Právo na přístup k osobním údajů jako pilíř GDPR
Jedním z cílů obecného nařízení o ochraně osobních údajů (GDPR) je posílit kontrolu dotčených osob nad zpracováním jejich dat. Regulace proto upravuje celou řadu práv těchto osob, subjektů údajů. V praxi zdaleka nejčastěji je využívané právo na přístup k osobním údajům podle čl. 15 GDPR. Je to pochopitelné, protože subjekt údajů potřebuje nejprve zjistit, jestli správce jeho osobní údaje vůbec zpracovává a jaká data o něm má k dispozici, aby mohl efektivně uplatnit další práva, např. právo na opravu, na výmaz údajů atd.
Jaké informace musí správce subjektu údajů poskytnout? Právo na přístup v sobě zahrnuje:
- Potvrzení, zda správce osobní údaje žadatele zpracovává či nikoliv
- Specifikaci zpracovávaných osobních údajů a účelů zpracování
- Sdělení, komu osobní údaje byly nebo budou zpřístupněny (příjemci osobních údajů)
- Plánovanou dobu uchování osobních údajů
- Informace o dalších právech subjektu údajů, např. právu na opravu dat, právo námitku proti zpracování, na stížnost k dozorovému úřadu atd.
- Informace o zdroji dat
- Informace o tom, zda dochází k automatizovanému zpracování osobních údajů, včetně profilování subjektů údajů
- Pokud o to subjekt údajů požádá, tak i kopii zpracovávaných dat.
A to vše ve lhůtě 30 dní, kterou lze v odůvodněných případech prodloužit až o další 2 měsíce.
Co když to správce nestihne, nebo když žádost vyřídí neúplně? Hrozí mu pokuta až 20 milionů EUR nebo 4 % z ročního obratu skupiny podniků, do které patří. Dozorové úřady se nezdráhají pokuty za nedostatečnou realizaci práva subjektu údajů na přístup rozdávat, jak nám ukazují příklady z Belgie či Rakouska nebo i praxe českého Úřadu pro ochranu osobních údajů.
Postupujete v souladu s pokyny Evropského sboru k právu na přístup?
Pravidla pro uplatnění práva na přístup k osobním jsou relativně jednoduchá, ale praxe řeší řadu otázek, nejasností a výkladových sporů. Evropský sbor pro ochranu osobních údajů pro usnadnění výkladu čl. 15 vydal metodický pokyn č. 1/2022. Zde na pouhých šedesátí stránkách upřesňuje, jak má být právo na přístup realizováno, jak se počítají lhůty, kdy může správce za vyřízení žádosti požadovat od subjektu údajů úhradu nákladů atd.
Jste si jistí, že postupuje plně v souladu s těmito pokyny? Evropské dozorové úřady pro ochranu osobních údajů si tak jisté nebyly. Proto v roce 2024 uskutečnily koordinovanou kontrolní a monitorovací akci zaměřenou právě na výkon práva na přístup k osobním údajům.
Jak to dopadlo?
V souhrnné zprávě Evropského sboru pro ochranu osobních údajů je identifikováno 7 opakujících se chyb při realizaci tohoto práva. Zpráva také obsahuje základní doporučení, jak dotyčným chybám předejít. Podíváme se na to zblízka.
7 kroků k souladu s GPDR
Chyba první: Nejasně nastavený proces pro vyřizování žádostí subjektů údajů
Správci často nevědí, v jakém rozsahu a jakým způsobem jsou žádosti o přístup k osobním údajům povinni přijímat a vyřizovat. Z toho plynou chyby, zejména neposkytnutí všech osobních údajů, které správce o žadateli zpracovává.
Jak se této chybě vyhnout?
Vyjasnit si, například s využitím záznamů o činnostech zpracování vedených podle čl. 30 GDPR, jaké kategorie osobních údajů o jednotlivých kategoriích subjektů správce vede, v jakých informačních systémech, za jakým účelem a po jakou dobou je uchovává. Pokud jsou záznamy úplné a aktuální, nemělo by vyřízení konkrétní žádosti o přístup k osobním údajům představovat zásadní problém.
Chyba druhá: Nejasné nebo příliš dlouhá doba pro uchování žádostí a odpovědí
Žádosti o přístup k osobním údajům a odpovědi na ně obsahují osobní údaje. Proto je nutné nastavit dobu, po kterou budou správcem uchovávány a po jejímž uplynutí budou vymazány. V praxi však má s tímto požadavkem nemálo správců problémy, resp. dobu uchování buď nenastaví vůbec nebo ji definuje jako nepřiměřeně dlouhou.
Co s tím?
Odpověď je zdánlivě jednoduchá: Nastavit dobu uchování žádostí o přístup a související komunikace se subjekty údajů. Ale jak, podle čeho? ÚOOÚ v příloze shrnující poznatky jednotlivých národních úřadů odkazuje na promlčecí lhůtu pro přestupek, která činí 3 roky. Uchování komunikace se subjektem údajů po tuto dobu je tedy plně legitimní k ochraně práv správce v případném sporu.
