Súhlas dotknutej osoby musí spĺňať okrem všeobecných požiadaviek definujúcich platný právny úkon (§ 34 až § 42 Občianskeho zákonníka) aj určité špecifické požiadavky ustanovené v § 4 ods. 3 písm. d) a § 11 ods. 3 a 4 zákona o ochrane osobných údajov. Obsahové náležitosti, resp. kvalitatívne parametre súhlasu dotknutej osoby možno vyjadriť nasledovne:
- súhlas dotknutej osoby musí byť vyjadrený slobodne, vážne, vedome (aktívnym konaním), zrozumiteľne (t.j. výslovne, konkrétne, jednoznačne) a v zákonom predpísanej forme;
- z právnej formulácie súhlasu dotknutej osoby musí byť explicitne zrejmé, kto súhlas poskytol (Meno, priezvisko, bydlisko) komu ho poskytol (identifikačné údaje prevádzkovateľa), účel spracúvania osobných údajov (cieľ, resp. ciele, na ktorých dosiahnutie je osobné údaje nevyhnutné spracúvať), zoznam alebo rozsah jednotlivých údajov, ktoré budú predmetom spracúvania a čas platnosti spracúvania.
Forma súhlasu dotknutej osoby nie je vo väčšine prípadov stanovená ex lege, a preto postačuje, aby prevádzkovateľ vedel hodnoverne preukázať jeho získanie a existenciu (napr. vyhotovením zvukového záznamu v prípade call centier, či prispôsobením registračného procesu v rámci používateľského rozhrania webového sídla alebo prednastavením webových aplikácii v prípade získavania cookies či optimalizáciou užívateľského rozhrania v prípade sociálnej siete apod.).
Zákon o ochrane osobných údajov vyžaduje písomnú formu súhlasu dotknutej osoby, ktorej imanentnou súčasťou podmieňujúcou platnosť daného právneho úkonu je vlastnoručný podpis dotknutej osoby iba v prípadoch:
- získavania osobných údajov dotknutej osoby od inej fyzickej osoby, i.e. keď nie sú osobné údaje získavané priamo od dotknutej osoby (§ 12 ods. 1 zákona o ochrane osobných údajov);
- poskytovania osobných údajov inej právnickej osobe alebo fyzickej osobe v prípadoch, keď takéto poskytnutie nie je pokryté samostatným právnym základom (napr. poskytovanie údajov tzv. nebankovým registrom klientských informácií na účely posúdenia bonity klienta nad rámec upravený zákonom o spotrebiteľských úveroch) (§ 12 ods. 2 zákona o ochrane osobných údajov);
- získavania osobných údajov z úradných dokladov skenovaním, kopírovaním alebo iným zaznamenávaním na hmotný nosič informácií (§ 15 ods. 6 zákona o ochrane osobných údajov), s výnimkou potreby vykonania tejto operácie na účely uzatvorenia pracovného pomeru alebo v prípade potreby automatizovaného zoskenovania strojovo čitateľných údajov, ktoré sú číselným vyjadrením vybraných údajov v strojovo čitateľnej zóne dokladu totožnosti na účely kontroly identifkácie osoby pri vstupe do priestorov prevádzkovateľa (napr. SBS na vrátnici apod.).;
- vykonávania cezhraničných prenosov osobitnej kategórie osobných údajov (tzv. citlivé osobné údaje upravené v § 13 zákona o ochrane osobných údajov) ku tretej strane usídlenej v tretej krajine (§ 31 ods. 10 zákona o ochrane osobných údajov).
Vyššie uvedené prípady sa neaplikujú generálne, čo znamená, že nie je potrebné disponovať písomným súhlasom dotknutej osoby vtedy, ak konkrétnemu prevádzkovateľovi v konkrétnej situácii umožňuje vykonať spracovateľskú operáciu s osobnými údajmi taký právny akt (osobitný zákon – lex specialis), ktorý spĺňa zákonom o ochrane osobných údajov (lex generalis) stanovené požiadavky na obsahové náležitosti a právnu silu (§ 10 ods. 2 zákona o ochrane osobných údajov) – (napr. kopírovanie dokladov totožnosti bankami bez písomného súhlasu dotknutej osoby na základe zákona o bankách apod.).
