Obecné nařízení o ochraně osobních údajů (GDPR) klade velký důraz na transparentnost a práva subjektů údajů. Lidí, fyzických osob, jejichž údaje jsou zpracovávány. Tato práva pak svědčí všem dotčeným osobám, ať už se jedná o klienty správce, zaměstnance, účastníky výběrových řízení, zaměstnance dodavatele, osoby zachycené kamerovým systémem před vchodem do skladu atd.
V GDPR jsou výslovně upravena následující práva:
Právo na informace o zpracování osobních údajů, včetně přístupu ke kopii zpracovávaných údajů
Právo na opravu nepřesných nebo neaktuálních osobních údajů
Právo na výmaz osobních údajů (tzv. právo být zapomenut)
Právo na omezení zpracování
Právo na přenositelnost osobních údajů
Právo na námitku proti zpracování údajů
Právo napadnout automatizované rozhodnutí s právními nebo obdobnými důsledky pro dotčenou osobu
Špatné vyřizování žádostí dotčených osob u uplatnění jejich práv přitom může být sankcionováno až do výše 20 milionů EUR nebo 4 % z ročního celosvětového obratu skupiny podniků, podle toho, která částka je vyšší.
Jak vyřizovat GDPR podněty správně?
Pro koncepční zajištění, že správce bude uplatnění práv dotčených osob vyřizovat plně v souladu s GDPR, je vhodné nastavit a dokumentovat přiměřený vnitřní proces. Ten by měl obsahovat především následující prvky:
1) Vymezení kontaktů pro příjem podnětů
Správce by měl jasně definovat, jakými komunikačními kanály bude žádosti o uplatnění práv podle GDPR přijímat. Pro plný soulad s regulací by postup pro dotčené osoby měl být co nejsnadnější a nejdostupnější. O způsobech, jimiž lze žádost podat, musí také správce subjekty údajů transparentně informovat.
2) Nastavení odpovědnosti za vyřízení žádosti
Neméně důležité je určit, kdo je za faktické vyřizování požadavků subjektů údajů odpovědný. Může se jednat o jeden útvar či pozici, například o pověřence pro ochranu osobních údajů, právní oddělení či back-office. Stejně ta se může na vyřízení podnětu podílet útvarů více. Podatelna jej přijme a zaeviduje, IT poskytne požadované informace, back-office připraví a odešle odpověď.
Konkrétní nastavení provede správce tak, aby odpovídalo jeho organizačnímu uspořádání. Důležité však je odpovědnost jednotlivých útvarů jednoznačně definovat a popsat. A čas od času zkontrolovat, jestli všichni vědí, co mají dělat, a jestli postupují podle vnitřních instrukcí.
3) Vyřízení žádosti včas, správně a bezplatně
GDPR podrobně upravuje řadu dalších procesních aspektů a požadavků.
První z těchto náležitostí je lhůta. Žádost o uplatnění GDPR práva musí být vyřízena do jednoho měsíce od přijetí. Tato lhůta může být prodloužena až o další dva měsíce, ale pouze tehdy, pokud správce hodlá žádosti vyhovět a je schopen doložit, že prodloužení lhůty bylo nezbytné s ohledem na složitost a počet žádostí. V takovém případě však musí správce do jednoho měsíce subjekt údajů vyrozumět o prodloužení lhůty.
Druhým procesním aspektem je povinnost vyřizovat žádosti bezplatně, bez nároku na uhrazení nákladů nezbytných pro jejich vyřízení. Správce může po subjektu údajů náhradu těchto nákladů požadovat pouze tehdy, pokud jsou žádosti dotyčného zjevně bezdůvodné či nepřiměřené. Bezdůvodnost či nepřiměřenost však musí být správce schopen v takovémto případě doložit.
Další na řadě je povinnost správce vyrozumět klienta či zaměstnance, jehož žádosti nevyhoví, o jeho právech. Konkrétně o právu podat stížnost k Úřadu pro ochranu osobních údajů či a rovněž o právu napadnout postup správce u soudu.
4) Průběžné vedení evidence všech podnětů
Pro doložení souladu s požadavky GDPR je vhodným nástrojem vedení jednotné evidence všech přijatých a vyřízených podnětů. A to včetně jejich obsahu, času nezbytného na vyřízení a dotčených útvarů na straně správce.
Bez schopnosti zpětně doložit, kolik a jakých žádostí o uplatnění GDPR práv správce obdržel a kdy a jak je vyřídil, nelze doložit soulad s GDPR.
Ani Úřadu pro ochranu osobních údajů, ani auditu ze strany mateřské společnosti či potencionálního investora.
5) Vnitřní předpisy, dokumenty a šablony
Pro vyjasnění odpovědností jednotlivých zaměstnanců a snížení rizika, že podnět subjektu údajů zapadne a nebude vyřízen, je vhodné celý proces popsat do vnitřního předpisu. Předpisu či metodiky, se kterou budou seznámeni všichni zaměstnanci, kteří se na vyřizování podnětů budou podílet nebo se s podněty dotčených osob mohou setkat, třeba protože součástí jejich práce je komunikace se zákazníky.
Pro usnadnění a urychlení vyřízení jednotlivých žádostí je vhodné připravit i šablony odpovědí, kterými bude správce na požadavky subjektu reagovat.
6) Využijte GDPR žádosti k vylepšení vlastních procesů!
Zjistili jste při vyřizování žádosti o přístup k osobním údajům nebo o jejich výmaz, že máte nedostatečnou evidenci? Nemáte aktuální přehled, ve kterých systémech jsou osobní údaje zpracovávány? Dostatečně nefunguje proces archivace či výmazu dat? Může se jednat o velmi důležitý poznatek, proto jej využijte k vylepšení vlastních postupů! Příště se totiž nemusí ptát jenom klient, ale dozorový úřad nebo soud. Tak ať jste připraveni.
