Zvládnete se vypořádat se žádostmi osob o přístup k jejich osobním údajům?

Rozhodne o tom i fakt, nakolik se zvládnete vypořádat s žádostmi subjektů o přístup k jejich osobním údajům dle článku 15 nařízení GDPR. Podívejte se, jak může taková žádost vypadat a jaké povinnosti vám přináší.

Pokud se subjekt údajů rozhodne, že vůči vám jako správci osobních údajů využije svého práva dle čl. 15 GDPR, je možné, že vám přijde podobná žádost, jakou rozebíráme podrobněji níže. Samozřejmě můžete mít štěstí a s takovou situací se vůbec nesetkáte. Ale spoléhat se na štěstí vám nedoporučujeme. Teoreticky se na vás totiž může obrátit kdokoliv, jehož osobní údaje zpracováváte, což může být v součtu závratné číslo, které s sebou přinese ještě závratnější množství práce. Vhodnou cestou je proto si dopředu připravit vzor pro modelovou odpověď a mít přehled o údajích, které budete muset s největší pravděpodobností poskytnout. V neposlední řadě je důležité určit v organizaci osobu, která se bude vyřizování těchto žádostí soustavně věnovat. Pokud jí nebude samotný DPO, jehož kontaktní údaje musí být veřejně zpřístupněny například na webových stránkách, tak má subjekt údajů právo obrátit se se svojí žádostí přímo na statutární zástupce organizace.

V tomto příspěvku se zaměřujeme pouze na povinnost vyplývající z čl. 15 GDPR, kdy musí správce poskytnout určitá data na základě aktivní žádosti subjektu. Oblast informační povinnosti správců dle GDPR je značně širší a spadají do ní též povinnosti dle čl. 13 a 14 GDPR – ty se ovšem „aktivují“ při jiných událostech, než je žádost subjektu údajů (např. již samotným získáním osobních údajů od jejich subjektu).

Podívejte se na okomentovanou vzorovou žádost:

1. Vážení, obracím se na vás tímto ve smyslu čl. 15 Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „GDPR“) a využívám tak vůči vám, jakožto správci osobních údajů, svého práva na přístup k těmto údajům a na poskytnutí dalších informací.

• Žádost musíte vyřídit podle zásady transparentnosti – všechny informace musí být stručné (ne však nedostačující), snadno přístupné a srozumitelné, podávané za použití jasných a jednoduchých jazykových prostředků. Několikastránkový text psaný strojový jazykem (pokud není jeho rozsah odůvodněn samotným objemem vyžádaných zpracovávaných osobních údajů) tak nemusí obstát. Na to upozorňuje WP29 ve svém již schváleném vodítku k transparentnosti, které velmi detailně popisuje, jak má splnění informační povinnosti správcem vypadat.
• Určitou obranu před zneužíváním tohoto práva nabízí správcům bod 63 odůvodnění GDPR, který umožňuje požádat subjekt o specifikaci žádosti, pokud správce nakládá s velkým množstvím údajů. Ovšem až praxe ukáže, jak se k těmto „kontražádostem“ bude stavět dozorový úřad, především pak v tom, co bude považovat za velké množství informací.
• Jako správce si můžete (dle čl. 12 odst. 6 GDPR) při pochybnostech o totožnosti žadatele vyžádat dodatečné informace nezbytné k potvrzení jeho totožnosti.
• Současně k tomu nařízení v bodě 64 odůvodnění stanoví, že: „Správce by měl využít všech vhodných opatření k ověření identity subjektu údajů, který žádá o přístup, zejména v souvislosti s on-line službami a síťovými identifikátory.“ V úvahu tak připadá např. ověřený elektronický podpis žadatele.
• V případě, že osobní údaje zašlete osobě, která se vydávala za někoho jiného, vystavujete se riziku citelných sankcí – ověřování totožnosti proto nepodceňujte.

