Potvrzení souhlasu ke zpracování osobních údajů
Jedním z aspektů získání platného souhlasu ke zpracování osobních údajů je i povinnost kdykoli během trvání zpracování, které je na něm založeno, udělení souhlasu věrohodně prokázat.
Z hlediska míry jistoty existuje řada variant, jak si souhlas nechat potvrdit. K nejjistějším způsobům bude patřit úředně ověřený podpis, platný uznávaný elektronický podpis nebo zpráva z datové schránky. To ale v běžné praxi nebude příliš využitelné. Z tohoto pohledu se jako ideální jeví požádat o obyčejný vlastnoruční podpis.
Méně jisté je pak získávání souhlasu jen pomocí zaškrtnutí políčka, jelikož není zcela zajištěna integrita nebo nezměnitelnost daného projevu vůle. To může být problém zejména u dokumentů vytvořených pouze v jedné kopii, kterou má k dispozici správce. U dokumentů vytvořených ve více kopiích by pak bylo třeba v případě sporu, zda byl souhlas udělen, nebo nikoli, posuzovat věrohodnost všech dostupných kopií.
Dobrou pojistkou pro ověření a prokázání souhlasu může být tzv. dvoustupňový přístup. Po udělení souhlasu zašle správce dotčené osobě (e-mailem, SMS apod.) potvrzovací zprávu o tom, že se chystá provádět zpracování založené na jeho souhlasu a že žádá o jeho potvrzení kliknutím na link, zadáním SMS kódu atd. Případně by měl správce alespoň umožnit dotčené osobě jednoduchým způsobem souhlas odvolat, respektive informovat, že udělen nebyl.
Při volbě varianty získání souhlasu je podle našeho názoru nutné posoudit povahu zpracování, rizika pro práva a svobody dotčených osob a přijatá opatření, která zmírňují potenciální dopady na ochranu soukromí a osobních údajů. U vysoce rizikových zpracování je na místě vyžadovat vysokou jistotu o udělení souhlasu (např. při zpracování citlivých údajů), u méně rizikových operací pak může míra jistoty odpovídat povaze takového zpracování (např. souhlas s newsletterem, obchodními sděleními).
Specifickou situací je pak získávání souhlasu elektronickými prostředky (např. online formuláře, webové stránky, aplikace apod.). V těchto případech musí správce být schopen:
(i) prokázat správné nastavení a integritu systému, tzn., že vše funguje tak, jak má, a že souhlasy se v systému zaznamenají skutečně jen tehdy, pokud uživatel souhlas nějakou svou jednoznačnou, svobodnou a vědomou aktivitou udělí.
(ii) Zaznamenat danou aktivitu pomocí logů nebo jiných prostředků a přiložit k tomu i doklad o podobě a rozsahu souhlasu (k čemu byl udělen a jaké vysvětlení a informace k němu byly připojeny).
Naše doporučení tedy je:
- Souhlasy si nechte potvrdit podpisem.
- Pokud to není možné nebo přiměřené, zvažte dvoustupňové ověření souhlasu.
- Uchovávejte doklady o tom, že souhlas byl dotčenou osobou udělen včetně jeho podoby, rozsahu (verze) a času udělení.