Súhlas so spracúvaním osobných údajov je platný len vtedy, keď je slobodný, konkrétny, informovaný a jednoznačný, daný jasným potvrdzujúcim úkonom (čl. 4 bod 11 a čl. 7 GDPR). Predzaškrtnuté políčko ani nečinnosť súhlasom nie sú. Súhlas potrebujete najmä na marketing, cookies okrem nevyhnutných a citlivé údaje, nie na spracúvanie, ktoré kryje zmluva, zákon alebo oprávnený záujem.
Obsah
Spustili ste newsletter, pridali na web cookies lištu alebo zbierate kontakty na podujatí a všade pribudlo zaškrtávacie políčko so súhlasom. Pôsobí to zodpovedne, veď si pýtate povolenie. Lenže súhlas nie je zdvorilostné gesto, je to právny základ s vlastnými, dosť prísnymi pravidlami. A väčšina firiem ho používa tak, že by pri kontrole neobstál.
Súhlas totiž nie je najbezpečnejšia predvolená voľba, ako sa mnohí nazdávajú. Je to najnáročnejší zo šiestich právnych základov: musí splniť štyri podmienky, dá sa kedykoľvek odvolať a vy musíte vedieť preukázať, že ste ho platne získali. Keď ho použijete tam, kde ste ho nepotrebovali, len si skomplikujete život. Keď ho použijete zle tam, kde ho naozaj treba, spracúvanie stojí na vode.
Čo robí súhlas platným?
GDPR v článku 4 definuje súhlas ako slobodný, konkrétny, informovaný a jednoznačný prejav vôle, ktorým dotknutá osoba jasným potvrdzujúcim úkonom vyjadrí, že súhlasí so spracúvaním svojich údajov. V tej definícii je ukrytých niekoľko podmienok, ktoré musia platiť naraz.
Slobodný znamená, že človek mal reálnu možnosť odmietnuť bez toho, aby ho to niečo stálo. Konkrétny znamená na konkrétny účel, nie jeden hromadný súhlas na všetko naraz. Informovaný znamená, že pred udelením vedel, kto a na čo bude údaje spracúvať a že súhlas môže kedykoľvek odvolať. A jednoznačný znamená aktívny úkon, teda zaškrtnutie políčka, kliknutie, podpis. Práve preto predzaškrtnuté políčko súhlasom nie je, čo potvrdil aj Súdny dvor Európskej únie. Mlčanie, nečinnosť ani „kto neodpovie, súhlasí“ sa za súhlas nepovažujú.
Prečo musí byť súhlas slobodný?
Toto je podmienka, ktorú firmy porušujú najčastejšie, a to nevedomky. GDPR v článku 7 zakazuje podmieňovať plnenie zmluvy súhlasom so spracúvaním, ktoré na tú zmluvu nie je nevyhnutné. Ak teda zákazníkovi nedodáte tovar, kým vám neodkývne aj marketingový súhlas, taký súhlas nie je slobodný, a teda ani platný.
Druhá pasca je nerovnováha medzi stranami. Klasickým príkladom je zamestnanec: jeho súhlas voči zamestnávateľovi sa len zriedka považuje za skutočne slobodný, lebo podriadený sa fakticky nemôže bez následkov odmietnuť. Preto sa spracúvanie údajov zamestnancov opiera o zmluvu, zákon alebo oprávnený záujem, nie o súhlas, čomu sa venujeme v článku o monitorovaní zamestnancov. Rovnaká nerovnováha platí pri orgánoch verejnej moci voči občanom.
Ako sa súhlas odvoláva a čo to pre vás znamená?
Súhlas má jednu vlastnosť, ktorá je jeho podstatou aj jeho slabinou: dá sa kedykoľvek odvolať. GDPR pritom žiada, aby odvolanie bolo rovnako ľahké ako udelenie. Ak sa teda prihlásenie na newsletter spraví jedným klikom, odhlásenie nesmie vyžadovať telefonát ani vypisovanie žiadosti.
Dve veci sa okolo odvolania často pletú. Odvolanie nemá spätný účinok, spracúvanie, ktoré prebehlo na základe súhlasu pred jeho odvolaním, ostáva zákonné. Ale od okamihu odvolania musíte spracúvanie na tomto základe zastaviť. A práve tu je dôvod, prečo súhlas nie je vhodný na spracúvanie, ktoré musíte robiť tak či tak. Ak ste si ako základ na fakturáciu alebo zákonom povinné uchovávanie zvolili súhlas, po jeho odvolaní sa dostanete do slepej uličky. Správny základ pre takéto prípady rozoberáme v článku o právnych základoch.
Ako súhlas preukážete?
GDPR kladie dôkazné bremeno na vás: musíte vedieť preukázať, že dotknutá osoba súhlas dala. Ústny súhlas alebo „veď si to odklikol“ pri kontrole neobstoja. Potrebujete evidenciu súhlasu, teda záznam o tom, kto, kedy, na aký účel a akým spôsobom súhlasil a aké bolo presné znenie, s ktorým súhlasil.
