Nemôžete vyplniť toto pole
Domov / Blog / Kedy používať súhlas so spracúvaním osobných údajov

Kedy používať súhlas so spracúvaním osobných údajov

Súhlas so spracúvaním osobných údajov je v praxi jedna z najčastejšie skloňovaných tém GDPR. A zároveň jedna z najčastejšie nesprávne použitých.

Mnohé firmy si totiž súhlas „pre istotu“ pýtajú takmer na všetko. Od fakturácie až po vybavenie reklamácie. Lenže súhlas nie je univerzálna poistka. Je to jeden zo šiestich právnych základov spracúvania podľa GDPR a z pohľadu rizika patrí k tým náročnejším. Ak je súhlas zvolený nesprávne, alebo je nastavený tak, že nie je platný, spracúvanie je nezákonné.

V tomto článku vám vysvetlím, kedy je súhlas správna voľba, kedy sa mu radšej vyhnúť, a ako si ho nastaviť tak, aby obstál pri kontrole aj pri reálnych námietkach dotknutých osôb. Píšem to ako odborník a poradca pre GDPR, prakticky a bez zbytočnej právničiny.

Súhlas je len jeden zo šiestich právnych základov

GDPR pozná 6 právnych základov spracúvania osobných údajov (čl. 6):

  1. súhlas
  2. plnenie zmluvy
  3. zákonná povinnosť
  4. ochrana životne dôležitých záujmov
  5. úloha vykonávaná vo verejnom záujme alebo pri výkone verejnej moci
  6. oprávnený záujem

Súhlas je vhodný vtedy, keď:

  • spracúvanie nie je nevyhnutné na zmluvu ani na zákonnú povinnosť,
  • neviete sa rozumne oprieť o oprávnený záujem (alebo by to bolo „na hrane“),
  • a dotknutá osoba má skutočnú slobodu voľby povedať „áno“ alebo „nie“ bez negatívneho dopadu.

Súhlas má jednu špecifickú vlastnosť: dá sa kedykoľvek odvolať. A vy musíte odvolanie rešpektovať. Preto sa súhlas nehodí na spracúvania, ktoré potrebujete robiť stabilne a predvídateľne.

Najčastejšia chyba: súhlas ako podmienka služby

Základné pravidlo znie: ak niečo potrebujete, aby ste poskytli službu alebo splnili zmluvu, nepýtajte si na to súhlas.

Príklady:

  • E-shop potrebuje meno, adresu, telefón (pre doručenie) a fakturačné údaje. To je plnenie zmluvy, nie súhlas.
  • Účtovníctvo, archivácia faktúr a plnenie povinností podľa daňových predpisov. To je zákonná povinnosť, nie súhlas.
  • Vybavenie reklamácie, uplatnenie práv a obrana právnych nárokov. Typicky zmluva, zákonná povinnosť alebo oprávnený záujem, nie súhlas.

Ak by ste v takýchto prípadoch postavili poskytnutie služby na súhlase, vytvárate falošnú voľbu. Dotknutá osoba reálne nemôže odmietnuť, ak chce službu. Taký súhlas potom nie je „slobodne daný“, a tým pádom je neplatný.

Kedy je súhlas správna voľba (a prečo)

1) Marketing, ktorý nie je „nevyhnutný“ pre službu

Najtypickejší prípad: newsletter, promo e-maily, marketingové SMS alebo personalizované ponuky.

Tu súhlas často dáva zmysel najmä vtedy, keď:

  • nejde o existujúcich zákazníkov v režime „soft opt-in“ (ak je vôbec použiteľný podľa pravidiel pre elektronickú komunikáciu),
  • chcete posielať marketing širšej skupine (napr. leadom, návštevníkom webu),
  • alebo chcete robiť cielenie, ktoré už ide nad rámec rozumného oprávneného záujmu.

Ako to vyzerá v praxi:

  • checkbox „Chcem dostávať newsletter“ pri registrácii alebo v pätičke webu,
  • jasný popis, čo budete posielať a ako často (aspoň rámcovo),
  • informácia, že súhlas možno kedykoľvek odvolať (napr. odhlásenie v pätičke e-mailu).

Pozor: súhlas na marketing podľa GDPR nie je jediná povinnosť. Pri e-mailoch a cookies vám do hry vstupujú aj pravidlá ePrivacy (na Slovensku typicky cez zákon o elektronických komunikáciách). Preto odporúčam nastaviť marketingové súhlasy spolu s posúdením komunikačných pravidiel, nie izolovane.

