Logo Podnikajte.sk
Podnikajte.sk > Právo a legislatíva > Zákonné povinnosti podnikateľa

Súhlas so spracúvaním osobných údajov podľa GDPR od 25.5.2018

Súhlas so spracúvaním osobných údajov podľa GDPR od 25.5.2018
Petra Pohorelá
Petra Pohorelá

Absolventka Právnickej fakulty Univerzity P. J. Šafárika v Košiciach, ktorá pôsobí v oblasti justície a zameriava sa najmä na obchodné a pracovné právo.

Články autora
Zápis do obchodného registra od 1. 11. 2023
Centrálny register účtov – otázky a odpovede
Projekt premeny obchodných spoločností a družstiev od 1. 3. 2024
Rozdelenie obchodných spoločností od 1. 3. 2024
Zmeny právnej formy od 1. 3. 2024
Neprípustnosť premeny obchodných spoločností od 1. 3. 2024
Nový zákon o premenách obchodných spoločností a družstiev od 1. 3. 2024
Ako založiť rodinný podnik od 1. 7. 2023
Dedenie majetku podnikateľa – praktické prípady
Evidovaný a registrovaný rodinný podnik od 1. 7. 2023
Zobraziť viac
Zobraziť menej

Čo sú osobné údaje? Kedy je súhlas na ich spracúvanie nevyhnutný a naopak kedy nie je potrebný? Aká forma súhlasu je akceptovateľná a aké požiadavky musí súhlas na spracúvanie osobných údajov podľa GDPR od 25. 5. 2018 spĺňať?

GDPR (General Data Protection Regulation) sa v súčasnosti stala jednou z najčastejšie skloňovaných skratiek. Ide sa o nariadenie Európskeho Parlamentu a Rady (EÚ) 2016/679 pre ochranu osobných údajov, ktoré je od 25. 5. 2018 účinné v členských štátoch EÚ. Definuje nové pojmy, zavádza nové práva pre fyzické osoby a povinnosti pre subjekty spracúvajúce osobné údaje fyzických osôb, najmä vzhľadom na rýchly rozvoj kyber-kriminality.

V podmienkach SR sa uvedené nariadenie GDPR premietlo do nového zákona č. 18/2018 Z. z. o ochrane osobných údajov účinného od 25. 5. 2018, ktorý nahradil dovtedy platný zákon č. 122/2013 Z. z. o ochrane osobných údajov.

Čo sú osobné údaje podľa GDPR?

Podľa európskeho nariadenia GDPR (čl. 4 bod 1) sú osobnými údajmi akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby (tzv. dotknutá osoba).

Za identifikovateľnú fyzickú osobu sa považuje osoba, ktorú možno identifikovať priamo alebo nepriamo, najmä odkazom:

  • na identifikátor (meno, priezvisko, identifikačné číslo, lokalizačné údaje, online identifikátor) alebo
  • na jeden či viaceré prvky, ktoré sú špecifické pre fyzickú, fyziologickú, genetickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu tejto fyzickej osoby.

Jednoducho povedané, osobnými údajmi sú len také údaje, na základe ktorých možno fyzickú osobu identifikovať, prípadne aj také, na základe ktorých sa fyzická osoba stáva identifikovateľnou.

Za osobné údaje fyzickej osoby sa považujú napríklad:

  • titul, meno, priezvisko, vek
  • adresa trvalého či prechodného pobytu
  • dátum narodenia, rodné číslo
  • telefónne číslo, e-mail (ktorý je dostatočne určitý – napr. pozostáva z reálneho mena a priezviska fyzickej osoby)
  • biometrické údaje (snímok tváre, odtlačok prsta)
  • IP adresa, identifikátor mobilného zariadenia
  • súbory cookies a i.
Prečítajte si tiež
Čo patrí medzi osobné údaje zamestnanca?

Technické údaje ako IP adresa či cookies však patria medzi osobné údaje len za predpokladu, že umožňujú identifikáciu konkrétnej fyzickej osoby (napr. IP adresuje možné použiť na zistenie, kde sa konkrétna fyzická osoba nachádza).

Za osobné údaje sa nepovažuje napríklad názov, sídlo a identifikačné číslo obchodnej spoločnosti. To sú údaje, ktoré sú verejne dostupné v príslušných registroch.

Kedy podľa GDPR ide o spracúvanie osobných údajov?

