Informačná povinnosť GDPR – transparentnosť a obsah

Každý subjekt, ktorý pri výkone svojej činnosti spracúva osobné údaje dotknutých osôb je povinný dotknuté osoby informovať o spracúvaní osobných údajov. A to už pred začatím spracúvania osobných údajov. V článku vám predstavíme, čo všetko obsahuje informačná povinnosť GDPR a priblížime si aj zásadu transparentnosti.

V rámci náležitostí Nariadenia GDPR informujeme dotknuté osoby o viacerých skutočnostiach, najmä o totožnosti prevádzkovateľa, o účele a právnom základe spracúvania osobných údajov a o právach dotknutých osôb.

Zásada transparentnosti a informačná povinnosť GDPR

Informačná povinnosť, označovaná aj ako „zásady ochrany osobných údajov“, „zásady ochrany súkromia“ alebo „privacy policy“ súvisí so zásadou transparentnosti. V zmysle čl. 5, ods. 1. písm. a) Nariadenia GDPR: „Osobné údaje musia byť spracúvané zákonným spôsobom, spravodlivo a transparentne vo vzťahu k dotknutej osobe.“

Transparentnosť nachádza oporu aj v recitáloch Nariadenia GDPR.¹ Zásada transparentnosti si vyžaduje, aby všetky informácie súvisiace so spracúvaním osobných údajov boli:

• ľahko prístupné,
• ľahko pochopiteľné,
• formulované jasne a jednoducho.

Obsah informačnej povinnosti alebo zásad ochrany osobných údajov

Nariadenie GDPR v článku 13 a 14 upravuje informácie, ktoré majú byť dotknutým osobám poskytnuté. Rozdiel medzi článkom 13 a článkom 14 Nariadenia GDPR je v tom, že článok 14 Nariadenia GDPR reaguje na situácie, kedy osobné údaje neboli získané priamo od dotknutej osoby. Zároveň, obsahuje ďalšie náležitosti.

Článok 13 Nariadenia GDPR

Prevádzkovateľ pri získavaní osobných údajov poskytne dotknutej osobe informácie o:

• totožnosti prevádzkovateľa a jeho kontaktných údajoch (prípadne jeho zástupcu),
• kontaktné údaje zodpovednej osoby (ak ju prevádzkovateľ určil),²
• účeloch a právnych základoch spracúvania,
• oprávnenom záujme prevádzkovateľa (ak využíva prevádzkovateľ právny základ spracúvania – oprávnený záujem podľa čl. 6 ods. 1 písm. f) Nariadenia),
• príjemcoch osobných údajov alebo ich kategóriách
• prenose osobných údajov do tretej krajiny.

Informačná povinnosť má obsahovať aj informácie o:

• dobe uchovávania osobných údajov alebo kritériách, ktorými sa určuje doba uchovávania (ak nie je možné dobu uchovávania určiť jednoznačne),
• tom, či je poskytovanie osobných údajov zákonnou alebo zmluvnou požiadavkou,
• tom, či je dotknutá osoba povinná poskytnúť osobné údaje a následkoch ich neposkytnutia, a
• existencii automatizovaného rozhodovania vrátane profilovania.³

Prevádzkovateľ taktiež musí dotknutú osobu jednoduchým a zrozumiteľným spôsobom poučiť o jej právach v súvislosti so spracúvaním osobných údajov, a to o právach:

• kedykoľvek odvolať svoj súhlas,⁴
• na prístup k osobným údajom podľa čl. 15 Nariadenia,
• na opravu osobných údajov podľa čl. 16 Nariadenia,
• na vymazanie („zabudnutie“) osobných údajov podľa čl. 17 Nariadenia,
• na obmedzenie spracúvania podľa čl. 18 Nariadenia,
• na prenosnosť osobných údajov podľa čl. 20 Nariadenia,
• namietať proti spracúvaniu podľa čl. 21 Nariadenia,
• podať sťažnosť dozornému orgánu podľa čl. 77 Nariadenia.

Článok 14 Nariadenia GDPR

V prípade, ak získava „spracovateľ“ osobných údajov osobné údaje od inej ako dotknutej osoby⁵, poskytne prevádzkovateľ / sprostredkovateľ dotknutej osobe aj informácie o:

• tom, z akého zdroja osobné údaje pochádzajú, prípadne o tom, či údaje pochádzajú z verejne prístupných zdrojov,
• kategóriách dotknutých osobných údajov.

 Informačná povinnosť GDPR – zhrnutie

Informačná povinnosť je často zanedbávaná a porušovaná povinnosť. Viete potvrdiť, že všetky dotknuté osoby, ktorých osobné údaje spracúvate, mali / majú možnosť informovať sa o podmienkach spracúvania osobných údajov?

Pomôckou, či plníte povinnosti vyplývajúce z článku 13 a článku 14 Nariadenia GDPR, môže byť zodpovedanie otázok:

• aké sú kategórie dotknutých osôb, ktorých osobné údaje spracúvame? Zamestnanci, klienti, nakupujúci na e-shope, vstupujúci do mojich priestorov, iné osoby?
• ako získavame osobné údaje? Majú možnosť sa dotknuté osoby oboznámiť s informačnou povinnosťou pri získavaní osobných údajov?

Článok pokračuje pod videoškolením. Informačná povinnosť GDPR je často porušovaná a patrí medzi najčastejšie chyby. Pozrite si ďalšie praktické chyby,  s ktorými sa stretávame – vo videoškolení alebo v podcaste:

V prípade, že sa vám video nezobrazuje je potrebné povoliť zbieranie cookies.

Pri informačnej povinnosti je potrebné sa zamyslieť v širšom kontexte.

Aby spracovateľské operácie prevádzkovateľa boli vykonávané v súlade s Nariadením GDPR musí si prevádzkovateľ splniť svoju informačnú povinnosť a za týmto zámerom musí prijať vhodné opatrenia tak, aby dotknutej osobe poskytol všetky informácie v transparentnej, zrozumiteľnej, stručnej a ľahko dostupnej forme, spravidla v písomnej alebo elektronickej podobe, formulované jasne a jednoducho, a to aj v prípade informácií určených dieťaťu.

Audity spojené s ochranou osobných údajov, vypracovanie GDPR, školenie GDPR, ale aj ďalšie compliance služby – v securion sa špecializujeme na bezpečnosť a compliance. Pomôžeme aj vám.

1. Napríklad recitál 39 Nariadenia GDPR ↩

2. Článok 37 Nariadenia stanovuje prípady, kedy je prevádzkovateľ povinný určiť zodpovednú osobu, napr. ak spracúvanie osobných údajov vykonáva orgán verejnej moci alebo verejnoprávny subjekt s výnimkou súdov. ↩

3. Ak prevádzkovateľ využíva automatizované rozhodovanie/ profilovanie, informuje dotknutú osobu aj o použitom postupe, význame a dôsledkoch takéhoto spracúvania. ↩

4. Ak je spracúvanie založené na čl. 6 ods. 1 písm. a) alebo čl. 9 ods. 2 písm. a). Odvolanie súhlasu nemá vplyv na zákonnosť spracúvania založeného na súhlase udelenom pred jeho odvolaním. ↩

5. Napríklad v rámci e-shopu uvádzam doručovaciu adresu a osobu, ktorá má prevziať tovar inú, akou je objednávajúci ↩

Získajte konkurenčnú výhodu vďaka aktívnemu prístupu k ochrane osobných údajov.

Pozrieť ponuku služieb