2) Cookies a podobné technológie (najmä analytika a marketing)

Cookies často slúžia na:

  • zlepšenie výkonu webu a použiteľnosti,
  • analýzu návštevnosti,
  • marketingové cielenie a remarketing.

V praxi rozlišujte:

  • nevyhnutné cookies (na fungovanie webu, bezpečnosť, základné nastavenia): typicky bez súhlasu, na základe nevyhnutnosti
  • analytické cookies (meranie návštevnosti, štatistiky): často vyžadujú súhlas, závisí od nastavenia a miery zásahu do súkromia
  • marketingové cookies (profilovanie, remarketing): spravidla vyžadujú súhlas

Dobrá cookie lišta nie je len dizajnový prvok. Z pohľadu compliance rozhoduje, či:

  • je odmietnutie rovnako jednoduché ako prijatie,
  • sú účely jasne pomenované,
  • sú súhlasy granulárne (samostatne analytika, marketing atď.),
  • viete preukázať, kedy a s čím osoba súhlasila,
  • a viete zabezpečiť odvolanie súhlasu.

3) Spracúvanie osobitných kategórií údajov (citlivé údaje)

GDPR spravidla zakazuje spracúvanie tzv. osobitných kategórií údajov (napr. údaje o zdraví, rasovom alebo etnickom pôvode, sexuálnej orientácii, politických názoroch, náboženskom vyznaní), pokiaľ nemáte výnimku podľa čl. 9.

Jednou z najčastejších výnimiek je výslovný súhlas.

Kedy to reálne nastáva:

  • wellness alebo zdravotné služby, kde pracujete s údajmi o zdravotnom stave,
  • zamestnávateľ, ktorý získava zdravotné údaje mimo povinných rámcov,
  • výskumné alebo dotazníkové projekty, kde sa pýtate na citlivé charakteristiky.

Tu je dôležité slovo „výslovný“. V praxi to znamená vyšší štandard: jasné potvrdenie, bez pochybností, často samostatný checkbox s jasným textom. A veľmi dobré informačné povinnosti.

4) Výskum, štatistika a zber dát nad rámec bežnej prevádzky

Ak zbierate dáta na výskumné účely alebo interné štatistiky, súhlas môže byť vhodný najmä vtedy, keď:

  • ide o údaje, ktoré nepotrebujete na zmluvu,
  • ide o rozsiahlejšie sledovanie správania,
  • alebo ide o citlivejšie otázky v prieskumoch.

Príklad: zákaznícky prieskum, ktorý obsahuje aj otázky mimo samotného produktu, alebo spája odpovede s konkrétnou osobou a jej správaním na webe.

Pri výskume sa často dá pracovať aj s anonymizáciou. Ak viete dáta skutočne anonymizovať, GDPR sa na anonymné dáta nevzťahuje. Mnohé firmy si to však zamieňajú s pseudonymizáciou, ktorá stále osobným údajom je.

5) Údaje detí (a rodičovský súhlas)

Ak poskytujete online služby priamo deťom a spracúvanie stojí na súhlase, potrebujete v určitých prípadoch súhlas rodiča alebo zákonného zástupcu (čl. 8). V praxi je najťažšie nastaviť:

  • overenie veku,
  • mechanizmus získania a preukázania rodičovského súhlasu,
  • primeranú informačnú povinnosť pre dieťa.

Ak váš biznis cieli na deti (apky, hry, vzdelávanie), odporúčam riešiť to individuálne, lebo nesprávne nastavenie je vysoko rizikové.

6) Automatizované rozhodovanie a profilovanie

Ak robíte automatizované rozhodovanie, ktoré má právne účinky alebo podobne významný dopad (napr. automatické zamietnutie žiadosti, scoring), GDPR vyžaduje splnenie prísnych podmienok (čl. 22). V niektorých situáciách sa to opiera o:

  • nevyhnutnosť pre zmluvu,
  • oprávnenie v práve,
  • alebo výslovný súhlas.

Aj keď nepôjdete cez súhlas, stále musíte plniť informačné povinnosti a zabezpečiť práva dotknutej osoby (napr. možnosť ľudského zásahu, vyjadriť stanovisko, napadnúť rozhodnutie), ak ide o režim čl. 22.

