Súhlas so spracovaním osobných údajov podľa GDPR

GDPR

Súhlas so spracovaním osobných údajov podľa GDPR

Úvod

O GDPR sa hovorí stále viac, keďže účinnosť nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679, o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe týchto údajov a zrušenie smernice 95/46/ES (General Data Protection Regulation) sa pomaly blíži. Cieľom článku je pripomenúť čitateľom inštitút súhlasu so spracúvaním osobných údajov, poukázať na novinky z hľadiska GDPR a posúdiť udelený súhlas so spracúvaním osobných údajov v kontexte prevodu podniku a transformácií spoločnosti. Článok sa zaoberá len inštitútom súhlasu so spracúvaním osobných údajov a nie inými právnymi základmi spracúvania. V rámci textu predpokladáme, že spracúvanie osobných údajov je vykonávané na základe súhlasu so spracúvaním osobných údajov.

Súhlas so spracúvaním osobných údajov

Povinnosť získať súhlas so spracúvaním osobných údajov (prípadne disponovať iným právnym titulom na spracúvanie) nie je žiadnou novinkou, pretože získanie súhlasu požadoval pôvodný zákon č. 136/2014 Z.z.o ochrane osobných údajov, ktorý bol nahradený novým zákonom č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov. V zásade sa táto povinnosť s účinnosťou GDPR nemení, ale je určitým spôsobom modifikovaná. GDPR definuje nové práva a povinnosti so spracúvaním a nakladaním s udeleným súhlasom.
Za súhlas sa považuje, a aj v budúcnosti bude považovať, „akýkoľvek slobodný, konkrétny, informovaný a jednoznačný prejav vôle, ktorým subjekt dáva prehlásením alebo iným zjavným potvrdením svoj súhlas na spracúvanie svojich osobných údajov“1. Je potrebné upozorniť, že z definície jasne vyplýva, že musí ísť o „jednoznačný prejav vôle“. Za súhlas tak nemožno považovať napríklad už vopred označené zaškrtávacie políčko v rámci webového formulára alebo iba mlčanie. Súhlas musí byť udelený k určitému dopredu stanovenému účelu, ak potrebuje správca súhlas k viacerým účelom, je potrebné, aby bol súhlas udelený ku každému z účelov samostatne. Ak chce správca použiť súhlas za iným účelom, potrebuje od zákazníka získať súhlas aj pre tento nový účel spracúvania osobných údajov. Nie je teda možné, aby bol súhlas so spracúvaním osobných údajov udelený celkovo pre futuro. Zásadnou zmenou je, že súhlas musí byť jasne odlíšiteľný od iných právnych úkonov. V praxi bude často nevyhnutné, aby bol spracúvaný a udelený na samostatnom dokumente. Od 25. mája 2018 už nebude možné udeliť súhlas odsúhlasením všeobecných obchodných podmienok. Pričom každý subjekt, ktorý súhlas poskytol, bude mať právo súhlas so spracúvaním kedykoľvek odvolať.

GDPR posilňuje možnosť disponovať s údajmi poskytnutými na základe súhlasu so spracúvaním osobných údajov. Každý, kto súhlas so spracúvaním osobných údajov udelil, má možnosť využiť právo na prenesenie osobných údajov podľa čl. 20 GDRP (právo je možné využiť aj voči údajom poskytnutým na základe zmluvy). Ak to bude technicky možné, bude zákazník (dotknutá osoba) môcť správcu požiadať, aby jeho osobné údaje boli priamo poskytnuté inému správcovi, a to v bežne používanom, štruktúrovanom, strojovo čitateľnom formáte. Uplatnenie práva na prenesenie osobných údajov nemá za následok zánik súhlasu u pôvodného správcu, záleží na vôli zákazníka, či pôvodný súhlas odvolá alebo nie. V prípade, že súhlas odvolá, bude môcť využiť právo na vymazanie a pôvodný správca bude (až na výnimky) povinný osobné údaje zlikvidovať.2 Ak súhlas odobratý nebude, dôjde iba k distribúcii poskytnutých osobných údajov novému správcovi.

Súhlas so spracúvaním osobných údajov

Súhlas so spracúvaním osobných údajov v rámci podniku. Podnik predstavuje organizovaný súbor imania, ktorý podnikateľ vytvoril a slúži na prevádzkovanie jeho činnosti. Imaním je všetok majetok podnikateľa vrátane jeho záväzkov. Medzi všetko, čo pomáha podnikateľovi, patrí okrem majetku (napr. stroj, softvér), aj "know-how", postupy, vrátane zamestnancov. Súčasťou podniku je tiež klientska základňa, teda kontakty a údaje o zákazníkoch podnikateľa. Klientska základňa samozrejme zahŕňa aj údaje získané v rámci GDPR, medzi ktoré patria aj súhlasy so spracúvaním osobných údajov zákazníkov.

Podnikateľ je oprávnený svoj podnik previesť na iného podnikateľa. Pokiaľ bude chcieť previesť kompletne celý obchodný závod, teda všetko imanie, ktoré slúži k prevádzke podnikania, prejdú na nového podnikateľa tiež osobné údaje získané a spracovávané v rámci prevádzky podniku, vrátane udelených súhlasov so spracúvaním osobných údajov. Podnikateľ pri predaji podniku vyhotoví zápis o odovzdaní, v ktorom predovšetkým uvedie, čo všetko na nového vlastníka podniku prejde.

