13.4.2018
ID: 4046

Ako informovať fyzické osoby o spracúvaní ich osobných údajov podľa GDPR?

Informačná povinnosť prevádzkovateľov si v posledných rokoch prešla významným vývojom. Aj keď už súčasný zákon o ochrane osobných údajov[1] načrtol základný rámec odovzdávania informácií, nikdy v minulosti sa neukladal taký dôraz na vhodnú formu ich podania, aký sa jej kladie v GDPR[2].

 
 SEMANČÍN & PARTNERS s. r. o.
 
Splnenie informačnej povinnosti sa zakladá na poskytnutí informácií o niektorých skutočnostiach ohľadom spracúvania ako napr. totožnosť prevádzkovateľa, účely spracúvania, právny základ spracúvania a pod. Podstata informačnej povinnosti spočíva v tom, aby dotknutá osoba vedela, kde sa jej údaje nachádzajú a čo sa s nimi robí, a aby tak mala kontrolu nad svojimi osobnými údajmi.

Informácie musia byť podávané stručne, zrozumiteľne a v ľahko dostupnej forme. V praxi to znamená, že komunikácia má prebiehať tak, aby dotknutá osoba skutočne porozumela odovzdávanej informácií a vedela si o spracúvaní vytvoriť obraz. Je preto potrebné posudzovať aj rozumové schopnosti (predovšetkým v prípade dieťaťa), prípadne odborné znalosti dotknutej osoby a používať užívateľsky prívetivý jazyk.[3]

Kto má povinnosť informovať?

Výkon informačnej povinnosti sa vzťahuje na prevádzkovateľa. Nie je vylúčené, aby si v rámci dohody spoloční prevádzkovatelia[4] informačnú povinnosť rozdelili, ak je to pre plnenie povinností praktickejšie. Povinnosť komunikovať s dotknutými osobami má aj zástupca, ktorého prevádzkovateľ menuje zásadne vtedy, ak sám nie je usadený v EÚ.

Sprostredkovateľovi GDPR ani nový zákon o ochrane osobných údajov[5] neukladajú povinnosť informovať priamo dotknuté osoby. Ide o zmenu oproti zákonu o ochrane osobných údajov účinnému do 24. mája 2018, podľa ktorého má sprostredkovateľ povinnosť oznámiť dotknutej osobe pri prvom kontakte s ňou, že spracúva jej osobné údaje v mene prevádzkovateľa. Pôvodný zákon dokonca výslovne stanovoval, že výkon informačnej povinnosti môže byť úplne prenesený na sprostredkovateľa, ak sa tak sprostredkovateľ s prevádzkovateľom písomne dohodnú – takéto ustanovenie sa v novom zákone o ochrane osobných údajov  a ani v GDPR už nenachádza.

Rozsah informácií

Rozsah informácií, ktoré má prevádzkovateľ poskytovať dotknutým osobám, sa nachádza v článkoch 13 a 14 GDPR. GDPR rozlišuje medzi poskytovaním informácií dotknutej osobe v prípade, ak boli osobné údaje získané od dotknutej osoby (článok 13 GDPR) a medzi poskytovaním informácií pri získaní osobných údajov od inej osoby (článok 14 GDPR). Treba však brať na zreteľ, že poskytnutím týchto informácií komunikácia s dotknutou osobou nekončí. Niektoré informácie poskytne prevádzkovateľ dotknutej osobe až po výzve, resp. až vtedy, keď je to relevantné. Pôjde spravidla o informácie poskytované v rámci výkonu práv dotknutých osôb, ktorému sa budeme venovať v osobitnom článku.

Ak prevádzkovateľ získava údaje od dotknutej osoby, je povinný už pri získavaní dotknutej osobe oznámiť najmä:

  • svoju totožnosť a kontaktné údaje ako aj kontaktné údaje zodpovednej osoby, ak ju vymenoval,
  • účely a právny základ[6] spracúvania, to znamená prečo a načo budú osobné údaje spracúvané a na základe akého oprávnenia,
  • oprávnené záujmy[7] prevádzkovateľa a/alebo tretej strany, ktoré sa spracúvaním sledujú,
  • dobu uchovávania osobných údajov alebo kritériá na jej určenie, teda ako dlho budú údaje spracúvané,
  • informácie o príjemcoch osobných údajov, to znamená komu budú údaje poskytnuté a prečo,
  • informácie o prenose osobných údajov do tretích krajín a medzinárodným organizáciám (je potrebné opísať aj existenciu primeraných záruk a/alebo rozhodnutia Európskej komisie o primeranosti v zmysle GDPR),
  • informáciu, či je poskytovanie zákonnou alebo zmluvnou požiadavkou alebo či je poskytovanie potrebné pre účely uzavretia zmluvy, či je dotknutá osoba povinná poskytnúť osobné údaje a následky nesplnenia tejto povinnosti.

