Metodika k plnění informační povinnosti a k souvisejícím ujednáním vůči zákazníkům
Metodika k plnění informační povinnosti a k souvisejícím ujednáním vůči zákazníkům
Úvod
V rámci obchodní činnosti řada subjektů při sjednávání smluv se zákazníky využívá obchodních podmínek, kdy některá ujednání o právním vztahu mezi podnikatelem a zákazníkem nejsou sjednána přímo ve smlouvě, ale je odkázáno na další dokument. Obecné náležitosti využití tohoto právního institutu jsou upraveny předpisy soukromého práva. V řadě případů jsou obchodní podmínky využity i pro sjednávání podmínek dalších právních vztahů, které k předmětu smlouvy nemají přímý vztah, či k plnění povinností vyplývajících z veřejnoprávní regulace. Úřad pro ochranu osobních údajů (dále jen „Úřad“) se s takovýmto postupem setkává především v souvislosti s informováním zákazníka o zpracování jeho osobních údajů a při vymáhání souhlasu s dalším zpracováním osobních údajů nad rámec běžného smluvního vztahu.
I s ohledem na poznatky z dozorové praxe, kdy je využívání obchodních podmínek pro plnění povinností vyplývajících z obecného nařízení o ochraně osobních údajů (dále též jen „obecné nařízení“), v nikoli výjimečných případech spojeno s nedostatečným či nesprávným plněním zákonných požadavků, Úřad považuje za vhodné se k otázce plnění informační povinnosti při zpracování osobních údajů v obchodních podmínkách nebo obdobných dokumentech blíže vyjádřit.
Obecně k plnění informační povinnosti a vymáhání souhlasu se zpracováním osobních údajů
Na základě vůle dvou stran, podnikatele a zákazníka, mezi nimi vzniká právní vztah, typicky kupní smlouva. Pro vznik a realizaci daného právního vztahu je nezbytná oboustranná výměna informací. Mezi informacemi, které zákazník podnikateli v rámci sjednávání nebo realizace smluvního vztahu předá či které podnikatel získá z jiných zdrojů, jsou často i osobní údaje, tedy informace vztahující se ke konkrétní fyzické osobě, zákazníkovi. Jejich shromáždění a využití pak představuje zpracování osobních údajů ve smyslu obecného nařízení o ochraně osobních údajů, přičemž podnikatel bude v pozici správce a zákazník v postavení subjektu údajů se všemi důsledky, které oběma stranám z obecného nařízení o ochraně osobních údajů vyplývají.
Jednou ze základních povinností správce je provádět zpracování osobních údajů otevřeným způsobem a subjektu údajů poskytnout odpovídající sumu informací o zpracování jeho osobních údajů.
Při plnění informační povinnosti, zejména když se tak děje v rámci dokumentu obsahujícího i další právní ujednání, v obchodních podmínkách, může v praxi docházet k výkladovým problémům. Pro důsledné a kvalitní plnění informační povinnosti způsobem, který je zákazníkovi přístupný, se jeví jako vhodné veškerá ujednání o zpracování osobních údajů uvést v samostatném dokumentu, na který pak bude v rámci smlouvy odkázáno (obdobně jako např. na ceník či obchodní podmínky). Takovýto dokument by měl obsahovat veškeré relevantní informace o zpracování osobních údajů, ke kterému v rámci tohoto vztahu dojde, či může dojít. V případě, kdy správce, podnikatel, hodlá ujednání o zpracování osobních údajů uvést přímo v obchodních podmínkách, je důležité alespoň veškeré informace o této problematice uvést v obchodních podmínkách na jednom místě tak, aby subjekt údajů, zákazník, nemusel při hledání bližších údajů o zpracování svých osobních dat hledat na více místech obchodních podmínek či ve více různých dokumentech.
Pro efektivní a zákonu odpovídající plnění informační povinnosti a dalších povinností zejména v souvislosti se získáváním souhlasu s dalším zpracováním osobních údajů Úřad v praxi doporučuje následující postup:
V příslušném dokumentu, samostatném ujednání o zpracování osobních údajů či v odpovídající části obchodních podmínek, definovat a popsat účely, pro které hodlá správce, podnikatel, osobní údaje zpracovávat.