V praxi sa osvedčuje takzvaný double opt-in, teda potvrdenie súhlasu cez overovací e-mail. GDPR ho výslovne nevyžaduje, ale je to najčistejší spôsob, ako preukázateľnosť doložiť, a zároveň chráni pred prihlasovaním cudzích adries. Toto je jeden z najčastejšie sa opakujúcich nedorozumení, na ktoré v praxi narážam: firma súhlas získa, ale nevie ho doložiť, takže pri kontrole je to, akoby ho nemala.
Kedy súhlas naozaj potrebujete a kedy nie?
Poďme k praktickému jadru. Súhlas naozaj potrebujete na zopár typov spracúvania. Na marketingové oslovenie nových kontaktov, napríklad newsletter. Na cookies a podobné technológie okrem nevyhnutných, čo na Slovensku vyplýva zo zákona č. 452/2021 Z. z. o elektronických komunikáciách. Na spracúvanie osobitných kategórií údajov (tzv. citlivé údaje podľa článku 9, napríklad o zdraví). A napríklad na zverejnenie fotografií konkrétnych osôb na propagáciu.
Naopak, súhlas nepotrebujete tam, kde spracúvanie kryje iný základ: plnenie zmluvy, zákonná povinnosť alebo oprávnený záujem. Priamy marketing voči existujúcim zákazníkom sa často dá postaviť na oprávnenom záujme spolu s právom kedykoľvek namietať, hoci pri elektronickom a telefonickom oslovovaní platia osobitné pravidlá práve podľa zákona č. 452/2021 Z. z. Rozdiel medzi „na toto treba súhlas“ a „toto pokryje iný základ“ je presne tá čiara, ktorú väčšina firiem nemá jasne vytýčenú.
Platí niečo osobitné pri súhlase detí?
Áno. Pri službách informačnej spoločnosti, teda typicky online službách, je súhlas dieťaťa platný, až keď dovŕši určitý vek. GDPR necháva tento vek na členské štáty v rozpätí 13 až 16 rokov a slovenský zákon č. 18/2018 Z. z. ho stanovil na 16 rokov. Ak je dieťa mladšie, spracúvanie na základe súhlasu je zákonné len vtedy, keď súhlas poskytol alebo schválil jeho zákonný zástupca, a vy ste povinní vynaložiť primerané úsilie, aby ste si to overili. Ak teda cielite na mladšie publikum, toto nie je detail, ktorý sa dá obísť.
Ako postupovať
Najdôležitejší krok, ktorý by som odporučil, nie je vylepšovať znenie súhlasu, ale najprv zistiť, kde ho vôbec potrebujete. Prejdite si spracúvania, ktoré vo firme máte, a pri každom rozhodnite právny základ, presne tak, ako sme to opísali pri právnych základoch. Súhlas nechajte len tam, kde je naozaj namieste, a tam ho spravte poriadne: aktívny úkon, konkrétny účel, jednoduché odvolanie a evidencia, ktorá ho doloží.
Zaznieva pritom obľúbená námietka: „nie je jednoduchšie vypýtať si súhlas na všetko a mať pokoj?“ Nie je, a je to kontraproduktívne. Súhlas na všetko vám paradoxne pridá prácu, lebo každý súhlas musíte vedieť preukázať a umožniť jeho odvolanie, a zároveň oslabí vaše postavenie tam, kde ste mali k dispozícii pevnejší základ. Menej súhlasov, ale poriadne, je takmer vždy lepšia stratégia než súhlas na všetko.
Ak si nie ste istí, kde súhlas naozaj potrebujete a či ten váš obstojí, a nechcete to riešiť sami, vašu situáciu posúdime a prípadne prevezmeme rolu zodpovednej osoby. Viac informácií nájdete na našej stránke o ochrane osobných údajov. Celý rámec GDPR pre firmy a organizácie sme zhrnuli v úvodnom článku série.
Časté otázky
Kedy potrebujem súhlas na spracúvanie osobných údajov?
Súhlas potrebujete najmä na marketingové oslovenie nových kontaktov, na cookies okrem nevyhnutných, na spracúvanie citlivých údajov a na zverejnenie fotografií osôb. Na spracúvanie kryté zmluvou, zákonnou povinnosťou alebo oprávneným záujmom súhlas netreba.
Je predzaškrtnuté políčko platný súhlas?
Nie. Súhlas musí byť daný jasným potvrdzujúcim úkonom. Predzaškrtnuté políčko, mlčanie ani nečinnosť sa za platný súhlas nepovažujú, čo potvrdil aj Súdny dvor Európskej únie.
Ako sa dá súhlas odvolať?
Odvolanie musí byť rovnako jednoduché ako udelenie súhlasu. Po odvolaní musíte spracúvanie na základe súhlasu zastaviť, spracúvanie pred odvolaním však ostáva zákonné.
Od akého veku môže dieťa dať súhlas samo?
Na Slovensku je pri službách informačnej spoločnosti súhlas dieťaťa platný od 16 rokov (zákon č. 18/2018 Z. z.). Pri mladšom dieťati musí súhlas poskytnúť alebo schváliť jeho zákonný zástupca.