Pár slov k informačnej povinnosti podľa Nariadenia GDPR

Napriek všeobecne rozšírenému názoru, že GDPR stanovuje rozsiahly a zaťažujúci balík povinností pre všetkých podnikateľov, ktorí akýmkoľvek spôsobom spracúvajú osobné údaje, Nariadenie GDPR je koncipované predovšetkým ako balík „žiadaných výsledkov“. Stanovuje teda síce rôzne povinnosti, nestanovuje však, ako presne sa tieto povinnosti musia naplniť.

 

Táto situácia sa môže zdať na prvý pohľad pomerne neprehľadná a nejasná, najmä v našich pomeroch, kde je väčšina subjektov zvyknutá na jasné pokyny a formálne plnenie povinností typu „vytlačím si x kópií a založím si ich do tohto šanónu, inak dostanem pokutu“, umožňuje však zároveň rôzne interpretácie a pomerne veľkú voľnosť v prístupoch k tomu, ako daný podnikateľ splní tú-ktorú povinnosť.

 

V dnešnom článku sa budeme zaoberať povinnosťou podnikateľa, ktorý spracúva osobné údaje (prevádzkovateľa) informovať osoby, ktorých údaje spracúva (dotknuté osoby) o tom, zjednodušene povedané, aké údaje, na aký účel, akým spôsobom a ako spracúva, rovnako ako musí poučiť dotknutú osobu o jej právach (informačná povinnosť).

 

Informačná povinnosť prevádzkovateľa je upravená v čl. 13 a 14 Nariadenia GDPR, pričom Nariadenie rozlišuje medzi zdrojom osobných údajov. Čl. 13 tak upravuje povinnosti prevádzkovateľa v prípade, že osobné údaje pochádzajú priamo od dotknutej osoby (napr. v prípade uzatvárania zmlúv, komunikácie, žiadosti, registrácie, a pod.), kým čl. 14 upravuje povinnosti prevádzkovateľa v prípade, že osobné údaje pochádzajú od inej ako dotknutej osoby (napr. v prípade referencií od tretej osoby). Rozsah poskytnutých informácií je v zásade rovnaký, ako v prípade čl. 13, s tým rozdielom, že prevádzkovateľ je povinný pri prvej komunikácii s dotknutou osobou nielen uviesť vyššie spomínané informácie, ale aj zdroj, z ktorého získal jej osobné údaje.

 

Tieto informačné povinnosti je prevádzkovateľ povinný poskytnúť v každom prípade, bez ohľadu na to, či o ne dotknutá osoba požiadala, a je povinný to v prípade potreby preukázať orgánu dozoru (Úrad na ochranu osobných údajov)!

 

V rámci informačných povinností prevádzkovateľa potom existuje ešte súvisiaca povinnosť, ktorá však závisí od toho, či dotknutá osoba o splnenie tejto povinnosti požiadala – povinnosť prevádzkovateľa poskytnúť informácie ktorejkoľvek osoby o tom, či prevádzkovateľ spracúva osobné údaje, ktoré sa jej týkajú a ako s nimi nakladá (čl. 15 Nariadenia GDPR). V praxi ide o veľmi podobný rozsah informácií, ako u predošlých dvoch informačných povinností, rozdielom je iba aktivita samotnej dotknutej osoby, ktorá o tieto informácie musí požiadať (čl. 15 je koncipovaný ako právo dotknutej osoby, ktoré táto osoba nemusí využiť).

 

Praktický dopad týchto ustanovení bude u každého prevádzkovateľa odlišný, činnosť každého podnikateľa je totiž špecifická, a tak v zásade nie je možné plošne nastaviť ani len spôsob prvotného kontaktu dotknutej osoby s prevádzkovateľom, či spôsob získania osobných údajov.

 

Náš tím špecialistov je pripravený pomôcť Vám so splnením (nielen) týchto povinností spôsobom, ktorý bude jednoduchý, transparentný, dokladovateľný a šitý priamo Vám na mieru – stačí, ak nás kontaktujete na info@mg-service.sk a využijete našu službu „Informačná povinnosť“.

Pokiaľ máte záujem o bližšie informácie v oblasti Informačnej povinnosti, vyplňte prosím nasledovný formulár

Pole je povinné.
Pole je povinné.
Pole je povinné.
Pole je povinné.
Pole nie je povinné.