Obdobně jako předchozí právní úprava i Nařízení Evropského parlamentu a Rady 2016/679 označované jako GDPR (dále jen „nařízení“) zakotvuje informační povinnosti správce osobních údajů vůči subjektům údajů (fyzickým osobám, jejichž osobní údaje jsou zpracovávány). V tomto právním oběžníku se tak budeme věnovat nové podobě této regulace, a to konkrétně pro ty případy, kdy jsou osobní údaje obchodníkem získávány přímo od subjektu údajů (kupříkladu při registraci zákazníka na webové stránce či při zadávání informací do objednávky). Tyto situace je nutné odlišovat od případů, kdy jsou osobní údaje získávány správcem od třetích osob (poskytovatelů uživatelských databází či tzv. leadů apod.).
Obecné požadavky ohledně plnění informačních povinností správcem zakotvuje čl. 12 odst. 1 nařízení, který stanoví, že „správce přijme vhodná opatření, aby poskytl subjektu údajů stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace“ uvedené v čl. 13 nařízení. Požadavek, aby informace byly poskytnuty stručným, transparentním, srozumitelným a snadno přístupným způsobem, je však v určitém protikladu vůči požadovanému rozsahu informací, které mají být zákazníkům podle čl. 13 nařízení povinně poskytnuty.
Ustanovení čl. 13 odst. 1 nařízení konkrétně stanoví, že „pokud se osobní údaje týkající se subjektu údajů získávají od subjektu údajů, poskytne správce v okamžiku získání osobních údajů subjektu údajů tyto informace: a) totožnost a kontaktní údaje správce a jeho případného zástupce; b) případně kontaktní údaje případného pověřence pro ochranu osobních údajů; c) účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování; …; e) případné příjemce nebo kategorie příjemců osobních údajů; f) případný úmysl správce předat osobní údaje do třetí země …“ Další informace, které mají být subjektu údajů poskytnuty, jsou-li „nezbytné pro zajištění spravedlivého a transparentního zpracování“, pak vyjmenovává ustanovení čl. 13 odst. 2 nařízení. Mezi takovéto informace patří mimo jiné i „doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby“, „existence práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz, popřípadě omezení zpracování, a vznést námitku proti zpracování, jakož i práva na přenositelnost údajů…“ a „existence práva podat stížnost u dozorového úřadu“.
Pokud je zpracování osobních údajů obchodníkem založeno na souhlasu subjektu údajů, může mít řádné splnění informačních povinností (vyhovujících nařízení) důsledky i pro to, zdali bude nutné po nabytí účinnosti nařízení žádat subjekt údajů o nové vyslovení souhlasu. Nařízení ve svém normativním textu neobsahuje žádná tzv. přechodná ustanovení. Nicméně preambule (recitál) nařízení ve svém bodě 171 uvádí, že je-li zpracování „založeno na souhlasu podle směrnice 95/46/ES, není nutné, aby subjekt údajů znovu udělil svůj souhlas, pokud je způsob udělení daného souhlasu v souladu s podmínkami tohoto nařízení…“ Pokud by se tedy ukázalo, že přechodná ustanovení mají skutečně takto fungovat (což bohužel není v tuto chvíli zcela jasné), bude řádné splnění informačních povinností obchodníkem zřejmě považováno za jeden z nutných předpokladů, aby způsob udělení daného souhlasu byl v souladu s podmínkami nařízení.
Josef Aujezdský, advokát
Advokátní kancelář Mašek, Kočí, Aujezdský
www.e-Advokacie.cz – on-line právní poradenství
Tento text byl advokátní kanceláří Mašek, Kočí, Aujezdský původně vyhotoven ve spolupráci se spolkem Asociace pro elektronickou komerci (APEK) jako právní oběžník č. 8/2017 určený členům tohoto spolku.