Sdílení osobních údajů – k čemu se musí lidé zavázat a co je už příliš?

Praha - Vážení čtenáři, přečtením tohoto článku souhlasíte s tím, že vaše osobní údaje můžeme sdílet s ostatními kanály České televize. Zdá se vám to absurdní? Žádný takový souhlas po čtenářích samozřejmě v praxi nepožadujeme, u bank, mobilních operátorů nebo třeba při nákupu přes internet to ale bývá jinak. Kam od nich mohou osobní údaje zamířit?

Jméno, příjmení, rodné číslo, fotografie, otisky prstů, ale i velikost oblečení, členství v politické straně, vlastnictví nemovitostí nebo provozování koníčků – to vše patří mezi osobní údaje. Šíření a zpracování některých z nich je neškodné. Jiné údaje si ale bedlivě střežíme. Jak v tom být úspěšní?

Zpracováním osobních údajů se rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace.

Každý zná praxi společností, kdy posílají za účelem nabízení výrobků a služeb „nevyžádanou poštu“. Jde o marketingové databáze, kdy byly osobní údaje získány z veřejného seznamu. Ochrana je zde jednoduchá , postačí zažádat o odstranění osobních údajů z databáze takového zpracovatele. Takový nesouhlas je nutné vyslovit písemně, buď doporučeným dopisem, nebo mailovou zprávou na adresu toho, kdo databázi vede.

Časté jsou ale případy, kdy svoje osobní údaje dáváme všanc dobrovolně, svým souhlasem. Advokátka Andrea Jarolímková z advokátní kanceláře Bird & Bird odpovídá na otázky týkající se osobních údajů.

Je možné, aby určitý subjekt podmiňoval vznik právního vztahu (například smlouva o připojení k internetu, smlouva o zřízení bankovního účtu) souhlasem se zpracováním osobních údajů? Jaká má v této oblasti subjekt údajů „práva a povinnosti“?

AJ: Obecně řečeno, správce je oprávněn zpracovávat osobní údaje buď se souhlasem osob, jejichž údaje jsou zpracovány, nebo bez tohoto souhlasu, pokud je to stanoveno některou ze zákonných výjimek. Například, když je zpracování nezbytné pro plnění smlouvy, nezbytné pro dodržení právní povinnosti správce, stanoví-li tak zvláštní zákon, je-li to nezbytné pro ochranu práv či právních zájmů správce apod.

Co to ale znamená v praxi – například pro klienty banky?

AJ: V případě bank je povinnost získávat a zpracovávat osobní údaje stanovena ve většině případů zvláštními zákony, například zákonem o praní špinavých peněz nebo zákonem o bankách, který ve svém ustanovení § 37 odst. 2 říká, že banky a pobočky zahraničních bank jsou povinny pro účely bankovních obchodů zjišťovat a zpracovávat údaje o osobách včetně rodného čísla, pokud bylo přiděleno, vyjma citlivých údajů o fyzických osobách, potřebné k tomu, aby bylo možné bankovní obchod uskutečnit bez nepřiměřených právních a věcných rizik pro banku.

Takže banky naše osobní údaje mít musí?

AJ: Banka nemůže například vést anonymní účet. V případě poskytování úvěrů mají banky zase povinnost prověřovat žadatele o úvěr tak, aby nepůjčily peníze někomu, kdo není schopen dluh splatit. Řadu osobních údajů tak banky musí po klientech chtít už před uzavřením smluvního vztahu. Z tohoto vyplývá, že požadovat po klientech osobní údaje ještě před vznikem smluvního vztahu je běžnou a částečně i zákonem vyžadovanou praxí.

Jaké má povinnosti?

AJ: Banka v každém případě musí splnit svou informační povinnost vůči klientovi - tj. informovat jej o tom, jaké údaje a za jakým účelem budou zpracovány, jakým způsobem se tak bude dít, jak dlouho, komu budou takové údaje zpřístupněny či předány apod. Dále musí být klient informován o tom, zdali poskytnutí jeho souhlasu se zpracováním je dobrovolné či povinné a že tento souhlas lze kdykoli odvolat (typicky v případě marketingových služeb) a také o právu přístupu k údajům (čili právu žádat změny či opravy, likvidaci údajů apod.). Dle nám dostupných informací je praxe bank v tomto ohledu srovnatelná, klienti jsou zpravidla řádně informováni o výše uvedených skutečnostech stran zpracování jejich osobních údajů. Dle našeho názoru je tedy nepřesné hovořit o „podmiňování“ vzniku právního vztahu poskytnutím souhlasu, jelikož v tomto případě zákon přímo bankám stanoví povinnost osobní údaje od klientů vyžadovat.

Co jsou nejčastější „triky“ při podobných souhlasech?

AJ: Oblíbeným trikem v této oblasti je souhlas „na dobu neurčitou“, případně za účelem, který nespadá pod účel sjednávané služby (například když při nákupu domácího spotřebiče budu udělovat souhlas s tím, že mi může zavolat mobilní operátor – toto je jen ilustrativní příklad). Dále např. obecně formulovaný souhlas, že zpracovatel může předávat osobní údaje třetím osobám s tím, že okruh třetích osob není nikde stanoven.

Jak se bránit proti tomu, když nějaká společnost mé údaje zneužije?

AJ: Osobní údaje se zpravidla zpracovávají pro konkrétní účel, přičemž klient musí být o rozsahu i způsobu zpracování informován (viz výše). V obecných případech, pokud má klient pocit, že správce nezpracovává osobní údaje v souladu se zákonem, může se klient obrátit na Úřad pro ochranu osobních údajů, který je v této oblasti dozorovým orgánem.

Rychlé tipy pro souhlas se zpracováním osobních údajů

  • vždy si musíte být jisti, jaký je přesný obsah a rozsah souhlasu, který poskytujete
  • subjekt musí být informován, pro jaký účel jsou osobní údaje zpracovávány
  • pokud se objeví klauzule o uchování kopií osobních dokladů, zjistěte si, o které doklady se jedná (například k pořízení kopie občanského průkazu je třeba výslovný souhlas)
  • zavádějící jsou také formulace typu „souhlasíte s tím, že Vaše osobní údaje můžeme sdílet s ostatními společnostmi naší skupiny“, pokud není zřejmé, jaké údaje a komu budou konkrétně poskytovány