Obecné nařízení o ochraně osobních údajů ukládá každému, kdo zpracovává osobní údaje, které získává od subjektů údajů, tedy přímo od svých zákazníků, aby je poučil o skutečnosti, zda poskytování osobních údajů je zákonným či smluvním požadavkem, nebo požadavkem, který je nutné uvést do smlouvy, a zda má subjekt údajů povinnost osobní údaje poskytnout, a ohledně možných důsledků neposkytnutí těchto údajů. Obvyklým následkem je neuzavření smlouvy. Text sdělení pro zákazníka musí být stručný, výstižný, pochopitelný a úplný, bez nadbytečných informací.
V praxi nikoli výjimečně dochází k nadbytečnému vymáhání souhlasu tam, kde jsou pro zpracování jiné právní důvody, což fakticky znamená rovněž nesprávné plnění informační povinnosti, a tím porušení obecného nařízení. Jinak řečeno, pokud správce od subjektu údajů vymáhá souhlas například se zpracováním osobních údajů nezbytných k plnění uzavřené smlouvy, je takovýto postup pro obě strany nesprávný a pro zákazníka matoucí. Jde tak o porušení zásady transparentnosti stanovené článkem 12 obecného nařízení, které může být sankcionováno.
Ke každému účelu, případně pokud je to s ohledem na další parametry zpracování možné k jejich množině, je pak nezbytné uvést další informace o zamýšleném zpracování osobních údajů. Rozsah informační povinnosti pro každé zpracování údajů je uveden v článcích 13 a 14 obecného nařízení. Správce je tak obecně povinen subjekt údajů informovat zejména o tom, za jakým účelem a na jakém právním základě budou údaje zpracovávány, kdo je správcem a jeho případným zástupcem a jejich kontaktních údajích, o případném příjemci a dále o právu na přístup k osobním údajům a právu na opravu nebo výmaz, popřípadě omezení zpracování, vznesení námitky proti zpracování i právu na přenositelnost údajů.
V případě, kdy zpracování bude probíhat na základě souhlasu, je na základě článku 7 obecného nařízení třeba důsledně dbát na to, že plnění smlouvy včetně poskytnutí služby nesmí být podmiňováno souhlasem se zpracováním osobních údajů, které není pro plnění dané služby nutné.
Souhlas se zpracováním osobních údajů je obecným nařízením definován jako svobodný, konkrétní, informovaný a jednoznačný projev vůle. Xxxxxxx, který není svobodným anebo vědomým (informovaným) úkonem, není platným právním titulem ke zpracování osobních údajů a pokud správce nedoloží, že předmětné zpracování může provádět na základě jiného právního titulu, bude toto zpracování jako celek od počátku nezákonné.
Pokud má zákazník za to, že mu v důsledku nezákonného zpracování osobních údajů vznikla majetková či nemajetková újma, je třeba tyto nároky uplatňovat v občanskoprávním řízení.
Vzor k plnění informační povinnosti a k souvisejícím ujednáním vůči zákazníkům
V následující části Úřad navrhuje vzorovou formu, jíž lze v ujednání o zpracování osobních údajů či v obdobném dokumentu plnit informační povinnost správce osobních údajů a řešit získávání souhlasu zákazníka s dalším zpracováním jeho osobních údajů shora naznačeným způsobem. Jedná se o stručné nastínění vzorových bodů, na které by se měl správce po celkovém posouzení zamýšleného či realizovaného zpracování osobních údajů zákazníků zaměřit především. Konkrétní znění ujednání o zpracování osobních
údajů však pochopitelně musí být plně v souladu se zpracováním jako takovým a zahrnovat veškeré jeho nezbytné náležitosti.
Ujednání o zpracování osobních údajů
Účel a rozsah zpracování osobních údajů
Podnikatel a zákazník uzavřeli smlouvu o koupi zboží nebo poskytování služeb. V rámci tohoto právního vztahu bude podnikatel zpracovávat osobní údaje zákazníka za následujícími účely:
1) Realizace smluvního vztahu
Toto zpracování je nezbytné pro plnění smlouvy. V případě, že zákazník s poskytnutím svých údajů za tímto účelem nesouhlasí, nelze smlouvu uzavřít. Za tímto účelem budou v nezbytném rozsahu zpracovávány zákazníkovy identifikační údaje uvedené ve smlouvě, případně kontaktní údaje, a dále informace vztahující se k předmětu smlouvy (např. identifikace zboží či služby, způsob jejich úhrady, včetně platebních informací jako je číslo bankovního účtu, ze kterého byla úhrada provedena apod.). Tento rozsah osobních údajů je podnikatel oprávněn zpracovávat za účelem ochrany svých práv v případě sporu se zákazníkem.
