Souhlas se zpracováním osobních údajů dle GDPR

GDPR

Souhlas se zpracováním osobních údajů dle GDPR

Úvod

O GDPR se mluví stále více, jelikož účinnost nařízení Evropského parlamentu a rady (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a zrušení směrnice 95/46/ES (General Data Protection Regulation) se pomalými kroky blíží. Cílem článku je připomenout čtenářům institut souhlasu se zpracováním osobních údajů, poukázat na novinky z hlediska GDPR a posoudit udělený souhlas se zpracováním osobních údajů v kontextu převodu obchodního závodu a přeměn společnosti. Článek se zabývá pouze institutem souhlasu se zpracováním osobních údajů a nikoli jinými právními tituly zpracování. V rámci textu tedy předpokládáme, že zpracování osobních údajů je prováděno na základě souhlasu se zpracováním osobních údajů.

Souhlas se zpracováním osobních údajů

Povinnost získat souhlas se zpracováním osobních údajů (případně disponovat jiným právním titulem ke zpracování) není žádnou novinkou, neboť získání souhlasu požaduje i současný zákon č. 101/2000 Sb., o ochraně osobních údajů. V zásadě se tato povinnost s účinností GDPR nemění, ale je určitým způsobem modifikována, tedy GDPR spíše definuje nová práva a povinnosti se zpracováním a nakládáním s uděleným souhlasem.
Za souhlas se považuje, a i v budoucnu bude považovat „jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů“1. Je třeba upozornit, že z definice jasně vyplývá, že se musí jednat o „jednoznačný projev vůle“. Souhlas tak nelze přepokládat, například již předem zaškrtnutým políčkem v rámci webového formuláře či pouhým mlčením. Souhlas musí být udělen k určitému předem stanovenému účelu, potřebuje-li správce souhlas k několika účelům, je třeba, aby byl souhlas udělen ke každému z účelů zvlášť. Chce-li správce použít souhlas za jiným účelem, potřebuje od zákazníka získat souhlas i pro tento nový účel zpracování osobních údajů. Není tedy možné, aby byl souhlas se zpracováním osobních údajů udělen generálně pro futuro. Zásadní změnou je, že souhlas musí být jasně odlišitelný od jiných právních jednání. V praxi tak bude často třeba, aby byl zpracován a udělen na zvláštní listině. Od 25. května 2018 tedy již nebude možné souhlas udělit způsobem odsouhlasení textu všeobecných obchodních podmínek. Přičemž každý subjekt, který souhlas poskytl, bude mít právo souhlas se zpracováním kdykoliv odejmout.

GDPR posiluje možnost s údaji poskytnutými na základě souhlasu se zpracováním osobních údajů disponovat. Každý, kdo souhlas se zpracováním osobních údajů udělil, má možnost využít práva na přenesení osobních údajů podle čl. 20 GDRP (právo lze využít i vůči údajům poskytnutým na základě smlouvy). Bude-li to technicky možné, bude zákazník (subjekt údajů) moci správce požádat, aby jeho osobní údaje byly přímo poskytnuty jinému správci, a to v běžně používaném, strukturovaném, strojově čitelném formátu. Uplatnění práva přenesení osobních údajů nemá za následek zánik souhlasu u původního správce, záleží zcela na vůli zákazníka, zda původní souhlas odvolá, či nikoli. V případě, že souhlas odvolá, bude moci využít práva na výmaz a původní správce bude (až na výjimky) povinen osobní údaje zlikvidovat.2 Pokud souhlas odebrán nebude, dojde pouze k distribuci poskytnutých osobních údajů novému správci.

Souhlas se zpracováním osobních údajů

Souhlas se zpracováním osobních údajů v rámci obchodního závodu Obchodní závod je organizovaným souborem jmění, který podnikatel vytvořil a slouží k provozování jeho činnosti. Jměním je veškerý majetek podnikatele včetně jeho závazků. Mezi všechno, co pomáhá podnikateli patří kromě majetku (např. stroje, software), 
také „know-how“, postupy včetně zaměstnanců. Součástí obchodního závodu je také klientská základna, tedy údaje a kontakty o zákaznících podnikatele. Klientská základna samozřejmě zahrnuje též údaje získané v rámci GDPR, mezi něž patří i souhlasy se zpracováním osobních údajů zákazníků.

Podnikatel je oprávněn svůj obchodní závod převést na jiného podnikatele. Pokud bude chtít převést kompletně celý obchodní závod, tedy veškeré jmění, které slouží k provozu podnikání, přejdou na nového podnikatele také osobní údaje získané, zpracovávané v rámci provozu obchodního závodu včetně udělených souhlasů se zpracováním osobních údajů. Podnikatel při prodeji obchodního závodu vyhotoví zápis o předání, ve kterém především uvede, co všechno na nového vlastníka obchodního závodu přejde.

