Súhlas dotknutej osoby v kontexte prevodu prevádzkovateľa (zamestnávateľa)

Vydané: 6 minút čítania

Neustály priemyselný vývoj spoločnosti má za následok čoraz častejšie korporátne zmeny podnikov. V mnohých prípadoch sú spoločnosti nútené reagovať na potreby trhu i vlastnú ekonomickú situáciu práve tým, že prevádzajú niektoré zložky svojho podnikania alebo prevádzajú podnik ako celok, či „len“ delegujú vybrané činnosti podniku na iný podnik a pod. Situácie, v rámci ktorých dochádza k prevodom zamestnávateľa, či jeho hospodárskej jednotky majú vlastnú právnu reguláciu (§ 27 a nasl. zákona č. 311/2001 Z. z. Zákonník práce v znení neskorších predpisov).

Cieľom tejto právnej úpravy je poskytnúť ochranu slabšiemu subjektu, t. j. zamestnanom. Ustanovenie § 27 definuje , že ak zanikne zamestnávateľ, ktorý má právneho nástupcu, prechádzajú práva a povinnosti z pracovnoprávnych vzťahov na tohto nástupcu. Ide o tzv. generálnu sukcesiu, t. j. na právneho nástupcu prechádzajú všetky práva a povinnosti, avšak treba zvýrazniť, že ide o práva a povinnosti týkajúce sa pracovnoprávneho vzťahu. Je otázne, či takú povahu má aj súhlas so spracúvaním osobných údajov, ktorý dal zamestnanec zamestnávateľovi, aj keď v súvislosti s realizáciou pracovnoprávnych vzťahov. Domnievame sa, že súhlas dotknutej osoby so spracúvaním osobných údajov, udelený pôvodnému prevádzkovateľovi, čaká iný právny osud, než je generálna sukcesia.

K súhlasu podľa GDPR

K tomu, aby mohol prevádzkovateľ (každý jeden zamestnávateľ) zákonným spôsobom spracúvať osobné údaje dotknutých osôb, musí mať relevantný právny základ. Nariadenie Európskeho parlamentu a Rady EÚ č. 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica č. 95/46/ES (všeobecné nariadenie o ochrane údajov, ďalej len „GDPR“) upravuje šesť druhov právnych základov, medzi nimi aj súhlas dotknutej osoby. Prevádzkovateľ je oprávnený spracúvať osobné údaje dotknutej osoby, ak vyjadrila súhlas so spracúvaním svojich osobných údajov aspoň na jeden konkrétny účel. Súhlas môže byť daný aj na viacero výslovne uvedených účelov, ale takým spôsobom, aby dotknutá osoba mala možnosť samostatne prejaviť svoju slobodnú vôľu pre každý jednotlivý účel uvedený v súhlase. GDPR prináša aj ďalšie požiadavky bližšie určujúce obsahové a formálne podmienky súhlasu. Má ísť o jednostranný prejav vôle dotknutej osoby, ktorý musí byť:

  • slobodne daný,
  • informovaný,
  • konkrétny a jednoznačný,
  • odlíšiteľný od iných vyhlásení
  • a prevádzkovateľ má vedieť hodnoverne a kedykoľvek preukázať, že dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov.

Podľa uvedeného tak súhlas obligatórne obsahuje údaj o tom, kto súhlas udeľuje a komu sa udeľuje. Podľa recitálu 42 GDPR, ak dotknutá osoba udeľuje súhlas, mala by si byť vedomá, v akom rozsahu ho udeľuje, a aby sa zaistilo, že súhlas bude informovaný, dotknutá osoba si má byť vedomá aspoň identity prevádzkovateľa a zamýšľaných účelov spracúvania osobných údajov (tzv. minimálne obsahové štandardy súhlasu).  

