Nové európske nariadenie GDPR zakotvuje právny rámec informačnej povinnosti prevádzkovateľa, teda poskytovania informácií dotknutej osobe, ktoré sa týkajú spracovania jej osobných údajov. Ako správne informovať dotknuté osoby o spracúvaní osobných údajov podľa GDPR?
Článok 12 GDPR ustanovuje všeobecné pravidlá, vzťahujúce sa na poskytovanie informácií dotknutým osobám o spracúvaní ich osobných údajov.
Informačná povinnosť prevádzkovateľa musí byť v súlade s týmito pravidlami:
- Informácie sa musia poskytnúť v stručnej a ľahko dostupnej forme.
- Musia byť formulované jasne a jednoducho.
- Informácie sa poskytujú písomne alebo v prípade potreby elektronicky. Na požiadanie môžu byť poskytnuté aj ústne, ale len vtedy, ak sa preukáže totožnosť dotknutej osoby.
- Musia byť poskytnuté zdarma.
Informácie by mali byť stručné
Prevádzkovateľ by mal informácie podávať dotknutej osobe čo najefektívnejšie a stručne. Nemal by dotknutú osobu zahlcovať zbytočnými informáciami (napr. ustanoveniami zákona a ich citáciami). Pri čítaní dlhých textov dochádza k informačnej únave, a môže sa stať, že dotknutá osoba nedočíta celý text, a neprečíta si niektoré dôležité informácie o spracúvaní jej osobných údajov.
Informácie musia byť ľahko dostupné
Dotknutá osoba by nemala informácie príliš dlho hľadať, obzvlášť pri uverejnení informácií o spracúvaní osobných údajov na webe. Do sekcie o ochrane osobných údajov by sa mala dostať prostredníctvom priameho odkazu.
Príklad:
Dávam súhlas .................. (uviesť názov spoločnosti, ktorá prevádzkuje web alebo e-shop) na spracúvanie mnou zadaného e-mailu na marketingové účely spoločnosti. Oboznámil (a) som sa so svojimi právami v sekcii Ochrana osobných údajov.
Text „Ochrana osobných údajov“ v uvedenom príklade by mal byť prepojený ako odkaz na príslušnú sekciu na webe, ktorá informuje dotknuté osoby o ich právach a o spracúvaní ich osobných údajov.
Jednoduchá formulácia
Informácie dotknutej osobe o spracúvaní jej osobných údajov by mali byť formulované jednoducho, teda ľudskou rečou a nie právnym jazykom. Nemali by obsahovať veľa právnických, technických, ani odborných výrazov. Musia byť zrozumiteľné aj pre jednoduchého človeka. Ak prevádzkovateľ predáva tovar určený deťom, informácie musia byť napísané v jazyku prívetivom deťom a takým spôsobom, aby textu porozumeli aj deti.
Informácie musia byť poskytnuté včas
Prevádzkovateľ by mal informovať dotknutú osobu dostatočne skoro, najlepšie ešte pred začatím spracúvania jej osobných údajov.
Informovanie dotknutej osoby o zmenách
Ak nastane zásadná zmena v povahe spracovania osobných údajov, informácia o zmene musí byť dotknutej osobe poskytnutá ešte pred uskutočnením tejto zmeny. Treba zabezpečiť, aby dotknutá osoba zmenu zaregistrovala a neprehliadla, a aby mala dostatočne dlhý čas na posúdenie zmeny a prípadné využitie svojho práva odvolať súhlas so spracovaním osobných údajov alebo práva namietať spracúvanie jej osobných údajov.
Výnimka z informačnej povinnosti
Prevádzkovateľ si nemusí splniť informačnú povinnosť iba vtedy, ak dotknutá osoba už dané informácie preukázateľne má.
Aké informácie musí prevádzkovateľ poskytnúť dotknutej osobe
V Čl. 13 a 14 GDPR sa uvádza, aké informácie prevádzkovateľ musí dotknutej osobe v súvislosti so spracovaním jej osobných údajov poskytnúť. Rozlišuje sa, či sú tieto údaje:
- získané od dotknutej osoby (Čl. 13) – osobné údaje poskytne dotknutá osoba vedome alebo sú získané jej monitorovaním kamerami alebo iným spôsobom,
- nie sú získané od dotknutej osoby (Čl. 14) – sú získané od iného prevádzkovateľa, inej dotknutej osoby alebo z verejne dostupných zdrojov.
