Evropský sbor pro ochranu osobních údajů vybral téma koordinovaných kontrolních akcí pro rok 2024. Dozorové úřady pro ochranu dat se v celé Evropské unii budou zabývat výkonem práva subjektů údajů na přístup k jejich datům a na informace o zpracování.
Jinými slovy, úřady budou kontrolovat soulad s článkem 15 obecného nařízení o ochraně osobních údajů (GDPR).
Právo na přístup k osobním údajům
Pro úplnost si shrňme, jaké právo čl. 15 GDPR subjektu údajů přiznává.
Každý má právo zeptat se konkrétní organizace, jestli zpracovává jeho osobní údaje. Organizace je povinna mu odpovědět a potvrdit, že údaje buď zpracovává nebo nezpracovává.
Pozor, zpracováním se rozumí i pouhá evidence či archivace údajů, které již nejsou dále aktivně využívány. Osobním údajem je pak podle judikatury českých i evropských soudů nutno rozumět každou informaci, kterou lze, byť s obtížemi, spojit s konkrétním člověkem.
Jaké informace musí správce poskytnout?
Pokud správce osobní údaje žadatele zpracovává, musí mu dále na jeho žádost poskytnout přístup k těmto údajům, včetně případné kopie zpracovávaných dat. A kromě toho i další informace o zpracování jako takovém, zejména o:
Účelu zpracování (proč jsou osobní údaje zpracovávány)
Kategoriích zpracovávaných údajů (jaké osobní údaje jsou zpracovávány)
Příjemcích osobních údajů, kterým údaje byly nebo budou zpřístupněny
Plánované době, po kterou správce hodlá osobní údaje uchovávat
Dalších právech dotčené osoby, zejména právu požadovat opravu či výmaz dat, právu podat námitku proti zpracováni či podat stížnost u dozorového úřadu
Pokud nejsou údaje získávány přímo od subjektu údajů, například při sjednávání smlouvy, správci musí dotčené osobě poskytnout i veškeré informace o dalších zdrojích dat
Potvrzení, zda dochází k automatizovaného rozhodování s právními důsledky pro subjekt údajů; pokud ano, tak i základní vysvětlení používaného algoritmu.
Jaká je lhůta pro vyřízení žádosti o přístup k osobním údajům?
Na vyřízení žádosti o informace o zpracování osobních údajů má správce 1 měsíc od obdržení žádosti. Tuto lhůtu může v odůvodněných případech prodloužit až o další dva měsíce. O tomto prodloužení musí žadatele předem informovat.
Kdy je legitimní lhůtu pro vyřízení žádosti prodloužit?
Podle čl. 12 odst. 3 GDPR zejména tehdy, pokud je žádost složitá nebo správce vyřizuje velké množství žádostí o uplatnění práva. Skutečnost, že žádost byla komplikovaná, například že správce musel informace vyhledávat v různých databázích a dále je upravovat, nebo že vyřizoval neobvykle vysoký počet žádostí, musí být schopen správce doložit a dokumentovat.
Pouhé tvrzení, že lhůtu pro vyřízení žádosti potřebuje prodloužit, protože jeho back-office toho má hodně, určitě nestačí.
Další GDPR požadavky na výkon práv dotčených osob
GDPR upravuje i další požadavky a pravidla pro uplatnění práva na přístup a informaci o zpracování osobních údajů.
Jedná se například o preferované komunikační kanály, povinnost správce potvrdit identitu žadatele, možnost vyřízení žádosti zpoplatnit či zamítnout nebo pravidla pro ochranu práv dalších osob, které by zpřístupněním kopie dat (např. záznamu z kamery) mohly být rovněž dotčeny.
Stížnosti, kontroly a pokuty
Pokud subjekt údajů nedostane na svoji žádost dostatečnou odpověď, správce mu informace o zpracování neposkytne včas nebo dokonce vůbec, je to obvykle důvodem k podání stížnosti na Úřad pro ochranu osobních údajů (ÚOOÚ). Počet stížností s tímto zaměřením se dlouhodobě pohybuje kolem 10 % ze všech podnětů, které ÚOOÚ obdrží. Podle výroční zprávy ÚOOÚ činily v roce 2022 stížnosti na nedostatečné vyřízení žádosti subjektů údajů celkem 8 % z stížností, v roce 2021 celkem 13 % z obdržených stížností a v roce 2020 to bylo 10 % ze všech přijatých stížností.
Co ÚOOÚ s těmito podněty a stížnostmi dělá? Pokud obsahují dostatečné podklady nasvědčující porušení GDPR, může zahájit kontrolu. Nebo rovnou správní řízení o uložení pokuty. Nevyřízení nebo pozdní či neúplné vyřízení žádosti dotčené osoby o přístup k jejím osobním údajům může být důvodem pro pokutu. V krajním případě, zejména systematického selhání nebo ignorování práv dotčených osob, hrozí pokuta až do výše 20 milionů EUR nebo 4 % z celosvětového obratu skupiny podniků, do které daný správce spadá.
Metodika EDPB upřesňuje pravidla pro právo na přístup k osobním údajům
GDPR hovoří zdánlivě jasně. Praxe ale přináší řadu specifických situací, otázek a nejasností. Je správce povinen poskytnout strojově čitelnou elektronickou kopii zpracovávaných osobních údajů, co má dělat, když při vyřizování žádosti zjistí, že zpracovává zastaralá či nepřesná data, nebo jak má reagovat na žádost rodiče o přístup k osobním údajům jeho dítěte?
Na tyto otázky, a mnoho, mnoho dalších, odpovídá metodika Evropského sboru pro ochranu osobních údajů č. 1/2022. Evropský sbor na více než 60 stranách analyzuje jak základní principy a prvky práva na přístup k osobním údajům podle GDPR, tak i související otázky a speciality. Pravda, tato metodika je v některých případech poměrně přísná, ale i tak lze očekávat, že se jí dozorové úřady, včetně našeho ÚOOÚ, i při koordinovaných kontrolách v roce 2024 budou řídit.
Promítli jste tuto metodiku do svých interních procesů? A můžete to doložit úřadu při kontrole?
Rychlá kontrola souladu s GDPR v 5 krocích
Nejste si jisti, jestli je váš postup při vyřizování žádostí o přístup k osobním údajům plně v souladu s GDPR? A jestli by obstál při kontrole ÚOOÚ?
Pro základní ověření a identifikaci slabých míst zkontrolujte těchto 5 klíčových prvků:
Jsou jednoznačně určeny komunikační kanály pro příjem žádostí o uplatnění práv podle GDPR
Zaměstnanci front-office vědí, jak mají s žádostmi o výkon práv podle GDPR zacházet
Je určen zaměstnanec či útvar, který žádosti vyřizuje, jsou nastavena pravidla pro dodržení požadavků GDPR, včetně lhůt
Dodržování interního procesu pro vyřizování podnětů subjektů údajů je kontrolováno
Je vedena evidence všech žádostí o uplatnění práv podle GDPR
Pokud je ve vaší organizaci těchto 5 základních prvků zavedeno a funguje v praxi, můžete být klidní. K systematickému porušení čl. 15 GDPR by dojít nemělo.
Jestliže je však váš postup při vyřizování žádostí subjektů údajů spíše živelný a nahodilý, bez jasně určených pravidel a odpovědností, pak je nejvyšší čas nastavit alespoň základní proces.