Úřad pro ochranu osobních údajů (ÚOOÚ) ve zmiňovaném stanovisku připomíná, že i když je souhlas se zpracováním osobních údajů „uveden na prvním místě výčtu možných právních titulů pro zpracování osobních údajů“ neznamená to, že by to byl podklad pro zpracování osobních údajů jediný nebo takový, který by bylo možno aplikovat vždy.
Pokud si objednáte u prodejce zboží a sdělíte mu přitom své identifikační údaje, aby Vám mohl vystavit fakturu a zboží dodat, Vaše osobní údaje prodejce může zpracovávat, zcela logicky, i bez Vašeho souhlasu. Z dalších příkladů je možné uvést například zpracování osobních údajů zaměstnanců zaměstnavatelem pro účely vedení osobního spisu, placení odvodů a podobně. Ani v tomto případě není třeba souhlasu dotčeného zaměstnance. Zpracovávat osobní údaje je tedy možné v celé řadě případů i bez (zvláštního) souhlasu dotčeného.
Srpnové stanovisko Úřadu se zaměřilo právě na povinnost zpracovávat určité osobní údaje vyplývající přímo ze zákona. Podle Úřadu, pokud je i v těchto případech vyžadován souhlas se zpracováním osobních údajů, je to nejen nadbytečné, ale i matoucí či dokonce klamavé. Hrozí totiž, že nesprávně informovaná dotčená osoba (tzv. subjekt údajů) bude chtít svůj souhlas se zpracováním osobních údajů odvolat a zpracování osobních údajů zabránit. I když by tak dotčená osoba učinila, na zpracování osobních údajů by to nemělo žádný vliv, neboť povinnost osobní údaje zpracovávat byla uložena zákonem. Například, i kdyby v případě zpracování osobních údajů zaměstnavatelem pro účely plnění povinností, které pro něj z právních předpisů vyplývají, zaměstnanec svůj původně zaměstnavatelem vyžadovaný souhlas se zpracováním osobních údajů odvolal, zaměstnavatel by jeho osobní údaje musel zpracovávat dál. Zaměstnancově vůli navzdory.
Při zpracování osobních údajů, ať už na základě souhlasu nebo i bez něj, na podkladě některé ze zákonem předvídaných výjimek, je osoba správce (tj. ten, kdo určuje účel, pro který jsou osobní údaje zpracovávány) povinna dotčenou osobu informovat o zpracování údajů. Tím, že je vyžadován souhlas se zpracováním osobních údajů tam, kde jej není třeba (tedy, když povinnost zpracovávat osobní údaje je dána zákonem), je podle Úřadu podávána dotčené osobě většinou nepřímo (někdy bohužel i výslovně) nesprávná, zavádějící informace o tom, že se jedná o zpracování osobních údajů dobrovolné.
Pokud je tedy v podobných případech vyžadován souhlas se zpracováním osobních údajů, Úřad v takovém postupu shledává „nepravdivé a tím nedostatečné plnění informační povinnosti při shromažďování osobních údajů…“, které je i porušením zákona na ochranu osobních údajů. Pokud by bylo zjištěno takové porušení, dle okolností případu, může Úřad přistoupit jednak k uložení nápravných opatření, jednak pokuty. Výše pokuty, která může být uložena, je značná – až 1 000 000 Kč.
Klíčovým pojmem, který stojí na pozadí zpracování osobních údaje, je účel – tedy to, proč jsou osobní údaje zpracovány. Na zpracování osobních údajů, která jsou uloženy zákonem (a tedy u kterých jsou osobní údaje zpracovávány pro účely plnění právních povinností) často navazují zpracování další, pro jiné účely, které je doplňují. Velmi často dochází ke zpracování osobních údajů pro celou řadu účelů současně. Posouzení, kdy už se jedná o zpracování osobních údajů, ke kterému je souhlas nezbytný, tak může být komplikovanější.
Vedle toho stojí za připomenutí, že kromě otázky právního podkladu pro zpracování osobních údajů (ať už jde o souhlas se zpracováním osobních údajů nebo výjimku, která zpracování umožňuje i bez souhlasu), musí zpracovatelé osobních údajů zvažovat, zda zpracování osobních údajů, které provádějí, je třeba Úřadu ohlásit, či nikoliv. Přitom, i když bude zjištěno, že zpracování osobních údajů podléhá notifikační povinnosti, nemusí to znamenat, že se jedná o zpracování osobních údajů, ke kterému je nezbytný souhlas se zpracováním osobních údajů, a naopak.
Každý správce osobních údajů by proto měl pečlivě zvážit, jaké osobní údaje a pro jaké účely zamýšlí zpracovávat. Měl by zhodnotit, zda bude potřebovat souhlas se zpracováním, či nikoliv, a zda bude třeba zamýšlené zpracování osobních údajů Úřadu ohlásit. Konečně, jak nepřímo připomněl Úřad, by měl každý správce zvolit vhodný způsob, jakým dotčené osoby o zpracování osobních údajů dostatečně a srozumitelně informovat, tak aby podané informace nepůsobily zavádějícím, klamavým dojmem. Právě to by mělo nejen předejít případným sankcím za porušení zákona na ochranu osobních údajů ze strany Úřadu, ale mělo především přispět k efektivnímu a přehlednému zpracování osobních údajů správcem údajů.