Ak sú osobné údaje získané od dotknutej osoby, prevádzkovateľ musí dotknutej osobe poskytnúť tieto informácie:
- totožnosť a kontaktné údaje prevádzkovateľa a v príslušných prípadoch zástupcu prevádzkovateľa,
- kontaktné údaje prípadnej zodpovednej osoby,
- účely spracúvania, na ktoré sú osobné údaje určené, ako aj právny základ spracúvania,
- ak je spracúvanie nevyhnutné na účely oprávnených záujmov prevádzkovateľa, v informáciách musia byť uvedené, aké oprávnené záujmy sleduje prevádzkovateľ alebo tretia strana,
- príjemcovia alebo kategórie príjemcov osobných údajov, ak existujú,
- v relevantnom prípade informácia o tom, že prevádzkovateľ zamýšľa preniesť osobné údaje do tretej krajiny alebo medzinárodnej organizácie,
- doba uchovávania osobných údajov alebo, ak to nie je možné, kritériá na jej určenie,
- existencia práva požadovať od prevádzkovateľa prístup k osobným údajom týkajúcim sa dotknutej osoby a práva na ich opravu alebo vymazanie alebo obmedzenie spracúvania, alebo práva namietať proti spracúvaniu, ako aj práva na prenosnosť údajov,
- ak je spracúvanie založené na súhlase dotknutej osoby, súčasťou informácií musí byť existencia práva kedykoľvek svoj súhlas odvolať bez toho, aby to malo vplyv na zákonnosť spracúvania založeného na súhlase udelenom pred jeho odvolaním,
- právo podať sťažnosť dozornému orgánu,
- existencia automatizovaného rozhodovania vrátane profilovania, ako aj význam a predpokladané dôsledky takéhoto spracúvania pre dotknutú osobu,
- informácia o tom, či je poskytovanie osobných údajov zákonnou alebo zmluvnou požiadavkou, alebo požiadavkou, ktorá je potrebná na uzavretie zmluvy, či je dotknutá osoba povinná poskytnúť osobné údaje, ako aj možné následky neposkytnutia takýchto údajov.
Ak osobné údaje nie sú získané od dotknutej osoby, prevádzkovateľ musí dotknutej osobe poskytnúť tieto informácie:
- totožnosť a kontaktné údaje prevádzkovateľa a v príslušných prípadoch zástupcu prevádzkovateľa,
- kontaktné údaje prípadnej zodpovednej osoby,
- účely spracúvania, na ktoré sú osobné údaje určené, ako aj právny základ spracúvania,
- ak je spracúvanie nevyhnutné na účely oprávnených záujmov prevádzkovateľa, v informáciách musia byť uvedené, aké oprávnené záujmy sleduje prevádzkovateľ alebo tretia strana,
- príjemcovia alebo kategórie príjemcov osobných údajov, ak existujú,
- v relevantnom prípade informácia o tom, že prevádzkovateľ zamýšľa preniesť osobné údaje do tretej krajiny alebo medzinárodnej organizácie,
- doba uchovávania osobných údajov alebo, ak to nie je možné, kritériá na jej určenie,
- existencia práva požadovať od prevádzkovateľa prístup k osobným údajom týkajúcim sa dotknutej osoby a práva na ich opravu alebo vymazanie alebo obmedzenie spracúvania, alebo práva namietať proti spracúvaniu, ako aj práva na prenosnosť údajov,
- ak je spracúvanie založené na súhlase dotknutej osoby, súčasťou informácií musí byť existencia práva kedykoľvek svoj súhlas odvolať bez toho, aby to malo vplyv na zákonnosť spracúvania založeného na súhlase udelenom pred jeho odvolaním,
- právo podať sťažnosť dozornému orgánu,
- existencia automatizovaného rozhodovania vrátane profilovania, ako aj význam a predpokladané dôsledky takéhoto spracúvania pre dotknutú osobu,
- kategórie dotknutých osobných údajov,
- z akého zdroja pochádzajú osobné údaje, prípadne informácie o tom, či údaje pochádzajú z verejne prístupných zdrojov.
Upozornenie:
Informačná povinnosť sa neviaže len na okamih získavania osobných údajov. Prevádzkovateľ je povinný oznámiť dotknutým osobám každú zmenu, a zabezpečiť túto povinnosť od získania až po výmaz osobných údajov.
Autorka: Ing. Marcela Ilavská
TIP PRE VÁS:
Pripravte sa s nami na aplikáciu nového nariadenia v praxi už teraz a zosúlaďte súčasné súhlasy s požiadavkami GDPR v predstihu!
GDPR nie je strašiak, ktorého sa treba báť. Väčšina firiem zaoberajúcich sa ochranou osobných údajov znepokojuje hrozbami vysokých pokút. Áno, pokuty pri nepripravenosti a nedôslednom uplatňovaní pravidiel GDPR skutočne hrozia. To je neodškriepiteľný fakt!
Naša stratégia je iná: pomôžeme sa vám vo všetkom zorientovať! Spravíme vám analýzu a vypracujeme bezpečnostný plán. Implementácia GDPR tak bude pre vás celkom jednoduchá!
My na tom zapracujeme a vy môžete svoj čas venovať dôležitejším veciam vo svojom podnikaní.
Objednajte si u nás nezáväznú Rozdielovú analýzu!
Posúdime (ne)súlad vašich IS s novým nariadením, predložíme konkrétne návrhy na realizáciu primeraných opatrení na zabezpečenie súladu.