Zákon o ochrane osobných údajov výslovne zakazuje prevádzkovateľovi, aby si súhlas dotknutej osoby vynucoval a podmieňoval hrozbou odmietnutia zmluvného vzťahu, služby, tovaru alebo vykonania svojej povinnosti vyplývajúcej z účinnej legislatívy. V praxi dozorný orgán vytýkal prevádzkovateľom porušenie tohto pravidla napr. v prípadoch jednostrannej inkorporácie súhlasu dotknutej osoby do všeobecných obchodných podmienok, ktoré boli štandardizovaným dokumentom neoddeliteľne spojeným s realizáciou hlavného zmluvného vzťahu, ktorý nijako nesúvisel s účelom spracúvania osobných údajov pokrytých súhlasom dotknutej osoby (napr. ak uzatvárate ako dotknutá osoba úverovú zmluvu a na základe znenia všeobecných obchodných podmienok udeľujete automaticky bez možnosti vyjadrenia súhlasu alebo nesúhlasu aj súhlas so spracúvaním Vašich osobných údajov na marketingové účely). Z uvedeného dôvodu je potrebné dávať pozor na to, aby bolo možné vyjadriť explicitný súhlas/nesúhlas s parciálnymi nesúvisiacimi účelmi spracúvania osobných údajov, ktoré sú inkorporované do všeobecných obchodných podmienok (napr. vo forme tzv. „checkboxov“) a nedávať klientom podpisovať predmetný dokument ako celok, prípadne považovať takéto všeobecné obchodné podmienky za neoddeliteľnú súčasť zmluvy kreujúcej hlavný záväzkovo právny vzťah bez možnosti dotknutej osoby aktívne negociovať a vyjadriť svoj nesúhlas s takými účelmi spracúvania, ktoré nie sú nevyhnutné na uzatvorenie, zmeny alebo plnenie samotnej zmluvy. Je potrebné si uvedomiť, že všeobecné obchodné podmienky sú štandardizované dokumenty, ktoré bývajú často (najmä pri zložitejších právnych vzťahoch) súčasťou tzv. adhéznych zmlúv, kde dotknutá osoba ako zmluvná strana nemá priestor na negociáciu a modifikáciu zmluvných podmienok. Práve táto skutočnosť môže v praxi v kombinácii s nevhodným obsahom všeobecných obchodných podmienok spôsobovať to, že dotknutej osobe sa znemožní disponovať z jej súhlasom, čo môže viesť v jednotlivých prípadoch až k porušeniu ustanovenia § 11 ods. 3 zákona o ochrane osobných údajov.
Súhlas dotknutej osoby nemôže byť získavaný tzv. opt-out metódou, ktorá predpokladá, že súhlas existuje až do momentu, kým dotknutá osoba neuskutoční konkrétne vymedzené kroky na zabránenie spracúvania jej osobných údajov. Iba vyjadrenia a úkony môžu byť na rozdiel od mlčania či nečinnosti považované za platný súhlas dotknutej osoby[1], pričom tieto aktivity by mali byť vykonané ešte pred získaním osobných údajov do informačného systému prevádzkovateľa (opt in). V prípade využívania tzv. „checkboxov“, preto nie je vhodné predznačovať udelenie súhlasu dotknutej osoby, ale je potrebné nechať samotnú dotknutú osobu komisívne prejaviť súhlas (napr. „zaškrtnutím checkboxu“ v online formulári apod.).
Súhlas dotknutej osoby je len jedným z viacerých právnych základov, ktoré definujú prevádzkovateľovi jeho oprávnenie na spracúvanie osobných údajov. Vhodná voľba právneho základu je dôležitým predpokladom zákonného spracúvania osobných údajov. Súhlas dotknutej osoby má v doktríne ochrany osobných údajov špecifický význam, pretože nie je chápaný ako integrálna súčasť zmluvy, ktorá je osobitným právnym základom, ale ako právny titul pre také spracúvanie osobných údajov, ktoré nie je nevyhnutné (na uzatvorenie a plnenie zmluvy).[2] Z praxe dozorných orgánov ČR a SR je zrejmé, že im z viacerých objektívnych dôvodov spôsobujúcich aplikačné problémy pri plnení iných povinností prekážajú najmä tzv. súhlasy dotknutej osoby „pre istotu“, v prípadoch keď je predmetné spracúvanie osobných údajov z hľadiska existencie právneho základu pokryté osobitným zákonom – napr. zamestnávateľ vyžaduje od zamestnancov rôzne súhlasy so spracúvaním osobných údajov na personálno-mzdové účely ustanovené osobitnými zákonmi z daňovej oblasti alebo z oblasti práva sociálneho zabezpečenia. Z hľadiska vyhnutia sa potenciálnym problémom teda prevádzkovateľom odporúčame, aby neduplikovali právny základ spracúvania osobných údajov súhlasom dotknutej osoby v tých prípadoch, keď ním je osobitný zákon v zmysle § 10 ods. 2 zákona o ochrane osobných údajov (napr. poskytovanie osobných údajov exekútorom na účely ustanovené exekučným poriadkom alebo advokátom na účely ustanovené zákonom o advokácii, či prevádzkovateľom registrov tzv. klientskych informácii na účely ustanovené zákonom o spotrebiteľských úveroch apod.).