Kedy súhlas nepoužívať (aj keď sa to „tak robí“)

Súhlas nepoužívajte najmä vtedy, keď:

Spracúvanie je nevyhnutné na zmluvu

Typicky e-shop, SaaS, členské služby. Ak bez údajov neviete dodať službu, právny základ má byť plnenie zmluvy.

Spracúvanie je povinné podľa zákona

Účtovníctvo, dane, povinné evidencie. Súhlas tu nemá čo robiť, lebo aj keby ho osoba odvolala, vy aj tak musíte spracúvať ďalej. To by bol rozpor.

Oprávnený záujem je primeraný a obhájiteľný

Bezpečnosť, prevencia podvodov, základná interná analytika v primeranom rozsahu, ochrana právnych nárokov. V týchto prípadoch je často vhodnejší oprávnený záujem. Musíte však spraviť test proporcionality (LIA) a dať možnosť namietať.

Nie je reálna sloboda voľby

Najmä vzťah zamestnávateľ a zamestnanec. Súhlas v pracovnoprávnych vzťahoch je problematický, lebo existuje nerovnováha. Niekedy sa použiť dá, ale musí to byť výnimočné a skutočne dobrovoľné.

Súhlas je „zabalený“ do všeobecných podmienok

Súhlas musí byť oddelený, jasný a konkrétny. Nie schovaný v texte, ktorý nikto nečíta.

Ako má vyzerať platný súhlas (kontrolný zoznam)

Platný súhlas musí byť:

Slobodne daný

  • odmietnutie nesmie zhoršiť službu, ak spracúvanie nie je nevyhnutné
  • žiadne „ak nesúhlasíš, nemôžeš použiť web“ pri marketingu alebo analytike, ak nie sú nevyhnutné
  • žiadny nátlak, žiadne zavádzanie

Konkrétny (špecifický)

  • samostatné účely, samostatné voľby
  • „súhlasím so spracúvaním na marketing“ je málo, ak robíte viac vecí (newsletter, SMS, profilovanie, odovzdanie partnerom)

Informovaný

Dotknutá osoba musí vedieť:

  • kto údaje spracúva (prevádzkovateľ)
  • na aké účely
  • aké údaje (aspoň kategórie)
  • komu sa údaje poskytujú (kategórie príjemcov, prípadne konkrétni partneri)
  • ako dlho (alebo kritériá)
  • že súhlas možno kedykoľvek odvolať a ako
  • aké má práva

Jednoznačný (unambiguous)

  • aktívny úkon: checkbox, podpis, nastavenie v účte
  • žiadne predškrtnuté políčka
  • žiadne „pokračovaním súhlasíte“ pri účeloch, kde sa vyžaduje súhlas

Preukázateľný

Vy musíte vedieť dokázať:

  • kto súhlasil (identifikátor)
  • kedy
  • s čím konkrétne (verzia textu, účely)
  • akým spôsobom (webový formulár, call centrum)
  • a že bol informovaný

Odvolanie súhlasu: technicky jednoduché a bez následkov

Odvolanie súhlasu musí byť:

  • rovnako jednoduché ako jeho udelenie,
  • bez „presviedčania“ a bez skrytých krokov,
  • a bez negatívneho dopadu na službu, ak dané spracúvanie nie je nevyhnutné.

Príklady dobrej praxe:

  • odhlasovací link v každom marketingovom e-maile,
  • nastavenia súkromia v účte,
  • v cookie lište možnosť zmeniť voľby neskôr (napr. ikonka alebo odkaz „Nastavenia cookies“).

A dôležitý detail: odvolanie súhlasu neznamená automaticky, že musíte vymazať všetko. Musíte zastaviť spracúvanie, ktoré stálo na súhlase. Ak však niektoré údaje potrebujete ďalej uchovať z iného dôvodu (napr. preukázanie, že súhlas existoval, alebo obrana nárokov), môže to byť opreté o iný právny základ. Toto treba mať dobre zdokumentované.

