„Abychom vyhověli nové legislativě o ochraně osobních údajů GDPR platné od 25. května 2018, dovolujeme si Vás požádat o udělení souhlasu se zpracováním osobních údajů pro účely zasílání newsletterů s informacemi o novinkách, akčních slevách a slevových kupónech,“ žádal minulý týden své zákazníky kupříkladu e-shop Postershop.cz.

Některé firmy, například banky nebo poskytovatelé internetových služeb, však dávají adresátovi změny související s GDPR pouze na vědomí. Výslovný souhlas nechtějí. „Kompletní znění smluvních podmínek naleznete v naší nápovědě na této adrese,“ vysvětluje v e-mailu Seznam.cz. Podobné sdělení dostali do e-mailových schránek zákazníci letecké společnosti Ryanair.

„Obecně se v této oblasti jedná o situace, které vyplývají ze smluvního vztahu mezi obchodníkem a zákazníkem či ze zákonných povinností. U banky může být příkladem založení a vedení účtu zákazníka. Aby takovou službu mohla vykonávat, adekvátní zákazníkovy údaje banka pro to zkrátka potřebuje,“ vysvětlil Právu Vojtěch Marcín z Úřadu pro ochranu osobních údajů důvody, proč někdy není nový souhlas nutný.

Souhlas klienta banka podle něj musí získat až pro rozšířené marketingové aktivity, například pro možnost zasílat obchodní sdělení třetím stranám. „Klientův souhlas přitom musí být především jasně oddělený od jejich základní dohody a jeho udělení nesmí být podmiňováno poskytnutím nějaké další služby, tedy když nedá zákazník souhlas, nebude mu poskytnuta služba,“ dodal Marcín.

Novináři získávat souhlas nemusí

Podoba souhlasu, zda má být udělen elektronicky, nebo papírově, je na správci. Musí ale obsahovat účel, ke kterému je sbírán. „Co se týče praxe velkých firem, které zašlou uživateli pouze aktualizované obchodní podmínky, nedá se paušálně říci, že je tato praktika v rozporu s GDPR. Udělení souhlasu se zpracováním osobních údajů je totiž jakýmsi 'zbytkovým' právním základem pro zpracování osobních údajů. Ve většině případů svědčí pro zpracování osobních údajů jiné právní základy podle čl. 6 GDPR,“ upozornil Petr Maličovský ze společnosti 24LCS.com.

Nejčastěji je podle něj takovým právním základem zpracování osobních údajů za účelem plnění či uzavření smlouvy. „V tomto ohledu je pak získávání souhlasu již nadbytečné a vůči osobě, jejíž osobní údaje jsou zpracovávány, dokonce může být i matoucí,“ uvedl Maličovský.

Například novináři jsou z pod­­staty své profese činní ve veřejném prostoru, a pokud sdělují své kontakty na stránkách redakcí, vizitkami, při kontaktu s respondenty, pak tak činí právě proto, aby byli případně kontaktováni těmi, kdo jim chtějí předat informace pro jejich práci. Výslovný souhlas se zpracováním osobních údajů kvůli GDPR se tak po nich podle poradce pro otevřenost veřejné správy a ochranu soukromí Oldřicha Kužílka většinou vyžadovat nemusí.

GDPR se týká všech veřejných institucí i firem, které nakládají s osobními údaji svých klientů či zaměstnanců. Přináší také právo na výmaz poskytnutých osobních údajů z marketingových databází. Firmy bez souhlasu klienta nebudou moci ani sledovat jeho chování na internetu nebo prodávat či poskytovat zjištěná data dál.
GDPR podrobně stanovuje pravidla pro získání, udělení a využití souhlasu ve svém čl. 7, přičemž důraz klade zejména na srozumitelnost, tedy že vyjádření souhlasu musí být srozumitelné a od ostatních závazků a jiných skutečností odlišitelné, a dále na dobrovolnost. To znamená, že každý poskytuje svůj souhlas dobrovolně a každý může svůj souhlas odvolat.