Zmena v osobe prevádzkovateľa (zamestnávateľa) a súhlas so spracúvaním osobných údajov

Aplikačná prax rozoznáva viaceré formy korporátnych transformácií. Podľa § 69 zákona č. 513/1991 Zb. Obchodný zákonník v znení neskorších predpisov možno hovoriť o rozdelení, splynutí a zlúčení spoločností. Rozdelením dochádza k zániku spoločnosti a následne k prevzatiu imania tejto zaniknutej spoločnosti buď už existujúcimi spoločnosťami (čiže rozdelenie zlúčením), alebo novozaloženými spoločnosťami. Zlúčenie spoločnosti predstavuje zánik jednej, prípadne viacerých spoločností s tým, že jej/ich imanie prechádza na už existujúcu spoločnosť. Pri splynutí spoločností ide o postup, v rámci ktorého dôjde k zániku bez likvidácie dvoch alebo viacerých spoločností (napr. X a Y), pričom prechod práv a povinností sa uskutoční vo vzťahu k novozaloženej spoločnosti, ktorá vznikla práve splynutím týchto zaniknutých spoločností (XY).  Vo všetkých troch prípadoch je nutné sa zamerať na posúdenie, aký právny osud postretne súhlasy dotknutých osôb so spracúvaním osobných údajov, ktoré boli udelené pôvodnému prevádzkovateľovi. GDPR výslovne nerieši otázky prevodu/prechodu súhlasov, ale ani ich zánik.

Aj keď sa zamestnávatelia primárne spoliehajú na iné právne základy, nemožno vylúčiť využitie súhlasu zamestnanca v osobitných prípadoch spracúvania osobných údajov, ako napríklad súhlas so zverejnením fotografie zamestnanca na marketingové účely, súhlas s vyhotovovaním videozáznamu z podujatia organizovaného zamestnávateľom a pod. Problémom právneho základu súhlasu a jeho prevodu/prechodu na iný subjekt je to, že sa dáva konkrétnemu prevádzkovateľovi. Osoba prevádzkovateľa (t. j. osoba, ktorej bol súhlas udelený) zohráva dôležitú úlohu a dotknuté osoby sú presne a nezameniteľne informované o tom, ktorému prevádzkovateľovi svoj súhlas so spracúvaním osobných údajov udeľujú. Kľúčovým prvkom je tak znenie (obsah) informačnej povinnosti, čo naznačuje aj usmernenie EDPB č. 05/2020 k súhlasu podľa nariadenia 2016/679 prijaté 4. mája 2020. Podľa bodu 65 citovaného usmernenia, ak sa iní prevádzkovatelia chcú opierať o pôvodne udelený súhlas, majú byť v informačnej povinnosti vymenovaní. Inak povedané, ak by súhlas prešiel na nového prevádzkovateľa a dotknutá osoba nebola v pôvodne udelenom súhlase o novom prevádzkovateľovi informovaná, je porušená požiadavka informovanosti súhlasu, a na takýto vadný právny základ by sa nový prevádzkovateľ nemal spoliehať.

Záver

Domnievame sa, že všade tam, kde sú osobné údaje spracúvané na právnom základe súhlasu dotknutých osôb, tieto súhlasy zanikajú spolu so zanikajúcim subjektom. Ak pri prevode/prechode dôjde k zániku pôvodného subjektu, vzhľadom na to, že súhlas bol naviazaný na konkrétneho a určitého prevádzkovateľa osobných údajov, tento súhlas zaniká spolu so subjektom a zmena v osobe prevádzkovateľa nie je možná. Osoba prevádzkovateľa (t. j. osoba, ktorej bol súhlas udelený) zohráva svoju úlohu, a preto ak tento zaniká, zaniká aj jemu adresovaný súhlas (v odbornej praxi sa, ale možno stretnúť aj s opačným názorom: http://fly-eye.cz/blog-detail-2.html). Ak sa osobné údaje majú preniesť alebo spracovať inými (novými) prevádzkovateľmi, ktorí sa chcú spoliehať na pôvodný súhlas, všetci títo prevádzkovatelia by mali byť (pri udelení súhlasu) vymenovaní.

Článok sme prevzali z portálu:

Logo PPRAVO