Hlavní navigace

Jak je to s GDPR a transparentností?

Jana Langerová

S nařízením GDPR se váží povinnosti transparentního zpracování osobních údajů. Jaké jsou v této souvislosti pokyny?

Doba čtení: 7 minut

Pokyny týkající se transparentnosti podle GDPR (Nařízení 2016/679) vydala Pracovní skupina pro ochranu údajů zřízená podle článku 29. Tyto pokyny jsou oficiální, ještě v lednu bylo možné je připomínkovat, ale je dobré se s nimi seznámit a být připraven ještě před jejím schválením. 

Transparentnost má navozovat důvěru občanů vůči postupům, které na ně mohou mít vliv, a to tak, že jim umožní jim porozumět a případně vznést námitku. Subjekty dále mají možnost volat správce k odpovědnosti a mít kontrolu nad svými osobními údaji poskytnutím nebo odvoláním informovaného souhlasu nebo například prosazováním svých práv právní cestou. Transparentnost dále souvisí se zásadami korektnosti při zpracování osobních údajů podle Listiny základních práv Evropské unie a především se váže ke korektnosti a principům zodpovědnosti v GDPR.

Transparentnost podle GDPR je povinnost týkající se těchto hlavních oblastí:

  • informování subjektů údajů ohledně spravedlivého zpracování, 
  • jak správci komunikují se subjekty údajů v souvislosti s jejich právy podle obecného nařízení, 
  • jak správci napomáhají subjektům údajů při výkonu jejich práv.

Komunikace musí být stručná, transparentní, srozumitelná a snadno přístupná

Zejména podle článku 12 musí být předmětná informace nebo komunikace v souladu s následujícími pravidly:

  • Musí být stručná, transparentní, srozumitelná a snadno přístupná.
  • Musí být použity jasné a srozumitelné jazykové prostředky.
  • Požadavek jasného a srozumitelného jazyka je zejména důležitý, jde-li o informace dětem.
  • Musí být písemná „nebo jinými prostředky, včetně ve vhodných případech v elektronické formě“.
  • Na žádost subjektu údajů může být ústní.
  • Musí být poskytnuta zdarma.

Správce by měli podávat informace a vést komunikaci především účinně a zhuštěně, tedy tak, aby nebyl problém dané texty přečíst. Informace dále musejí být srozumitelné, tedy pochopitelné pro průměrnou osobu v cílové skupině. Zde nastává pro správce povinnost definovat cílovou skupinu a podle ní pak zajistit srozumitelnost takzvaně na míru těmto uživatelům. To je obzvlášť důležité tam, kde zboží nebo služby využívají děti. V tomto případě by správce měl zajistit, aby tomu slovník, tón a styl jazyka odpovídal a aby dětský adresát poznal, že je zpráva určená jemu. 

Snadnou přístupností se rozumí, že by uživatelé neměli informace hledat, ale mělo by být zřejmé, kde se k nim můžou dostat. Navíc by měly být jasně odlišeny od dalších informací, aby uživatelé nemuseli pročítat velké množství textu kvůli tomu, aby se dostali ke konkrétním údajům. To je možné řešit například přímým posláním odkazu na dané informace nebo například prostřednictvím vyskakovacích oken na webové stránce.  

Co se týče jazykových prostředků, informace by měla být poskytnuta co možná nejjednodušším způsobem, bez složitých vět. Dále je nutné vyvarovat se abstraktních a dvojznačných pojmů a výrazů typu „moci“, „asi“ „nějaký“, „často“ a podobně. Jasné by měly být především účely a právní důvody zpracování osobních údajů.  

