Žádat souhlas se zpracováním osobních údajů je mnohdy zbytečné. Jde to pak proti pravidlům GDPR

Jiří Matzner

ANALÝZA JIŘÍHO MATZNERA | V souvislosti s aktuálními projekty ministerstva zdravotnictví Chytrá karanténa a eRouška se opětovně řeší osobní údaje a s nimi související pravidla. Ta se přitom intenzivně probírala už zhruba před dvěma lety, kdy jsme začali postupovat podle evropského nařízení, známého pod zkratkou GDPR. Podívejme se tak, s dalšími zkušenostmi, na podmínky spojené s vyžadováním souhlasu se zpracováním osobních údajů v obecné rovině a na to, kdy je toto nutné a kdy zbytečné.

Před tím, než začnete od fyzických osob (neboli tzv. subjektů údajů) vyžadovat souhlas se zpracováním osobních údajů, je potřeba se nejprve zamyslet nad tím, zda neexistuje nějaký jiný právní základ či titul, který by vás opravňoval ke zpracování osobních údajů a vylučoval tak potřebu získávání souhlasu se zpracováním dle nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES a zákona č. 110/2019 Sb., o způsobech zpracování osobních údajů (dále jen „GDPR“).

Zpravidla se bude jednat o zákonný důvod, na základě, kterého máte povinnost osobní údaje dané osoby zpracovávat, nebo o smlouvu, kterou máte se subjektem údajů uzavřenou a o kterou byste mohli zpracování osobních údajů opřít. Uvažovat o získávání souhlasu se zpracováním osobních údajů byste totiž měli začít až ve chvíli, kdy dospějete k závěru, že žádný jiný legitimní titul pro zpracování neexistuje.

Analýza: Pokuty za porušení GDPR se postupně zvyšují. Sankce přesahují i miliardu korun

sinfin.digital