V digitálnej ére sa osobné údaje stali novou menou. Mnohé spoločnosti sa snažia maximalizovať zber dát od svojich klientov tým, že poskytnutie služby podmieňujú udelením súhlasu so spracúvaním údajov, ktoré s danou službou priamo nesúvisia. Tento prístup, známy ako „viazaný súhlas“, je však pod drobnohľadom európskych regulačných orgánov a nariadenia GDPR. Základným princípom ochrany súkromia je totiž dobrovoľnosť. Ak vás poskytovateľ núti súhlasiť s marketingovým profilovaním len preto, aby ste si mohli stiahnuť jednoduchú aplikáciu alebo uzavrieť poistnú zmluvu, s veľkou pravdepodobnosťou porušuje zákon. V nasledujúcom texte si podrobne rozoberieme mechanizmy, ktorými GDPR chráni integritu používateľov, a identifikujeme kľúčové varovné signály, ktoré naznačujú, že vaša zmluva alebo obchodné podmienky stoja na nelegálnych základoch. Pochopenie týchto pravidiel je kľúčové nielen pre spotrebiteľov, ale aj pre firmy, ktoré sa chcú vyhnúť likvidačným pokutám.
Princíp slobodného rozhodovania v jadre GDPR
Aby bol súhlas so spracúvaním osobných údajov podľa nariadenia GDPR (článok 4 bod 11) platný, musí byť slobodný, konkrétny, informovaný a jednoznačný. Najväčší dôraz sa kladie práve na atribút „slobodný“. To znamená, že dotknutá osoba nesmie byť pod žiadnym tlakom a musí mať reálnu možnosť voľby bez toho, aby utrpela akúkoľvek ujmu.
Kedy je súhlas podmienkou služby nelegálny? Podľa článku 7 ods. 4 GDPR sa pri posudzovaní toho, či bol súhlas udelený slobodne, musí v čo najväčšej miere zohľadniť skutočnosť, či sa plnenie zmluvy (vrátane poskytovania služby) nepodmieňuje súhlasom so spracúvaním osobných údajov, ktorý nie je nevyhnutný na plnenie tejto zmluvy. Ak teda firma vyžaduje súhlas na účely, ktoré nijako neprispievajú k samotnej realizácii služby, takýto súhlas sa považuje za vynútený a právne neplatný.
1. Podmienenie prístupu k službe nepodstatným spracúvaním
Prvým a najvýraznejším varovným signálom je model „všetko alebo nič“. Tento scenár nastáva vtedy, keď vám poskytovateľ neumožní využívať službu, kým nezaškrtnete políčko so súhlasom na spracúvanie údajov, ktoré objektívne nepotrebuje. Typickým príkladom je mobilná aplikácia na úpravu fotografií, ktorá vyžaduje súhlas so zdieľaním vašej polohy a kontaktov s tretími stranami (inzerentmi), inak sa aplikácia nespustí.
V takomto prípade nejde o nevyhnutnosť. Nevyhnutnosť je právny termín, ktorý sa interpretuje reštriktívne. Ak služba dokáže technicky fungovať aj bez daného údaja, jeho spracúvanie nemôže byť podmienkou zmluvy. Ak firma argumentuje, že bez týchto dát by služba nebola „zadarmo“, GDPR jasne hovorí, že monetizácia dát cez súhlas nesmie obchádzať právo na súkromie. Ak je súhlas jedinou cestou k službe, hoci existujú alternatívy, je neplatný.
2. Chýbajúca granularita a „balíčkovanie“ účelov
Druhým signálom je nedostatok granularity. Granularita znamená, že ak sa spracúvanie údajov vykonáva na niekoľko rôznych účelov, používateľ by mal mať možnosť vybrať si, s ktorými súhlasí a s ktorými nie. Nelegálna zmluva často obsahuje jednu vetu typu: „Súhlasím so spracovaním mojich údajov na účely plnenia zmluvy, marketingové účely a analýzu správania.“
- Zmluvné plnenie: Na toto zvyčajne súhlas nepotrebujete, právnym základom je zmluva.
- Marketing: Vyžaduje samostatný, dobrovoľný súhlas.
- Analýza správania: Vyžaduje ďalší samostatný súhlas.
Ak sú tieto účely „zabalené“ do jedného súhlasu a používateľ ich nemôže oddeliť, dochádza k porušeniu pravidiel. Správny prístup vyžaduje, aby mal používateľ možnosť odmietnuť marketing, ale stále mohol využívať základnú službu, za ktorú si platí alebo o ktorú má záujem.
