Ak si chcete zriadiť živnosť, musíte dať živnostenskému úradu súhlas na spracovanie svojich osobných údajov. Inak vám potvrdenie o živnostenskom oprávnení nevydajú. Prečo sa potom všade píše, že súhlas na spracovanie osobných údajov musí byť podľa GDPR slobodný a dobrovoľný? Postup živnostenského úradu považujeme za nesúladný s GDPR, a preto sme napísali Úradu na ochranu osobných údajov SR. Prečítajte si, čo sme sa dozvedeli.

Živnostenské úrady vyžadujú, aby ste im spolu s ohlásením živnosti predložili aj súhlas na spracovanie osobných údajov. V opačnom prípade vám nevydajú potvrdenie o živnostenskom oprávnení. Takýto postup je v rozpore s GDPR, a preto sme o ňom informovali Úrad na ochranu osobných údajov SR.

V niektorých bodoch námietok nám Úrad na ochranu osobných údajov SR nedal za pravdu. Na záver ale skonštatoval, že namietaný postup živnostenských úradov je skutočne nesprávny a na odstránení nežiaduceho stavu aktívne pracujú.

Viac podrobností nájdete v článku nižšie.

Porozumenie problematike

Aby ste porozumeli absurdnosti nami kritizovaného postupu živnostenského úradu, hoci sa v právnej úprave GDPR možno až tak dobre neorientujete, dovoľujeme si vás niekoľkými úvodnými vetami uviesť do problematiky.

Osobné údaje môžu byť spracúvané len na základe niekoľkých právnych základov. GDPR ich presne vymenúva. Patrí medzi ne napríklad zákonný právny základ (spracúvanie osobných údajov je výslovne upravené zákonom) alebo zmluvný právny základ (spracúvanie osobných údajov je potrebné pre realizovanie zmluvy).

Samostatným právnym základom je súhlas dotknutej osoby (dotknutou osobou je osoba, ktorej osobné údaje sa spracúvajú). Ten sa zväčša využíva vtedy, keď sa žiaden iný právny základ vymenovaný v GDPR nedá využiť. Aby bol súhlas dotknutej osoby v súlade s GDPR, musí byť udelený slobodne a dobrovoľne. Okrem toho musí byť dotknutá osoba pred udelením súhlasu informovaná o množstve vecí, ktoré GDPR presne vymenúva (vo svojom článku 13). Ak tieto informácie dotknutá osoba nedostane, súhlas nebude v poriadku. Zároveň platí pravidlo, že keď dotknutá osoba súhlas neudelí, nemôže jej byť zamietnuté poskytnutie tovaru alebo služby len čisto z tohto dôvodu.

Poďme sa teraz pozrieť na to, ako to má vyriešené živnostenský úrad. Ohlásenie živnosti sme si vyskúšali na vlastnej koži.

Súhlas na spracovanie osobných údajov udeľovaný živnostenskému úradu a jeho nedostatky

Keď potrebujete živnostenskému úradu ohlásiť akúkoľvek živnosť, musíte mu, okrem iného, priložiť aj vami podpísaný súhlas na spracovanie osobných údajov. Toto pravidlo vyplýva priamo zo živnostenského zákona. Formulár požadovaného súhlasu máte dostupný na webovej stránke Ministerstva vnútra SR.

Hneď na úvod nás zaskočí, že spolu s formulárom nemáme k dispozícii kontaktné údaje na príslušný živnostenský úrad, hoci by mali byť súčasťou informácií poskytnutých nám pred udelením súhlasu. Tieto údaje si ešte relatívne jednoducho vieme dohľadať na webovej stránke. Čo je horšie, nemáme k dispozícii žiadne kontaktné údaje na osobu zodpovednú za GDPR na živnostenskom úrade, hoci každý orgán verejnej moci musí takúto zodpovednú osobu mať. Dohľadanie kontaktu na takúto osobu nám dalo zabrať, a to už nie je v súlade s GDPR. Kontakt na zodpovednú osobu by nám mal byť daný hneď a jednoducho.

