Lze zpracovávat osobní údaje na základě dosavadních souhlasů i po účinnosti GDPR?

Otázka, kterou si klade většina správců a zpracovatelů, v souvislosti s blížícím se datem 25. května 2018, tj. dnem účinnosti nařízení GDPR.

Pokud správci zpracovávají osobní údaje na základě souhlasů získaných od subjektů údajů na základě dosavadního zákona o ochraně osobních údajů, neznamená to automaticky, že by si museli vyžádat od všech subjektů nové souhlasy, resp. obnovovat jejich platnost. Samotné nařízení uvádí, že není nutné, aby subjekt údajů znovu udělil svůj souhlas, pokud je způsob udělení daného souhlasu v souladu s podmínkami nařízení GDPR. Je tak nutné vždy jednotlivě posoudit, zda souhlas splňuje podmínky nařízení GDPR kladené na souhlas.

Zde uvádíme nejčastější chyby, které správci dělali a dělají při získávání souhlasů, a které zakládají jejich neplatnost:

  • nedobrovolnost – udělení souhlasu se zpracováním osobních údajů typicky pro marketingové účely bylo podmínkou poskytnutí jiných nesouvisejících služeb nebo dodání zboží správcem (zákazník musí společně s uzavřením určité smlouvy udělit zároveň i souhlas, bez toho mu nebude služba poskytnuta);
  • neoddělitelnost – souhlas je přímo součástí textu smlouvy anebo dokonce pouze obsažen ve všeobecných obchodních podmínkách, na které se smlouva odkazuje, a subjekt tak fakticky „uděluje“ souhlas podpisem smlouvy;
  • neurčitost – účel zpracování osobních údajů není vůbec uveden v souhlasu anebo je uveden neurčitě anebo široce, takže není zřejmé, co všechno daný účel obnáší. Zároveň souhlas by měl být udělen ke každému jednotlivému účelu zvlášť.

V případě, že souhlas se zpracováním osobních údajů neobstojí dle podmínek nařízení GDPR a je tak neplatný, nemusí to automaticky znamenat konec zpracovávání těchto osobních údajů, neboť v některých případech může být titul ke zpracování daný jiným důvodem (plnění zákonných povinností, oprávněné zájmy, přímý marketing apod.). Toto je však vždy nutné v konkrétních situacích dostatečně pečlivě zvážit, aby nedocházelo k neoprávněnému zpracování osobních údajů.

Pokud taky v současnosti řešíte jakékoliv problémy a dotazy související s nařízením GDPR, ať už ohledně souhlasů, nebo jakékoliv jiné oblasti zpracování osobních údajů, neváhejte se obrátit na náš právní tým, který je vám k dispozici.