Obecné nařízení o ochraně osobních údajů (GDPR) klade velký důraz na transparentnost a práva subjektů údajů. Lidí, fyzických osob, jejichž údaje jsou zpracovávány. Tato práva svědčí všem dotčeným osobám, ať už se jedná o klienty správce, zaměstnance, účastníky výběrových řízení, zaměstnance dodavatele, osoby zachycené kamerovým systémem před vchodem do skladu atd.
V GDPR jsou výslovně upravena tato práva:
- Právo na informace o zpracování osobních údajů, včetně přístupu ke kopii zpracovávaných údajů
- Právo na opravu nepřesných nebo neaktuálních osobních údajů
- Právo na výmaz osobních údajů (tzv. právo být zapomenut)
- Právo na omezení zpracování
- Právo na přenositelnost osobních údajů
- Právo na námitku proti zpracování údajů
- Právo napadnout automatizované rozhodnutí s právními nebo obdobnými důsledky pro dotčenou osobu
- Právo odvolat souhlas se zpracováním osobních údajů
- Právo podat stížnost u dozorového úřadu, Úřadu pro ochranu osobních údajů
Špatné vyřizování žádostí dotčených osob u uplatnění jejich práv přitom může být sankcionováno až do výše 20 milionů EUR nebo 4% z ročního celosvětového obratu skupiny podniků, podle toho, která částka je vyšší.
Nedostatečná reakce na uplatnění práva na výmaz osobních údajů již řadě správců způsobilo problémy. Včetně pokut. Jednalo se jako o větší hráče z řad globálních IT společností (příklad 1, příklad 2), tak střední či menší správce osobních údajů na národní úrovni (příklad 3, příklad 4). Ona i pokuta v řádu desítek či stovek tisíc EUR, spolu s povinností aktualizovat interní procesy a vymazat protiprávně uchovávané údaje, může být poměrně velkou komplikací.
Jak vyřizovat GDPR podněty správně?
Pro zajištění, že správce bude podněty dotčených osob k uplatnění jejich práv vyřizovat plně v souladu s GDPR, je vhodné nastavit a dokumentovat přiměřený vnitřní proces. Ten by měl obsahovat především následující prvky:
1) Vymezení kontaktů pro příjem podnětů
Správce by měl jasně definovat, jakými komunikačními kanály bude žádosti o uplatnění práv podle GDPR přijímat. Pro plný soulad s regulací by postup pro dotčené osoby měl být co nejsnadnější a nejdostupnější. O způsobech, jimiž lze žádost podat, musí také správce subjekty údajů transparentně informovat.
2) Nastavení odpovědnosti za vyřízení žádosti
Neméně důležité je určit, kdo je za faktické vyřizování požadavků subjektů údajů odpovědný. Může se jednat o jeden útvar či pozici, například pověřence pro ochranu osobních údajů, právní oddělení či back-office. Stejně tak se může na vyřízení podnětu podílet více útvarů. Podatelna podnět přijme a zaeviduje, IT poskytne požadované informace, back-office připraví a odešle odpověď.
Konkrétní nastavení provede správce tak, aby odpovídalo jeho organizačnímu uspořádání. Důležité však je odpovědnost jednotlivých útvarů jednoznačně definovat a popsat. A čas od času zkontrolovat, jestli všichni vědí, co mají dělat, a jestli postupují podle nastaveného procesu.
3) Vyřízení žádosti včas, správně a bezplatně
GDPR podrobně upravuje řadu procesních aspektů a požadavků vyřizování podnětů subjektů údajů.
První z těchto náležitostí je lhůta. Žádost o uplatnění GDPR práva musí být vyřízena do jednoho měsíce od přijetí. Tato lhůta může být prodloužena až o další dva měsíce, ale pouze tehdy, pokud správce hodlá žádosti vyhovět a je schopen doložit, že prodloužení lhůty bylo nezbytné s ohledem na složitost a počet žádostí. V takovém případě však musí správce do jednoho měsíce subjekt údajů vyrozumět o prodloužení lhůty.
Druhým procesním aspektem je povinnost vyřizovat žádosti bezplatně, bez nároku na uhrazení nákladů nezbytných pro jejich vyřízení. Správce může po subjektu údajů náhradu těchto nákladů požadovat pouze tehdy, pokud jsou žádosti dotyčného zjevně bezdůvodné či nepřiměřené. Bezdůvodnost či nepřiměřenost však musí být správce schopen doložit.
Další na řadě je povinnost správce vyrozumět klienta či zaměstnance, jehož žádosti nevyhoví, o jeho právech. Konkrétně o právu podat stížnost k Úřadu pro ochranu osobních údajů či a rovněž o právu napadnout postup správce u soudu.
4) Průběžné vedení evidence všech podnětů
Pro doložení souladu s požadavky GDPR je vhodným nástrojem vedení jednotné evidence všech přijatých podnětů. A to včetně jejich obsahu, času nezbytného na vyřízení a dotčených útvarů na straně správce.
Bez schopnosti zpětně doložit, kolik a jakých žádostí o uplatnění práv správce obdržel a jak je vyřídil, nelze doložit soulad s GDPR.
5) Vnitřní předpisy, dokumenty a šablony
Pro vyjasnění odpovědností jednotlivých zaměstnanců a snížení rizika, že podnět subjektu údajů zapadne a nebude vyřízen, je vhodné celý proces popsat do vnitřního předpisu. Předpisu či metodiky, se kterou budou seznámeni všichni zaměstnanci, kteří se na vyřizování podnětů budou podílet nebo se s podněty dotčených osob mohou setkat, třeba protože součástí jejich práce je komunikace se zákazníky.
Pro urychlení je vhodné připravit i šablony odpovědí, kterými bude správce na požadavky subjektů údajů reagovat.
6) Využijte GDPR žádosti k vylepšení vlastních procesů!
Zjistili jste při vyřizování žádosti o přístup k osobním údajům, že nemáte aktuální přehled, ve kterých systémech jsou osobní údaje zpracovávány? Dostatečně nefunguje proces archivace či výmazu dat? Může se jednat o velmi důležitý poznatek, proto jej využijte k vylepšení vlastních postupů! Příště se totiž nemusí ptát jenom klient, ale dozorový úřad nebo soud. Tak ať jste připraveni!
Diskuze k článku ()