Vyššie uvedený výklad je však potrebné aplikovať v rámci individuálnych podmienok spracúvania osobných údajov konkrétnej firmy obozretne, pretože kombinácia právnych základov nie je apriori vylúčená. Problematická je hlavne kombinácia súhlas dotknutej osoby / zákon v prípadoch, keď je právnym základom zákon. Pri niektorých transakciách, resp. spracovateľských operáciách by sa mohli súčasne uplatňovať viaceré právne základy. Inými slovami, každé spracúvanie osobných údajov musí byť vždy v súlade s jedným alebo viacerými právnymi základmi. Týmto sa nevylučuje súbežné použitie rôznych právnych základov za predpokladu, že sa použijú v správnej súvislosti. Určitý zber a ďalšie spracúvanie osobných údajov môže byť nevyhnutné podľa zmluvy s dotknutou osobou (§ 10 ods. 3 písm. b) zákona o ochrane osobných údajov); iné spracúvanie môže byť nevyhnutné v dôsledku zákonnej povinnosti (§ 10 ods. 2 zákona o ochrane osobných údajov); zber dodatočných informácií si môže vyžadovať samostatný súhlas – (§ 11 ods. 1 zákona o ochrane osobných údajov); no a ďalšie spracovanie by mohlo byť legitímne aj na základe rovnováhy záujmov dotknutej osoby a práv a právom chránených záujmov prevádzkovateľa (§ 10 ods. 3 písm. g) zákona o ochrane osobných údajov). Napríklad pri kúpe motorového vozidla môže byť prevádzkovateľ (predávajúci podnikateľ) oprávnený spracúvať osobné údaje na rôzne účely a na základe rôznych právnych základov: – údaje nevyhnutné pri kúpe auta: zmluva, resp. § 10 ods. 3 písm. b) zákona o ochrane osobných údajov, – s cieľom spracovať doklady od auta: zákon, resp. § 10 ods. 2 zákona o ochrane osobných údajov, – na účely služieb manažmentu klientov (napríklad aby sa auto mohlo dať opraviť v iných prepojených spoločnostiach v rámci EÚ) – ochrana práv a právom chránených záujmov prevádzkovateľa, resp. § 10 ods. 3 písm. g) zákona o ochrane osobných údajov – s cieľom presunu údajov tretím stranám na účely ich vlastných marketingových činností: súhlas dotknutej osoby, resp. § 11 ods. 1 zákona o ochrane osobných údajov.[3]
Ďalším problematickým aspektom pri ceste za dosiahnutím právne perfektného súhlasu dotknutej osoby je vhodné nastavenie doby platnosti udeleného súhlasu. V aplikačnej praxi dozorných orgánov sa vyvinul prístup, ktorý je negatívne naklonený vymedzeniu doby platnosti súhlasu dotknutej osoby na dobu neurčitú. Zákon o ochrane osobných údajov explicitne neupravuje nastavenie doby platnosti súhlasu dotknutej osoby, avšak zo základných zásad formulovaných v § 6 ods. 2 zákona o ochrane osobných údajov, ktoré predstavujú základné povinnosti prevádzkovateľa vyplýva aj to, že:
- je potrebné zabezpečiť, aby zhromaždené osobné údaje boli spracúvané vo forme umožňujúcej identifikáciu dotknutých osôb počas doby nie dlhšej, ako je nevyhnutné na dosiahnutie účelu spracúvania.
Okrem toho možno aj z dikcie ustanovenia § 28 ods. 1 písm. h) zákona o ochrane osobných údajov vyvodiť, že doba platnosti súhlasu dotknutej osoby by mala byť obmedzená, keďže pred jej uplynutím je na základe riadne uplatneného práva dotknutej osoby spočívajúcom v odvolaní súhlasu prevádzkovateľ povinný blokovať (nevyužívať na pôvodný účel) osobné údaje, a to až do doby uplynutia platnosti udeleného súhlasu.