Ďalším nedostatkom je poučenie o právach vyplývajúcich nám ako dotknutej osoby z GDPR. Nedozvedáme sa o nich vôbec nič. Na formulári súhlasu je len sucho skonštatované, že jeho podpisom potvrdzujeme, že ich poznáme. Toto je veľmi zlé vybavenie tejto záležitosti zo strany živnostenského úradu, pretože GDPR mu prikazuje vedieť preukázať, že nás o nich naozaj riadne poučil. Ako dokáže preukázať živnostenský úrad, že nás riadne poučil o našich právach podľa GDPR, to si teda skutočne nevieme predstaviť.

Pred udeľovaním súhlasu musí byť každá dotknutá osoba informovaná, že súhlas môže kedykoľvek odvolať. Prečo ale takéto poučenie úplne absentuje pri komunikácii so živnostenským úradom? Odpoveď poznajú len oni. Za zamyslenie tiež stojí otázka, ako by postupovali živnostenské úrady, keby im teraz všetci živnostníci odvolali udelené súhlasy. Kompletne by zmazali vo svojich databázach údaje o živnostníkoch? Pri odvolaní súhlasov udelených podľa GDPR sa takto musí postupovať.

Poslednou informáciou, ktorá nám zo strany živnostenského radu chýba, je vysvetlenie, čo sa bude diať, ak ako ohlasovateľ živnosti odmietneme udeliť živnostenskému úradu súhlas na spracovanie našich osobných údajov. Aj toto by sme podľa GDPR ako dotknutá osoba mali vedieť pred tým, než súhlas poskytneme.

My sme v našom prípade súhlas živnostenskému úradu nedali, aby sme otestovali, ako zareaguje. Viete čo sa stalo? Informovali nás, že nám potvrdenie o živnostenskom oprávnení jednoducho nevydajú, lebo naše ohlásenie živností musí mať podľa živnostenského zákona ako prílohu aj takýto súhlas. No skvelé! Takže sme boli donútení dať živnostenskému úradu „slobodný a dobrovoľný“ súhlas so spracovaním našich údajov pod hrozbou, že ak ho nedáme, nebudeme môcť legálne podnikať. A toto je ďalší nedostatok, na ktorý poukazujeme.

Celkovo sme napočítali 6 nedostatkov a porušení GDPR zo strany živnostenského úradu, z toho 4 závažné. Čo nám na to povedal Úrad na ochranu osobných údajov SR (ďalej len „ÚOOÚ“)?

„Prevádzkovateľ si svoju povinnosť vyplývajúcu z čl. 13 Nariadenia plní prostredníctvom tlačiva na poskytnutie súhlasu so spracúvaním osobných údajov. Tlačivo na poskytnutie súhlasu je zverejnené na webovej stránke Ministerstva vnútra Slovenskej republiky ako súčasť formuláru na ohlásenie/ žiadosť o vydanie osvedčenia o živnostenskom oprávnení.

… zo súčinnosti Okresného úradu Bratislava ako aj preskúmaním webového sídla Ministerstva vnútra Slovenskej republiky má úrad za to, že prevádzkovateľ si v súvislosti s ohlásením živnosti plní informačnú povinnosť v zmysle čl. 13 Nariadenia.“

Aj vy hľadáte v tejto odpovedi ÚOOÚ jasnú informáciu o tom, ako si plní živnostenský úrad svoju povinnosť podľa čl. 13 GDPR a kde nám teda poskytol kontaktné údaje na zodpovednú osobu, kde a ako nás poučil o našich právach podľa GDPR a ako nám sám bez našej dodatočnej otázky vysvetlil pred udelením súhlasu, čo sa stane, ak ho nedáme? Aj my túto informáciu hľadáme, ale nenachádzame ju. Nemôžeme sa preto zbaviť pocitu, akoby jeden úrad kryl a neriešil nedostatky toho druhého úradu. Súhlasíme s tým, že byť v súlade s GDPR je popri zvládaní všetkej ostatnej agendy, ktorú má ktokoľvek z nás na starosti (či už podnikatelia alebo úrady), náročné a miestami až otravné. Ak ale štát chce, aby sme my všetci ostatní boli v súlade s GDPR a chce nás pokutovať za to, keď v súlade s ním nebudeme, mal by v prvom rade začať od seba, pretože v opačnom prípade bude v pozícii, kedy bude „vodu kázať, ale víno piť“.

