GDPR – kdy souhlas a kdy plnění smlouvy/oprávněný zájem.

O zásadách získávání souhlasu bylo napsáno spousta. Např. https://www.gdpr.cz/blog/souhlas/ Bohužel ale nikde jsem nenašel pojednání o tom, kdy volit souhlas a kdy se odvolat na plnění smlouvy. Každá služba na webu má smlouvu, jsou to nějaké všeobecné podmínky. Rozhodnutí k čemu si vyžádat souhlas a co dát pod plnění smlouvy je poněkud zásadní, protože pokud je špatně, tak je pak všechno špatně. Souhlas musí být nepovinný a odvolatelný. Z toho plyne že věci bez kterých by služba vůbec nešla poskytnout - jako např. nějaká kontaktní údaje, souhlas není potřeba. Některý kontaktní údaj ale může být volitelný ale nepovinný. Přeci ale nebudu kvůli tomu, že někdo kromě emailu může zadat i telefon žádat extra souhlas kvůli této jedné položce? Někdo zadá telefon, někdo email, někdo oboje. Ta úplná nezbytnost je problematická. Za jistých okolností by zákazník nemusel zadat nic, ale dost možná si tím způsobí problémy až bude potřebovat např. obnovit heslo. Jde o to, aby těch souhlasů nebylo nepřehledně mnoho, když každý musím evidovat a prý i obnovovat. V rámci služby uživatel může zadat i číslo svého bankovního účtu, částku pro doplňování kreditu inkasem. (jinak tohle je výborná věc). Zadává tam i další kontaktní údaje pro případ, že by inkaso selhalo (např. špatně zadané). Lze tohle dát pod plnění smlouvy, nebo je potřeba na to další souhlas? Samozřejmě uživatel má možnost údaje kdykoli vymazat nebo změnit. Součástí služby je ukládání nějakých dat, pro pohodlí zákazníka. Je to nepovinné, nevyužijí to všichni, ale za jistých okolností by to mohly být též osobní údaje. Uložených položek jsou desítky, mohou být i stovky. Položky je v některých případech možné měnit i přes API a vyžadovat souhlas přes API je samozřejmě nesmysl. Je možnost použití API dostatečný důvod k tomu, aby tohle bylo možné zahrnout pod plnění smlouvy a zákazník nebyl obtěžován s každým přidáním nebo editaci údaje? Nebo si vyžádat jeden společný souhlas pro všechny položky a když jej někdo nedá, nedovolit mu uložit žádnou položku žádným způsobem. Tedy ani přes API? Ale zbytek služby nechat v provozu? A co email k zasílání informace, pokud kredit poklesne pod určitou hranici. Emailů nebo telefonních čísel je možné zadat více různých, aby se email/SMS posílala při různých částkách. Pro každý žádat zvlášť souhlas? Nebo pro všechny jeden dohromady a lidem co souhlas nedají tohle zadat nedovolit? A kdo souhlas odvolá údaje tímto aktem okamžitě smazat? A nebo udělat jednu stránku se souhlasy a část služeb/možností povolit těm co dali nezbytný souhlas? Jde o to, jak moc komplikovat sobě i zákazníkům život s velkým množstvím různých souhlasů, když to možná není nutné a dalo by se odvolat na plnění smlouvy. S tím povinným obnovováním souhlasů je to už fakt nesmyslné, někteří mají za to, že to běžně není potřeba ... Např. mobilní operátoři tohle moc neřeší, pro ně je skoro všechno "plnění smlouvy". Pěkně má zpracováno GDPR O2 - https://www.o2.cz/osobni/586476-privacy_gdpr_mod/ , souhlas nepotřebují, zdá se, skoro na nic, vše je plnění smlouvy nebo jiné důvody. Tedy snad by to mělo jít i bez zbytečných souhlasů ...