Na základe vyššie uvedeného vyžaduje regulátor v praxi od prevádzkovateľov, aby v prípade súhlasov vychádzali pri nastavení doby platnosti súhlasu dotknutej osoby z trvania účelu spracúvania, tak aby doba platnosti súhlasu bola primeraná k nevyhnutnosti dosahovania účelu spracúvania.
Uvedený prístup je diskutabilný, keďže do istej miery spochybňuje autonómnosť a slobodu rozhodovania dotknutej osoby a tým pádom aj základné postuláty tohto právneho základu. Dotknutej osobe, ktorá udeľuje súhlas totiž nemusí prekážať udelenie svojho súhlasu prevádzkovateľovi na dobu neurčitú, resp. môže ho sama slobodne chcieť udeliť na dobu neurčitú, ktorej trvanie by bolo limitované výlučne odvolaním súhlasu dotknutej osoby. V každom prípade judikatúra z prípadného súdneho sporu v takejto veci ešte na Slovensku neexistuje, takže v rámci minimalizácie zbytočných starostí odporúčame prevádzkovateľom vymedzovať primeranú dobu platnosti súhlasu dotknutej osoby, tak aby vedeli efektívne dosahovať svoj účel spracúvania osobných údajov. Napokon v dnešnej dobe nie je problém obnoviť, resp. predĺžiť dobu platnosti súhlasu formou emailovej notifikácie adresovanej dotknutej osobe a následné uchovávať jej validačnú odpoveď (napr. vo forme prázdneho mailu, kódu, dokladu o interakcii dotknutej osoby po kliknutí na validačný URL odkaz apod.).
Vymedzovanie doby platnosti súhlasu dotknutej osoby na dobu určitú potvrdzuje aj názor Pracovnej skupiny zriadenej podľa článku 29 smernice 95/46/ES, v zmysle ktorého „kým plynie čas, môžu vzniknúť pochybnosti, či súhlas pôvodne založený na platných, dostatočných informáciách, je ešte stále platný. Z rôznych dôvodov ľudia často menia svoje názory, pretože ich počiatočné rozhodnutia neboli dobré, alebo pre zmenu okolností. Z tohto dôvodu by v rámci osvedčeného postupu prevádzkovatelia mali vyvíjať úsilie, aby po určitom čase revidovali voľby jednotlivca, napríklad tak, že ho budú informovať o jeho aktuálnej voľbe a poskytnú mu možnosť túto voľbu potvrdiť alebo odvolať. Príslušné obdobie by samozrejme záviselo od kontextu a okolností prípadu.“[4] Okrem uvedeného stanoviska spomenutá pracovná skupina vyjadrila tiež názor o potrebe obmedzenia doby platnosti udeleného súhlasu aj v prípade spracúvania osobných údajov na účely behaviorálnej reklamy (napr. webtracking, cookies apod.).[5] Názory uvedeného orgánu sú v súčasnosti rešpektované všetkými dozornými orgánmi pôsobiacimi v oblasti ochrany osobných údajov v členských štátoch EÚ.
Špecifické situácie ovplyvňujúce pravidlá stanovené vo vyššie uvedenom výklade sa týkajú súhlasu dotknutej osoby so spracúvaním jej osobných údajov na marketingové účely pri poskytovaní služieb informačnej spoločnosti v zmysle zákona č. 22/2004 Z. z. o elektronickom obchode a o zmene a doplnení zákona č. 128/2002 Z. z. o štátnej kontrole vnútorného trhu vo veciach ochrany spotrebiteľa a o zmene a doplnení niektorých zákonov v znení zákona č. 284/2002 Z. z. (ďalej len „zákon č. 22/2004 Z. z.“) ako aj pri poskytovaní služieb v zmysle zákona č. 351/2011 Z. z. o elektronických komunikáciách v znení neskorších predpisov (ďalej len „zákon č. 351/2011 Z. z.“), pretože v týchto prípadoch naša súčasná legislatíva umožňuje tzv. opt out súhlas dotknutej osoby v prípadoch priameho marketingu realizovaného vo forme newsletterov zacielených na dotknuté osoby, ktorých adresu elektronickej pošty získali napr. mobilní operátori alebo e-shopy pri predaji svojich tovarov alebo služieb (§ 62 ods. 3 zákona č. 351/2011 Z. z.). V týchto špecifických prípadoch musí mať prevádzkovateľ:
- osobitný status buď ako poskytovateľ služieb informačnej spoločnosti (§ 2 písm. b) zákona č. 22/2004 Z. z.) alebo podnik (§ 5 ods. 2 zákona č. 351/2011 Z. z.);
- musí ísť o marketingové aktivity propagujúce vlastné produkty a služby;
- dotknutá osoba musí byť existujúcim alebo bývalým zákazníkom prevádzkovateľa.
