1. Nejasné alebo vynútené súhlasy

Jednou z najčastejších chýb je získavanie súhlasu prostredníctvom nejednoznačných formulácií alebo v prípadoch, kedy je súhlas podmienkou použitia služby. Súhlas musí byť dobrovoľný, informovaný, konkrétny a jednoznačný.

• Nejasná formulácia: Text ako „Súhlasím so spracovaním údajov“ bez presného popisu, na čo budú údaje použité, je nepostačujúci.
• Vynútenie súhlasu: Ak používateľ nemá možnosť odmietnuť súhlas a stále využívať základnú službu, súhlas sa považuje za vynútený – čo je porušením GDPR.

Dôležité je tiež rozlišovať medzi súhlasom a zmluvným plnením. Údaje, ktoré sú potrebné na splnenie zmluvy (napr. doručenie tovaru), nevyžadujú osobitný súhlas. Ak však chcete údaje použiť na marketingové účely, osobitný a slobodne daný súhlas je nevyhnutný.

2. Predzaškrtnuté políčka a vopred dané voľby

Používanie prednastavených volieb, ako napríklad predzaškrtnutých políčok v registračných formulároch, je v rozpore s GDPR. Takéto praktiky sú nelegálne, pretože používateľ aktívne nevyjadril svoj súhlas.

Súhlas musí byť udelený aktívne – znamená to, že používateľ musí urobiť vedomý úkon, napríklad kliknutím na nezaškrtnuté políčko alebo potvrdením informovaného výberu.

Tipy na správnu implementáciu:

• Ponúknite používateľovi možnosť zaškrtnúť políčko sám – bez automatického vyplnenia.
• Zdôraznite, že súhlas nie je povinný a môže byť kedykoľvek odvolaný.
• Neprepájajte súhlas s inými podmienkami – ak niekto nesúhlasí s newsletterom, mal by aj tak môcť uskutočniť nákup.

3. Nedostatočná dokumentácia súhlasov

GDPR vyžaduje, aby prevádzkovateľ bol schopný preukázať, že súhlas bol daný. Znamená to nielen zaznamenať dátum a čas udelenia súhlasu, ale aj konkrétny text, s ktorým používateľ súhlasil.

Mnohé firmy zabúdajú na túto požiadavku a ukladajú len informáciu o tom, že súhlas bol udelený, bez akéhokoľvek ďalšieho detailu. V prípade kontroly tak nemajú dôkaz, že súhlas bol skutočne informovaný a jednoznačný.

Správna prax zahŕňa:

• Ukladať verziu formulára alebo textu so súhlasom, ktorý bol zobrazený v čase kliknutia.
• Zaznamenať IP adresu, dátum a čas súhlasu.
• Umožniť jednoduchý prístup k histórii súhlasov v používateľskom účte.

4. Neschopnosť umožniť odvolanie súhlasu

Podľa článku 7 GDPR musí byť súhlas kedykoľvek odvolateľný a jeho odvolanie musí byť rovnako jednoduché ako jeho udelenie.

Ak umožníte zber súhlasov prostredníctvom jednoduchej webovej formy, musí existovať obdobne jednoduchý spôsob, ako tento súhlas odvolať. Napríklad:

• Možnosť odhlásiť sa z odberu newslettera cez odkaz v e-maile.
• Možnosť spravovať súhlasy v používateľskom účte.
• Formulár pre žiadosť o zrušenie súhlasu na webe.

Nedostatok jasného mechanizmu na odvolanie súhlasu je častou príčinou sťažností používateľov na Úrad pre ochranu osobných údajov a môže viesť k pokute a strate dôvery.

5. Zber súhlasov bez oznamovania účelu a rozsahu

Súhlas je platný iba vtedy, ak je informovaný. Používateľ musí byť ešte pred udelením súhlasu informovaný, na čo budú jeho údaje použité, v akom rozsahu a ako dlho ich plánujete uchovávať.

Typické chyby:

• Chýbajúce informácie o tretích stranách – ak zdieľate údaje s marketingovou agentúrou, musí to byť jasne uvedené.
• Neurčitý čas uchovávania údajov – namiesto „počas komunikácie“ uveďte konkrétne obdobie (napr. 3 roky od posledného kontaktu).
• Nejasné informovanie o právach dotknutej osoby – používateľ má právo na prístup, opravu, výmaz a obmedzenie spracovania svojich údajov.

Ideálna forma poskytovania informácií je kombinácia stručného zhrnutia vo formulári a odkazu na podrobné informácie v zásadách ochrany osobných údajov.

Záver: Ako sa vyhnúť najčastejším chybám a ochrániť svoju firmu

Správne získavanie súhlasu na spracovanie osobných údajov nie je len otázkou právnej povinnosti, ale aj prejavom dôveryhodnosti a rešpektovania súkromia vašich zákazníkov. Vyhýbanie sa piatim uvedeným chybám môže zásadne ovplyvniť vašu reputáciu a minimalizovať riziko vysokých pokút od dozorných orgánov.

Kľúčové princípy získavania súhlasu podľa GDPR zahŕňajú:

• Dobrovoľnosť a informovanosť: Súhlas musí byť jednoznačný, konkrétny a udelený po oboznámení sa s účelom spracovania.
• Transparentnosť: Informácie o spracovaní údajov musia byť jednoducho dostupné a zrozumiteľné.
• Dokumentovanie: Uchovávajte dôkazy o tom, kto, kedy a s čím súhlasil.
• Možnosť odvolania: Vytvorte jednoduché procesy na odvolanie súhlasu, ktoré budú rovnako dostupné ako tie na jeho udelenie.

Nenechajte sa zaskočiť kontrolou alebo sťažnosťou používateľa. Investícia do kvalitného a správne nastaveného systému správy súhlasov sa vám vráti vo forme právnej istoty a dôvery zákazníkov. Ak nemáte istotu, že Vaše procesy sú v súlade s GDPR, neváhajte kontaktovať odborníka na ochranu osobných údajov. Prevencia je vždy lacnejšia ako riešenie následkov pokút či súdnych sporov.

Správne nastavené súhlasy nie sú len zákonnou povinnosťou — sú základom modernej a etickej online komunikácie.