Otázka: Ako dlho máme uchovávať udelené súhlasy so spracúvaním osobných údajov? Môžeme ich vymazať a skartovať hneď po odvolaní súhlasu zo strany dotknutej osoby?
Odpoveď: Jeden z európskych dozorujúcich orgánov pre ochranu osobných údajov zverejnil pred časom na svojich stránkach konkrétne usmernenie o tom, ako dlho uchovávať dôkazy o udelenom súhlase. A to po tom, čo dotknutá osoba svoj súhlas so spracúvaním odvolala.
Iba v skratke: Súhlas je jeden z právnych základov spracúvania osobných údajov (popri súhlasu existuje ešte ďalších päť jemu rovnocenných). Vďaka nemu získavajú prevádzkovatelia oprávnenie k spracúvaniu osobných údajov dotknutých osôb napríklad pre rôzne marketingové aktivity. Asi takto nejak to môže v praxi firiem vyzerať:
- “Chcete byť informovaný o našich zľavách, dajte nám súhlas so spracúvaním vášho e-mailu a my vám ich budeme zasielať do vašej elektronickej schránky.”
- “Môžeme zverejniť vašu fotografiu na našej fanpage na Facebooku? Tu nám to podpíšte, že s tým súhlasíte.”
Následne, každý prevádzkovateľ musí byť schopný udelený súhlas preukázať. Hovoríme o dôkaze o udelenom súhlase. Táto povinnosť vyplýva z čl. 7 ods. 1 všeobecného nariadenia o ochrane údajov.
Zároveň platí, že dotknutá osoba má kedykoľvek možnosť svoj udelený súhlas so spracúvaním odvolať. Ak sa to stane, prevádzkovateľ je povinný ukončiť využívanie osobných údajov pre daný účel. Takže žiadny ďalší e-mail so zľavami a stiahnutie všetkých fotografií zo sociálnej siete, na ktorých je dotknutá osoba.
Čo však s dôkazom o udelenom súhlase? Pre lepšiu predstavu si položme otázku: Čo s listinným dokumentom, ktorý nám dotknutá osoba pred časom podpísala ako dôkaz, že dobrovoľne súhlasí so spracovateľskými činnosťami?
(Áno, sú aj iné formy súhlasov, napríklad ten elektronický. Uvažujeme však o listinnom, napríklad ako papier s podpisom.) Je potrebné ho hneď skartovať? Alebo sa má aj naďalej uchovávať ako dôkaz pre prípad, že by napríklad dotknutá tvrdila, že sme jej osobné údaje spracúvali neoprávnene lebo nám nikdy svoj súhlas nedala?
Dánsky dozorujúci úrad ochrany osobných údajov vo svojom usmernení uvádza toto:
“Podmienka uvedená v článku 7 ods. 1 nariadenia o ochrane údajov sa preto uplatňuje len dovtedy, kým prebieha spracúvanie. Po skončení spracovateľskej činnosti – napríklad preto, že dotknutá osoba svoj súhlas odvolala – teda neexistuje povinnosť preukázať, že súhlas bol získaný od konkrétnej dotknutej osoby tým, že sa uchová poskytnutý súhlas alebo osobné údaje spracúvané na jeho základe.
Ani všeobecné požiadavky na preukázanie uvedené v článku 5 ods. 2 a článku 24 nariadenia o ochrane údajov nevyžadujú, aby sa uchovávala kópia udeleného súhlasu alebo osobných údajov spracúvaných na jeho základe, pretože tieto požiadavky by mala namiesto toho spĺňať takzvaná systémová dokumentácia, ktorá zahŕňa dokumentáciu postupov súvisiacich so získaním súhlasu, napríklad aké informácie boli poskytnuté dotknutej osobe v čase udelenia súhlasu a dokumentáciu o tom, že postup spĺňal všetky kritériá platného súhlasu.” Celý dokument v pôvodnom jazyku si môžete prečítať kliknutím na tento odkaz.
Ak by sme sa tohto usmernenia chceli odvážne držať, po odvolaní súhlasu by sme dôkaz o jeho poskytnutí jednoducho zlikvidovali.