Okrem toho prevádzkovateľ oznámi dotknutej osobe aj:

  • aké práva si môže voči prevádzkovateľovi ako dotknutá osoba uplatniť (napr. právo odvolať súhlas, právo na zabudnutie, právo namietať, právo na prístup, právo podať sťažnosť Úradu na ochranu osobných údajov SR a pod.),
  • existenciu automatizovaného rozhodovania a profilovania (najmä informácie o použitom postupe a dôsledky a význam takéhoto spracúvania pre dotknutú osobu).

Prevádzkovateľ musí dotknutú osobu informovať aj vtedy, keď sa rozhodne zmeniť účel spracúvania. V tomto prípade poskytne informácie o novom účele, ale aj ďalšie vyššie uvedené informácie, ak sú relevantné.

V prípade, ak boli osobné údaje získané od inej osoby (teda od osoby odlišnej od dotknutej osoby), prevádzkovateľ musí oznámiť dotknutej osobe aj aké osobné údaje boli získané a budú sa spracúvať (kategórie dotknutých osobných údajov) ako aj to, z akého zdroja osobné údaje pochádzajú. Ak osobné údaje pochádzajú napr. z verejných registrov je potrebné uviesť informáciu o tom, že osobné údaje pochádzajú z verejne prístupných zdrojov.

V prípade poskytnutia osobných údajov osobou odlišnou od dotknutej osoby prevádzkovateľ nemusí poskytovať informácie už pri získavaní osobných údajov, nakoľko by to bolo v mnohých prípadoch len veľmi ťažko realizovateľné. Informácie poskytne v primeranej lehote a najneskôr do jedného mesiaca od ich získania.

Ak sú takto získané osobné údaje určené na komunikáciu s dotknutou osobou, musí si prevádzkovateľ splniť informačnú povinnosť najneskôr v čase prvej komunikácie. V prípade poskytnutia osobných údajov ďalšiemu príjemcovi je termínom poskytnutia týchto informácií najneskôr čas takéhoto poskytnutia.

Vyššie uvedené informácie má prevádzkovateľ poskytovať dotknutej osobne bezodplatne.

Výnimky z informačnej povinnosti

V niektorých prípadoch sa na prevádzkovateľa vzťahujú výnimky, v dôsledku ktorých je prevádzkovateľ oslobodený od informačnej povinnosti.

Ak boli osobné údaje získané od dotknutej osoby, prevádzkovateľ nemusí informovať dotknutú osobu v rozsahu, v akom už dotknutá osoba má dané informácie – čo sa dá v danom prípade považovať za jedinú výnimku v zmysle GDPR.

V prípade, ak sú osobné údaje získané od inej osoby, na prevádzkovateľa sa môže vzťahovať niekoľko ustanovení, ktoré jeho informačné povinnosti vo vzťahu k dotknutým osobám limitujú. Ide v zásade o situácie, kedy je takéto poskytovanie informácií nemožné alebo veľmi ťažko realizovateľné.

Rovnako je tomu v prípade, ak by plnenie informačnej povinnosti znemožnilo alebo závažne sťažilo dosiahnutie určitých verejnoprospešných cieľov (vedecké, štatistické účely). Na použitie týchto výnimiek však musia byť splnené určité zákonné predpoklady pre zabezpečenie ochrany práv dotknutých osôb.

Výnimku z informačnej povinnosti môže tiež výslovne stanovovať právo EÚ alebo členského štátu – napr. ustanovením povinnosti profesijného tajomstva. Zákonná povinnosť mlčanlivosti sa viaže napr. na advokátov v zmysle zákona o advokácií[8], ktorí vďaka nej nemajú informačnú povinnosť voči protistrane, ktorej osobné údaje spracúvajú.

Forma informácií

Ako sme už spomenuli, forma poskytnutia informácií musí byť užívateľsky prívetivá. Najväčší dôraz na zrozumiteľnosť musí dať prevádzkovateľ pri komunikácií s dieťaťom, no vždy je potrebné brať do úvahy osobu adresáta.

Forma samotného oznámenia má byť v zásade písomná alebo elektronická.

Ako má prevádzkovateľ postupovať pri vytváraní užívateľsky prívetivej formy?

