Momentálne asi najaktuálnejšiu tému týchto dní, akou je GDPR, nie je potrebné bližšie predstavovať. Lustrovaním, vyhľadávaním a študovaním ste sa už určite odborne priblížili k pojmom, akými sú osobné údaje, zodpovedná osoba, prevádzkovateľ, sprostredkovateľ a pod. Ako to je však s tou zásadou transparentnosti spracúvania osobných údajov, ktorá sa tak vehementne spomína v novom Nariadení z dielne EÚ?
K témam GDPR môžete diskutovať na fóre – GDPR – ochrana osobných údajov / Slovensko / otázky a odpovede
Predmetná zásada transparentnosti znamená, resp. vyžaduje, aby všetky informácie a komunikácie súvisiace so spracúvaním osobných údajov boli dotknutým osobám ľahko prístupné, ľahko pochopiteľné a formulované jasne a jednoducho.
Na druhej strane sa v úvode Nariadenia jedným dychom dodáva, že fyzické osoby by mali byť upozornené na všetky riziká, pravidlá, záruky a práva pri spracúvaní osobných údajov. A tu sa dostávame k zásadnému problému. Ako zabezpečiť, aby tak rozsiahle informácie o spracúvaní osobných údajov boli ľahko pochopiteľné, jednoduché a jasné? V praxi určite ťažko.
Povinnosť informovať dotknutú osobu o základných podmienkach spracúvania osobných údajov je jednou z najzakladanejších povinností, ktoré upravuje GDPR. Je tomu tak, pretože bez ohľadu na to, aké osobné údaje spracúvate, na aký účel, či so súhlasom alebo bez súhlasu dotknutej osoby, vždy je potrebné splniť si svoju informačnú povinnosť a dotknutú osobu oboznámiť s informáciami uvedenými v článku 13 Nariadenia, prípadne ak osobné údaje nezískavate priamo od dotknutej osoby, tak s informáciami uvedenými v článku 14 Nariadenia (Nariadenie celé znenie nájdete tu – https://dataprotection.gov.sk).
Ako si teda správne plniť túto informačnú povinnosť?
Pokiaľ spracúvate osobné údaje na svojej webovej stránke (typicky ide o vypĺňanie formulárov s osobnými údajmi pre zasielanie newslettrov a marketing, zapojenia do súťaží, dodanie tovaru atď.), je možné si informačnú povinnosť splniť zverejnením podmienok spracúvania osobných údajov na tejto webovej stránke.
V prípade monitorovania svojej kamennej prevádzky kamerovým systémom, je vhodné umiestniť tieto podmienky v prevádzke na viditeľnom mieste, prípadne v rámci označenia, ktoré informuje o monitorovaní priestoru, odkázať na webovú stránku, kde budú podmienky zverejnené.
Pri spracúvaní osobných údajov zamestnancov je vhodné týchto informovať napríklad vyvesením podmienok v priestoroch, v ktorých sa vykonáva práca. Je potrebné zdôrazniť, že spôsoby plnenia informačnej činnosti je možné kumulovať, a teda v záujme istoty je možné podmienky zverejniť na webovej stránke a zároveň tieto fyzicky umiestniť v priestoroch, kde sa dotknutá osoba zdržiava, resp. je spôsobilá sa s podmienkami oboznámiť.
Častou otázkou v tejto súvislosti je, či podnikatelia môžu informácie o spracúvaní osobných údajov uviesť aj vo všeobecných obchodných podmienkach v prípade, ak spracúvajú osobné údaje v rámci uzatvárania zmlúv a dodania tovarov a/alebo služieb. Odpoveď je áno, avšak GDPR vyžaduje, aby tieto informácie boli jasne oddelené od iných častí všeobecných obchodných podmienok, napr. osobitným nadpisom a webovou podstránkou.
Ako teda pristupovať k samotnej informačnej povinnosti a čo by podmienky ochrany osobných údajov, prostredníctvom ktorých si prevádzkovateľ plní svoju informačnú povinnosť, mali obsahovať?
V tejto časti sa vzhľadom na rozsiahlosť danej témy budeme venovať iba prípadu, ak sa osobné údaje získavajú od dotknutej osoby. Správne vyhotovenie podmienok by malo obsahovať minimálne tieto okruhy informácií:
1. Na úvod predstavenie prevádzkovateľa aj s jeho identifikačnými údajmi vrátane jeho kontaktných údajov, pričom odporúčam uviesť nielen poštovú adresu, ale aj telefónne číslo a e-mailovú adresu.
2. Kontaktné údaje prípadnej zodpovednej osoby. V prípade, ak zodpovedná osoba nie je ustanovená, je vhodné uviesť informáciu, že ste zodpovednú osobu neurčili, nakoľko to nie je potrebné podľa GDPR.
