Spracúvanie osobných údajov sa musí vykonávať v súlade so zásadou zákonnosti, a teda každá spracovateľská operácia musí disponovať relevantným právnym základom. Jedným z právnych základov, ktorý umožňuje spracúvať osobné údaje dotknutých osôb je súhlas, ktorý udeľuje samotná dotknutá osoba. Súhlas ako právny základ však musí spĺňať aj ostatné zásady spracúvania osobných údajov (napr. transparentnosť spracúvania), aby bol považovaný za relevantný a uplatniteľný. Čo však v prípade, že nie sú splnené základné podmienky?
Úrad na ochranu osobných údajov Slovenskej republiky ako dozorný orgán vykonal u prevádzkovateľa kontrolu spracúvania osobných údajov podľa príslušných ustanovení zákona č. 18/2018 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „zákon č. 18/2018 Z.z.“). Na základe výsledkov kontroly boli zistené porušenia Nariadenia Európskeho parlamentu a Rady EÚ 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej len „Nariadenie GDPR“) – konkrétne sa jednalo o porušenie zásady transparentnosti zo strany prevádzkovateľa.
K porušeniu zásady transparentnosti podľa čl. 5 ods. 1 písm. a) Nariadenia GDPR, došlo tým, že v časti kde dotknutá osoba vyjadruje „súhlas so zasielaním informácií o produktoch a novinkách“ a „súhlas so spracúvaním osobných údajov“ bol súhlas vopred označený v políčku „áno“, bez toho aby bolo odkázané na ďalšie informácie o spracúvaní osobných údajov a teda pre dotknutú osobu nebolo zrejmé, na aký účel poskytuje súhlas. Takto vopred zaškrtnuté políčko so súhlasom dotknutej osoby nevyjadruje prejav slobodnej vôle, ktorý sa pri súhlase vyžaduje.
Vychádzajúc z Nariadenia GDPR súhlas so spracúvaním osobných údajov musí byť slobodný, konkrétny, informovaný a jednoznačný. Konkrétny súhlas znamená, že dotknutej osobe z výkladu prevádzkovateľa musí byť jasný účel, na ktorý poskytuje osobné údaje, a zároveň rozsah akým budú tieto údaje následne spracúvané. Ďalšou špecifikáciou súhlasu je, že musí byť informovaný. Informovanosť pre prevádzkovateľa znamená povinnosť poskytnutia základných a stručných informácií dotknutej osobe, ohľadne účelu a spôsobu spracúvania jej osobných údajov. Do tejto stručnej charakteristiky môžeme zaradiť druh údajov, účel spracúvania, informáciu o tom, že svoj súhlas dotknutá osoba môže kedykoľvek odvolať, dobu uchovávania údajov, ako aj riziká, ktoré môžu vzniknúť pri ich prenose ak k nemu dochádza. Prevádzkovateľ by mal tieto základné informácie zhrnúť čo najzrozumiteľnejšie. Ďalšou podmienkou je, že súhlas musí byť jednoznačný. Z toho vyplýva, že nesmú existovať nejaké pochybnosti o danom súhlase. Zároveň udelenie súhlasu musí reflektovať slobodný prejav vôle. Za slobodný prejav vôle sa považuje len taký prejav, pri ktorom má dotknutá osoba možnosť voľby. V prípade ak dotknutá osoba nemá na výber, vychádzame z toho, že takýto prejav vôle je neplatný.
Prevádzkovateľ sa taktiež dopustil porušenia čl. 12 ods. 1 písm. a) a čl. 13 ods. 1 a 2 Nariadenia GDPR tým, že pri vyžadovaní „súhlasu so zaslaním informácií o produktoch a novinkách“ neposkytol dotknutým osobám informácie, ktoré sa im majú poskytovať pri získavaní ich osobných údajov. Ani jeden zo súhlasov nebol súčasne odkazom na iné informácie vo vzťahu k ochrane osobných údajov. Pre dotknutú osobu tak nebolo jednoznačne zrejmé, na aký účel poskytuje svoj súhlas. Pre dotknuté osoby by malo byť transparentné, že sa získavajú, používajú, konzultujú alebo inak spracúvajú osobné údaje, ktoré sa ich týkajú, ako aj to, v akom rozsahu sa tieto osobné údaje spracúvajú alebo budú spracúvať. Požiadavkou zásady transparentnosti je, aby všetky informácie a komunikácia súvisiaca so spracúvaním osobných údajov boli ľahko prístupné a pochopiteľné. Táto zásada sa týka najmä informácií pre dotknuté osoby o identite prevádzkovateľa a účeloch spracúvania, a ďalších informácií na zabezpečenie spravodlivého a transparentného spracúvania. Dotknuté osoby by mali byť upozornené na riziká, pravidlá, záruky a práva pri spracúvaní osobných údajov, ako aj na to ako uplatňovať svoje práva pri spracúvaní. Konkrétne účely, na ktoré sa osobné údaje spracúvajú, by mali byť výslovne uvedené a legitímne a stanovené v čase získavania osobných údajov (čiže ešte pred samotným spracúvaním). Prevádzkovateľ vzhľadom na predmetné porušenie argumentoval, že v tomto konkrétnom prípade išlo o dotknuté osoby, pri ktorých je predvídateľná rozumová schopnosť na posúdenie dostupných informácií týkajúcich sa spracúvania osobných údajov a teda, že z jeho strany bola dodržaná požiadavka ľahko prístupných a pochopiteľných a jasne a jednoducho formulovaných informácií. Toto vyjadrenie je však v rozpore so zásadami prevencie a princípom legitímnych očakávaní.
Prevádzkovateľ vo svojom vyjadrení uviedol, že po zisteniach úradu bezodkladne vykonal nápravné opatrenia tak, aby bolo spracúvanie osobných údajov zákonné, spravodlivé a transparentné. Ako poľahčujúcu okolnosť úrad vyhodnotil, že nebol zistený úmyselný charakter porušenia. Rovnako prevádzkovateľ počas kontroly podnikol kroky na nápravu.
Vzhľadom na porušenie zásady transparentnosti podľa čl. 5 ods. 1 písm. a) Nariadenia GDPR ako závažnejšie zo zistených porušení, nakoľko transparentnosť popri zákonnosti a spravodlivosti spracúvania reprezentuje jeden z najdôležitejších princípov ochrany osobných údajov, sa Úrad na ochranu osobných údajov rozhodol uložiť prevádzkovateľovi pokutu. Prevádzkovateľ odstránil zistené nedostatky a v súčasnosti je webová stránka nastavená v súlade s Nariadením GDPR, konkrétne políčko „súhlasím so spracúvaním osobných údajov“ je nahradené textom „prehlasujem, že som sa oboznámil s obchodnými podmienkami a zásadami spracúvania osobných údajov“, kde je prelinkovanie na dokument „Podmienky prevádzkovateľa“. V časti „Zásady spracúvania osobných údajov“ prevádzkovateľ upravil informačnú povinnosť tak, aby obsahovala všetky povinné informácie pre dotknuté osoby.