Jedna z nejdůležitějších povinností, které se objevují v článku 12 a násl. nařízení Evropského parlamentu a Rady 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) – dále jen „Obecné nařízení“, je tzv. informační povinnost. Tato povinnost není zcela nová; v dosavadním zákoně č. 101/2000 Sb. , o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „zákon o ochraně osobních údajů “), byla tato povinnost uvedena v § 11 , byť v užším pojetí.
Praktické rady pro plnění informační povinnosti podle GDPR
JUDr.
Eva
Janečková
Plnění informační povinnosti bylo do současné doby velmi opomíjeno a zejména orgánům státní správy a samosprávy chybělo povědomí o existenci takové povinnosti a o nutnosti splnit ji.
Informační povinnost nabyla na důležitosti mimo jiné proto, že díky Obecnému nařízení bude posíleno postavení subjektu údajů a jeho práva. Realizace práv a vůbec
relevantní
rozhodování o parametrech zpracování je možné jen v případě, že subjekt údajů má plnou informaci podanou ve formě, které porozuměl. Teprve v takovém případě je schopen efektivně hájit svá práva.Obecné nařízení v článku 12 stanoví parametry způsobu splnění informační povinnosti, když říká, že správce má přijmout vhodná opatření, aby poskytl subjektu údajů
stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků
veškeré informace. Informace poskytne písemně nebo jinými prostředky, včetně ve vhodných případech v elektronické formě. Pokud si to subjekt údajů vyžádá, mohou být informace poskytnuty ústně, a to za předpokladu, že identita subjektu údajů je prokázána jinými způsoby. Je tedy nejen stanovena povinnost informace poskytnout, zároveň jsou uvedeny parametry poskytnutí informací.Obecné nařízení nově rozlišuje situace, kdy jsou osobní údaje získávány přímo od subjektu údajů a kdy tomu tak není.
Osobní údaje jsou získávány od subjektu údajů
Obecné nařízení uvádí, které informace je nutné subjektu údajů poskytnout vždy a které pouze za určitých okolností.
Vždy musí být subjektu údajů poskytnuty tyto informace:
a)
totožnost a kontaktní údaje správce a jeho případného zástupce,
b)
případně kontaktní údaje případného pověřence pro ochranu osobních údajů,
c)
účely zpracování a právní základ pro zpracování,
d)
oprávněné zájmy správce nebo třetí strany,
e)
případné příjemce nebo kategorie příjemců osobních údajů,
f)
případný úmysl správce předat osobní údaje do třetí země nebo mezinárodní organizaci.
Je-li to nezbytné pro zajištění spravedlivého a transparentního zpracování, je nutné dále informovat subjekt údajů o:
a)
době, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby,
b)
existenci práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz, popřípadě omezení zpracování, a vznést námitku proti zpracování, jakož i práva na přenositelnost údajů,
c)
existenci práva odvolat kdykoli souhlas,
d)
existenci práva podat stížnost u dozorového úřadu,
e)
skutečnost, zda poskytování osobních údajů je zákonným či smluvním požadavkem, nebo požadavkem, který je nutné uvést do smlouvy, a zda má subjekt údajů povinnost osobní údaje poskytnout, a ohledně možných důsledků neposkytnutí těchto údajů,
f)
skutečnost, že dochází k automatizovanému rozhodování, včetně profilování.
Osobní údaje nejsou získávány od subjektu údajů
I v případě, kdy správce nezískává osobní údaje přímo od subjektu údajů, je povinen poskytnout některé informace:
a)
totožnost a kontaktní údaje správce a případně jeho zástupce,
b)
případně kontaktní údaje případného pověřence pro ochranu osobních údajů,
c)
účely zpracování a právní základ pro zpracování,
d)
kategorie dotčených osobních údajů,
e)
případné příjemce nebo kategorie příjemců osobních údajů,
f)
případný záměr správce předat osobní údaje příjemci ve třetí zemi nebo mezinárodní organizaci.
Kromě těchto informací poskytne správce subjektu údajů tyto další informace, jsou-li nezbytné pro zajištění spravedlivého a transparentního zpracování ve vztahu k subjektu údajů:
a)
doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby,
b)
oprávněné zájmy správce nebo třetí strany v případě, že je zpracování založeno na čl. 6 odst. 1 písm. f),
c)
existence práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz anebo omezení zpracování a práva vznést námitku proti zpracování, jakož i práva na přenositelnost údajů,
d)
existence práva odvolat kdykoli souhlas,
e)
existence práva podat stížnost u dozorového úřadu,
f)
zdroj, ze kterého osobní údaje pocházejí, a případně informace o tom, zda údaje pocházejí z veřejně dostupných zdrojů,
g)
skutečnost, že dochází k automatizovanému rozhodování, včetně profilování.