O predaji podniku by mala byť dotknutá osoba informovaná, nielen zo strany predávajúceho podnikateľa, ale aj kupujúceho, a to najneskôr do 1 mesiaca od účinnosti prevodu podniku. Spôsob informovania bude závisieť na konkrétnom prípade, informácie by mali byť poskytnuté adresne v čase prvého kontaktu po prevode. Pokiaľ nebude objektívne možné informovať dotknuté osoby adresne, bude vhodné informáciu o prevode sprístupniť aspoň na internetovej stránke správcu. Bude potom na každom, či využije svoje právo na odvolanie súhlasu novému správcovi a prípadne aj na vymazanie poskytnutých osobných údajov.
Ak sa rozhodne podnikateľ previesť iba určitú časť podniku, súhlasy so spracúvaním osobných údajov prechádzajú iba v obmedzenom rozsahu zodpovedajúcemu prevádzanej časti. Ak si teda podnikateľ ponechá časť podniku, aby aj naďalej prevádzkoval svoju činnosť, ponecháva si aj poskytnuté údaje zákazníkov, vrátane súhlasov so spracúvaním osobných údajov. To, či podnikateľ bude musieť obstarávať nové súhlasy so spracúvaním osobných údajov, bude predovšetkým závisieť od toho, či dôjde k zmene účelu, pre ktorý boli súhlasy poskytnuté.

Súhlas so spracúvaním osobných údajov v prípade zmien (zlúčenie, rozdelenie, zmena právnej formy) spoločnosti

Rovnaký dopad bude mať na udelené súhlasy so spracúvaním osobných údajov rozdelenie či iné zmeny obchodnej spoločnosti. Všetky osobné údaje prechádzajú na nástupnícku spoločnosť, zostávajú v spoločnosti alebo zanikajú spoločne so zanikajúcou spoločnosťou. O tom, akým spôsobom bude naložené s údajmi podľa GDPR, bude uvedený záznam v projekte, ktorý čo najdetailnejšie popíše spôsob, akým dôjde k odovzdaniu databázy osobných údajov novému správcovi alebo naopak k jej likvidácii.
V rámci projektu bude napríklad uvedené, že na"nástupnícku spoločnosť B prechádzajú všetky záväzky preberanej spoločnosti A". Zároveň odporúčame jasne uviesť, že prechádza získaná klientska základňa vrátane získaných údajov zákazníkov. Za správnosť projektu zodpovedá štatutárny orgán zúčastnenej spoločnosti a jeho znenie schvaľuje valné zhromaždenie každej zúčastnenej spoločnosti. Ak sa jedná o typ osobnej obchodnej spoločnosti (verejná obchodná spoločnosť, komanditná spoločnosť) musí mať projekt formu notárskej zápisnice.
Navyše pre splnenie zákonných podmienok musí spoločnosť, zapísaná v obchodnom registri najmenej 1 mesiac pred schválením projektu, uložiť do zbierky listín znenie projektu a zverejniť v Obchodnom vestníku oznámenie, že text projektu bol uložený do zbierky listín. Na základe toho majú zákazníci možnosť sa o chystanej zmene dozvedieť a v prípade záujmu využiť právo na vymazanie súhlasu so spracúvaním osobných údajov3. Táto povinnosť môže byť nahradená, ak zúčastnené spoločnosti znenie projektu minimálne 1 mesiac pred schválením sprístupnia na svojej webovej stránke, pričom toto uverejnenie musí byť dostatočne zabezpečené, bezplatne sprístupnené a overené elektronicky uznávaným podpisom alebo zaplombované elektronickou pečaťou4.

Závěr

Súhlas so spracúvaním osobných údajov nie je v našom právnom poriadku žiadna novinka. Od účinnosti GDPR je potrebné dať pozor na niektoré nové nariadenia a sprísnenie úpravy. Dôležité je, že po novom už nebude možné získať hromadný súhlas pre viac účelov zároveň, ale len pre každý zvlášť. Súhlasy zozbierané v rozpore s týmito zásadami už nebudú platné a bude nutné ich znovu získať.
Ďalšou dôležitou otázkou je prechod oprávnenia na spracúvanie osobných údajov pri prevode podniku a transformáciách obchodných spoločností. V tomto prípade môže nadobúdateľ podniku alebo nástupnícka spoločnosť pokračovať v spracúvaní osobných údajov podľa existujúcich súhlasov so spracúvaním osobných údajov. O zmene správcu osobných údajov bude potrebné dotknuté subjekty informovať.


  1. Viz čl. 4 odst. 11 GDPR
  2. Podle čl. 17 GDRP má každý, kdo poskytl souhlas se zpracováním osobních „právo být zapomenut“. Toto právo v sobě zahrnuje možnost, aby byly vymazány veškeré osobní údaje, které osoba poskytla.
  3. Viz § 33 odst. 1 zákona č. 125/2008 Sb., o přeměnách obchodních společností a družstev
  4. Viz § 33a a § 33b tamtéž
Použitá literatura:
POMAIZLOVÁ, Karin a Monika FÜRSTOVÁ. GDRP-revoluce, nebo rozvedení stávajícího? Bulletin advokacie. 2017, 2017(9), 10.;
NULÍČEK, Michal, Kristýna KOVAŘÍKOVÁ, Jan TOMÍŠEK a Oiver ŠVOLÍK. GDPR v otázkách a odpovědích. Bulletin advokacie. 2017, 2017(9), 6.
STREJČKOVÁ, Věra. Co se stane s databázemi údajů o klientech při prodeji podniku. EPRAVO [online]. 2011, 1 [cit. 2017-12-06].
Dostupné z: https://www.epravo.cz/top/clanky/co-se-stane-s-databazemi-udaju-o-klientech-pri-prodeji-podniku-76441.html
Základní příručka k GDPR vypracovaná úřadem pro ochranu osobních údajů. [online].2017.[cit. 2017-30-11]. Dostupné z: https://www.uoou.cz/zakladni-prirucka-k-gdpr/ds-4744/p1=4744