Praktické príklady: čo je súhlas a čo nie

E-shop

  • doručenie objednávky: zmluva
  • faktúra a účtovníctvo: zákonná povinnosť
  • newsletter: súhlas (alebo iný režim podľa pravidiel e-mail marketingu, ak ste ho oprávnene použili)
  • remarketingové cookies: súhlas

Fitness centrum

  • evidencia členstva: zmluva
  • fotky na sociálne siete z tréningu: súhlas (ideálne, ak sú osoby rozpoznateľné)
  • zdravotné obmedzenia klienta: často výslovný súhlas alebo iná výnimka podľa čl. 9 podľa situácie

SaaS B2B

  • správa účtu používateľa: zmluva
  • bezpečnostné logy: oprávnený záujem
  • produktové novinky na e-mail: často oprávnený záujem pri existujúcom zákazníkovi (s možnosťou opt-out), alebo súhlas, podľa nastavenia a právnych pravidiel komunikácie
  • analytické cookies tretích strán: súhlas

Prečo firmy súhlas preceňujú a čo s tým

Súhlas pôsobí jednoducho: človek klikne a je to vybavené. Lenže pri GDPR platí opak. Súhlas je „krehký“:

  • ľudia ho odvolávajú,
  • musíte ho vedieť preukázať,
  • kontrola sa pýta na detaily,
  • a ak je súhlas neplatný, nemáte náhradný právny základ, lebo ste si ho vopred nezvolili a nezdokumentovali.

Preto v dobre nastavenej dokumentácii vidíte kombináciu právnych základov. Na to, čo je nevyhnutné, sa dá zmluva alebo zákonná povinnosť. Na rozumné prevádzkové spracúvania oprávnený záujem. A súhlas len tam, kde je skutočne dobrovoľný a kde dáva zmysel, že osoba má kontrolu.

Odporúčanie na záver (ak to chcete mať nastavené správne)

Ak si nie ste istí, či použiť súhlas alebo iný právny základ, nepýtajte si súhlas „pre istotu“. Najprv si urobte jednoduchú mapu spracovateľských činností:

  • aký účel,
  • aké údaje,
  • kto má prístup,
  • ako dlho,
  • aké riziká,
  • a aký právny základ je najvhodnejší.

Až potom nastavte formuláre, checkboxy, cookie lištu a texty informačných povinností.

Ak chcete, napíšte mi, aký typ webu alebo služby riešite (e-shop, B2B, HR, zdravotníctvo, appka) a aké spracúvania máte (newsletter, cookies, CRM, profilovanie). Ako GDPR poradca vám viem navrhnúť, kde je súhlas správny a kde je bezpečnejšie použiť zmluvu, zákonnú povinnosť alebo oprávnený záujem, vrátane toho, ako to správne odkomunikovať v zásadách ochrany osobných údajov.

Často kladené otázky

Čo je súhlas so spracúvaním osobných údajov podľa GDPR?

Súhlas je jeden zo šiestich právnych základov spracúvania osobných údajov podľa GDPR, ktorý znamená slobodné a jednoznačné vyjadrenie vôle dotknutej osoby povoliť spracovanie jej osobných údajov na konkrétny účel.

Kedy je vhodné použiť súhlas ako právny základ spracúvania osobných údajov?

Súhlas je vhodný, keď spracúvanie nie je nevyhnutné na plnenie zmluvy alebo zákonnú povinnosť, keď nie je možné sa oprieť o oprávnený záujem, a keď dotknutá osoba má skutočnú slobodu voľby povedať áno alebo nie bez negatívneho dopadu.

Prečo by som nemal používať súhlas ako podmienku pre poskytovanie služby?

Použitie súhlasu ako podmienky služby vytvára falošnú voľbu, pretože dotknutá osoba nemôže odmietnuť súhlas, ak chce službu. Takýto súhlas nie je slobodne daný a tým pádom je neplatný podľa GDPR.

Aké sú najčastejšie chyby pri získavaní súhlasu so spracúvaním údajov?

Najčastejšou chybou je žiadať si súhlas takmer na všetko vrátane fakturácie alebo vybavenia reklamácie, kde platí iný právny základ (napríklad plnenie zmluvy alebo zákonná povinnosť), čo vedie k nezákonnému spracúvaniu údajov.

Kedy je súhlas správnou voľbou pre marketingové aktivity?

Súhlas je správny najmä pri zasielaní newsletterov, promo e-mailov alebo marketingových SMS, ak ide o širšiu skupinu osôb mimo existujúcich zákazníkov a ak chcete robiť cielený marketing nad rámec oprávneného záujmu.

Ako funguje odvolanie súhlasu a čo to znamená pre spracúvanie údajov?

Dotknutá osoba môže svoj súhlas kedykoľvek odvolať a prevádzkovateľ musí toto odvolanie rešpektovať. To znamená, že spracúvanie na základe súhlasu musí byť ukončené okamžite po odvolaní.

Predchádzajúci článok Ďalší článok

Čo potrebujete nájsť?