Lhůta pro splnění povinnosti
Obecné nařízení zároveň uvádí lhůty, ve kterých je nutné tuto povinnost splnit:
a)
v přiměřené lhůtě po získání osobních údajů, ale nejpozději do jednoho měsíce, s ohledem na konkrétní okolnosti, za nichž jsou osobní údaje zpracovávány,
b)
nejpozději v okamžiku, kdy poprvé dojde ke komunikaci se subjektem údajů, mají-li být osobní údaje použity pro účely této komunikace, nebo
c)
nejpozději při prvním zpřístupnění osobních údajů, pokud je má v úmyslu zpřístupnit jinému příjemci.
Stejně jako v současné právní úpravě provedené zákonem č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „zákon o ochraně osobních údajů“), existuje z nutnosti plnit informační povinnost několik výjimek. Tyto výjimky však směřují jiným směrem, než je tomu v zákoně o ochraně osobních údajů. Správce nemusí informační povinnost splnit v případě:
a)
Kdy subjekt údajů již uvedené informace má.
b)
Kdy se ukáže, že poskytnutí takových informací není možné nebo by vyžadovalo nepřiměřené úsilí; to platí zejména v případě zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely s výhradou podmínek a záruk uvedených v čl. 89 odst. 1, nebo pokud je pravděpodobné, že uplatnění povinnosti uvedené v odst. 1 tohoto článku by znemožnilo nebo výrazně ztížilo dosažení cílů uvedeného zpracování. V takových případech přijme správce vhodná opatření na ochranu práv, svobod a oprávněných zájmů subjektu údajů, včetně zpřístupnění daných informací veřejnosti.
c)
Kdy je získávání nebo zpřístupnění výslovně stanoveno právem Unie nebo členského státu, které se na správce vztahuje a v němž jsou stanovena vhodná opatření na ochranu oprávněných zájmů subjektu údajů.
d)
Kdy osobní údaje musí zůstat důvěrné s ohledem na povinnost zachovávat služební tajemství upravenou právem Evropské unie nebo členského státu, včetně zákonné povinnosti mlčenlivosti.
Vzhledem k tomu, že celá řada správců osobních údajů v současné době neplní informační povinnost v dostatečné míře a mnoho správců tuto povinnost zcela opomíjí a neplní ji vůbec, bude nutné zaměřit pozornost tímto směrem, zajistit plnění této povinnosti, revidovat stávající texty, jimiž je povinnost plněna, a zajistit skutečnou transparentnost zpracování osobních údajů, jak ji požaduje Obecné nařízení.
Výše uvedené lze shrnout do následujících pravidel:
–
Informační oznámení musí být „stručné, transparentní, srozumitelné a snadno přístupné“.
Aby byly informace poskytované subjektům údajů, jež se týkají zpracování jejich osobních údajů, v souladu s Obecným nařízením, musí být jasně odlišeny od ostatních informací. –
Jazyk informačního sdělení musí být jasný a srozumitelný.
Je proto vhodné používat krátké věty a jednoduché a obvyklé výrazy. Formulace textu by měla být upravena ve vztahu k cílové skupině.–
Informace musí být poskytovány písemně nebo jiným způsobem.
Pokud je to možné, WP29 doporučuje používat elektronické vrstvené oznámení o ochraně osobních údajů. Lze využít i další elektronické prostředky. Zvolená metoda musí být vhodná pro cílového uživatele. –
Informace mohou být poskytnuty i ústně.
Lze využít i ústní informování, pokud je jasná totožnost subjektu údajů. Tato možnost se ale nevztahuje na poskytování obecných informací o ochraně osobních údajů potenciálním zákazníkům nebo uživatelům, jejichž totožnost nelze (prozatím) ověřit. –
Informace musí být poskytovány zdarma.
Je zakázáno účtovat subjektům údajů poplatky za poskytování informací o zpracování jejich osobních údajů. Poskytování informací nesmí být podmíněno vstupem do finanční transakce. –
Obsah oznámení.
Pokud jde o obsah informací, které mají být poskytovány subjektům údajů, je třeba řídit se články 13 a 14 Obecného nařízení. –
Změny v upozornění.
Transparentnost musí být dodržena v celém životním cyklu zpracovávání osobních údajů. Jakékoli změny musí být subjektu údajů včas oznámeny a vysvětleny. –
Časové požadavky.
