Již nyní se mohou lidé setkat s tím, že po nich nějaká společnost, banka či zaměstnavatel chce udělení nového souhlasu se zpracováním osobních údajů. Pokud si firmy či instituce udělení souhlasu v termínu nezajistí, musí osobní údaje klientů ze svých databází vymazat. V opačném případě jim hrozí sankce, která může v nejhorším případě odpovídat čtyřem procentům z celosvětového obratu společnosti nebo částce dvacet milionů EUR.

Hlavním smyslem GDPR má být především důraz na informovanost. Lidé by měli vědět, jak která společnost či instituce naloží s jejich daty, k jakému účelu je využije a po jakou dobu. To platí i v případě údajů, které si firmy ukládají pro možnou budoucí reklamaci nějakého výrobku. „Prodejce v tomto případě musí uchovat osobní údaje zákazníka po dobu trvání záruční doby, a to nejen z titulu plnění smlouvy, ale rovněž z titulu zákonných povinností spojených například s právní úpravou ochrany spotřebitele,“ vysvětluje Miroslav Kohout, advokát KODAP legal, podle kterého je ale prodejce, coby správce osobních údajů povinen plánovat a evidovat lhůty pro výmaz jednotlivých údajů z příslušných databází zákazníků.

Proč a na jak dlouho

Jak se bude určovat doba platnosti souhlasu se zpracováním osobních údajů? V současné chvíli žádné zákonné ustanovení, které by určovalo „expirační“ lhůtu souhlasu, neexistuje. „Již z hlediska dosavadní právní úpravy je však zřejmé, že souhlas se zpracováním osobních údajů by měl obsahovat i dobu, po kterou mohou být osobní údaje zpracovávány,“ říká Miroslav Kohout. Souhlas se zpracováním osobních údajů tedy může časem degradovat, avšak především v souvislosti s tím, na jak nezbytně dlouhou dobu a pro jaký legitimní účel je správce dané osobní údaje oprávněn či povinen zpracovávat. „Správce osobních údajů musí navíc pravidelně prověřovat, zda v konkrétních případech nadále trvá alespoň jeden důvodů pro zpracování osobních údajů,“ dodává Miroslav Kohout. Souhlas bude společnost potřebovat také ve chvíli, kdy se změní jeho účel. To typicky platí například u zasílání různých marketingových nabídek. Schválení pak musí být vždy a za všech okolností odvolatelné.

Snížená věková hranice

Obzvlášť v případě škol a různých institucí bude nutné řešit zpracování osobních údajů dítěte. GDPR připouští, aby souhlas se zpracováním osobních údajů poskytlo dítě, kterému je nejméně 16 let. „Návrh českého zákona o zpracování osobních údajů přitom využil možnost snížit tuto věkovou hranici na 13 let,“ říká Šárka Gregorová ze společnosti Schaffer & Partner. Souhlas rodičů se bude pravděpodobně týkat poměrně značného množství situací, ať už půjde o zpracovávání osobních údajů dětí ve školách, školkách, zájmových kroužcích či na sociálních sítích. „Typickou situací, kdy bude vyžadován souhlas rodiče dítěte, je umístění třídní fotografie na internetové stránky školského zařízení. Vzhledem k ne zcela jasné situaci, jak má být tato úprava v praxi realizována, očekáváme, že budou k problematice souhlasu dětí poskytnuty podrobnější stanoviska,“ doplňuje Gregorová.

Web, papír, ale i ústní souhlas

Informované souhlasy se zpracováním osobních údajů v souladu s GDPR mohou mít různorodou podobu. Ta může být – v závislosti na způsobu jejího získání – jak listinná, tak elektronická, popřípadě i formou ústního souhlasu, pakliže je tento ústní souhlas dostatečně zdokumentován (například v rámci obchodů uzavíraných telefonicky). „Je zřejmé, že jinak bude postupovat provozovatel internetového obchodu, který bude preferovat souhlas elektronickou formou prostřednictvím svých internetových stránek, a jinak prodejce v kamenném obchodě, kterému například zákazník vyplní a podepíše leták,“ uzavírá Šárka Gregorová. Správce osobních údajů ale musí být vždy schopen doložit, že mu byl souhlas se zpracováním údajů udělen.