Pro posouzení je důležitý i účel zpracování. 1) Kontaktní údaj poskynutý za účelem obnovení přístupu k účtu a nebo zaslání informací o inkasu by měl pravděpodobně spadat pod oprávněný zájem. V tomto případě je oprávněný zájem ve prospěch správce i subjektu údajů. 2) Pokud by ses zavázal ve smlouvě, že budeš zákazníka informovat o průběhu např. výroby jeho výrobku, potom je daný údaj nezbytný pro plnění smlouvy a pak by spadal pod plnění smlouvy. 3) Pokud údaj použiješ pro propagaci souvisejících služeb u zákazníka, který už od tebe nakoupil, a tedy i v souladu se zákonem o některých službách informační společnosti, pak takové použití můžeš schovat pod oprávněný zájem.4) Pokud bys chtěl ale použít ten stejný údaj k něčemu jinému, tak musíš mít souhlas a nebo to musí spadat pod právní povinnosti (např. fakturační údaje), apod. 5) Pokud si zákazník u tebe bude ukládat nějaké údaje a je na něm, co si tam ukládá a ty tato data dál nezpracováváš, tak to nepotřebuješ řešit. Pak je to obdobná situace, jako kdybych si na Google Disk ukládal osobní údaje. Google nepotřebuje můj souhlas, protože není správcem takto uložených údajů. Toto není právní výklad, ale logicky bych to takto chápal podle miliónů různých výkladů a příkladů, které jsem četl.---------- Příspěvek doplněn 02.05.2018 v 22:42 ----------A ještě doplnění. Souhlas musí být nepovinný a odvolatelný, ale to neznamená, že například u plnění smlouvy musí být všechny údaje povinné. Záleží i na formulaci obchodních podmínek, ale klidně to může být tak, že například informační servis poskytovaný jako součást služeb bude dostupný jen tehdy, pokud ho zákazník chce a poskytne daný kontaktní údaj. Pokud ho neposkytne, tak danou extra službu navíc nezíská. Nicméně v takovém případě nesmí být ten údaj použit pro nic jiného, než pro účely plnění daného bodu ve smlouvě.

Tady jsem našel povídání v angličtině na téma co je to "oprávněný zájem" = "Legitimate interests". Legitimate interests | ICO Vypadá, že se do toho vleze opravdu ledacos. Zrovna email o nízkém kreditu, nebo kontaktní údaje pro případ selhání inkasa (a jen pro tento případ) by se krásně měly vejít. Protože člověk má svobodnou volbu a užitek z toho když údaje poskytne, a bez toho by to jaksi nešlo. Souhlas s každým jednotlivým podobným nastavením by obtěžující i když možnost by to byla též. Horší je to s propagací souvisejících služeb u zákazníka, protože o to mít zájem vůbec nemusí a proto by bylo lepší mít možnost volby - souhlasu. Asi to záleží hlavně na tom jak agresivně a často hodlá někdo něco propagovat. "You cannot rely on legitimate interests if there is another reasonable and less intrusive way to achieve the same result." "You can rely on legitimate interests for marketing activities if you can show that how you use people’s data is proportionate, has a minimal privacy impact, and people would not be surprised or likely to object." Tedy marketing jen pokud bude nadávat jen hodně malé procento lidí a možná i tak je lepší mít souhlas. Jinak ještě z jiného soudku. Pokud si myslíte, že pro uchovávání fakturačních údajů je vždy zákonný důvod, není tomu tak. Daňové doklady do 10 000 Kč je možné vystavovat jako zjednodušené. A to i za zboží. http://www.jakpodnikat.cz/danovy-doklad-nalezitosti.php Kdejaká účetní to dodnes neví a bude tvrdit opak. Dříve to šlo jen za elektronické služby a i to účetní často nevěděly. Špatně to dělá třeba i Vodafone, který pokud chcete u předplacenky daňový doklad vyžaduje fakturační údaje - pokud se něco nezměnilo. Nemá k tomu legitimní důvod.

Direct marketing je přímo uvedený, že může spadat pod oprávněný zájem. Ale samozřejmě záleží i na provedení. Je to o napsáno tuny věci. Stačí první odkaz z Google: https://www.epravo.cz/top/clanky/gdpr-a-primy-marketing-107161.html a kdekoliv jinde je to napsáno obdobně.

Napsal vaclav.hodek;1460638

1) Kontaktní údaj poskynutý za účelem obnovení přístupu k účtu a nebo zaslání informací o inkasu by měl pravděpodobně spadat pod oprávněný zájem. V tomto případě je oprávněný zájem ve prospěch správce i subjektu údajů.

Proč oprávněný zájem když by to stejně dobře mohlo být plnění smlouvy?Do smlouvy je možné si dát cokoli co potřebuji. Jak pak rozlišit, kdy je lepší tytul oprávněný zájem nebo plnění smlouvy?Pokud se podívám na to jak to dělá O2, tak ti mají tendenci všechno vydávat za plnění smlouvy, pokud je to možné.O2 | Zásady zpracování osobních údajů dle GDPRTo ale může znamenat, že musí být smlouva pak nesmyslně dlouhá a nepřehledná, aby všechno pokryla? (což u O2 rádi)Nebo to není nutné všechno opravdu zmínit ve všeobecných podmínkách - smlouvě, pokud takové chování lze od smlouvy reálně očekávat?