Menu

Právo na přístup k osobním údajům prověří připravenost na GDPR

„Důvěřuj, ale prověřuj.“ Často používané přísloví nabyde příští rok ještě větší symboliky. Důvod? Nařízení GDPR, respektive právo na přístup k osobním údajům. To je jedním ze základních pilířů nové právní úpravy a dělá z ní mocný nástroj v rukou občanů pro důslednější, transparentnější a snáze kontrolovatelné nakládání s osobními údaji.

Správci a zpracovatelé dat budou kromě kontroly ze strany dozorového orgánu pod drobnohledem veřejnosti, která se bude chtít ujistit, že jsou její často citlivé údaje patřičně zabezpečeny a nejsou zneužívány. „Jak chráníte mé osobní údaje? K čemu je využíváte? Kdo k nim má přístup?“ Podobných otázek budou do firem směřovat tisíce. Není těžké si představit, že pro někoho bude bombardování organizací dotazy zábavnou kratochvílí. Případné postihy při zanedbání povinností už ale úsměvné rozhodně nejsou. Právo na přístup subjektů k osobním údajům tak bude pověstným jazýčkem na vahách, který ukáže, zda firma přípravu na GDPR skutečně zvládla.

Odpovězte raději vždy

GDPR koncipuje právo na přístup jako výčet informací, na které má občan vůči správci nárok, přičemž se tak děje na základě žádosti podané subjektem údajů. Nejprve je každý správce povinen subjektu potvrdit, zda u něho vůbec ke zpracovávání jeho osobních údajů dochází. I když správce žádné osobní údaje žadatele neeviduje, doporučujeme na žádost stručně odpovědět, a předejít tak možným konfliktům z domnělé pasivity.

Pokud ke zpracování údajů dochází, správce musí zajistit žadateli přístup jak k těmto údajům, tak k určitým souvisejícím informacím. Mezi ty patří již dnes užívané kategorie informací, jako jsou účel zpracování, kategorie zpracovávaných osobních údajů či seznam příjemců s přístupem k údajům. Nařízení pak nově zavádí informace jako plánovaná doba uložení údajů, zda má občan právo v určitém případě požadovat od správce opravu, výmaz nebo omezení zpracování údajů či zda má právo vznést námitku proti zpracování. Správce by měl subjekt vždy informovat také o právu podat stížnost u Úřadu pro ochranu osobních údajů. Správce musí poskytnout také veškeré dostupné informace o zdrojích údajů, pokud je získal například z veřejného rejstříku.

Jsou-li údaje využívány k profilování, tedy hodnocení osobních aspektů fyzické osoby (například při žádosti o úvěr), je třeba ji informovat o použitém postupu, o významu a předpokládaných důsledcích takového zpracování. Novinkou bude i povinnost správce poskytnout žadateli kopii údajů o něm zpracovávaných, a to bezplatně.

Nově zadarmo

Bezplatnost je další změnou oproti současnému zákonu o ochraně osobních údajů, který umožňuje za poskytnutí informací vztahujících se k osobním údajům požadovat přiměřenou úhradu. GDPR stanovuje jako primární režim bezplatnost. Výjimkou jsou zjevně nedůvodné nebo nepřiměřené žádosti od totožných subjektů, které se například neustále opakují. Takové žádosti je možné zpoplatnit ve výši administrativních nákladů, či je dokonce úplně odmítnout. Správce ale musí být připraven tuto skutečnost dokázat. I proto doporučujeme s takovýmto přístupem vyčkat do doby, než se vyjasní, jaké situace budou dozorujícím úřadem a soudy považovány za legitimní.

Poplatek ve výši administrativních nákladů bude, kromě první kopie, aplikovatelný dále při žádostech o dodatečné kopie identických osobních údajů, a měl by být tedy obranou proti administrativnímu zahlcení organizace.