Spracúvaním osobných údajov sa podľa GDPR (čl. 4 bod 2) rozumie operácia alebo súbor operácií s osobnými údajmi alebo súbormi osobných údajov, napríklad:

  • získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, prepracúvanie osobných údajov,
  • zmena, vyhľadávanie, prehliadanie, využívanie osobných údajov,
  • poskytovanie osobných údajov prenosom, šírením alebo iným spôsobom,
  • preskupovanie alebo kombinovanie osobných údajov,
  • obmedzenie, vymazanie alebo likvidácia osobných údajov,

bez ohľadu na to, či sa vykonávajú automatizovanými alebo neautomatizovanými prostriedkami.

Čo je súhlas so spracúvaním osobných údajov podľa GDPR?

GDPR (čl. 4 bod 11) definuje čo treba rozumieť pod pojmom súhlas dotknutej osoby. Ide o akýkoľvek slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týka.

Aké požiadavky musí súhlas so spracúvaním osobných údajov podľa GDPR spĺňať?

GDPR pred súhlasom dotknutej osoby uprednostňuje iné právne základy na spracúvanie osobných údajov (napr. osobitný zákon alebo zmluvu). Pokiaľ však má byť na spracúvanie osobných údajov použitý len súhlas, GDPR jasne ustanovuje spôsob udelenia súhlasu dotknutou osobou na spracúvanie jej osobných údajov.

Ako vyplýva z vyššie uvedenej definície súhlas dotknutej osoby so spracúvaním osobných údajov musí v súlade s GDPR od 25. 5. 2018 byť:

  • slobodný,
  • konkrétny,
  • informovaný a
  • jednoznačný.

Súhlas so spracúvaním osobných údajov musí byť slobodný

To znamená, že fyzická osoba, ktorá súhlas poskytuje, musí mať reálnu možnosť výberu. Ak dotknutá osoba nemá skutočne na výber (napr. bola k súhlasu donútená), súhlas nie je platný.

Súhlas so spracúvaním osobných údajov musí byť konkrétny (určitý)

Zo súhlasu získaného dotknutou osobou musí byť bezpochyby zrejmé, za akým účelom sú osobné údaje poskytované a tiež v akom rozsahu budú daným subjektom spracúvané. Subjekt, ktorý osobné údaje dotknutej osoby spracúva vo vlastnom mene je označovaný ako prevádzkovateľ (napr. podnikateľ, orgán štátnej správy). V prípade, že osobné údaje dotknutej osoby majú byť spracúvané na viac účelov, súhlas by mal byť poskytnutý pre každý z nich.

Príklad: E-shop lekáreň ako prevádzkovateľ získal na základe predchádzajúcej objednávky zákazníka (napr. objednávky na vitamíny) súhlas tohto zákazníka na zasielanie bežných obchodných ponúk na jeho osobný e-mail, tzv. propagačných e-mailov. Podnikateľ teda môže osobný e-mail tohto zákazníka ďalej využívať iba pre tento účel, teda pre zasielanie ponúk podobných produktov, ako tých, čo predtým zákazník kúpil, t. j. vitamínov (súhlas sa nevyžaduje, lebo právnym základom spracúvania osobných údajov zákazníka je oprávnený záujem prevádzkovateľa). Ak by však podnikateľ chcel tomuto zákazníkovi posielať aj propagačné e-maily s ponukou iných jeho produktov (napr. voľnopredajných liekov), ktorá priamo nesúvisí s už skôr dodanými produktmi (vitamínmi) alebo s ponukou jeho služieb (napr. dermatologické poradenstvo), o ktorých predpokladá, že by mohli tohto zákazníka osloviť, musí pre tento ďalší účel získať súhlas tohto zákazníka.

Súhlas so spracúvaním osobných údajov musí byť informovaný

Aby bola táto požiadavka splnená, je nevyhnutné vopred (pred získaním súhlasu) dotknutej osobe poskytnúť základné informácie napríklad o:

  • totožnosti a kontaktných údajoch prevádzkovateľa,
  • druhu údajov, ktoré budú spracovávané,
  • účele spracúvania, na ktoré sú osobné údaje určené, aj právny základ spracúvania,
  • práve kedykoľvek súhlas odvolať a podať sťažnosť dozornému orgánu,
  • dobe uchovávania osobných údajov,
  • možných rizikách prenosu osobných údajov do tretích krajín.

