Transparentnost - GDPR

Obecné nařízení o ochraně osobních údajů 2016/679 (dále též „GDPR“) vyjmenovává obecně zásady zpracování osobních údajů, přičemž zároveň stanoví, že správce odpovídá za jejich dodržení a je povinen toto dodržení doložit. Zásady jsou z větší části rozvedeny dalšími ustanoveními GDPR. Následující text má za cíl věnovat se zásadám zákonnosti, korektnosti a transparentnosti.

GDPR, Evropské právo

Nařízení vymezuje tyto zásady v článku 5 odst. 1 písm. a) takto:

Osobní údaje musí být ve vztahu k subjektu údajů zpracovávány korektně a zákonným a transparentním způsobem („zákonnost, korektnost a transparentnost“).

Podle skupiny těchto zásad musí být zpracování zákonné, korektní a transparentní. Zákonností zpracování se má na mysli především zákonný důvod jejich zpracování, resp. účel (např. souhlas nebo zpracování nezbytné pro plnění právní povinnosti). Při výkladu korektnosti je vhodné vyjít z anglické verze GDPR, která uvádí vhodněji slovo fairness, tj. slušnost nebo spravedlnost. Právě pojem spravedlnosti se potom v textu nařízení vyskytuje i ve s pojení s transparentností.

Je však zajímavé zastavit se u zásady transparentnosti, která se týká zejména informační povinnosti správců vůči subjektům. Nařízení této zásadě dokonce věnuje celý oddíl. Při získání informací od subjektu údajů bude třeba tomuto subjektu poskytnout informace především o:

  1. totožnosti správce a kontaktní osobě
  2. případně kontaktní údaje případného pověřence pro ochranu osobních údajů (DPO)
  3. příjemci osobních údajů
  4. případném úmyslu správce předat osobní údaje do třetí země nebo mezinárodní organizaci
  5. době uložení osobních údajů
  6. existenci práva:
  • požadovat od správce přístup k osobním údajům, jejich opravu nebo výmaz,
  • požadovat omezení zpracování,
  • vznést námitku proti zpracování,
  • na přenositelnost údajů
  • podat stížnost u dozorového úřadu
  • odvolat kdykoliv souhlas se zpracováním osobních údajů
  1. skutečnosti, na jejímž základě dochází ke zpracování osobních údajů (např. souhlas)
  2. skutečnosti, že dochází k automatizovanému rozhodování, včetně profilování

S některými rozdíly je pak obdobně upraven rozsah předání informací subjektům, pokud od něj nebyly získány. Hlavními rozdíly jsou povinnost uvést zdroj osobních údajů a rozsah výjimek z povinnosti poskytovat informace. Zatímco při získání informací od subjektu existuje jediná výjimka, a to pokud již subjekt tyto informace má a jen do míry, ve které je má, tak zde se kromě této výjimky uplatní i další. Jedná se zjednodušeně o situace, kdy by poskytnutí informací nebylo možné nebo vyžadovalo nepřiměřené úsilí; kdy je získávání nebo zpřístupnění výslovně povoleno právem; nebo kdy osobní údaje musí zůstat důvěrné (služební tajemství, zákonná povinnost mlčenlivosti).

Výše uvedené informace musí být poskytnuty stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků. Dle našeho názoru tak bude třeba rozšířit poskytování informací i mimo dokument obvykle nazývaná Zásady ochrany osobních údajů, popř. tento dokument upravit do podoby, kdy bude napsaný co nejjednoduššími výrazy.

Související články

Souhlas GDPR

Obecné nařízení o ochraně osobních údajů 2016/679 (dále též „GDPR“) jako jeden ze zákonných důvodů pro zpracování některých osobních údajů získání souhlasu subjektu údajů. Protože při získávání osobních subjektů se jedná o zásah do jeho práva na soukromí, tak GDPR stanoví takové podmínky, aby si byl subjekt vědom tohoto následku.

Zobrazit více

Narušení bezpečnosti osobních údajů

Jednou z hlavních změn, kterou zavedlo Obecné nařízení o ochraně osobních údajů 2016/679 (GDPR), je povinnost ohlašovat případy, kdy dojde k narušení bezpečnosti ochrany osobních údajů (data breach).

Zobrazit více

Chcete dostávat články pravidelně na e-mail?