3. Výrazná nerovnováha síl medzi stranami
GDPR explicitne uvádza, že súhlas pravdepodobne nie je slobodný v situáciách, kde existuje jasná nerovnováha medzi dotknutou osobou a prevádzkovateľom. Tento varovný signál sa najčastejšie objavuje vo vzťahu zamestnávateľ – zamestnanec alebo orgán verejnej moci – občan.
V pracovnoprávnom vzťahu sa predpokladá, že zamestnanec sa cíti byť pod tlakom súhlasiť s požiadavkami zamestnávateľa (napríklad so zverejnením fotografie na webstránke alebo s nadmerným monitoringom), pretože sa obáva negatívnych dôsledkov na svoju kariéru. Ak je súhlas so spracúvaním údajov súčasťou pracovnej zmluvy ako fixná podmienka, je takmer vždy nelegálny. Zamestnávatelia by mali v takýchto prípadoch hľadať iné právne základy, ako je oprávnený záujem, alebo umožniť skutočne dobrovoľné udelenie súhlasu mimo rámca hlavnej zmluvy.
4. Marketing maskovaný za nevyhnutnú zmluvnú podmienku
Mnohé e-shopy alebo digitálne platformy sa snažia obísť pravidlá tým, že marketingovú komunikáciu definujú ako súčasť „zlepšovania používateľskej skúsenosti“, ktorá je údajne nevyhnutná pre fungovanie služby. Toto je štvrtý varovný signál. Ak vám firma tvrdí, že vám musí posielať ponuky tretích strán, aby vám mohla doručiť váš tovar, ide o zavádzanie.
Európsky výbor pre ochranu údajov (EDPB) zdôrazňuje, že „nevyhnutnosť pre plnenie zmluvy“ sa musí posudzovať objektívne. Ak je hlavným cieľom zmluvy predaj topánok, posielanie newsletterov o dovolenkách nie je pre tento účel nevyhnutné. Ak je súhlas s takýmto marketingom podmienkou dokončenia objednávky, zmluva porušuje princíp slobodného súhlasu a vystavuje firmu riziku právnych krokov zo strany dozorných orgánov.
5. Negatívne následky pri odmietnutí súhlasu
Piatym signálom, že niečo nie je v poriadku, je existencia skrytých alebo priamych sankcií za neudelenie súhlasu. Slobodný súhlas znamená, že odmietnutie nesmie viesť k znevýhodneniu používateľa. Ak firma povie: „Ak nám nedáte súhlas na sledovanie vašej aktivity naprieč internetom, budeme vám účtovať o 20 % vyšší poplatok,“ ide o jasný nátlak.
Hoci sa v poslednej dobe diskutuje o modeloch „pay or ok“ (zaplať alebo súhlas so sledovaním), tieto modely sú pod veľmi prísnou reguláciou. V bežnom obchodnom styku platí, že ak používateľ odmietne udeliť súhlas so spracovaním dát na účely, ktoré nesúvisia s jadrom služby, kvalita a cena poskytovanej služby musia zostať zachované. Akonáhle je odmietnutie potrestané znížením funkčnosti alebo zvýšením ceny, stráca súhlas svoj atribút dobrovoľnosti a stáva sa nelegálnym.
Na základe vyššie uvedených skutočností je zrejmé, že hranica medzi legálnym zmluvným plnením a nelegálnym vynucovaním súhlasu je v prostredí GDPR jasne definovaná, hoci v praxi sa ju mnohé subjekty snažia zahmlievať. Kľúčovým faktorom úspechu pri posudzovaní legality je test nevyhnutnosti: dokáže služba fungovať bez daného spracúvania údajov? Ak je odpoveď áno, potom súhlas nesmie byť podmienkou prístupu k tejto službe. Varovné signály ako balíčkovanie účelov, nerovnováha síl v zmluvnom vzťahu, absencia granularity či hrozba sankcií za neudelenie súhlasu sú jasnými indikátormi, že dochádza k porušovaniu práv dotknutých osôb. Pre firmy to znamená potrebu revidovať svoje všeobecné obchodné podmienky a procesy onboardingu zákazníkov tak, aby súhlasy boli oddelené od zmluvných povinností. Pre používateľov je to zasa výzva k ostražitosti – súhlas udelený pod nátlakom nie je z právneho hľadiska záväzný a jeho odvolanie musí byť rovnako jednoduché ako jeho udelenie. V konečnom dôsledku transparentnosť a rešpektovanie súkromia klienta zvyšujú dôveryhodnosť značky, zatiaľ čo agresívne praktiky zberu dát vedú len k právnym sporom a strate reputácie na trhu, ktorý si čoraz viac cení integritu osobných údajov.