Uvedené informácie by mali byť formulované stručne, jednoducho a zrozumiteľne. Nemali by sa teda využívať zdĺhavé a nezrozumiteľné vety či súvetia právnej terminológie a tiež by sa tieto informácie nemali ukrývať vo všeobecných obchodných podmienkach.

Poskytnutie takýchto základných informácií ešte pred samotným získaním súhlasu dotknutej osoby je dôležité najmä preto, aby sa táto osoba mohla slobodne rozhodnúť, či súhlas udelí a tiež, aby chápala na čo súhlas danému subjektu vlastne udeľuje.

Súhlas so spracúvaním osobných údajov musí byť jednoznačný

Táto požiadavka kladie dôraz na to, aby pri udelení súhlasu neexistovali žiadne pochybnosti o tom, že dotknutá osoba súhlasí so spracúvaním svojich osobných údajov. Preto musí ísť o vyhlásenie alebo úkon, ktorý jasne znamená, že dotknutá osoba súhlasí s navrhovaným spracúvaním jej osobných údajov.

Súhlas so spracúvaním osobných údajov nesmie byť súčasťou všeobecných obchodných podmienok podnikateľa, zmluvy ani žiadnej internej smernice. Taktiež nesmie byť podmienený poskytnutím nejakej služby alebo dodaním tovaru.

Forma súhlasu so spracúvaním osobných údajov podľa GDPR

GDPR pre súhlas so spracúvaním osobných údajov neustanovuje žiadnu predpísanú formu. Avšak uvádza, že súhlas musí byť odlíšený od iných skutočností (aby sa zabránilo situácii, že ho dotknutá osoba prehliadne) a musí byť vyjadrený jasne, v zrozumiteľnej a ľahko dostupnej forme.

Nakoľko je však prevádzkovateľ povinný súhlas získaný dotknutou osobou preukázať, nepostačuje v praxi získanie súhlasu len v ústnej forme (aj keď je to platný spôsob udelenia súhlasu, z dôvodu jeho preukázania je potrebné ho napríklad nahrať). Do úvahy teda prichádza hlavne písomná forma súhlasu (listinná alebo elektronická). Pri tzv. elektronickom súhlase musí byť súhlas na spracúvanie osobných údajov poskytnutý vedomým úkonom dotknutej osoby. Najčastejšie sa to realizuje zakliknutím políčka s príslušným textom: „Súhlasím so spracovaním osobných údajov“ (napr. pri registrácii na webovej stránke podnikateľa).

V prípade súdneho sporu dôkazné bremeno na preukázanie platného súhlasu dotknutej osoby a tiež splnenia si informačnej povinnosti pred získaním súhlasu viazne vždy na prevádzkovateľovi.

Príklady platne a neplatne udeleného súhlasu

Platne udelený súhlas Neplatne udelený súhlas
  • podpísanie súhlasu v listinnej podobe (napr. písomné vyhlásenie)
  • ústne udelenie súhlasu (napr. ústne vyhlásenie) – najlepšie ho nahrať (telefonická nahrávka)
  • zaškrtnutie políčka v listinnej podobe alebo zakliknutie políčka v elektronickej podobe
  • vyjadrenie súhlasu zaslaním e-mailu (napr. elektronické vyhlásenie)
  • udelenie súhlasu prostredníctvom audiovizuálnej nahrávky
  • správne zvolenie technických nastavení internetového prehliadača (napr. pri cookies)
    		•
  • vyjadrenie súhlasu mlčaním
  • vopred zaškrtnuté políčko v listinnej podobe a vopred zakliknuté políčko v elektronickej podobe
  • zahrnutie súhlasu do zmluvy alebo všeobecných obchodných podmienok
    		•

    V zmysle GDPR by malo byť z udeleného súhlasu zrejmé:

    1. kto súhlas udelil (označenie dotknutej osoby),
    2. komu sa súhlas udelil (označenie prevádzkovateľa)
    3. účel, na ktorý sa súhlas udelil,
    4. v akom rozsahu sa súhlas udelil (rozsah osobných údajov, ktoré budú spracúvané),
    5. právo dotknutej osoby súhlas odvolať,
    6. doba platnosti súhlasu,
    7. aké informácie dostala dotknutá osoba pred udelením súhlasu,
    8. aký spôsobom sa súhlas udelil (písomne či elektronicky),
    9. kedy sa súhlas udelil (dátum udelenia súhlasu).

    Kedy sa podľa GDPR súhlas na spracúvanie osobných údajov vyžaduje?

