Zpracování osobních údajů má svá pravidla. GDPR je zpřísňuje.
Zpracovatelé osobních údajů se musí vypořádat s požadavkem na transparentnost a
ochranu soukromí. Jak tyto dva, do jisté míry protichůdné, předpoklady splnit?
Pracovní skupina 29 (neboli WP29) vydala 12. prosince 2017 pokyny týkající se
transparentnosti ve vztahu k subjektům údajů.
Konkrétně je třeba, aby zpracovatelé osobních údajů při informování subjektů
dat ohledně ochrany jejich osobních údajů dodržovali požadavek na „stručnost,
transparentnost, srozumitelnost a snadnou dostupnost“.
Pokyny zatím nemají finální podobu, ještě v průběhu ledna 2018 je možné je
připomínkovat (e-mail, kam své podněty můžete zasílat, najdete na konci
článku). Dnes se proto zaměříme na to, co tyto pokyny říkají a zda je vůbec
možné požadavky na ochranu soukromí a transparentnost splnit.
Povinnost transparentně informovat
V souladu se zásadou odpovědnosti, kterou stanovuje článek 5.2 GDPR, musí
správce osobních údajů „prokázat, že osobní údaje jsou ve vztahu k subjektu
údajů zpracovávány transparentním způsobem“. Povinnosti týkající se
transparentnosti začínají už ve fázi shromažďování údajů a prolínají se celým
životním cyklem jejich zpracování.
I když transparentnost není v GDPR explicitně definovaná, odkazují k ní některé
články. Například článek 12 stanovuje obecná pravidla transparentnosti, která
se vztahují k poskytování informací (článek 13 až 14) a ke komunikaci se
subjekty údajů (články 15 až 22).
Klíčový pojem, s nímž WP29 ve svých pokynech pracuje, je „informační oznámení o
ochraně osobních údajů“. Zpracovatelé mají povinnost informovat subjekty údajů
o tom, jak s jejich osobními údaji nakládají. Informace jim musí být
poskytovány srozumitelně, včas a stručně.
Informační oznámení o ochraně osobních údajů nyní upravuje směrnice EU 95/46,
ale GDPR předznamenává poměrně zásadní změnu. Informační oznámení se tak s
ohledem na požadavky, které WP29 stanovila, může stát noční můrou zpracovatelů
a správců dat.
Co konkrétně pokyny pracovní skupiny WP29 říkají? A jak s nimi naložit?
Zásady poskytování informací
Nejdříve se podívejme na hlavní požadavky, které pokyny k transparentnosti obsahují.
Shrneme si je v jednotlivých bodech:
Jak se k transparentnosti postavit?
Pracovní skupina 29 připravila poměrně rozsáhlý výklad transparentnosti. Výše
jsme si shrnuli klíčové body. Nyní je čas některé z nich podrobněji rozebrat,
včetně doporučení, jak se k nim v praxi postavit.
„Stručné“oznámení o ochraně soukromí nemůže být „krátké“
WP29 ve svých pokynech uvádí následující: „Požadavek, aby poskytování informací
a komunikace s dotčenými osobami probíhaly stručně a transparentně znamená, že
správci údajů by měli informace předkládat včas a komunikovat účinně a
srozumitelně tak, aby se zabránilo tzv. únavě informací (information
fatigue).“
Pracovní skupina WP29 vypracovala dlouhý seznam obsahu, který má být do
informačního oznámení o ochraně osobních údajů zakomponovaný. Odkazuje také k
pojmům a koncepcím, jež jsou obtížně sdělitelné jasným a srozumitelným jazykem.
Jinými slovy – stručné oznámení o ochraně soukromí nemůže být ze své podstaty
krátké.
Klíčem k dosažení transparentnosti a stručnosti je zpracování vhodného formátu
oznámení o ochraně osobních údajů. WP29 odkazuje na tzv. vrstvené oznámení o
ochraně soukromí, které může být strukturováno jako velmi krátké a srozumitelné
a zároveň může odkazovat například na FAQ nebo na jiné dokumenty, v nichž bude
vše detailně rozepsáno. Vhodné je uživatelům poskytnout také hypertextový odkaz
na zásady ochrany osobních údajů v okamžiku sběru dat.
Pečlivě sledujte kategorie příjemců osobních údajů
WP29 říká následující: „Správce osobních údajů by měl poskytnout informace o
skutečných příjemcích osobních údajů. Pokud se správce údajů rozhodne
poskytnout pouze kategorie příjemců, musí být správce údajů schopen tento
přístup obhájit.“
Je pravděpodobné, že nikdo nebude zveřejňovat seznamy konkrétních příjemců
osobních údajů, ale bude odkazovat na příslušné kategorie. WP29 požaduje, aby
„informace o kategoriích příjemců byly co nejvíce konkrétní, například odkazovaly
na činnosti, odvětví nebo lokalitu.“
Uspokojivým řešením nemůže být pouze identifikace obšírných kategorií a
konstatování, že by jim „mohly“ být sdělovány osobní údaje. To by nesplnilo
požadavek na transparentnost. Proto je důležité podrobně identifikovat
kategorie příjemců a informace transponovat do informačního oznámení o ochraně
osobních údajů.
Oznámení o ochraně soukromí nemůžete rychle měnit
Ještě nyní zpracovatelé osobních údajů odkazují na webové stránky, kde je nejaktuálnější
verze oznámení o ochraně soukromí. Tento přístup ale WP29 nepovažuje za
dostatečný.
„O zásadní změně povahy zpracování (například rozšíření kategorií příjemců nebo
zavedení převodů do třetích zemí) nebo o změně, která snad není zásadní z hlediska
zpracování, ale která může mít relevantní dopad na subjekt údajů, by měly být
subjekty informovány v dostatečném předstihu, ještě před tím, než změna nabude
účinnosti, a způsob, jakým bude změna oznámena, by měl být explicitní a
efektivní, aby upoutal pozornost subjektu.“
Výše uvedené je relevantní především během přechodné fáze před datem účinnosti
GDPR, které bude vyžadovat aktualizaci všech oznámení o ochraně osobních
údajů.
S oznámením o změnách v ochraně osobních údajů lze zacházet podobně, jako jsme
tomu navyklí například u bank nebo finančních institucí, které rozesílají
zprávy o aktualizaci e-mailem. Zároveň je třeba dbát pokynů WP29 a zajistit
možnost získání souhlasu se zpracováním osobních údajů.