Informace musí být subjektům údajů poskytnuty v počáteční fázi cyklu (přímé získání osobních údajů). A v případě nepřímo získaných osobních údajů musí být subjektu údajů sděleny nejpozději do jednoho měsíce.1) Při plnění informační povinnosti lze doporučit zejména:
a)
využívání hypertextových odkazů, pomocí kterých se subjekt údajů může snadno pohybovat mezi různými částmi podmínek ochrany osobních údajů,
b)
psaní jednoduchým, uživatelsky přívětivým stylem,
c)
využívání metody otázky a odpovědi,
d)
využívání vizualizací a grafik pro znázornění předávání osobních údajů třetím stranám a v dalších případech, kdy je to vhodné,
e)
vyhýbání se právnickým, technickým a dalším odborným termínům a zkratkám, které nejsou v běžné řeči standardně používány,
f)
informování subjektu údajů až v momentě, kdy je to nezbytné,
g)
využívání techniky tzv. vrstvených podmínek ochrany osobních údajů.2)
Význam textu, jímž je plněna informační povinnost, by také neměl záviset na použitých gramatických jevech. Text nesmí být psán například tak, aby existence nebo neexistence čárky před písmenem „a“ měnila celý význam textu.
V závislosti na velikosti správce a na složitosti jím prováděného zpracování je možné pro plnění informační povinnosti použít webové stránky, které jsou ideálním prostředím pro využití tzv. metody vrstvených podmínek, kdy jsou informace poskytovány postupně a kdy si subjekt údajů může vybrat, jak podrobné a jak odborné informace jsou pro něj vhodné a zajímavé.
V prostředí obcí bývají obvykle využívány tři vrstvy:
Vrstva č. 1 – obecná informace:
V této vrstvě obec jako správce uvede klíčové informace, jako je identita správce, identita pověřence či to, k čemu správce osobní údaje potřebuje, jakými základními zákony se řídí, zda jsou osobní údaje poskytovány nějakým příjemcům atd.Správce by měl vždy zhodnotit, které informace jsou klíčové k tomu, aby byl subjekt údajů dostatečně informován o tom, kdo, jak a proč bude jeho osobní údaje zpracovávat.
Zároveň musí být vždy uveden odkaz na další, podrobnější vrstvu, a to obvykle v podobě odkazů na jednotlivé odbory.
Vrstva č. 2 – informace o činnosti odborů:
Na rozdíl od první vrstvy by měla druhá vrstva obsahovat již podrobnější informace. Správce by sem měl zařadit relevantní
informace z těch, které po něm požadují sdělit článek 13 a 14 Obecného nařízení. Nemusí zde uvádět veškeré informace, nicméně neměly by být opomenuty informace, které jsou důležité pro založení rozumného očekávání ohledně zpracování. Druhá vrstva může obsahovat základní informace o úkolech jednotlivých odborů, ty mohou vyplývat z organizačního řádu, a informace o zákonech, kterými se daný útvar řídí.
Vrstva č. 3 – podrobná informace:
Plné oznámení by mělo obsahovat všechny informace o zpracování dle článků 13 a 14 Obecného nařízení. Splnění všech požadavků Obecného nařízení je obtížné. Je proto možné využít již zpracovaného materiálu, a to v podobě záznamů o činnostech. Tyto dokumenty, které obec musí vypracovat při plnění jiné povinnosti, obsahují prakticky všechny informace požadované články 13 a 14 Obecného nařízení. Přestože Obecné nařízení nepožaduje zveřejnění záznamů o činnostech zpracování, je to nejjednodušší způsob, jak zaplnit třetí vrstvu informací a poskytnout subjektu údajů opravdu vyčerpávající informace o zpracování jejich osobních údajů.Přestože se obce dosud chovaly jakoby správce, který pracuje výhradně na základě zákonů, nebyl povinen plnit informační povinnost (někdy s tvrzením, že neznalost zákona neomlouvá), z Obecného nařízení jednoznačně vyplývá, že ani obce nejsou od plnění této povinnosti osvobozeny.
*Poznámka:
Nová právní úprava v podobě nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), která nabývá účinnosti dne 25. 5. 2018.1)
Transparentnost a ochrana soukromí
[online]. 16. 1. 2018. Dostupné z: https://www.gdpr.cz/blog/transparentnost-a-ochrana-soukromi-stava-se-slozite-jeste-slozitejsim/.2) NULÍČEK, M., DONÁT, J., NONNEMANN, F., LICHNOVSKÝ, B., TOMÍŠEK, J.
GDPR. Obecné nařízení o ochraně osobních údajů. Praktický komentář.
Praha: Wolters Kluwer, 2017, 182 s.