Rôzne odporúčania spomínajú niekoľko konkrétnych procesov, ktoré môže prevádzkovateľ prijať na vykonanie povinnosti odovzdania informácií vo vhodnej forme. V praxi sa totiž môže stať, že informácie, ktoré má prevádzkovateľ dotknutej osobe odovzdať, sú príliš obsiahle alebo obsahujú priveľa odborných a technických výrazov, ktorým by dotknutá osoba nemusela rozumieť (napr. všeobecné podmienky ochrany osobných údajov). Medzi presadzované spôsoby patrí vrstvová metóda[9], ktorú už v súčasnosti uplatňujú niektoré informačné spoločnosti. Vhodné sú aj formy „otázky a odpovede“ alebo grafické prvky.

Vrstvová metóda spočíva v odovzdávaní informácií vo viacerých „vrstvách“. Dotknutá osoba sa môže samostatne rozhodnúť, do akej hĺbky zájde pri oboznamovaní sa.

Informácie, ktoré sú kľúčové, aby si dotknutá osoba bola schopná vytvoriť základný obraz o tom ako, kde, dokedy a kým sú jej osobné údaje spracúvané, musia byť obsiahnuté v prvej vrstve. V rámci prvej vrstvy odporúčame dotknutú osobu zrozumiteľne a jednoducho poučiť o jej právach, najmä o práve namietať. Jazyk použitý v prvej vrstve má byť očistený od odborných a technických výrazov. Prvá vrstva môže pre transparentnosť obsahovať napr. štandardizované ikony alebo grafické prvky, ktoré robia poučný text prehľadnejším a vizuálne prívetivejším[10]. Všetky vrstvy musia byť jednoducho prístupné a prepojené, ideálne hypertextovými odkazmi.

Druhá vrstva si má zachovať užívateľsky prívetivú formu, pričom by mala rozvíjať informácie podané v prvej vrstve. Sem by mal prevádzkovateľ zaradiť informácie, ktoré je povinný dotknutej osobe poskytnúť v zmysle článkov 13 a 14 GDPR (napr. podrobná totožnosť prevádzkovateľa, kontaktné údaje na zodpovednú osobu či podrobnejšie informácie o obsahu a realizácií práv dotknutých osôb).

V tretej vrstve môže prevádzkovateľ poľaviť od užívateľsky prívetivej formy a poskytnúť dotknutej osobe všetky informácie, ktoré má povinnosť jej poskytnúť v zmysle platnej legislatívy.

Záver

Tento článok má prevádzkovateľovi poslúžiť ako „vodítko“ pri vytváraní obrazu o obsahu jeho informačnej povinností. Neexistuje však tabuľkový formulár pre naplnenie všetkých vyššie uvedených požiadaviek. V rôznych situáciách je pri komunikácií s dotknutou osobou potrebné uviesť alebo zdôrazniť iné informácie.

Spôsobom naplnenia požiadaviek informačnej povinnosti podľa GDPR je predovšetkým zodpovedný a proaktívny prístup prevádzkovateľa k ochrane osobných údajov.

 
JUDr. Lucia Semančínová

JUDr. Lucia Semančínová,
seniorný právny expert

Mgr. Radovan Križalkovič

Mgr. Radovan Križalkovič,
advokátsky koncipient


SEMANČÍN & PARTNERS s. r. o.

Vajnorská 100/A
831 04 Bratislava

Tel.:    +421 2 32 609 451
e-mail:    office@semancin.sk

______________________________
[1] Zákon č. 122/2013 Z. z. o ochrane osobných údajov v platnom znení účinný do 24. mája 2018
[2] Nariadenie Európskeho Parlamentu a Rady 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov).
[3] Pozri aj WP29: Guidelines on transparency under Regulation 2016/679. Strana 8
[4] Napr. ak niekoľko samostatných prevádzkovateľov používa ten istý kamerový bezpečnostný systém na rovnaké účely (bezpečnosť), môžu sa považovať za spoločných prevádzkovateľov.
[5] Zákon č. 18/2018 Z. z. o ochrane osobných údajov účinný od 15. mája 2018.
[6] Právny základ je zákonný dôvod spracúvania. Právne základy sú výslovne uvedené v čl. 6 GDPR.
[7] Oprávnený záujem je jeden z právnych základov spracúvania. Ak ho prevádzkovateľ použije, musí to adekvátne odôvodniť.
[8] Pozri aj § 23 ods. (1) Zákona 586/2003 Z. z. o advokácií v platnom znení.
[9] Pozri aj WP29: Opinion 10/2004 on More Harmonised Information Provisions, WP 100, s. 9-12.
[10] Ako je to napr. pri inštalácií aplikácií do smartfónov cez Google Play, App Store alebo Microsoft Store


© EPRAVO.SK – Zbierka zákonov, judikatúra, právo | www.epravo.sk