Už uplynul téměř měsíc ode dne nabytí účinnosti evropského nařízení o ochraně osobních údajů (známý pod zkratkou GDPR), jehož hlavním posláním je ochrana osobních údajů fyzických osob v Evropské unii. Podle odhadů se doposud na tuto novou právní regulaci připravilo pouze 15-20 % českých podnikatelů, což je poměrně znepokojující fakt s ohledem na možné sankce ze strany dozorujícího orgánu, jímž je v České republice Úřad pro ochranu osobních údajů. Ještě hrozivější zprávu může představovat skutečnost, že nemalá část těchto podnikatelů, kteří již provedli určité kroky k ochraně osobních údajů, postupovali při přípravě na GDPR zcela nesprávným způsobem.

Mnoho správců osobních údajů se totiž nechalo svést velmi rozšířeným, avšak mylným názorem, že ke zpracování osobních údajů je vždy nutné získat souhlas dotyčné osoby se zpracováním jejích osobních údajů. Vedení touto mylnou myšlenkou tak chybně požadovali po svých zaměstnancích nebo zákaznících poskytnutí souhlasu se zpracováním osobních údajů a měli za to, že získáním tohoto souhlasu jsou jejich problémy spojené se zpracováním osobních údajů jednou pro vždy vyřešeny. Tento mylný názor nejpravděpodobněji vyplynul z nepochopení principů nařízení GDPR a bohužel také z nesprávné interpretace některých pseudo-poradenských společností poskytujících služby v oblasti ochrany osobních údajů.

Na tomto místě je tedy nutné důrazně se vůči této praxi ohradit, neboť není v souladu s nařízením GDPR a takto získané souhlasy mohou být dokonce v mnoha případech považovány za neplatné. Podle nařízení GDPR totiž není souhlas se zpracováním osobních údajů potřebný ve všech případech zpracování osobních údajů, nýbrž představuje pouze jeden z šesti právních důvodů, na základě kterých může docházet ke zpracování osobních údajů. Nařízení vedle souhlasu počítá s dalšími právními důvody, kterými jsou nezbytnost pro plnění povinností ze smluvního vztahu se subjektem údajů (typicky zpracování osobních údajů zákazníka při prodeji zboží a poskytování služeb); nezbytnost pro splnění zákonné povinnosti (typicky zpracování osobních údajů zaměstnanců v souvislosti s prováděním odvodů na pojištění); nezbytnost pro ochranu životně důležitých zájmů (typicky zpracování osobních údajů pacientů v ohrožení života); nezbytnost pro realizaci oprávněného zájmu (například zpracování osobních údajů za účelem ochrany majetku); a nezbytnost pro plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci (například zpracování osobních údajů úředníky k identifikaci dotčených osob). Ve výše uvedených případech je zpracování osobních údajů prováděno bez souhlasu subjektu údajů a souhlas nesmí být po nich ani vyžadován. Správce má tak povinnost nejprve podřadit zpracování osobních údajů pod některý z těchto důvodů, a pokud to není možné, až následně požádat subjekt údajů o poskytnutí souhlasu.

Další častou chybou bývá požadování souhlasu zákazníka se zpracováním osobních údajů pro přímý marketing. V posledních měsících jistě mnoho z nás obdrželo do e-mailových schránek žádost o poskytnutí nového souhlasu se zpracováním osobních údajů pro zasílání obchodních sdělení a nabídek (tzv. newsletter) různých prodejců, u kterých jsme si v minulosti nakoupili zboží nebo služby. Tato praxe bohužel také není v souladu s nařízením GDPR, neboť zpracování osobních údajů zákazníků pro účely přímého marketingu (zasílání obchodních sdílení a nabídek) je dle názoru Úřadu pro ochranu osobních údajů zpracování prováděné na základě oprávněného zájmu prodejce. Prodejce má totiž oprávněný zájem na tom, aby se zákazník o jeho nových produktech dozvěděl a na druhou stranu zákazník při nákupu zboží či služby může odůvodněně očekávat, že mu prodejce zašle obdobnou nabídku. K zasílání obchodních sdělení tak nemusí prodejce požadovat souhlas zákazníka, nicméně nařízení GDPR mu ukládá určité povinnosti, které musí vůči zákazníkovi splnit. V prvé řadě je povinen zákazníka informovat o jeho právu vznést námitku proti zpracování osobních údajů pro účely přímého marketingu. V případě, že zákazník tuto námitku vznese, je prodejce povinen zdržet se zasílání dalších obchodních sdělení. Dále je prodejce povinen zajistit, aby zákazník měl možnost toto zasílání obchodních sdělení odmítnout ještě před jejich odesláním, a to například tím, že v rámci objednávkového formuláře umožní zákazníkovi zaškrtnout políčko, že si nepřeje, aby mu byla obchodní sdělení zasílána. Vedle toho je prodejce povinen v každém dalším odeslaném obchodním sdělení umožnit zákazníkovi kdykoliv odhlásit se z odběru těchto sdělení. K této problematice je ještě vhodné upozornit, že zasílání obchodních sdělení a nabídek na základě oprávněného zájmu je možné pouze těm zákazníkům, kteří své kontaktní údaje poskytli prodejci v rámci dřívějšího nákupu zboží nebo služeb. Zasílání obchodních nabídek potenciálním zákazníkům (například vyhledáním jejich kontaktních údajů na sociálních sítích) je tudíž nepřípustné.

Dále je nutné upozornit na další nešvar, který se objevil u zaměstnavatelů v souvislosti s implementací GDPR. Mnoho zaměstnavatelů požaduje po svých zaměstnancích poskytnutí souhlasu se zpracováním osobních údajů pro pracovněprávní účely. Znovu je nutné se vůči této praxi ohradit, neboť nařízení GDPR požaduje, aby souhlas byl dán svobodně, což vzhledem k nerovnováze stran v pracovněprávním vztahu nebude zpravidla dodrženo. Navíc poskytnutí souhlasu nesmí být vázáno na uzavření pracovní smlouvy. V takovém případě by totiž byl zcela eliminován prvek dobrovolnosti a takový souhlas by mohl být považován za neplatný. Zaměstnavatel tedy zpracovává osobní údaje zaměstnanců za účelem plnění svých povinností vyplývajících z pracovněprávního vztahu (např. výplata mezd na bankovní účty zaměstnanců) a také pro účely plnění zákonem stanovených povinností (provádění odvodů na pojištění apod.). K těmto účelům tudíž není souhlas zaměstnanců potřebný, neboť jejich osobní údaje jsou zpracovávány na základě jiných právních důvodů.

Účelem tohoto článku bylo upozornit na několik nejčastějších omylů, kterých se dopouštějí správci osobních údajů při implementaci GDPR. Výše uvedené však nelze považovat za konečný výčet, neboť obdobné mýty kolem GDPR existuje celá řada a v budoucnu se mohou objevit další. Nelze jinak než doporučit všem zasvěceným čtenářům, aby pravidelně kontrolovali aktuality z oblasti ochrany osobních údajů a coby podnikatelé přizpůsobovali své procesy zpracování osobních údajů novým poznatkům.