2. Současně vás žádám o vyřízení této žádosti bezodkladně, nejpozději však do jednoho měsíce od jejího obdržení.

• Jako správce osobních údajů máte na vyřízení každé žádosti maximálně jeden měsíc. Tuto lhůtu je možné s ohledem na složitost a počet žádostí prodloužit o další dva měsíce. Zatím není jasné, kolik žádostí a v jakém rozsahu bude takový stav naplňovat. Zcela jistě však bude hrát roli velikost správcovy organizace a jeho objektivní možnosti žádosti efektivně vyřídit.
• V případě prodloužení lhůty však musí být o tom žadatel informován spolu s odůvodněním.

3. V prvé řadě vás žádám o potvrzení, zda jako správce osobních údajů ve smyslu GDPR zpracováváte osobní údaje, které se mne týkají.

• Stěžejní je nejprve určení toho, zda je mezi oběma osobami vztah subjektu a správce ve smyslu GDPR. Pokud tento vztah chybí a o zpracovávání osobních údajů se nejedná, bude snadné žádost vyřídit konstatováním, že žádné osobní údaje o žadateli zpracovávány nejsou. Pozor, také o tom však musí být žadatel včas vyrozuměn (opět do jednoho měsíce).

4. Pokud tomu tak je, žádám vás dále, abyste mi bezplatně poskytli kopii těchto vámi zpracovávaných osobních údajů, a to elektronickou formou.

• Je-li žádost učiněna elektronicky, musí být touto formou i vyřízena, což se vztahuje také na samotnou formu kopie osobních údajů takto vyžádaných (pokud však není žadatelem uvedeno jinak).
• Povinnost využití běžně používané elektronické formy by mohla zatížit ty správce, kteří mají příslušné údaje například pouze v papírové verzi nebo v běžně nepoužívaném formátu a kvůli žádosti by je museli nejprve převádět.
• Poplatek zohledňující administrativní náklady za vyřízení může správce požadovat pouze v případě zjevně nedůvodné nebo nepřiměřené žádosti (opakující se či záměrně mířící na absurdní množství dat). V takovém případě může správce žádost i zcela odmítnout. Tuto variantu volte jen tehdy, pokud si dokážete svůj postup plně obhájit. Doporučujeme správcům raději vyčkat, jak se k této praxi postaví příslušné orgány a soudy.

5. V případě, že mé osobní údaje zpracováváte, vás dále žádám o poskytnutí následujících informací:

• Vedle potvrzení samotné existence zpracovávání osobních údajů a poskytnutí přístupu k nim musíte zpřístupnit také informace, které s touto činností souvisejí.

– Žádám o sdělení, které kategorie osobních údajů jsou zpracovávány.

• Správce je povinen identifikovat příslušné kategorie zpracovávaných osobních údajů a sdělit je subjektu. Konkrétní osobní údaje je třeba zobecnit a zařadit do příslušných kategorií, jako jsou: jméno, e-mail, datum narození, rodné číslo či adresa, popřípadě tzv. zvláštní kategorie osobních údajů typu citlivých osobních údajů, kterými jsou mimo jiné genetické nebo biometrické údaje.

– Žádám o sdělení, za jakým účelem osobní údaje zpracováváte.

• Pozor, aby zde nedošlo k záměně účelu zpracovávání za právní důvod pro zpracovávání. Tím se myslí oprávnění ke zpracování – například souhlas subjektu, nezbytnost pro plnění smlouvy či oprávněný zájem správce.
• Za účel zpracování se považuje důvod, pro který chcete osobní údaje zpracovávat, kvůli čemu či za jakým cílem chcete osobní údaje spravovat a pracovat s nimi. Může se jednat například o zpracování za účelem ochrany majetku a zdraví (např. kamerové systémy), shromažďování údajů o potenciálních klientech za účelem marketingového sdělení (e-mailové adresy) či zaslání objednaného zboží a provedení platby (adresa bydliště, jméno).

– Žádám o sdělení, jaká je plánovaná doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, jaká jsou kritéria použitá ke stanovení této doby.