Ludmila Dušková, IT konzultantka vedoucí server GDPRspecialist celkově pokyn zaměřený na „lidský jazyk“ vítá a vysvětluje firmám, aby se toho chopily jako příležitosti a ty texty nepsaly suše: Mohou do nich vložit šťávu, která je klientům přiblíží a ukáže, že ta deklarovaná otevřenost je jim blízká a že na klienty nešijí žádné fintičky zakuklené do nesrozumitelné právničiny. Je to dobrá příležitost pro copywritery, dodává. Nepokoušejte se blafovat použitím krkolomných výrazů. Pište krátké věty. Použijte výrazy, jimž budou lidé rozumět. Vyhněte se abstraktním termínům nebo zavádějícím obratům. Upravte tón komunikace pro svoji cílovou skupinu, shrnuje Eva Škorničková, nezávislá právní konzultantka ochrany osobních údajů a šéfredaktorka portálu GDPR.cz.

Formy předání informace 

Informace a komunikace se subjekty by měla být primárně písemná, ale povoleny jsou i nespecifikované prostředky včetně elektronické formy. Mezi ně patří například oznámení na webových stránkách, vyskakovací okna, technologie 3D touch, dashboardy pro ochranu soukromí nebo také elektronické filmy, infografiky a kreslené diagramy. Důležité je, aby zvolená metoda odpovídala konkrétním okolnostem a způsobům, jakým spolu komunikují správce a subjekt údajů. Pokud tedy není možné využít online prohlášení nebo oznámení, je třeba přistoupit k alternativám například ve formě vytištěných prohlášení a podobně.  

Na žádost subjektů údajů a za předpokladu, že je jejich totožnost ověřena jinými prostředky, se připouští také ústní poskytnutí informace. Například u osob zrakově postižených lze použít automatickou ústní informaci. Správce by však měl subjektům umožnit opětovný poslech nahraného sdělení a mít tento záznam u sebe pro případné doložení. 

Mezi další možné způsoby předání informace v různých prostředích patří: 

  • Papírový výtisk například při uzavírání smluv korespondenčně: písemná vysvětlení, letáky, informace ve smluvní dokumentaci, komiksy, infografika, procesní diagramy .
  • Telefon: ústní vysvětlení skutečnou osobou umožňující vzájemnou komunikaci a předem nahrané informace s možností opětovného poslechu.
  • Chytrá technologie bez obrazovky/internet věcí, jako je analytika pro wifi sledování: ikony, QR kódy, hlasová upozornění, písemné informace zapracované do tištěných instrukcí pro instalaci nebo videa zakomponovaná do digitální instalační příručky, písemné informace o chytrém zařízení, zprávy zasílané jako SMS nebo e-mail, viditelně umístěné vývěsky s informací, veřejné nápisy, veřejné informační kampaně. 
  • Osobní kontakt, např. reakce na průzkum mínění nebo osobní registrace pro službu: ústní vysvětlení, písemná vysvětlení poskytnutá ve fyzickém nebo elektronickém formátu.
  • Kamerové záznamy (i z dronů): viditelné tabule s informací, veřejné nápisy, veřejné informační kampaně, oznámení v novinách nebo jiných médiích. 

Oznamování a čas

Požadavky na transparentnost platí bez ohledu na právní důvody zpracování a hlavně po celou dobu průběhu zpracování. To znamená, že transparentnost se uplatňuje v těchto etapách: před nebo při zahájení zpracovatelského cyklu (v době shromažďování dat), po celou dobu zpracování (v okamžiku, kdy dochází ke komunikaci se subjekty v souvislosti s jejich právy) a při zvláštních událostech během probíhajícího zpracování (například při změnách ve zpracování nebo při porušení zabezpečení osobních údajů).  

Z hlediska načasování musí být informace poskytnuty v počáteční fázi zpracovatelského cyklu, tedy v okamžiku získání osobních údajů, když jsou získány přímo od subjektů údajů. Jedná se o tyto situace: když subjekt údajů data vědomě poskytuje správci (například vyplněním formuláře) nebo když je získává sledováním například za pomoci zařízení nebo softwaru k automatickému zachycování dat. Když jsou data získána nepřímo, tedy například od jiných správců, datových brokerů, jiných subjektů údajů nebo z veřejně přístupných zdrojů, pak musí být informace poskytnutá v „přiměřené lhůtě“, ale nejpozději do jednoho měsíce. 

