Omyl první: pro udržení kontaktu se svými zákazníky a klienty nutně potřebuji jejich souhlas se zpracováním osobních údajů
Taky jste v prvním pololetí roku 2018 měli plný mailbox žádostí o souhlas se zpracováním osobních údajů? Bombardovaly Vás žádostmi o souhlas úřady, banky, pojišťovny, školy, školky nebo knihovny? A v panice z tohoto dění jste podlehli dojmu, že by i Vaše firma měla plošně získat souhlas se zpracováním údajů ode všech svých klientů nebo zrevidovat souhlasy udělené Vašimi zaměstnanci? Pak vězte, že jste si tuto námahu mohli ušetřit.
GDPR totiž jako právní základ pro zpracování osobních údajů zakotvuje více titulů než jen souhlas. Tyto tituly navíc mají před souhlasem přednost.
Více čtěte ve SPECIÁLU: GDPR a jeho dopady na firmy
Plnění právní povinnosti – platí pro všechny případy, kdy zpracování údajů vyplývá ze zákona nebo jiného obecně závazného právního předpisu.
Plnění smlouvy – je závazné pro všechny smluvní vztahy, ať už podchycené formálně písemnou smlouvou, nebo jen v podobě objednávka-faktura případně ústní dohodou o jakémkoli plnění.
Oprávněný zájem – platí, když si ve firmě vyhodnotíte, že nutně potřebujete získávat a zpracovávat osobní údaje z důvodu ochrany Vašich ekonomických nebo jiných vážných zájmů. Mezi oprávněné zájmy ekonomické zájmy patří monitoring prostoru kamerovými systémy, sledování pohybu osob, ale i marketingové a obchodní zájmy. Nesmíte tím však nadbytečně omezovat subjekty údajů na jejich právech.
Ochrana životně důležitých zájmů subjektů údajů – platí pro situace, když ve firemním prostředí sledováním osob chráníte jejich život nebo zdraví. Bývá to například ve vysoce rizikových provozech a podobně.
Výkon veřejné moci – lze použít ve veřejné sféře, když se s využitím osobních údajů realizuje veřejná moc.
Našli jste mezi těmito tituly ten, na jehož základě pracujete s osobními daty svých klientů či zaměstnanců? Velmi pravděpodobně ano. Pro tyto případy rozhodně nepotřebujete souhlas se zpracováním údajů. A nepotřebují jej obvykle ani ti, kteří se Vašeho souhlasu tak vehementně dožadují.
Omyl druhý: souhlasu je zapotřebí pro pořizování fotografií a videozáznamů klientů i zaměstnanců
V životě každé firmy se obvykle vyskytují události, které přímo vyžadují nebo při kterých je obvyklé fotografovat nebo pořizovat video či audiozáznamy. Jde o firemní školení, akce, teambuildingy, ale i dokumentaci zaměstnanců při práci a šíření obrazových informací o atmosféře ve firmě v rámci udržování vztahů s veřejností.
Ani v tomto případě nemusíte mít podepsaný souhlas se zpracováním údajů! Vedle obecné legislativy k ochraně osobních údajů (GDPR je obecné nařízení a vznikající zákon o zpracování osobních údajů v tomto ohledu žádná upřesňující pravidla nepřináší) totiž i nadále platí i speciální právní předpisy, na poli ochrany osobnosti tedy zejména občanský zákoník, který upravuje způsob získání a aplikace svolení s pořízením a zpracováním podoby fyzické osoby a jejích osobních projevů. Právě těmito pravidly se řídí pořizování a využívání fotografií a podle nich je k pořízení podobenky fyzické osoby zapotřebí jejího svolení. To ovšem není totožné se souhlasem se zpracováním osobních údajů.
Stačí, aby osoby věděly, že je fotíte nebo nahráváte, a byly si vědomy toho, že mohou své zvěčnění na fotografii nebo audio/video záznam případně odmítnout. Pokud to od nich samozřejmě nepožaduje nějaký právní předpis. Odmítnutí si lze těžko představit například u pořizování pasové fotografie. Pokud neodmítnou, měly by počítat s tím, že fotografie nebo záznam můžete odpovídajícím způsobem využít – např. publikovat na webové stránce, sociálních sítích nebo ve firemním bulletinu.
Pokud se zaměstnanec nebo klient dovolává ochrany svých osobních údajů a dotazuje se, zda máte jeho souhlas se zpracováním osobních údajů, že jej fotíte nebo nahráváte, můžete mu s klidným svědomím vysvětlit, že souhlasu se zpracováním údajů zde není zapotřebí. Má ale samozřejmě možnost udělit i odmítnout své svolení (neformální, ústní anebo konkludentní) s tím, aby byl vyfotografován nebo jinak dokumentován.
Omyl třetí: i souhlas se zasíláním obchodních sdělení musí mít dle GDPR nově podobu souhlasu se zpracováním údajů
Většina firem rozesílá svá obchodní sdělení – nabídky výrobků, služeb, akcí a podobně. Mnoho z nich letos podlehlo mylnému dojmu, že k tomu nově musí mít souhlas se zpracováním osobních údajů zákazníků nebo potenciálních zákazníků, které tímto způsobem oslovuje.
Opak je však pravdou. I legislativa, která upravuje zasílání obchodních sdělení (konkrétně zákon o některých službách informační společnosti) je totiž ve vztahu k GDPR předpisem speciálním a obsahuje zjednodušená pravidla pro rozesílku obchodních sdělení. Pokud jste s daným adresátem obchodního sdělení byli již v nějakém obchodním kontaktu, platí princip tzv. opt-out. Můžete předpokládat, že daná osoba automaticky souhlasí se zasíláním obchodních sdělení, a to až do doby, kdy explicitně vyjádří svůj nesouhlas (buď v úvodním formuláři, nebo „na dně“ resp. v samotném obsahu Vaší obchodní nabídky, kde tuto možnost máte povinnost uvést).
U osob, s kterými jste v předchozím obchodním kontaktu nebyli, naopak platí povinnost získat jejich souhlas se zasíláním obchodních sdělení ještě před odesláním prvního obchodního sdělení. V opačném případě by se jednalo z Vaší strany o spam a zakázanou obchodní praktiku.
A ještě jednou pozor. Souhlas se zasíláním obchodních sdělení není roven souhlasu se zpracováním osobních údajů. Jedná se o jednodušší nástroj, který nemusí mít složitou a košatou strukturu souhlasu se zpracováním osobních údajů tak, jak jej popisuje GDPR.
Jak tyto omyly řešit v praxi
Spoléhejte jen na zaručené informace, publikované Úřadem pro ochranu osobních údajů na jeho webové stránce nebo ve spolupráci s ním.
Pokud se aplikace GDPR týče, nezačleňujte se do hlavního proudu a nepodléhejte mylně dojmu, že pokud souhlasy vyžadují v určitých situacích všichni okolo Vás, i Vaše firma je potřebuje.
Buďte si vědomi toho, že v České republice platila a nadále bude platit speciální legislativa, která upravuje nejrůznější situace v životě občanů i firem i z pohledu jejich práva na ochranu osobnosti a soukromí, a ne všechna pravidla jsou obsažena přímo v GDPR. Níže naleznete odkaz na užitečná ustanovení občanského zákoníku i zákona o některých službách informační společnosti, která se použijí právě pro případy svolení s pořízením a využitím podoby fyzické osoby a pro rozesílku obchodních sdělení:
- Občanský zákoník, ochrana podoby a soukromí (§§ 84 a následující)
- Zákon o některých službách informační společnosti, šíření obchodních sdělení (§ 7)
Související články
Redakčně upraveno