Obsah článku:
- Co je informační povinnost v oblasti GDPR?
- Jaké povinnosti o informovanosti má správce osobních údajů?
- Jaký je rozdíl mezi požadavky na informace pro přímý a nepřímý sběr?
- Jaké jsou možné důsledky porušení informační povinnosti?
Co je informační povinnost v oblasti GDPR?
Informační povinnost správce osobních údajů je závazek poskytnout dotčeným osobám informace o zpracování jejich osobních údajů. Tento závazek vychází z obecného nařízení o ochraně osobních údajů (GDPR), které stanoví, že správce osobních údajů musí být transparentní ohledně toho:
- jaké údaje o jednotlivých osobách sbírá;
- jakým způsobem údaje zpracovává;
- s kým údaje sdílí;
- jaká jsou práva jednotlivců v souvislosti se zpracováním jejich osobních údajů.
Konkrétně to znamená, že správce musí poskytnout jednotlivcům informace o několika klíčových aspektech zpracování jejich osobních údajů, včetně účelu zpracování, kategorie osobních údajů, příjemců osobních údajů, doby uchovávání údajů a práv jednotlivců v souvislosti se zpracováním jejich osobních údajů.
Informační povinnost správce osobních údajů může být splněna různými způsoby, například:
- vydáním zpracovatelského dokumentu;
- poskytnutím informací na webových stránkách;
- e-mailem nebo při osobním setkání.
Je také velmi důležité, aby byly informace poskytnuty v jasném, srozumitelném a snadno dostupném formátu a aby byly aktualizovány v případě změn. Správce osobních údajů by si měl být vědom toho, že právo na informace je pravděpodobně nejdůležitějším právem subjektu údajů v GDPR.
Legislativa: konkrétní povinnosti jsou uvedeny v článku 13 a 14 Nařízení Evropského parlamentu a Rady (EU) 2016/679.
Jaké povinnosti o informovanosti má správce osobních údajů?
Podle obecného nařízení o ochraně osobních údajů (GDPR) musí správce osobních údajů poskytnout dotčeným osobám (tj. osobám, jejichž osobní údaje zpracovává) následující informace:
- Identitu a kontaktní údaje správce osobních údajů a jeho zástupce, pokud existuje.
- Kontaktní údaje zodpovědné osoby pro ochranu osobních údajů (DPO), pokud je taková osoba jmenována.
- Účely zpracování osobních údajů.
- Právní základ zpracování (např. souhlas dotčené osoby, plnění smlouvy atd.).
- Kategorie osobních údajů, které jsou zpracovávány.
- Příjemce nebo kategorie příjemců, kterým mohou být osobní údaje zpřístupněny (např. subdodavatelé, státní orgány, platební brány).
- Případné přenosy osobních údajů do zemí mimo Evropskou unii a záruky týkající se ochrany při takových přenosech.
- Doba uchovávání osobních údajů nebo kritéria, podle kterých je tato doba určena.
- Existenci práva dotčené osoby požadovat od správce přístup k osobním údajům, opravu nebo výmaz těchto údajů, omezení zpracování a právo na přenositelnost údajů.
- Právo podat stížnost u dozorového úřadu.
- Skutečnost, zda jsou osobní údaje poskytovány na základě zákonné nebo smluvní povinnosti a zda je povinnost poskytnout osobní údaje nezbytná pro uzavření smlouvy a jaké jsou případné důsledky, pokud dotčená osoba osobní údaje neposkytne.
Informace musí být poskytnuty v jasném a srozumitelném jazyce a musí být snadno dostupné. Správce osobních údajů by měl být schopen prokázat, že informace byly poskytnuty a že dotčená osoba byla seznámena se svými právy a informacemi o zpracování jejích osobních údajů.
Jaký je rozdíl mezi požadavky na informace pro přímý a nepřímý sběr?
Rozlišujeme mezi shromažďováním osobních údajů u subjektu údajů (přímý sběr) a sběrem od třetích stran nebo veřejných zdrojů (nepřímý sběr). Na první případ se vztahuje článek 13 GDPR, na druhý případ se vztahuje článek 14 GDPR. Dotčené osoby musí být vždy informovány o okolnostech sběru dat.
Transparentnost shromažďování osobních údajů GDPR je velmi důležitá. Organizace proto musí být schopny vysvětlit subjektům údajů, proč a jaké údaje shromažďují a zpracovávají. Právo na informace údajů subjektů podle článku 15 GDPR zajišťuje, že osoba odpovědná za shromažďování osobních údajů poskytne subjektům údajů informace o tomto procesu.
Načasování informační povinnosti GDPR se v případě přímého (předchozího) a nepřímého (implicitního) sběru liší.
- V případě přímého předchozího sběru se informační povinnosti vztahují na dobu shromažďování údajů
- V případě nepřímého implicitního sběru se informační povinnosti vztahují na přiměřenou dobu, která závisí na konkrétním jednotlivém případě. Může trvat až 30 dní. Jsou-li však údaje použity ke komunikaci se subjektem údajů nebo jsou-li údaje zpřístupněny jinému příjemci, musí být subjekt údajů informován nejpozději při prvním sdělení nebo zpřístupnění.
Jaké jsou možné důsledky porušení informační povinnosti?
Za porušení informační povinnosti podle GDPR může být uložena sankce - pokuta. Kromě toho je také možné, že porušení rovněž ovlivní zákonnost zpracování údajů. Pokud byl subjekt údajů povinen strpět nebo spolupracovat při shromažďování údajů, lze opomenuté oznámení nahradit. V takovém případě zůstává shromažďování údajů zákonné. Pokud však sběr údajů závisel na vůli subjektu údajů a pokud subjekt údajů nemohl udělit souhlas se shromažďováním a zpracováním z důvodu nedostatku včasných informací, jedná se o dvojí nezákonnost. Shromažďování i zpracování údajů jsou nezákonné. Neoprávněně shromážděné a zpracované údaje musí být vymazány. Organizace musí být schopna prokázat, že splnila své povinnosti poskytovat informace subjektům údajů. Jsou proto povinny své informační povinnosti písemně doložit.
Potřebujete poradit v oblasti kybernetické bezpečnosti? Zajistíme pro vás na klíč:
- bezpečnostní hrozby a řízení rizik;
- GDPR (ochrana osobních údajů);
- konzultace a poradenství;
- školení a personální certifikaci;
- certifikaci kybernetické bezpečnosti;
- certifikaci IT služeb.
Více informací se dočtete na stránce Kybernetická bezpečnost a bezpečnost informací.