Nejzazší lhůtou je tedy jeden měsíc, ale lhůta může být také zkrácena, a to především ve dvou případech. Když mají být dané osobní údaje použity pro komunikaci se subjektem údajů, musí být informace předány nejpozději v okamžiku první komunikace se subjektem údajů. Podobně pokud jsou data zpřístupněna jinému příjemci, je potřeba poskytnout informace nejpozději v okamžiku prvního zpřístupnění. Podle zásad odpovědnosti musí správci odůvodnit svá rozhodnutí a doložit, proč byla informace poskytnuta právě v daném okamžiku.  

V případě oznamování změn nejsou definovány časové požadavky, ale správci by měli pečlivě posoudit okolnosti a kontexty každého případu, kde je vyžadována aktualizace informací, a to vzhledem k transparentnosti a také dopadům daných změn. Když probíhá zpracování údajů trvale, správce by měl subjekty údajů opakovaně seznamovat s rozsahem zpracování, například formou upomínek na prohlášení o ochraně soukromí zasílaných v náležitých intervalech. 

Povinnosti správců a výjimky

Podle transparentnosti mají správci z hlediska práva subjektů tři povinnosti: musí poskytnout subjektům informace o jejich právech, být v souladu s principem pravděpodobnosti při komunikaci se subjekty údajů a usnadnit subjektům údajů uplatnění jejich práv. Postup, který správce v této souvislosti zvolí k výkonu jejich práv, by měl odpovídat kontextu a povaze vztahu a především komunikaci mezi správcem a subjektem údajů. 

Ptejte se odborníka v poradně GDPR po praktické stránce
Ing. Kamil Beránek
poradce pro GDPR

Když jsou osobní údaje získány přímo od subjektů údaje, pak zásada odpovědnosti správce vyžaduje prokázat a doložit, jaké informace už od subjektů má, jak a kdy je obdržel a že nedošlo k žádné změně, která by je činila zastaralými. Správce tak musí tyto informace doplňovat a mít stále aktuální kompletní soubor informací.  

V případě, že osobní údaje nebyly získány přímo od subjektu údajů, existuje zde více výjimek. Povinnost poskytnout údaje neplatí, ukáže-li se, že poskytnutí není možné. To se stává v případě zpracování pro účely archivace, vědeckého či historického výzkumu nebo pro statistické účely. Dále pokud by to vyžadovalo nepřiměřené úsilí nebo když by poskytnutí informací znemožnilo nebo výrazně ztížilo dosažení cílů zpracování.

Mezi další výjimky patří: 

WT 100 tip v článku hlavy

  • Poskytnutí takových informací není možné nebo by vyžadovalo nepřiměřené úsilí nebo by znemožnilo či výrazně ztížilo dosažení cílů daného zpracování;
  • Správce je subjektem práva členského státu nebo Unie, které získávání nebo zpřístupnění osobních údajů stanoví a současně stanoví i vhodná opatření na ochranu oprávněných zájmů subjektu údajů; 
  • Povinnost zachovávat služební tajemství (včetně zákonné povinnosti mlčenlivosti) upravenou právem členského státu nebo Unie znamená, že osobní údaje musí zůstat důvěrné. 

Obecným pravidlem by mělo být, že správce bude výjimky uplatňovat omezeně, a pokud se o ně chce opřít, musí doložit okolnosti, které skutečně bránily poskytnutí dané informace subjektům údajů. Pokud pominou dané okolnosti a bude tak možné podat informaci subjektům, musí to správce udělat okamžitě. V praxi nastane málo situací, kdy by správce dokázal, že není možné informovat subjekty.

GDPR přináší důvod zastavit se, promyslet strategii bezpečnosti a systému práce (na což není v běžném shonu čas) a podívat se na to očima možné obchodní příležitosti. Pro spoustu firem je tam tolik šancí na změny, na které nebyl čas, na nové marketingové strategie, na jinou komunikaci s klienty, uzavírá Ludmila Dušková.