• GDPR přesné vymezení doby uchování nestanoví a zakládá se na principu, že by taková doba měla být přiměřená účelu zpracovávání osobních údajů.
• Odůvodnění nařízení doporučuje správcům stanovit lhůty pro výmaz nebo pro pravidelný přezkum nezbytnosti uchovávání právě proto, aby se předešlo tomu, že osobní údaje budou uchovávány déle, než je nezbytné – právě takto stanovené doby či alespoň kritéria pro jejich určení je třeba subjektu na žádost sdělit.

– Žádám o sdělení, zda (a za jakých podmínek) po vás mohu požadovat opravu nebo výmaz mých osobních údajů, omezení jejich zpracovávání, popřípadě zda a jak mohu podat námitku proti zpracovávání mých osobních údajů.

• Není zatím jasné, zda bude postačovat pouhé sdělení, že subjekt takové právo vůči správci má, či zda bude potřeba složitějších „návodů“.

– Žádám o sdělení, zda (a jak) mohu podat stížnost u dozorového úřadu a kdo je tímto dozorovým úřadem.

• Informujte subjekt, že toto právo má. Úřadem, na který by se měl obrátit, bude v naprosté většině případů Úřad pro ochranu osobních údajů.

– Žádám o sdělení veškerých dostupných informací o zdroji osobních údajů, které se mne týkají, pokud nebyly získány přímo ode mě.

• Takovým zdrojem může být i některý z veřejně přístupných rejstříků, jakým je třeba obchodní rejstřík.
• Správce je povinen poskytnout především takové informace o zdroji, které jej dostatečným způsobem identifikují, tzn. název, sídlo, IČ u právnické osoby, jméno, příjmení a adresa u osoby fyzické.

– Žádám o sdělení, zda vzhledem k zpracovávání mých osobních údajů dochází rovněž k automatizovanému rozhodování, včetně profilování uvedenému v čl. 22 odst. 1 a 4 GDPR, a přinejmenším v těchto případech dále žádám o poskytnutí smysluplných informací týkajících se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro mou osobu.

• Více informací o této problematice naleznete v tomto článku.

– Žádám o sdělení, kdo jsou příjemci mých osobních údajů, popřípadě chci uvést jejich kategorie, kterým byly nebo budou zpřístupněny mé osobní údaje. Zejména pak žádám o sdělení příjemců ze třetích zemí a mezinárodních organizací, kteří měli nebo budou mít k dispozici mé osobní údaje.

• Příjemcem se myslí fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterému jsou osobní údaje poskytnuty (nebo byly poskytnuty).
• Nedoporučujeme na všechny žádosti dle tohoto bodu odpovídat univerzálním předpřipraveným seznamem všech vašich příjemců, neboť ne všichni musí být skutečně příjemcem konkrétních osobních údajů, na které směřuje dotaz žadatele.
• Správce by měl zejména poskytnout takové informace, které umožní příjemce jednoznačně identifikovat.
• Sdělení pouze kategorií příjemců lze považovat za spíše výjimečnou situaci, kterou by správce měl být schopen řádně odůvodnit.

– Zároveň žádám o poskytnutí informací ohledně záruk dle čl. 46 GDPR v případě, že se mé osobní údaje předávají do třetí země nebo mezinárodní organizaci.

• Poskytujete-li osobní údaje subjektu do třetích zemí nebo mezinárodním organizacím, informujte žadatele o všech zárukách, které v tomto ohledu dodržujete.

Bez propracovaného systému, jak se s takovou situací vypořádat, jen těžko dostojíte svým zákonným povinnostem dle GDPR. Žádosti tak mohou vaši firmu doslova paralyzovat a na základě toho může být společnost pokutována nebo subjektem údajů žalována. Neváhejte proto dopředu zjistit, jak se s takovou cvičnou žádostí váš systém vypořádá a odhalte včas jeho slabiny. Počínaje 25. květnem se začne střílet ostrými a na záchranu může být pozdě.