    Súhlas dotknutej osoby je jedným z právnych základov, na základe ktorého môžu byť osobné údaje spracúvané. Prevádzkovateľ teda môže spracúvať osobné údaje dotknutej osoby, ak táto vyjadrila (udelila) súhlas so spracúvaním svojich osobných údajov aspoň na jeden konkrétny účel.

    Najčastejšie sa na základe súhlasu dotknutej osoby spracúvajú osobné údaje napríklad pri marketingovej komunikácii, vernostných programoch, pri prevádzkovaní e-shopov alebo pri organizovaní spotrebiteľskej súťaže či zverejňovaní fotografií na webových stránkach.

    Ako sme už vyššie uviedli, GDPR pred súhlasom dotknutej osoby uprednostňuje iné právne základy na spracúvanie osobných údajov (napr. osobitný zákon alebo zmluvu). To znamená, že súhlas ako právny základ pre spracúvanie osobných údajov je až poslednou možnosťou ako osobné údaje zákonne spracúvať. Teda až vtedy, keď iný právny základ nie je možné nájsť, môže si prevádzkovateľ vyžiadať od dotknutej osoby súhlas so spracúvaním jej osobných údajov.

    Kedy sa podľa GDPR súhlas na spracúvanie osobných údajov nevyžaduje?

    Prevádzkovateľ môže osobné údaje spracúvať bez súhlasu dotknutej osoby, ak je ich spracúvanie nevyhnutné:

    1. na splnenie zákonnej povinnosti prevádzkovateľa, t. j. osobné údaje sa spracovávajú na základe osobitného zákona (napr. Zákonníka práce, zákona o sociálnom poistení) alebo medzinárodnej zmluvy, ktorou je SR viazaná

    Príklad: Zamestnávateľ má po uzatvorení pracovnej zmluvy so zamestnancom povinnosť prihlásiť ho do Sociálnej a zdravotnej poisťovne. Takéto prihlásenie do poisťovní určujú osobitné zákony - o sociálnom poistení a o zdravotnom poistení. V danom prípade sa tak súhlas zamestnanca ako dotknutej osoby, ktorej osobné údaje sa spracúvajú, nevyžaduje.

    1. na účely plnenia zmluvy, ktorej zmluvnou stranou je dotknutá osoba

    Príklad: Zákazník si z e-shopu objednal oblečenie. Prevádzkovateľ tohto e-shopu si na účel spracovania jeho objednávky a dodania tovaru nemusí vyžiadať súhlas tohto zákazníka ako dotknutej osoby, pretože v danom prípade je spracúvanie osobných údajov nevyhnutné na plnenie kúpnej zmluvy. Prevádzkovateľ tak môže spracúvať tie údaje, ktoré sú nevyhnutné na výkon kúpnej zmluvy (meno a priezvisko, doručovaciu adresu, číslo kreditnej karty a i.).

    1. na ochranu životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby (napr. života, zdravia či majetku)

    Príklad: Fyzická osoba mala závažnú dopravnú autonehodu. Nemocnica, v ktorej je táto osoba liečená, nepotrebuje súhlas pacienta na vyhľadanie občianskeho preukazu za účelom zistenia, či sa tento pacient nachádza v databáze nemocnice.

    1. na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi

    Príklad: Slovenská komora advokátov ako profesijné združenie, ktorému bola udelená úradná právomoc, môže viesť disciplinárne konanie proti niektorým svojim členom.

    1. na účel oprávneného záujmu, ktorý sleduje prevádzkovateľ alebo tretia strana (o oprávnený záujemide vtedy, ak medzi prevádzkovateľom a dotknutou osobou už existujenejaký vzťah, napríklad pracovnoprávny)

    Príklad: Spoločnosť AB s.r.o. má na území SR viacero prevádzok (pobočiek), v ktorým zamestnáva niekoľko fyzických osôb. Jej oprávneným záujmom je teda vnútorný prenos osobných údajov zamestnancov medzi jednotlivými pobočkami. Preto sa na spracovanie osobných údajov zamestnancov medzi týmito pobočkami nebude vyžadovať ich súhlas.

    Na záver zdôrazňujeme, že dotknutá osoba, ktorá súhlas na spracúvanie jej osobných údajov udelila, ho môže kedykoľvek odvolať. Odvolanie súhlasu musí byť také jednoduché ako jeho poskytnutie. Všetky súhlasy získané do účinnosti GDPR a nového zákona o ochrane osobných údajov sú na ďalej platné len, ak spĺňajú všetky vyššie uvedené požiadavky podľa GDPR a nového zákona. V opačnom prípade je nutné, aby si prevádzkovatelia od dotknutých osôb vyžiadali nové súhlasy alebo zvolili iný právny základ na spracúvanie osobných údajov.