3. Účely spracúvania a právny základ spracúvania. Ak existuje viacero účelov, je vhodné tieto prehľadne špecifikovať a ku každému uviesť aj právny základ, napr.:
- účel: uzavretie zmluvy so zákazníkom, spracovanie objednávky zákazníka a riadne dodanie objednaného plnenia (tovaru, služby) zákazníkovi, vystavenie faktúry, spárovanie úhrady s objednávkou;
- právny základ: článok 6 ods. 1 písm. b) Nariadenia – spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy.
4. Oprávnený záujem prevádzkovateľa, ak sa spracúvanie osobných údajov zakladá na tomto právnom základe (čl. 6 ods. 1 písm. f) Nariadenia). Je výslovne na uvážení prevádzkovateľa, ako oprávnený záujem zadefinuje, avšak odporúčam čo najširšie, prípadne aj odôvodnením, prečo neprevažujú záujmy alebo základné práva a slobody dotknutej osoby.
5. Príjemcovia alebo kategórie príjemcov. Sem zaraďujeme osoby, ktorým sa osobné údaje poskytujú, najčastejšie to budú sprostredkovatelia, napr. osoby zabezpečujúce účtovné služby pre prevádzkovateľa.
6. V prípade, ak sa osobné údaje majú preniesť mimo Európskej únie do tretích krajín alebo medzinárodnej organizácie, informácie o tomto prenose primeranej úrovne ochrany osobných údajov. V tejto súvislosti si prevádzkovatelia často neuvedomujú, že pokiaľ majú webovú stránku, v rámci ktorej sa dáta ukladajú v dátovom centre, ktoré nie je umiestnené v Európskej únii, pôjde o prenos osobných údajov do tretích krajín a prevádzkovateľ je povinný riešiť túto oblasť.
7. Doba uchovávania alebo kritériá na jej určenie. Odporúča sa, pokiaľ to je možné, vždy stanoviť presnú dobu uchovávania, pričom jej dĺžku si určuje prevádzkovateľ, a to podľa účelu, pre ktorý spracúva osobné údaje (napr. ak pôjde o fakturačné údaje, ktoré budú nevyhnutné pre plnenie zmluvy, doba uchovávania by mala byť 10 rokov, nakoľko túto dobu určujú účtovné predpisy).
8. Informovanie dotknutej osoby o jej právach podľa GDPR. Ide o tieto práva: právo na prístup k osobným údajom, na ich opravu alebo vymazanie alebo obmedzenie spracúvania alebo právo namietať proti spracúvaniu, právo na prenosnosť. Odporúčam pri každom práve stručne oboznámiť dotknutú osobu, akým spôsobom môže právo uplatniť (napr. podaním žiadosti na adresu prevádzkovateľa alebo zmenením nastavenia webového prehliadača a pod.)
9. Poučenie dotknutej osoby odvolať súhlas so spracúvaním osobných údajov, pokiaľ sa pre spracúvanie vyžaduje jej súhlas.
10. Poučenie dotknutej osoby o možnosti podať návrh na začatie konanie o ochrane osobných údajov Úradu pre ochranu osobných údajov Slovenskej republiky.
11. Informovanie dotknutej osoby, či je poskytovanie zákonnou alebo zmluvnou požiadavkou alebo požiadavkou potrebnou na uzavretie zmluvy, či je dotknutá osoba povinná poskytnúť osobné údaje, ako aj možné následky neposkytnutia týchto údajov.
12. Ak dochádza k automatizovanému rozhodovaniu vrátane profilovania, tak informovanie o tejto skutočnosti.
Ako vyplýva z vyššie uvedeného snažiť sa docieliť ľahkú pochopiteľnosť, jasnosť a jednoduchosť podmienok, je pri takom rozsahu informácií, aký je povinný prevádzkovateľ poskytnúť dotknutej osobe, veľmi problematické.
Okrem uvedeného najmä správna špecifikácia účelov a právnych základov spracúvania osobných údajov je ťažkým orieškom aj pre právnikov, nieto pre bežných podnikateľov, ktorí sa nešpecializujú na oblasť ochrany osobných údajov.
Nakoľko však možno predpokladať, že práve riadne a včasné plnenie informačnej povinnosti v súlade so základnou zásadou transparentnosti podľa GDPR, bude predmetom posudzovania zo strany Úradu pre ochranu osobných údajov Slovenskej republiky v prípade kontroly, oplatí sa investovať čas, ako aj financie do vypracovania detailných podmienok ochrany osobných údajov, ktoré budú plne súladné s GDPR.