opt-in overeniu, keďže stále máte voči zákazníkovi info povinnosť o použití jeho osobných údajov.

Máte teda povinnosť informovať kupujúceho, že tu ide o právny základ spracovania v podobe plnenia zmluvy ako aj o tom, ktoré z jeho osobných údajov nevyhnutne potrebujete na plnenie zmluvy a aké má váš zákazník práva (viac v mojej pripravovanej 3. časti GDPR série).

2. plnenie zákonnej povinnosti prevádzkovateľa

Príklad č. 2:
Ako zamestnávateľ máte napr. zákonnú povinnosť viesť mzdové listy zamestnancov, a preto nepotrebujete súhlas zamestnancov so spracovaním ich osobných údajov. Vyžadovanie súhlasu je navyše a je postupom, ktorý nie je v súlade s GDPR. Obdobne je potrebné o tejto skutočnosti informovať minimálne v zásadách spracúvania osobných údajov.

GDPR uvádza aj ďalšie právne základy spracovania osobných údajov akým je  ochrana životne dôležitých záujmov dotknutej osoby/inej fyzickej osoby – tu patrí napr. spracovanie osobných údajov nemocnicami; alebo splnenie úlohy vo verejnom záujme – napr. spracovávanie osobných údajov úradmi – tie však uvádzame len okrajovo pre úplnosť.

3. oprávnený záujem, ktorý sleduje prevádzkovateľ

Oprávnený záujem je po plnení zmluvy druhým najdôležitejším právnym základom, predovšetkým pri online biznise. Je preto potrebné zisťovať či môžete na spracovanie osobných údajov použiť váš oprávnený záujem, a ak by ten nebol možný a prevážil by nad ním záujem dotknutej osoby = osoby, ktorej údaje spracúvate, tak je nutné siahnuť k použitiu checkbox-u so súhlasom dotknutej osoby.

Pod oprávneným záujmom prevádzkovateľa GDPR napr. rozumie aj spracúvanie osobných údajov na účely zaistenia bezpečnosti siete a informačnej bezpečnosti – a teda na účely zabránenia neoprávneným prístupom, zastavenia útokov apod.

Príklad č. 3:
Máte databázu existujúcich zákazníkov, ktorí odoberajú vaše produkty. Zasielanie newsletter-a zákazníkom na vaše produkty je vaším oprávneným záujmom. Súhlas zákazníkov nepotrebujete, jediné čo potrebujete, je informovať už existujúcich zákazníkov o tomto účele použitia ich osobných údajov.

ALE

Ak by ste chceli zasielať váš newsletter tretím osobám, ne-zákazníkom, ktoré zadajú e-mailovú adresu na webovej stránke – tu už nefiguruje váš oprávnený záujem pracovať s existujúcimi zákazníkmi, a preto nevyhnutne potrebujete checkbox so súhlasom na konkrétny účel.

4. starý známy súhlas dotknutej osoby vo vynovenej verzii 🙂

Súhlas v súlade s GDPR má byť:

  • na konkrétny účel + na každý účel samostatný
  • preukázateľný (double opt-in, web logs)
  • odlíšiteľný od iných skutočností na webovej stránke (napr. od objednávky)
  • kedykoľvek odvolateľný, informovaný (viac v  mojej pripravovanej 3. časti GDPR série)
  • slobodný (nepodmienený) – vylučuje to automaticky začiarknuté checkboxy so súhlasom + napr. ak zákazník nezačiarkne súhlas so zasielaním newsletterov tretích strán na jeho e-mail, musí mu byť umožnené napriek tomu nakupovať v e-shope.

Zároveň treba zdôrazniť, že výslovný súhlas so spracovaním osobných údajov si ponechal výsostné postavenie ako právny základ na spracovanie osobitnej kategórie osobných údajov, tzv. extra citlivých osobných údajov akými sú napr. údaje o rase, príslušnosti k etniku, politických názoroch, o sexuálnej orientácii apod.

Teším sa na vás pri pripravovanom treťom článku na tému:
GDPR a informačná povinnosť o ochrane osobných údajov voči zákazníkom

Všetky diely seriálu o GDPR:

  1. GDPR 2018: strašiak alebo pomocník?
  2. GDPR a spracovanie osobných údajov: stačí súhlas? (práve čítate)
  3. GDPR: o čom všetkom informovať zákazníka?
  4. GDPR: právo na zabudnutie a ďalšie práva I.
  5. GDPR: právo na zabudnutie a ďalšie práva II. 
  6. GDPR a analýza správania zákazníkov
  7. GDPR: administratíva prevádzkovateľa
  8. GDPR: sprostredkovateľská zmluva
  9. GDPR: kontrola, úrad, pokuty
  10. GDPR: 10 + 1 najčastejších otázok a odpovedí I.
  11. GDPR: 10 + 1 najčastejších otázok a odpovedí II.

Prihláste sa na odber noviniek z blogu

Odhlásiť sa môžete kedykoľvek prostredníctvom odkazu v emaili.

4 komentáre

Dobrý deň , chcem sa opýtať porušila som GDPR ked som informovala rodičov o ich dcére , ktorá je zbavená spôsobilosti na všetky úkony a oni sú zákony zástupcovia , ked som im podala informáciu , že ich dcéru chcú premiestniť do iného zariadenia ? nakoľko vedenie im túto informáciu chcelo umlčať. Ďakujem.
Dobrý deň, odporúčame sa s otázkou obrátiť na právne poradenstvo. Nie sme v tejto oblasti spôsobili korektne odpovedať.
Dobrý deň, chcela by som sa opýtať, či je potrebný súhlas dotknutej osoby so spracovaním OÚ za účelom vypracovanie cenovej ponuky, ktorá predchádza k možnému uzavretiu zmluvy.
Dobrý deň, je potrebné splniť si informačnú povinnosť o tom, že osobné údaje spracúvate na právnom základe plnenie zmluvy, kam patrí aj prípravná fáza pred uzavretím zmluvy.

Pridať komentár