Okrem vyššie uvedených podmienok musí prevádzkovateľ v prípade zasielania newsletterov pri využívaní tzv. opt-out súhlasu dotknutej osobe v každom zaslanom emaily poskytnúť možnosť jednoducho a bezplatne (napr. zaslaním odpovede vo forme prázdneho mailu) odmietnuť takéto spracúvanie osobných údajov spojené so zasielaním marketingových ponúk vlastných produktov prostredníctvom elektronickej pošty.
Inak neprijateľný opt-out súhlas dotknutej osoby vychádzajúci z fikcie udeleného súhlasu pokiaľ ho dotknutá osoba na základe vlastného prejavu vôle neodvolá je na základe osobitnej právnej úpravy § 62 ods. 3 zákona č. 351/2011 Z. z. pre dané právne vzťahy prednostnejšia ako relevantná právna úprava zákona o ochrane osobných údajov, a to na základe aplikácie zásady Lex specialis derogati legi generali.
Avšak v praxi e-shopy spracúvajú osobné údaje na marketingové účely aj nad rámec podmienok stanovených osobitným zákonom pre využívanie opt-out súhlasu, a tak je vždy z hľadiska „ošetrenia“ compliance rizika vhodnejšie disponovať aj opt-in súhlasom dotknutej osoby umožňujúcim spracúvanie osobných údajov na všeobecné marketingové účely. V danej súvislosti je tiež vhodné pripomenúť, že spracúvanie osobných údajov zákazníkov na účely určitých typov vernostných programov, či na účely organizácie a vyhodnocovania spotrebiteľských súťaží sa v regulačnom prostredí vníma ako samostatné spracúvanie osobných údajov, ktoré nie je možné subsumovať pod všeobecné marketingové účely, a preto je potrebné na zabezpečenie týchto špecifických účelov získať od dotknutej osoby samostatný opt-in súhlas, hoci povaha spracúvania je vo všeobecnosti vnímaná ako súčasť komplexnej marketingovej stratégie. Argumentáciou dozorného orgánu v danom prípade je podstatná rozdielnosť podmienok spracúvania od bežného využívania osobných údajov na marketingové účely, ktorá spočíva v tom, že dotknutá osoba nie je zacielená iba adresnou alebo všeobecnou ponukou propagujúcou tovary a služby prevádzkovateľa, ale dochádza aj k zverejňovaniu osobných údajov (výhercovia spotrebiteľských súťaží), či k systematickému sledovaniu a analyzovaniu nákupného správania (niektoré typy vernostných programov), čo si vyžaduje vedomosť dotknutej osoby a s tým súvisiace udelenie samostatného súhlasu.
Ďalšími špecifickými okolnosťami, ktoré je potrebné pri vytváraní právne perfektného súhlasu dotknutej osoby zobrať do úvahy je ešte prítomnosť pracovnoprávnych vzťahov, z ktorých vyplýva faktická nerovnosť a subordinácia medzi zamestnávateľom (prevádzkovateľom) a zamestnancom (dotknutou osobou) ako aj situácia, keď je dotknutou osobou maloleté dieťa. Predmetným témam sa budeme venovať v samostatných článkoch.
JUDr. Ondrej Zimen
Táto e-mailová adresa je chránená pred spamovacími robotmi. Na jej zobrazenie potrebujete mať nainštalovaný JavaScript.
Poznámky pod čiarou:
[1] Opt in vs Opt out [online] [citované 10.06.2015] dostupné na: http://www.oou.sk/opt-in-vs-opt-out.
[2] Stanovisko Pracovnej skupiny na ochranu údajov zriadenej podľa Čl. 29 smernice 95/45/ES č. 15/2011 k definícii súhlasu prijaté 13. júla 2011.
[3] Stanovisko Pracovnej skupiny na ochranu údajov zriadenej podľa Čl. 29 smernice 95/45/ES č. 15/2011 k definícii súhlasu prijaté 13. júla 2011.
[4] Stanovisko Pracovnej skupiny na ochranu údajov zriadenej podľa Čl. 29 smernice 95/45/ES č. 15/2011 k definícii súhlasu prijaté 13. júla 2011.
[5] Stanovisko Pracovnej skupiny na ochranu údajov zriadenej podľa Čl. 29 smernice 95/45/ES č. 2/2010 k behaviorálnej reklame.