Základná chyba je ale niekde inde

V predošlých riadkoch sme sa venovali kvalite živnostenským úradom požadovaného súhlasu na spracovanie našich osobných údajov a jeho súladu s GDPR. Je ale požadovanie takéhoto súhlasu vôbec možné?

Ak ste si čítali predošlé riadky pozorne, určite vám neunikol fakt, že jedným z právnych základov na spracúvanie osobných údajov je zákon. Ak si zoberieme do úvahy pravidlo uvedené v našej Ústave, podľa ktorého štátne orgány môžu konať len na základe zákona a v jeho medziach, dochádzame k záveru, že zákon by mal upravovať spracúvanie všetkých osobných údajov, ktoré ten-ktorý štátny orgán potrebuje spracúvať. Týmto zároveň dochádzame k záveru, že ak zákon upravuje každé spracúvanie osobných údajov príslušným štátnym orgánom, práve zákon musí byť tým správnym právnym základom, na základe ktorého bude orgán oprávnený osobné údaje spracúvať.

V prípade živnostenského úradu je zákon, ktorý oprávňuje tento úrad spracúvať naše osobné údaje, živnostenský zákon. Tento zákon by teda mal byť aj právnym základom pre spracúvanie osobných údajov a nič viac by živnostenský úrad nemal od nás požadovať. Žiaden súhlas. Prečo od nás ale požaduje živnostenský úrad takýto súhlas? Telefonicky sme dostali odpoveď, že je to preto, lebo spoločnosť, ktorá im robila GDPR, nevedela s istotou určiť, či sa takýto súhlas má vyžadovať alebo či stačí len zákon. Čo teda urobili? Prijali novelu, na základe ktorej dali do živnostenského zákona povinnosť každému ohlasovateľovi živnosti predkladať aj súhlas na spracovanie osobných údajov. Spravili asi to najhoršie, čo mohli. Vytvorili akéhosi „mačkopsa“, ktorý nie je ani riadnym zákonným právnym základom, ani riadnym súhlasom ako právnym základom podľa GDPR. Čo na to ÚOOÚ?

„V danom prípade Vám však úrad dáva za pravdu, že korektným právnym základom spracúvania osobných údajov je v tomto prípade čl. 6 ods. 1 písm. c) Nariadenia. Na odstránení tohto nežiaduceho stavu úrad aktívne pracuje.“

Článok 6 ods. 1 písm. c) GDPR hovorí o zákone ako právnom základe na spracovanie osobných údajov. Na záver preto môžeme skonštatovať, že ÚOOÚ nám aspoň v posledných riadkoch svojej odpovede uznal nezmyselnosť vytýkaného postupu živnostenského úradu a poskytol nám svetlo na konci tunela. Tým je snaha o zbavenie sa jedného dokumentu, ktorý je nielenže zbytočný, ale je aj protiprávny z pohľadu GDPR. Dúfame, že povinnosť predkladať živnostenskému úradu nútený súhlas na spracovanie našich osobných údajov čoskoro naozaj zanikne.

Nechajte si poradiť:

Ak patríte k tým, ktorí uvažujú o zavedení ochrany osobných údajov a o skutočnom dodržiavaní GDPR, neváhajte nás kontaktovať cez Online poradňu. Zašleme vám dotazník, po vyplnení ktorého vám doručíme základnú cenovú ponuku. Veríme, že vás oslovíme a spolu hravo zvládneme implementáciu GDPR do vašich každodenných činností.

Klientska zóna

Už ste členom našej Klientskej zóny? Nie? To nás mrzí. Členov našej Klientskej zóny pravidelne informujeme, keď na našom webe publikujeme nový článok, uvedieme novú právnu službu alebo inú významnú novinku. Zasielame im tiež stručné právne upozornenia na dôležitú novú legislatívu. Neprichádzajte o tieto informácie. Vstúpte aj vy zadarmo do Klientskej zóny:

Viac informácií o Klientskej zóne nájdete TU.