2) Marketingové využití údajů
Podnikatel je na základě § 7 odst. 3 zákona o některých službách informační společnosti oprávněn používat elektronickou adresu a telefonní číslo zákazníka za účelem šíření obchodních sdělení týkajících se jeho vlastních produktů či služeb obdobných těm, které již zákazníkovi poskytl. Obdobně je jeho oprávněným zájmem zpracovávat na základě předchozího kontaktu se zákazníkem osobní údaje v rozsahu jméno, příjmení a adresa za účelem přímého marketingu. V obou případech platí, že tak lze činit až do vyjádření nesouhlasu, resp. vyslovení námitky ze strany zákazníka podle článku 21 odst. 2 obecného nařízení.
Zákazník □ souhlasí □ nesouhlasí se zpracováním svých dalších osobních údajů, které podnikatel v průběhu smluvního vztahu získá (např. nákupní zvyklosti zákazníka), za účelem adresného nabízení obchodu či služeb. Toto zpracování je dobrovolné a udělení či neudělení souhlasu s ním nemá žádný vliv na uzavření smlouvy. Souhlas se uděluje na dobu trvání smluvního vztahu, lze jej však kdykoliv odvolat.
3) Využití registrů vedených na základě zákona
Podnikatel je na základě zákona oprávněn sdílet a využívat s dalšími některé informace o zákazníkovi. Činí tak prostřednictvím registru, který provozuje další subjekt v postavení zpracovatele údajů. V tomto registru jsou uváděny informace o smluvních vztazích mezi podnikatelem a zákazníkem, tedy informace o poskytnutých službách, o celkové výši jeho úvěrové angažovanosti, informace o čerpání a platební morálce spotřebitele. Podnikatel do tohoto registru o klientovi vloží následující informace.
• Varianta 1
Správce a zpracovatel údajů
Podnikatel veškeré zpracování osobních údajů provádí sám a vlastními prostředky.
• Varianta 2
Pro zpracování vymezené ve shora uvedeném bodu 3 podnikatel využívá služeb dalšího subjektu, zpracovatele, kterým je….
Příjemci údajů
Podnikatel osobní údaje zákazníka předá dalším subjektům jen tehdy, pokud jim bude svědčit zákonný důvod pro přístup k údajům (orgány činné v trestním řízení, jiné kontrolní orgány se zákonným zmocněním pro přístup k informacím), nebo pokud to bude nezbytné pro ochranu jeho práv (soud).
Za příjemce je považován i zpracovatel osobních údajů.
Práva zákazníka
Zákazník má jako subjekt údajů veškerá práva přiznaná obecným nařízením o ochraně osobních údajů a dalšími právními předpisy.
Zákazník má především právo požádat podnikatele o informaci o zpracování svých osobních údajů ke všem výše uvedeným účelům (viz článek 15 obecného nařízení). Podnikatel je povinen zákazníkovi bez zbytečného odkladu sdělit alespoň informace o účelu zpracování, osobních údajích či jejich kategoriích, které jsou zpracovávány, příjemcích či kategoriích příjemců, jimž byly osobní údaje zpřístupněny a informace o povaze automatizovaného zpracování, pokud jsou údaje využívány pro rozhodování o právech zákazníka.
Zákazník, který se domnívá, že podnikatel zpracovává jeho osobní údaje v rozporu se zákonem, má podle článku 21 obecného nařízení právo vznést námitku. Dále může vůči správce uplatnit právo na opravu, výmaz, omezení zpracování, případně právo na přenositelnost údajů.
V každém případě, kdy se zákazník domnívá, že dochází k neoprávněnému zpracování jeho osobních údajů (zejména tehdy, pokud podnikatel na jeho žádost o informace či o nápravu stavu nereaguje nebo zákazník s vyjádřením podnikatele nesouhlasí), se lze se stížností obrátit na dozorový orgán, Úřad pro ochranu osobních údajů.