Transparentnost a ochrana soukromí

Zpracování osobních údajů má svá pravidla. GDPR je zpřísňuje. Zpracovatelé osobních údajů se musí vypořádat s požadavkem na transparentnost a ochranu soukromí. Jak tyto dva, do jisté míry protichůdné, předpoklady splnit?

Pracovní skupina 29 (neboli WP29) vydala 12. prosince 2017 pokyny týkající se transparentnosti ve vztahu k subjektům údajů. 

Konkrétně je třeba, aby zpracovatelé osobních údajů při informování subjektů dat ohledně ochrany jejich osobních údajů dodržovali požadavek na „stručnost, transparentnost, srozumitelnost a snadnou dostupnost“. 

Pokyny zatím nemají finální podobu, ještě v průběhu ledna 2018 je možné je připomínkovat (e-mail, kam své podněty můžete zasílat, najdete na konci článku). Dnes se proto zaměříme na to, co tyto pokyny říkají a zda je vůbec možné požadavky na ochranu soukromí a transparentnost splnit.

Povinnost transparentně informovat

V souladu se zásadou odpovědnosti, kterou stanovuje článek 5.2 GDPR, musí správce osobních údajů „prokázat, že osobní údaje jsou ve vztahu k subjektu údajů zpracovávány transparentním způsobem“. Povinnosti týkající se transparentnosti začínají už ve fázi shromažďování údajů a prolínají se celým životním cyklem jejich zpracování. 

I když transparentnost není v GDPR explicitně definovaná, odkazují k ní některé články. Například článek 12 stanovuje obecná pravidla transparentnosti, která se vztahují k poskytování informací (článek 13 až 14) a ke komunikaci se subjekty údajů (články 15 až 22). 

Klíčový pojem, s nímž WP29 ve svých pokynech pracuje, je „informační oznámení o ochraně osobních údajů“. Zpracovatelé mají povinnost informovat subjekty údajů o tom, jak s jejich osobními údaji nakládají. Informace jim musí být poskytovány srozumitelně, včas a stručně. 

Informační oznámení o ochraně osobních údajů nyní upravuje směrnice EU 95/46, ale GDPR předznamenává poměrně zásadní změnu. Informační oznámení se tak s ohledem na požadavky, které WP29 stanovila, může stát noční můrou zpracovatelů a správců dat. 

Co konkrétně pokyny pracovní skupiny WP29 říkají? A jak s nimi naložit?

Zásady poskytování informací

Nejdříve se podívejme na hlavní požadavky, které pokyny k transparentnosti obsahují. Shrneme si je v jednotlivých bodech: 

• Informační oznámení musí být „stručné, transparentní, srozumitelné a snadno přístupné“. Aby byly informace poskytované subjektům údajů, jež se týkají zpracování jejich osobních údajů, v souladu s nařízením, musí být jasně odlišeny od ostatních informací. Nesnažte se proto informace jakkoli skrývat. Buďte otevření. WP29 doporučuje tzv. vrstvení informací (viz níže).
• Jazyk informačního sdělení musí být jasný a srozumitelný. Nepokoušejte se blafovat použitím krkolomných výrazů. Pište krátké věty. Použijte výrazy, jimž budou lidé rozumět. Vyhněte se abstraktním termínům nebo zavádějícím obratům. Upravte tón komunikace pro svoji cílovou skupinu.
• Informace musí být poskytovány písemně nebo jiným způsobem. Pokud máte webovou stránku, WP29 doporučuje používat elektronické vrstvené oznámení o ochraně osobních údajů. Využít můžete i další elektronické prostředky, včetně upozornění, jako jsou například „vyskakovací“ okna. Zvolená metoda musí být vhodná pro vašeho uživatele.
• Informace mohou být poskytnuty i ústně. Lze využít i ústní informování, pokud je jasná totožnost subjektu údajů. Tato možnost se ale nevztahuje na poskytování obecných informací o ochraně osobních údajů potenciálním zákazníkům nebo uživatelům, jejichž totožnost nelze (prozatím) ověřit.
• Informace musí být poskytovány zdarma. Je zakázáno účtovat subjektům údajů poplatky za poskytování informací o zpracování jejich osobních údajů. Poskytování informací nesmí být podmíněno vstupem do finanční transakce.
• Obsah oznámení. Pokud jde o obsah informací, které mají být poskytovány subjektům údajů, je třeba řídit se články 13 a 14 GDPR a přílohou pokynů. Tyto dokumenty obsahují seznam kategorií informací, jež musí být v oznámení uvedeny.
• Změny v upozornění. Transparentnost musí být dodržena v celém životním cyklu zpracovávání osobních údajů. Jakékoli změny musí být subjektu údajů včas oznámeny a vysvětleny.
• Časové požadavky. Informace musí být subjektům údajů poskytnuty v počáteční fázi cyklu (přímé získání osobních údajů). A v případě nepřímo získaných osobních údajů musí být subjektu údajů sděleny nejpozději do 1 měsíce.