    Ako sú slovenské firmy pripravené na GDPR? Pozrite si reláciu Poďme k veci na tému GDPR - nový míľnik v ochrane súkromia alebo zbytočná byrokracia?


    Ochrana osobných údajov GDPR - ochrana osobných údajov

    Viac podobných článkov nájdete na www.podnikajte.sk

    Petra Pohorelá
    Petra Pohorelá

    Absolventka Právnickej fakulty Univerzity P. J. Šafárika v Košiciach, ktorá pôsobí v oblasti justície a zameriava sa najmä na obchodné a pracovné právo.

    Články autora
    Zápis do obchodného registra od 1. 11. 2023
    Centrálny register účtov – otázky a odpovede
    Projekt premeny obchodných spoločností a družstiev od 1. 3. 2024
    Rozdelenie obchodných spoločností od 1. 3. 2024
    Zmeny právnej formy od 1. 3. 2024
    Neprípustnosť premeny obchodných spoločností od 1. 3. 2024
    Nový zákon o premenách obchodných spoločností a družstiev od 1. 3. 2024
    Ako založiť rodinný podnik od 1. 7. 2023
    Dedenie majetku podnikateľa – praktické prípady
    Evidovaný a registrovaný rodinný podnik od 1. 7. 2023
    Zobraziť viac
    Zobraziť menej

    Súvisiace témy

    Firmy môžu prísť o cookies: poskytovateľ cookie líšt čelí žalobe
    Zákonné povinnosti podnikateľa - Tlačová správa

    Firmy môžu prísť o cookies: poskytovateľ cookie líšt čelí žalobe

    Belgický dozorný orgán rozhodol, že cookie lišta od IAB Europe je v rozpore s GDPR, čo môže ovplyvniť aj slovenských prevádzkovateľov webov. Ako sa vyhnúť problémom?
    Prenos osobných údajov z EÚ do USA: porušuje známa služba GDPR?
    Technológie - Tlačová správa

    Prenos osobných údajov z EÚ do USA: porušuje známa služba GDPR?

    Európske dozorné orgány sa začínajú zaoberať prenosmi osobných údajov európskych užívateľov do USA. Do pozornosti sa dostala predovšetkým služba Google Analytics.
    Cookies od 1.2.2022: odborníci o dopade nových pravidiel na podnikanie
    Zákonné povinnosti podnikateľa - Libuša Removčíková

    Cookies od 1.2.2022: odborníci o dopade nových pravidiel na podnikanie

    Odborníci o tom, ako nový zákon o elektronických komunikáciách ovplyvní online podnikanie, aké zmeny treba zaviesť do konca januára a či to zvládnu aj podnikatelia bez pomoci programátora.
    Cookies a pravidlá ich spracúvania od 1.2.2022
    Zákonné povinnosti podnikateľa - Radim Kochan

    Cookies a pravidlá ich spracúvania od 1.2.2022

    Za porušenie nových pravidiel spracúvania cookies hrozí sankcia do 10 % z obratu. Na čo dať pozor, ako po novom súhlas získať a ako dlho ho možno uchovať? Odpovede na praktické otázky.
    Inšpirácia pre podnikanie
    Podnikanie vo dvojici: keď sa zo životných partnerov stanú partneri aj v biznise Generačná výmena môže biznis posunúť vpred: príkladom je prešovská textilná firma
    Štart podnikania
    Založenie živnosti študenta a platenie odvodov Ako výhodne vybrať peniaze z s. r. o.?
    Dane a účtovníctvo
    Zdaňovanie a odvody z príjmov autorov v roku 2024 Overenie IČ DPH pridelených v EÚ a v SR
    Financie ekonomika
    Zmeny v 13. dôchodku od 1.7.2024 Predčasný dôchodok od 15. 5. 2024
    Manažment a marketing
    Výber prepravy v medzinárodnom obchode: čo zvažovať? Elektromobilita na Slovensku: v rozvoji nestíhame priemeru EÚ
    Právo a legislatíva
    Legislatívny proces na úrovni Európskej únie Európska smernica o minimálnych mzdách: čo znamená pre Slovensko?
    To najlepšie z Podnikajte.sk do vašej schránky