Podľa všeobecného nariadenia o ochrane údajov (GDPR) sú organizácie, ktoré spracúvajú osobné údaje, povinné poskytovať jednotlivcom určité informácie o svojich činnostiach spracúvania údajov. Ide o tzv. informačnú povinnosť. V tomto článku sa budeme zaoberať tým, čo je informačná povinnosť, aké informácie sa musia poskytovať a ako môžu organizácie zabezpečiť splnenie tejto požiadavky.
Čo je informačná povinnosť?
Informačná povinnosť je požiadavka podľa GDPR, aby organizácie poskytovali jednotlivcom konkrétne informácie o tom, ako sa spracúvajú ich osobné údaje. Tieto informácie musia byť poskytnuté v stručnej, transparentnej a ľahko prístupnej forme s použitím jasného a jednoduchého jazyka.
Účelom informačnej povinnosti je umožniť jednotlivcom uplatňovať svoje práva na ochranu údajov a prijímať informované rozhodnutia o používaní ich osobných údajov.
Aké informácie sa musia poskytovať?
Podľa GDPR musia organizácie poskytovať jednotlivcom nasledujúce informácie:
- Totožnosť a kontaktné údaje prevádzkovateľa a prípadne zástupcu prevádzkovateľa;
- účely spracúvania;
- právny základ spracúvania;
- Ak je spracúvanie založené na oprávnených záujmoch, oprávnené záujmy, ktoré sleduje prevádzkovateľ alebo tretia strana;
- príjemcovia alebo kategórie príjemcov osobných údajov;
- prípadne skutočnosť, že prevádzkovateľ má v úmysle preniesť osobné údaje do tretej krajiny alebo medzinárodnej organizácii, a existenciu alebo neexistenciu rozhodnutia Európskej komisie o primeranosti alebo odkaz na primerané alebo vhodné záruky;
- obdobie uchovávania osobných údajov alebo, ak to nie je možné, kritériá použité na určenie obdobia uchovávania;
- existencia práva požadovať prístup, opravu, vymazanie, obmedzenie spracovania alebo namietať proti spracovaniu, ako aj práva na prenosnosť údajov;
- právo na odvolanie súhlasu, ak je spracovanie založené na súhlase;
- právo podať sťažnosť dozornému orgánu;
- či je poskytnutie osobných údajov zákonnou alebo zmluvnou požiadavkou alebo požiadavkou potrebnou na uzavretie zmluvy, ako aj o tom, či je dotknutá osoba povinná poskytnúť osobné údaje a o možných dôsledkoch neposkytnutia takýchto údajov.
Ako môžu organizácie zabezpečiť súlad?
Na zabezpečenie súladu s informačnou povinnosťou by organizácie mali zvážiť nasledujúce skutočnosti:
Preskúmať a aktualizovať oznámenia o ochrane osobných údajov a iné informácie poskytované fyzickým osobám, aby sa zabezpečilo, že sú v nich zahrnuté všetky požadované informácie a sú prezentované jasným a stručným spôsobom;
zvážiť načasovanie poskytovania informácií a zabezpečiť, aby boli poskytnuté vo vhodnom čase, napríklad pri zhromažďovaní osobných údajov alebo čo najskôr po ňom;
Zabezpečiť, aby mali fyzické osoby k informáciám ľahký prístup, napríklad ich uvedením na webovej stránke alebo v oznámení o ochrane osobných údajov;
zabezpečiť, aby boli informácie ľahko zrozumiteľné, s použitím jasného a jednoduchého jazyka, ktorý je vhodný pre cieľovú skupinu.
Informačná povinnosť je kľúčovou požiadavkou nariadenia GDPR a organizácie musia zabezpečiť, aby fyzickým osobám poskytli požadované informácie jasným a transparentným spôsobom. Revíziou a aktualizáciou svojich oznámení o ochrane osobných údajov a iných informácií poskytovaných jednotlivcom môžu organizácie zabezpečiť súlad s touto požiadavkou a umožniť jednotlivcom uplatňovať svoje práva na ochranu údajov.