Jak se k transparentnosti postavit?

Pracovní skupina 29 připravila poměrně rozsáhlý výklad transparentnosti. Výše jsme si shrnuli klíčové body. Nyní je čas některé z nich podrobněji rozebrat, včetně doporučení, jak se k nim v praxi postavit. 

„Stručné“oznámení o ochraně soukromí nemůže být „krátké“ 
WP29 ve svých pokynech uvádí následující: „Požadavek, aby poskytování informací a komunikace s dotčenými osobami probíhaly stručně a transparentně znamená, že správci údajů by měli informace předkládat včas a komunikovat účinně a srozumitelně tak, aby se zabránilo tzv. únavě informací (information fatigue).“ 

Pracovní skupina WP29 vypracovala dlouhý seznam obsahu, který má být do informačního oznámení o ochraně osobních údajů zakomponovaný. Odkazuje také k pojmům a koncepcím, jež jsou obtížně sdělitelné jasným a srozumitelným jazykem. Jinými slovy – stručné oznámení o ochraně soukromí nemůže být ze své podstaty krátké. 

Klíčem k dosažení transparentnosti a stručnosti je zpracování vhodného formátu oznámení o ochraně osobních údajů. WP29 odkazuje na tzv. vrstvené oznámení o ochraně soukromí, které může být strukturováno jako velmi krátké a srozumitelné a zároveň může odkazovat například na FAQ nebo na jiné dokumenty, v nichž bude vše detailně rozepsáno. Vhodné je uživatelům poskytnout také hypertextový odkaz na zásady ochrany osobních údajů v okamžiku sběru dat. 

Pečlivě sledujte kategorie příjemců osobních údajů 
WP29 říká následující: „Správce osobních údajů by měl poskytnout informace o skutečných příjemcích osobních údajů. Pokud se správce údajů rozhodne poskytnout pouze kategorie příjemců, musí být správce údajů schopen tento přístup obhájit.“ 

Je pravděpodobné, že nikdo nebude zveřejňovat seznamy konkrétních příjemců osobních údajů, ale bude odkazovat na příslušné kategorie. WP29 požaduje, aby „informace o kategoriích příjemců byly co nejvíce konkrétní, například odkazovaly na činnosti, odvětví nebo lokalitu.“ 

Uspokojivým řešením nemůže být pouze identifikace obšírných kategorií a konstatování, že by jim „mohly“ být sdělovány osobní údaje. To by nesplnilo požadavek na transparentnost. Proto je důležité podrobně identifikovat kategorie příjemců a informace transponovat do informačního oznámení o ochraně osobních údajů. 

Oznámení o ochraně soukromí nemůžete rychle měnit 
Ještě nyní zpracovatelé osobních údajů odkazují na webové stránky, kde je nejaktuálnější verze oznámení o ochraně soukromí. Tento přístup ale WP29 nepovažuje za dostatečný. 

„O zásadní změně povahy zpracování (například rozšíření kategorií příjemců nebo zavedení převodů do třetích zemí) nebo o změně, která snad není zásadní z hlediska zpracování, ale která může mít relevantní dopad na subjekt údajů, by měly být subjekty informovány v dostatečném předstihu, ještě před tím, než změna nabude účinnosti, a způsob, jakým bude změna oznámena, by měl být explicitní a efektivní, aby upoutal pozornost subjektu.“ 

Výše uvedené je relevantní především během přechodné fáze před datem účinnosti GDPR, které bude vyžadovat aktualizaci všech oznámení o ochraně osobních údajů. 

S oznámením o změnách v ochraně osobních údajů lze zacházet podobně, jako jsme tomu navyklí například u bank nebo finančních institucí, které rozesílají zprávy o aktualizaci e-mailem. Zároveň je třeba dbát pokynů WP29 a zajistit možnost získání souhlasu se zpracováním osobních údajů.