Elektronicky, telefonem, na papíře i ústně

Při vyřizování žádostí o přístup k údajům musejí správci pamatovat na požadavek stručnosti, transparentnosti a srozumitelnosti postupu vůči žadateli. Znamená to i používání jasných a jednoduchých jazykových prostředků, obzvlášť budou-li informace určené dítěti. Zapomeňte na složitě koncipované odpovědi, které by žadatele zahltily nesrozumitelným množstvím informací.

Žádost nemá předepsanou formu, a je tak třeba vyřizovat všechny žádosti podané elektronicky, klasickou poštou či telefonicky, ale například i osobně přímo u správce, respektive jeho zaměstnance. Byla-li žádost učiněna v elektronické formě, je ta závazná i pro správce, pokud žadatel neuvádí jinak.

Jednoduché žádosti vyřizujte bez odkladu

Žádost by měla být správcem vyřízena bez zbytečného odkladu, maximálně do jednoho měsíce od obdržení. V této době je možné žadatele informovat o nutnosti jejího prodloužení až o dva měsíce, a to z důvodu složitosti či počtu obdržených žádostí. Co bude považováno za dostatečný důvod pro prodloužení lhůty, nelze nyní s jistotou říci, a vyplatí se tak počkat na první závěry rozhodovací praxe.

Zvláště u jednodušších žádostí se správce může dostat do konfliktu s požadavkem na vyřízení bez zbytečného odkladu, tedy v řádu několika dnů, pokud by je vyřizoval až ke konci stanovené lhůty.

Štěstí přeje připraveným

V rámci práva přístupu k osobním údajům se do rukou veřejnosti dostává významný kontrolní prostředek, který může nepřipraveným organizacím zásadně znepříjemnit život. Firmy by si měly ověřit, jak rychle jsou schopny na žádosti reagovat, zda vůbec znají potřebné informace a jsou schopny v často spletitých IT strukturách všechny osobní údaje konkrétního subjektu dohledat a mít nad nimi kontrolu.

Je možné, že podobně jako se žádosti podle zákona o svobodném přístupu k informacím staly v některých případech nástrojem šikany, tak i v tomto případě může k určitým účelovým „vlnám“ žádostí zaměřených na zahlcení konkrétního správce docházet.

Frekvence žádostí není nařízením nijak upravena a lze je podávat opakovaně. Obava občanů o bezpečí jejich mnohdy citlivých údajů navíc roste a stejně tak se zvyšuje jejich právní povědomí v této oblasti. Je tedy nutné počítat s četným využíváním tohoto institutu, především pak vůči velkým korporacím či veřejnoprávním organizacím.

Co se stane, když přípravu podceníte?

V případě, kdy firma nebude mít proces vyřizování žádostí maximálně zautomatizovaný a nebude mít naprostý přehled, jaké osobní údaje zpracovává a kde se nacházejí, lze si snadno představit ochromení organizace a následné překračování lhůt k vyřízení žádostí. To povede k vleklým soudním sporům a dalšímu odčerpávání zdrojů, typicky za placení soudních nákladů protistraně, jelikož výhra v takovém sporu je takřka nemožná.

Jako nezbytnost se tedy jeví mít ve firmě vytvořený proces v podobě interní směrnice, která bude mimo jiné sloužit k pravidelnému proškolování zaměstnanců, jež budou čelit požadavkům osob při uplatňování jejich práv na přístup k informacím o nich zpracovávaným. Ruku v ruce musí každá organizace deklarovat splnění informační povinnosti formou tzv. oznámení o zpracování osobních údajů ať už na svých webových stránkách, nebo jinou vhodně zvolenou formou. Čas na přípravu na nová GDPR pravidla se neúprosně krátí, nařízení začne platit už 25. května 2018.

Mgr. Eva Škorničková
Mgr. Eva Škorničková

Jsem nezávislá právní konzultantka ochrany osobních dat a bezpečnosti IT. O obsah portálu GDPR.cz pečuji jako jeho zakladatelka a šéfredaktorka s podporou redakčního týmu. Máte-li pro nás zajímavý tip, sem s ním!


Hlavní partneři

GDPR vstoupí v účinnost za :

  dnů :   hodin :   minut :   vteřin

: 25. května 2018