Chyba třetí: Neexistence interního procesu pro vyřízení podnětu subjektu údajů
Řada správců nemá jasně definovaný proces pro příjem, zpracování, vyřízení a evidenci žádostí subjektů údajů o uplatnění jejich práv. To může vést k tomu, že žádosti budou vyřízeny pozdě, neúplně nebo vůbec.
Tuto chybu lze také poměrně jednoduše odstranit: S ohledem na používané komunikační kanály, organizační struktury a praxi správce definovat a jasně popsat způsob, jakým může subjekt údajů svoji žádost podat, vymezit, kdo je za její přijetí a zpracování odpovědný, upravit vhodné zapojení pověřence pro ochranu osobních údajů, pokud byl u správce jmenován, a rozhodnout, kdo a jak bude tuto komunikaci evidovat.
Chyba čtvrtá: Překážky pro uplatnění práva na přístup
Správci jsou povinni subjektu údajů výkon jeho práv usnadnit. Aktivně hledat cesty, jak by mohl subjekt údajů bez mimořádného úsilí požádat o informaci o zpracování svých osobních údajů nebo o jejich aktualizaci. Pokud to správci nečiní, resp. pokud spíše subjektu údajů stavějí do cesty překážky, například ve formě nejasných nebo nedostupných informací, extenzivních požadavků nebo nepřiměřených poplatků, dopouštějí se také porušení GDPR.
Správce musí výkon práv subjektu údajů usnadnit
Vědí vaši klienti či zaměstnanci, jakým kanálem (e-mail, telefon, osobní kontakt) mohou svoji žádost uplatnit? Poskytujete k tomu dostatečné informace, pomoc a nástroje? Nevyžadujete další a další potvrzení, upřesnění či identifikační údaje, jen abyste žadatele tak trochu odradili? Pak by vám podobný kontrolní nález hrozit neměl.
Chyba pátá: Příliš široký výklad výjimek z práva na přístup
Každé právo má své limity. Hranice. Platí to i pro právo na přístup k osobní údajům. GDPR toto právo omezuje zejména v případě, kdy by poskytnutí informací nebo zpracovávaných osobních údajů mohlo zasáhnout do práv třetích osob. Například záznam z kamery, který klient požaduje zpřístupnit, zachycuje i další zákazníky, na jejichž údaje nemá náš žadatel nárok.
Jak tato omezení uplatnit správně? Dozorové úřady doporučují každou žádost posuzovat individuálně a vyvarovat se formálního či příliš obecného přístupu, který může vést k omezení práva na přístup i tam, kde to není nutné.
Chyba šestá: Správce požaduje nadbytečná upřesnění žádosti
GDPR zavádí tzv. vrstvený přístup pro poskytování informací (layered approach). Správce v první fázi poskytne základní informace o zpracování dat a odkaz na detailnější přehled. A pak je na subjektu, zda si další informace vyžádá. Platí to jak pro aktivní poskytování informací podle čl. 13 a 14 GDPR, tak pro reakci na žádost subjektu údajů podle čl. 15 GDPR. Zpráva o společné kontrole ovšem konstatuje, že někteří správci tento přístup využívají značně kreativně a zatěžují subjekty dalšími a dalšími žádosti o upřesnění, jaké že informace vlastně požadují. Cíl je jasný, nemuset informace v plném rozsahu poskytnout.
Je jistě vhodné a fér požádat subjekt údajů, aby nejasně formulovanou žádost datům upřesnil. Ale, jak nám říkají evropské dozorové úřady, nic se nemá přehánět. A pokud je z obsahu žádosti jasné, co subjekt požaduje, správce by měl informace bez zbytečného odkladu poskytnout.
Chyba sedmá: Poskytování neúplných nebo příliš obecných informací
Dohledání všech osobních údajů, které správce o žadateli zpracovává, nemusí být úplně snadné. Proto se někteří správci snaží žadatele odbýt obecnými nebo neúplnými informacemi. Skutečným extrémem pak je, když správce uvádí vysloveně nepravdivá tvrzení, například že osobní údaje vůbec nezpracovává. Asi není třeba dodávat, že v tomto případě se jedná o zásadní porušení práv subjektů údajů a správce riskuje pokutu za jednoznačné porušení GDPR.
Chcete se této chybě vyhnout? Vyjasněte si, jaké kategorie údajů v jednotlivých procesech zpracováváte (viz první chyba), nastavte proces pro řádné a úplné vyřízení žádosti (třetí chyba) a neklaďte subjektu údajů zbytečné překážky k uplatnění jeho práv (chyba čtvrtá, pátá a šestá). A všechno bude v pořádku.