Informační povinnost je jedním z pilířů regulace ochrany osobních údajů. Je tomu tak mimo jiné proto, že realizace práv dotčených osob a vůbec relevantní rozhodování o parametrech zpracování je možné jen v případě, že subjekt údajů má o zpracování svých dat plnou informaci. Informaci podanou ve formě, které subjekt údajů porozuměl. Teprve v takovém případě je schopen efektivně hájit svá práva.
Jaké jsou hlavní parametry plnění informační povinnosti a nejčastější chyby, které se v praxi vyskytují?
Subjekt údajů musí informaci najít
Informační povinnost je nejčastěji plněna prostřednictvím webových stránek. Nalezení příslušných informací však často vyžaduje talent v pravdě detektivní. Jen málokdy je odkaz na informaci o zpracování osobních údajů umístěn v menu první úrovně. Často jsou zanořeny pod záložkami, kde se jen těžko hledá souvislost.
Povinnost poskytnout informace na počátku zpracování osobních údajů však vzniká automaticky, není zapotřebí žádosti subjektu údajů, a stíhá správce osobních údajů po celou dobu zpracování.
Rozumí se tím, že správce údajů musí aktivně podniknout kroky, aby přímo dodal dotčené informace subjektu údajů, nebo subjekt údajů jednoznačně navedl k jejich umístění (např. prostřednictvím přímého odkazu, použitím QR kódu atd.). Subjekt údajů nesmí být nucen složitě hledat mezi dalšími dokumenty a odkazy, například v podmínkách použití internetových stránek nebo aplikace.
Ustanovení č. 12 a násl. obecného nařízení o ochraně osobních údajů (GDPR) požadují, aby informace o zpracování osobních údajů byla subjektu údajů poskytnuta stručným, transparentním, srozumitelným a snadno přístupným způsobem. To vše za použití jasných a jednoduchých jazykových prostředků.
Proto by informace měly být umístěny na jednom místě, neměly by být rozházené na různých záložkách webových stránek.
Proč?
Protože pro subjekt údajů může být složité sledovat myšlenkové pochody tvůrce webových stránek, pochopit směr jeho myšlení a najít správnou souvislost se záložkou v menu první úrovně, pod kterou jsou informace umístěny. Z tohoto důvodu lze silně doporučit, aby byla vytvořena záložka právě v menu první úrovně. Je lhostejné, zda se jedná o menu vodorovné nebo svislé.
Pokud toto není z nějakého důvodu možné, lze umístit informace i do menu druhé úrovně. Nadřazená záložka by však měla mít logickou souvislost s poskytnutím informací o zpracování osobních údajů. A aby subjekt údajů měl co největší komfort při získávání informací, je vhodné také umístit odkaz do patičky webové stránky tak, aby webová sekce „Ochrana osobních údajů“ byla dostupná odkudkoli z celého webu.
Text obsahující informace by měl být na webových stránkách umístěn viditelně, aby nebylo nutné jej složitě dohledávat pomocí vyhledavače. Informace poskytované podle obecného nařízení o ochraně osobních údajů (GDPR) by neměly být závislé na jiném textu, měly by například být striktně oddělené od informací poskytovaných podle zákona č. 106/1999 Sb., o svobodném přístupu k informacím.
Název a obsah webové sekce
Webové stránky by tedy měly ideálně obsahovat jak samostatnou záložku s názvem „Ochrana osobních údajů“ nebo „Informace o zpracování osobních údajů“, tak odkaz v patičce webové stránky. Odkaz by měl obsahovat stejný název jako záložka v menu, tedy „Ochrana osobních údajů“.
Označení příslušného dokumentu či stránky by nemělo být pouhé „GDPR“, jak se často objevuje. Text umístěný v této sekci totiž poskytuje informace o konkrétních parametrech zpracování, které probíhá u daného správce, nikoli o GDPR jako o právním předpisu. Navíc zkratka GDPR nemusí být všem dotčeným subjektům údajů známá a srozumitelná.
Informace jako taková musí obsahovat skutečně konkrétní popis zpracování osobních údajů u daného správce. Text informace však v některých případech vypadá jako opis obecného nařízení o ochraně osobních (GDPR). Je dlouhý, obecný, pro většinu subjektu údajů nesrozumitelný a nicneříkající. V lepším případě je podaná informace konkrétní, ale dlouhá na několik stran. Nelze očekávat, že by takto dlouhý text subjekt údajů četl a že by se v něm zorientoval. Hodnota tímto způsobem poskytnuté informace je proto minimální. Takovýto postup nelze považovat za správné splnění požadavku článku 12 obecného nařízení o ochraně osobních údajů (GDPR) na stručnost a transparentnost, neboť dochází k zahlcení subjektu údajů informacemi.
Opačným extrémem je, když jsou informace o zpracování osobních údajů poskytnuty jen velmi stručně a obecně. Oblíbená jsou tvrzení, že správce osobních údajů „zpracovává osobní údaje v souladu s právními předpisy, protože mu na ochraně údajů velmi záleží,“ aniž by následně po tomto proklamativním prohlášení následovaly konkrétní informace.
Poskytujte informace jasně, srozumitelně a jednoduše
Jak plyne z výše uvedeného, už při základním nastavení procesu pro plnění informační povinnosti často dochází k chybám. Správci osobních údajů si situaci zjednodušují, informace neobsahují všechny požadované položky, často neobsahují kromě proklamativních prohlášení vůbec nic, a nezřídka jsou jen obtížně k nalezení.
Vzhledem k důležitosti principu transparentnosti, a k riziku pokut, které za porušení této povinnosti hrozí, lze doporučit, aby se správci zaměřili na správné usazení informací na webových stránkách tak, aby je subjekt údajů nemusel složitě hledat. A aby jejich prostřednictvím snadno a srozumitelně získal skutečně konkrétní informace o zpracování svých osobních dat.