Prípad pochádza z Dánska a jeho záverom je, že prevádzkovateľ síce disponoval súhlasom pre zverejňovanie fotografií, bol však neplatný a spracúvanie osobných údajov nezákonné. O čo v prípade šlo?
Sťažnosť dotknutej osoby
Dánsky úrad na ochranu údajov obdržal sťažnosť od bývalého pacienta nemocnice (dotknutej osoby). Tento nebol spokojný s tým, že nemocnica zverejnila jeho fotografiu na svojom instagramovom účte. S cieľom prešetriť túto situáciu, začal úrad konanie voči prevádzkovateľovi. Zistil, že nemocnica prostredníctvom sociálne siete Instagram skutočne zverejňuje fotografie a videá, ktorých súčasťou boli aj pacienti, ich príbuzní a personál. Príspevky boli zverejňované aj ako príbehy, ktoré zmiznú po 24 hodinách. Prevádzkovateľ vytýčil ako účel spracúvania týchto osobných údajov: “Informovanie okolitého sveta o činnosti nemocnice. Príspevky sú zamerané na všeobecné informácie pre občanov týkajúce sa zdravia a/alebo každodenného života nemocnice…”
Prevádzkovateľ uviedol, že zverejňovanie videí a fotografií vykonával na základe udeleného súhlasu podľa čl. 6 ods. 1 písm. a) všeobecného nariadenia o ochrane údajov a výnimky zo spracúvania osobitne chránenej kategórie údajov (v tomto prípade informácii o zdravotnom stave) podľa čl. 9 ods. 1 písm. a) GDPR. Súhlas bol získavaný písomne, jeho poskytnutie si dotknutá osoba mohla vždy najskôr rozmyslieť, a to všetko ešte pred zverejnením príspevku na sociálnej sieti. Prevádzkovateľ zároveň tvrdil, že prípadné neposkytnutie súhlasu nemalo vplyv na ďalšie poskytovanie zdravotnej starostlivosti dotknutej osobe, a preto považoval súhlas za dobrovoľne udelený a takého spracúvanie údajov za zákonné. Kontrolný úrad má však iný názor.
Podľa GDPR, súhlasom rozumieme akýkoľvek slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby, ktorým formou vyhlásenia alebo jednoznačného potvrdzujúceho úkonu vyjadruje súhlas so spracúvaním osobných údajov, ktoré sa jej týka.
Hovoríme o štyroch základných atribútoch každého súhlasu:
- slobodne daný,
- konkrétny,
- informovaný
- a jednoznačný.
Absencia ktoréhokoľvek z nich môže spôsobiť, že súhlas je úplne neplatný.
Neslobodný súhlas
A práve atribút “slobodne daný” považuje úrad za problematický. Kontrolný úrad sa domnieva, že medzi prevádzkovateľom a pacientom je veľká nerovnováha, a to z dôvodu zraniteľnej situácie, v ktorej sa pacient nachádza (je hospitalizovaný v nemocničnom zariadení). To spôsobuje, že pacient môže pri žiadosti o poskytnutie súhlasu pociťovať nátlak. Nerozhoduje sa slobodne a voľne. Má obavy, že prípadné neposkytnutie súhlasu môže mať pre neho negatívne následky, a to napríklad v kvalite poskytovanej zdravotnej starostlivosti.
Záverom dánskeho kontrolného úradu preto bolo, že súhlas so zverejnením fotografie na sociálnej sieti nemožno považovať za právny základ pre spracúvanie, a to z dôvodu nerovnováhy medzi prevádzkovateľom a dotknutou osobou. Prevádzkovateľovi nariadil, aby do štyroch týždňov vymazal z instagramovéhu účtu všetky fotografie a videá, ktoré obsahujú zdravotné informácie o pacientoch.
Celý dokument si môžete prečítať na adrese: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2023/nov/hospital-kan-ikke-bruge-samtykke-til-at-offentliggoere-billeder-af-patienter-paa-instagram
V podobnej situácii sa môže ocitnúť aj bežný zamestnávateľ (prevádzkovateľ), ktorý spracúva osobné údaje o svojich zamestnancoch, pričom za právny základ spracúvania zvolí práve súhlas. Ani zamestnanec totiž vo väčšine prípadov nemá skutočnú možnosť voľby slobodne sa rozhodnúť o tom, či súhlasí alebo nesúhlasí, aby jeho osobné údaje boli spracúvané.
Príkladom, kedy to môže nastať sme sa venovali aj v týchto otázkach a ich riešeniach: