S nařízením GDPR se váží povinnosti transparentního zpracování osobních údajů. Jaké jsou v této souvislosti pokyny?
S nařízením GDPR se váží povinnosti transparentního zpracování osobních údajů. Jaké jsou v této souvislosti pokyny?
Pokyny týkající se transparentnosti podle GDPR (Nařízení 2016/679) vydala Pracovní skupina pro ochranu údajů zřízená podle článku 29. Tyto pokyny jsou oficiální, ještě v lednu bylo možné je připomínkovat, ale je dobré se s nimi seznámit a být připraven ještě před jejím schválením.
Transparentnost má navozovat důvěru občanů vůči postupům, které na ně mohou mít vliv, a to tak, že jim umožní jim porozumět a případně vznést námitku. Subjekty dále mají možnost volat správce k odpovědnosti a mít kontrolu nad svými osobními údaji poskytnutím nebo odvoláním informovaného souhlasu nebo například prosazováním svých práv právní cestou. Transparentnost dále souvisí se zásadami korektnosti při zpracování osobních údajů podle Listiny základních práv Evropské unie a především se váže ke korektnosti a principům zodpovědnosti v GDPR.
Transparentnost podle GDPR je povinnost týkající se těchto hlavních oblastí:
Zejména podle článku 12 musí být předmětná informace nebo komunikace v souladu s následujícími pravidly:
Správce by měli podávat informace a vést komunikaci především účinně a zhuštěně, tedy tak, aby nebyl problém dané texty přečíst. Informace dále musejí být srozumitelné, tedy pochopitelné pro průměrnou osobu v cílové skupině. Zde nastává pro správce povinnost definovat cílovou skupinu a podle ní pak zajistit srozumitelnost takzvaně na míru těmto uživatelům. To je obzvlášť důležité tam, kde zboží nebo služby využívají děti. V tomto případě by správce měl zajistit, aby tomu slovník, tón a styl jazyka odpovídal a aby dětský adresát poznal, že je zpráva určená jemu.
Snadnou přístupností se rozumí, že by uživatelé neměli informace hledat, ale mělo by být zřejmé, kde se k nim můžou dostat. Navíc by měly být jasně odlišeny od dalších informací, aby uživatelé nemuseli pročítat velké množství textu kvůli tomu, aby se dostali ke konkrétním údajům. To je možné řešit například přímým posláním odkazu na dané informace nebo například prostřednictvím vyskakovacích oken na webové stránce.
Co se týče jazykových prostředků, informace by měla být poskytnuta co možná nejjednodušším způsobem, bez složitých vět. Dále je nutné vyvarovat se abstraktních a dvojznačných pojmů a výrazů typu „moci“, „asi“ „nějaký“, „často“ a podobně. Jasné by měly být především účely a právní důvody zpracování osobních údajů.
Ludmila Dušková, IT konzultantka vedoucí server GDPRspecialist celkově pokyn zaměřený na „lidský jazyk“ vítá a vysvětluje firmám, aby se toho chopily jako příležitosti a ty texty nepsaly suše: Mohou do nich vložit šťávu, která je klientům přiblíží a ukáže, že ta deklarovaná otevřenost je jim blízká a že na klienty nešijí žádné fintičky zakuklené do nesrozumitelné právničiny. Je to dobrá příležitost pro copywritery,
dodává. Nepokoušejte se blafovat použitím krkolomných výrazů. Pište krátké věty. Použijte výrazy, jimž budou lidé rozumět. Vyhněte se abstraktním termínům nebo zavádějícím obratům. Upravte tón komunikace pro svoji cílovou skupinu,
shrnuje Eva Škorničková, nezávislá právní konzultantka ochrany osobních údajů a šéfredaktorka portálu GDPR.cz.
Informace a komunikace se subjekty by měla být primárně písemná, ale povoleny jsou i nespecifikované prostředky včetně elektronické formy. Mezi ně patří například oznámení na webových stránkách, vyskakovací okna, technologie 3D touch, dashboardy pro ochranu soukromí nebo také elektronické filmy, infografiky a kreslené diagramy. Důležité je, aby zvolená metoda odpovídala konkrétním okolnostem a způsobům, jakým spolu komunikují správce a subjekt údajů. Pokud tedy není možné využít online prohlášení nebo oznámení, je třeba přistoupit k alternativám například ve formě vytištěných prohlášení a podobně.
Na žádost subjektů údajů a za předpokladu, že je jejich totožnost ověřena jinými prostředky, se připouští také ústní poskytnutí informace. Například u osob zrakově postižených lze použít automatickou ústní informaci. Správce by však měl subjektům umožnit opětovný poslech nahraného sdělení a mít tento záznam u sebe pro případné doložení.
Mezi další možné způsoby předání informace v různých prostředích patří:
Požadavky na transparentnost platí bez ohledu na právní důvody zpracování a hlavně po celou dobu průběhu zpracování. To znamená, že transparentnost se uplatňuje v těchto etapách: před nebo při zahájení zpracovatelského cyklu (v době shromažďování dat), po celou dobu zpracování (v okamžiku, kdy dochází ke komunikaci se subjekty v souvislosti s jejich právy) a při zvláštních událostech během probíhajícího zpracování (například při změnách ve zpracování nebo při porušení zabezpečení osobních údajů).
Z hlediska načasování musí být informace poskytnuty v počáteční fázi zpracovatelského cyklu, tedy v okamžiku získání osobních údajů, když jsou získány přímo od subjektů údajů. Jedná se o tyto situace: když subjekt údajů data vědomě poskytuje správci (například vyplněním formuláře) nebo když je získává sledováním například za pomoci zařízení nebo softwaru k automatickému zachycování dat. Když jsou data získána nepřímo, tedy například od jiných správců, datových brokerů, jiných subjektů údajů nebo z veřejně přístupných zdrojů, pak musí být informace poskytnutá v „přiměřené lhůtě“, ale nejpozději do jednoho měsíce.
Nejzazší lhůtou je tedy jeden měsíc, ale lhůta může být také zkrácena, a to především ve dvou případech. Když mají být dané osobní údaje použity pro komunikaci se subjektem údajů, musí být informace předány nejpozději v okamžiku první komunikace se subjektem údajů. Podobně pokud jsou data zpřístupněna jinému příjemci, je potřeba poskytnout informace nejpozději v okamžiku prvního zpřístupnění. Podle zásad odpovědnosti musí správci odůvodnit svá rozhodnutí a doložit, proč byla informace poskytnuta právě v daném okamžiku.
V případě oznamování změn nejsou definovány časové požadavky, ale správci by měli pečlivě posoudit okolnosti a kontexty každého případu, kde je vyžadována aktualizace informací, a to vzhledem k transparentnosti a také dopadům daných změn. Když probíhá zpracování údajů trvale, správce by měl subjekty údajů opakovaně seznamovat s rozsahem zpracování, například formou upomínek na prohlášení o ochraně soukromí zasílaných v náležitých intervalech.
Podle transparentnosti mají správci z hlediska práva subjektů tři povinnosti: musí poskytnout subjektům informace o jejich právech, být v souladu s principem pravděpodobnosti při komunikaci se subjekty údajů a usnadnit subjektům údajů uplatnění jejich práv. Postup, který správce v této souvislosti zvolí k výkonu jejich práv, by měl odpovídat kontextu a povaze vztahu a především komunikaci mezi správcem a subjektem údajů.
Když jsou osobní údaje získány přímo od subjektů údaje, pak zásada odpovědnosti správce vyžaduje prokázat a doložit, jaké informace už od subjektů má, jak a kdy je obdržel a že nedošlo k žádné změně, která by je činila zastaralými. Správce tak musí tyto informace doplňovat a mít stále aktuální kompletní soubor informací.
V případě, že osobní údaje nebyly získány přímo od subjektu údajů, existuje zde více výjimek. Povinnost poskytnout údaje neplatí, ukáže-li se, že poskytnutí není možné. To se stává v případě zpracování pro účely archivace, vědeckého či historického výzkumu nebo pro statistické účely. Dále pokud by to vyžadovalo nepřiměřené úsilí nebo když by poskytnutí informací znemožnilo nebo výrazně ztížilo dosažení cílů zpracování.
Mezi další výjimky patří:
Obecným pravidlem by mělo být, že správce bude výjimky uplatňovat omezeně, a pokud se o ně chce opřít, musí doložit okolnosti, které skutečně bránily poskytnutí dané informace subjektům údajů. Pokud pominou dané okolnosti a bude tak možné podat informaci subjektům, musí to správce udělat okamžitě. V praxi nastane málo situací, kdy by správce dokázal, že není možné informovat subjekty.
GDPR přináší důvod zastavit se, promyslet strategii bezpečnosti a systému práce (na což není v běžném shonu čas) a podívat se na to očima možné obchodní příležitosti. Pro spoustu firem je tam tolik šancí na změny, na které nebyl čas, na nové marketingové strategie, na jinou komunikaci s klienty,
uzavírá Ludmila Dušková.
Autorka je redaktorkou serveru Podnikatel.cz. Články píše od 13 let, má vystudovaný obor marketingové komunikace.
Podnikatel.cz (www.podnikatel.cz)
Průvodce vaším podnikáním. ISSN 1802-8012
Copyright © 2007 – 2018 Internet Info, s.r.o. Všechna práva vyhrazena. Powered by Linux.
Při poskytování služeb nám pomáhají cookies. Používáním webu s tím vyjadřujete souhlas.