Souhlas se zpracováním osobních údajů je mnohdy vyžadován zbytečně

Od okamžiku, kdy nabylo účinnosti obecné nařízení (EU) 2016/679 (GDPR) bývají zejména uživatelé e-mailových schránek a webových stránek zahlcováni žádostmi o udělení souhlasu se zpracováním svých osobních údajů, a to především od e-shopů a marketingových společností. Výjimečné ovšem nejsou ani situace, kdy formulář obsahující souhlas se zpracováním osobních údajů obdrží například pacienti čekající v čekárně na lékařskou prohlídku.

Tyto žádosti jsou však v mnoha případech zcela nadbytečné a dokonce v rozporu s novou právní úpravou GDPR. Správci osobních údajů namísto toho, aby vyhodnotili, zda disponují pro zpracování osobních údajů zákonným titulem, volí raději formu automatického požadavku na udělení souhlasu se zpracováním osobních údajů. Správci tak činí i když jim mnohdy pro zpracování osobních údajů svědčí některý ze zákonných důvodů, nejčastějším základem je přitom plnění ze smlouvy, oprávněný zájem či plnění právní povinnosti. Proto například v případě výše uvedených e-shopů není zapotřebí souhlas zákazníka se zpracováním jeho osobních údajů v souvislosti s odesláním objednávky, neboť podnikatel jeho údaje zpracovává v rámci uzavřené kupní smlouvy. Podnikatel je ovšem povinen zákazníky o zpracování osobních údajů náležitým způsobem informovat a poučit je o jejich právech.

K chybné interpretaci nutnosti souhlasu se zpracováním osobních údajů se aktuálně vyjadřovala i předsedkyně Úřadu pro ochranu osobních údajů, Ivana Janů, která mimo jiné uvedla, že „se Úřad při své dozorové činnosti bude důsledně zaměřovat na okolnosti získávání souhlasu a jeho náležitosti, zda byl získán v souladu s obecným nařízením, tzn. svobodně, informovaně, transparentně, nedvojznačně a poctivě v přístupu k zákazníkovi – zda klient věděl, k jakému účelu budou jeho osobní data použita a kým“. Celý obsah sdělení předsedkyně Úřadu si můžete přečíst zde.