Souhlas se zpracováním údajů podle GDPR: kdy, jak, k čemu a od koho?

26.01.2018

Souhlas se zpracováním osobních údajů je nutný v případě, že školní jídelna nemá jiný právní důvod zpracování podle čl. 6 GDPR, tj. zpracování není nezbytné pro splnění smlouvy nebo jiné právní povinnosti školní jídelny, není nezbytné pro ochranu životně důležitých zájmů subjektu údajů a ani není nezbytné pro splnění úkolu prováděného ve veřejném zájmu. Školní jídelny tak budou muset disponovat souhlasem především pro marketingové účely, tzn., pokud chtějí fotografie či videa ze svých akcí zveřejňovat na svých internetových stránkách, chtějí zasílat novinky na e-mail strávníků či rodičů, nebo pokud z nějakého důvodu chtějí předávat osobní údaje strávníků např. zřizovateli. U školních jídelen, které mají webové stránky, lze dále uvažovat o souhlasu zaměstnanců se zveřejněním jejich fotografií na webu a o souhlasu uživatelů webových stránek s používáním cookies.

Souhlas musí být svobodný

Svobodný souhlas neznamená pouze, že k němu subjekt údajů není přinucen, ale třeba i to, že souhlas se zpracováním osobních údajů pro daný účel není podmínkou poskytnutí služby nebo přijetí do pracovního poměru. Pokud bude např. školní jídelna požadovat po svých zaměstnancích udělení souhlasu pro účely sledování jejich aktivity na počítačích, jeho neudělení může mít za následek nepodepsání pracovní smlouvy. U takového souhlasu (stejně jako u většiny dalších souhlasů udělených zaměstnancem zaměstnavateli) tak souhlas nebude platný z důvodu neexistující svobodné volby na straně zaměstnance.

Souhlas musí být konkrétní

Aby byl souhlas konkrétní, musí být udělen pro konkrétní účel či účely zpracování. Nelze tedy např. v přihlášce ke stravování uvést větu: "Souhlasím se zpracováním osobních údajů mého dítěte." Z této věty není absolutně jasné, k čemu je vlastně souhlas udělen. Stejně tak nebude zřejmě postačovat ani: "Souhlasím se zpracováním osobních údajů mého dítěte pro marketingové účely školní jídelny." Naopak by jídelny měly být co nejspecifičtější při formulování souhlasu a definovat ho např. takto: "Souhlasím s pořizováním fotografií zachycujících mé dítě, a to za účelem propagace školní jídelny a její činnosti na webových stránkách XX ve školním roce 2018/2019."

Souhlas musí být informovaný

Souhlas bude informovaný, pokud byl subjekt údajů před jeho udělením informován zejm. o totožnosti správce, tedy školní jídelny, účelech zpracování a o možnosti kdykoliv souhlas odvolat.

Souhlas musí být jednoznačný

Jednoznačný souhlas znamená, že souhlas je jednoznačným projevem vůle. Souhlas nesmí být udělen konkludentně, tedy mlčky, ale musí být vždy aktivním jednáním strávníka nebo zaměstnance. Za platný souhlas nelze považovat předem zaškrtnuté políčko. Platným souhlasem nebude ani věta v přihlášce ke stravování o souhlasu s pořizováním fotografií, kdy podpis samotné přihlášky automaticky znamená souhlas s pořizováním fotografií. Naopak jednoznačným souhlasem bude i vyplnění nepovinného pole v přihlášce, u kterého je jednoznačně uvedeno, že e-mailová adresa bude použita k zasílání novinek/newsletteru školní jídelny.

Souhlas musí být odvolatelný

GDPR stanoví, že odvolat souhlas musí být tak jednoduché, jako ho udělit. O tom by měl být strávník či zaměstnanec poučen. Nelze tedy stanovit složitou proceduru odvolání souhlasu, např. požadovat, aby bylo odvolání souhlasu zasláno doporučeně poštou na adresu školní jídelny.

Závěr

Ne všechny školní jídelny budou řešit problematiku souhlasu se zpracováním osobních údajů svých strávníků a zaměstnanců, protože mnoho jídelen zpracovává pouze zákonné informace. Nicméně pokud některá školní jídelna pořádá speciální akce či zveřejňuje fotografie na webu, měla by upravit své aktuální souhlasy podle nové právní úpravy.

Zdroj: Řízení školy online, Autoři: RNDr. Ing. Eva Urbanová, Alice Frýbová