O prodeji obchodního závodu by měl být subjekt údajů informován, nejlépe nejen ze strany prodávajícího podnikatele, ale i kupujícího, a to nejpozději do 1 měsíce od účinnosti převodu obchodního závodu. Způsob informování bude záviset na konkrétním případě, kdy by informace měly být ideálně poskytnuty adresně v době prvního kontaktu po převodu. Pokud nebude objektivně možné informovat subjekty údajů adresně, bude vhodné informaci o převodu zpřístupnit alespoň na internetových stránkách správce. Bude pak na každém, zda využije svého práva na odvolání souhlasu novému správci a případně i na výmaz poskytnutých osobních údajů.
Rozhodne-li se podnikatel převést pouze určitou část obchodního závodu, souhlasy se zpracováním osobních údajů přechází pouze v omezeném rozsahu odpovídajícímu převáděné části obchodního závodu. Ponechá-li si tedy podnikatel část obchodního závodu, aby i nadále provozoval svoji činnost, ponechává si i poskytnuté údaje zákazníků včetně souhlasů se zpracováním osobních údajů. To, zda podnikatel bude muset obstarávat nové souhlasy se zpracováním osobních údajů, bude především záviset na tom, zda dojde ke změně účelu, pro který byly souhlasy poskytnuty.

Souhlas se zpracováním osobních údajů v případě přeměny (fúze, rozdělení, změna právní formy) společnosti

Stejný dopad bude mít na udělené souhlasy se zpracováním osobních údajů rozdělení či jiné formy přeměny obchodní společnosti. Veškeré osobní údaje přechází na nástupnickou společnost, zůstávají ve společnosti nebo zanikají společně se zanikající společností. O tom, jakým způsobem bude naloženo s údaji podle GDPR bude uveden záznam v projektu, který co nejdetailněji popíše způsob, jakým dojde k předání databáze osobních údajů novému správci nebo naopak k její likvidaci.
V rámci projektu bude například uvedeno, že na „nástupnickou společnost B přechází veškeré jmění zanikající společnosti A“. Doporučujeme i výslovně uvést, že přechází získaná klientská základna včetně získaných údajů zákazníků Za správnost projektu odpovídá statutární orgán zúčastněné společnosti a jeho znění schvaluje valná hromada každé zúčastněné společnosti. Jedná-li se o typ osobní společnosti (veřejná obchodní společnost, komanditní společnost) musí mít projekt formu notářského zápisu.
Navíc pro splnění zákonných podmínek musí společnost zapsaná v obchodním rejstříku nejméně 1 měsíc před schválením projektu uložit do sbírky listin text projektu a zveřejnit v Obchodním věstníku oznámení, že právě text projektu byl uložen do sbírky listin. Na základě toho mají zákazníci možnost se o chystané přeměně dozvědět a v případě zájmu využít práva na výmaz souhlasu se zpracováním osobních údajů3. Tato povinnost může být nahrazena, pokud zúčastněné společnosti text projektu minimálně 1 měsíc před schválením zpřístupní na svých internetových stránkách, přičemž toto uveřejnění musí být dostatečně zabezpečeno, bezplatně zpřístupněno a ověřeno elektronicky uznávaným podpisem nebo zapečetěno elektronickou pečetí4.

Závěr

Souhlas se zpracováním osobních údajů není v našem právním řádu nic nového, nicméně od účinnosti GDPR je třeba dát pozor na některé novinky a zpřísnění úpravy. Zejména bude třeba informování o zpracování osobních údajů a souhlas od ostatních smluvních ujednání a nebude možné získávat souhlas hromadně pro více účelů zároveň. Souhlasy sebrané v rozporu s těmito zásadami již nebudou vyhovovat a bude třeba je znovu získat. Dále jsme se věnovali problematice přechodu oprávnění ke zpracování osobních údajů při převodu obchodního závodu a přeměnách obchodních společností, kde lze uzavřít, že nabyvatel závodu nebo nástupnická společnost může pokračovat ve zpracování osobních údajů dle stávajících souhlasů se zpracováním osobních údajů. O změně v osobě správce osobních údajů bude však třeba informovat dotčené subjekty údajů.


  1. Viz čl. 4 odst. 11 GDPR
  2. Podle čl. 17 GDRP má každý, kdo poskytl souhlas se zpracováním osobních „právo být zapomenut“. Toto právo v sobě zahrnuje možnost, aby byly vymazány veškeré osobní údaje, které osoba poskytla.
  3. Viz § 33 odst. 1 zákona č. 125/2008 Sb., o přeměnách obchodních společností a družstev
  4. Viz § 33a a § 33b tamtéž
Použitá literatura:
POMAIZLOVÁ, Karin a Monika FÜRSTOVÁ. GDRP-revoluce, nebo rozvedení stávajícího? Bulletin advokacie. 2017, 2017(9), 10.;
NULÍČEK, Michal, Kristýna KOVAŘÍKOVÁ, Jan TOMÍŠEK a Oiver ŠVOLÍK. GDPR v otázkách a odpovědích. Bulletin advokacie. 2017, 2017(9), 6.
STREJČKOVÁ, Věra. Co se stane s databázemi údajů o klientech při prodeji podniku. EPRAVO [online]. 2011, 1 [cit. 2017-12-06].
Dostupné z: https://www.epravo.cz/top/clanky/co-se-stane-s-databazemi-udaju-o-klientech-pri-prodeji-podniku-76441.html
Základní příručka k GDPR vypracovaná úřadem pro ochranu osobních údajů. [online].2017.[cit. 2017-30-11]. Dostupné z: https://www.uoou.cz/zakladni-prirucka-k-gdpr/ds-4744/p1=4744