Firmy často podceňujú fakt, že na každú žiadosť fyzickej osoby, ktorej osobné údaje spracúvajú, je dôležité včas odpovedať. Súčasne, odpoveď musí mať potrebné náležitosti. Dotknuté osoby často uplatňujú svoje práva v prípade, ak nie sú spokojné so spracúvaním svojich osobných údajov zo strany spoločnosti, resp. o spracúvaní svojich osobných údajov nemajú dostatok alebo žiadne informácie.

Neskoré alebo nedostatočné vybavenie žiadosti dotknutej osoby zvyčajne vedie k tomu, že sa táto osoba obráti na Úrad na ochranu osobných údajov SR ako dozorný orgán, ktorý v danej spoločnosti začne preverovať nastavenie ochrany osobných údajov. Pokiaľ dozorný orgán zistí, že žiadosť nebola včas alebo riadne vybavená prípadne zistí, že sa spoločnosť dopúšťa aj ďalších porušení GDPR, môže spoločnosti, okrem iného, uložiť aj pokutu.

Práve preto by malo byť pre každú spoločnosť dôležité, aby pri takejto žiadosti spozornela a dala jej v rámci svojich iných povinností náležitú prioritu.

Kto môže žiadosť o uplatnenie práv podať?

Žiadosť o uplatnenie práv môže podať len dotknutá osoba prípadne jej splnomocnený (advokát) alebo zákonný zástupca (rodič dieťaťa). Dotknutou osobou je každá fyzická osoba, ktorej osobné údaje spoločnosť spracúva (napr. zamestnanec, uchádzač o zamestnanie, zákazník, dodávateľ, návštevník webovej stránky).

Žiadosť u uplatnenie práv teda nemôže podať osoba, ktorej sa osobné údaje netýkajú. Preto je spoločnosť, v prípade pochybností, povinná overiť identitu dotknutej osoby. Ak je to potrebné, môže spoločnosť dotknutú osobu pred vybavením jej žiadosti požiadať o doplňujúce informácie, na základe ktorých bude vedieť riadne overiť jej identitu (napr. nahliadnutím do dokladu totožnosti; preverením emailovej adresy, pokiaľ dotknutá osoba uplatnila žiadosť z inej emailovej adresy, akú uviedla pri objednávke tovaru a pod.). Takto sa spoločnosť vyhne riziku, že by informácie o osobných údajoch dotknutej osoby poskytla neoprávnenej osobe.

Ako žiadosť o uplatnenie práv dotknutej osoby identifikovať?

Keďže uplatnenie práv dotknutej osoby môže byť spojené aj s inými požiadavkami dotknutej osoby, napr. reklamáciou tovaru alebo služby, je potrebné vedieť takúto žiadosť identifikovať a oddeliť od iných skutočností.

Niekedy nie je úplne jednoznačné, či si dotknutá osoba uplatňuje svoje práva podľa GDPR alebo len komentuje nejaké postupy spoločnosti. Každopádne je vhodné, v prípade pochybností, pristupovať k takejto žiadosti ako k žiadosti o uplatnenie práv dotknutej osoby.

Často žiadosť dotknutej osoby nemusí mať nejaké konkrétne náležitosti alebo nemusí byť podaná na tlačive, ktoré spoločnosť používa alebo nemusí byť poslaná na email zodpovednej osoby. Spoločnosť sa nezbaví povinnosti žiadosť vybaviť tým, že bude argumentovať, že dotknutá osoba nepodala žiadosť určeným spôsobom. Preto je potrebné, aby všetky osoby, ktoré v rámci spoločnosti komunikujú s dotknutými osobami, boli poučené o možnostiach podávania takýchto žiadostí a ďalšom postupe určenom spoločnosťou na ich vybavenie (napr. okamžité preposlanie žiadosti na vybavenie určenej osobe).

Aké práva si môže dotknutá osoba uplatniť?

Dotknutá osoba má právo na potvrdenie o tom, či sa jej osobné údaje v spoločnosti spracúvajú a ak tomu tak je, má právo získať informácie o:

1. účeloch spracúvania,
2. kategórii osobných údajov,
3. príjemcoch týchto údajov,
4. lehote uchovávania,
5. existencii všetkých práv dotknutej osoby vrátane práva podať sťažnosť dozornému orgánu,
6. zdroji osobných údajov, ak sa nezískali priamo od dotknutej osoby,
7. existencii prípadne neexistencii automatizovaného rozhodovania vrátane profilovania.

Ak dochádza k prenosu údajov do tretích krajín, aj informáciu o primeraných zárukách tohto prenosu.

Spoločnosť v rámci uplatnenia tohto práva poskytuje dotknutej osobe kópiu osobných údajov.

Ďalej má dotknutá osoba vždy právo na okamžitú opravu svojich nesprávnych údajov.

Za určitých okolností, teda nie v každom prípade, môže dotknutá osoba žiadať o vymazanie osobných údajov, obmedzenie ich spracúvania alebo ich prenos do inej spoločnosti.

Rovnako má dotknutá osoba právo namietať spracúvanie svojich osobných údajov na základe oprávneného záujmu spoločnosti, ako aj namietať automatizované individuálne rozhodovanie vrátane profilovania, ak sa domnieva, že ho spoločnosť vykonáva.

Pokiaľ spoločnosť spracúva osobné údaje dotknutej osoby na základe jej súhlasu (napr. zverejňovanie fotografie, posielanie Newslettra), dotknutá osoba na vždy právo kedykoľvek tento súhlas odvolať.

Uplatnenie vyššie uvedených práv nie je absolútne a spoločnosť v každom jednotlivom prípade posúdi, či môže žiadosti dotknutej osoby vyhovieť úplne, čiastočne alebo jej nemôže vyhovieť vôbec (napr. zamestnávateľ nemôže vymazať osobné údaje zamestnanca, ktoré spracúva na účel sociálneho poistenia alebo plnenia daňových povinností). Aj v prípade, ak spoločnosť žiadosti dotknutej osoby nemôže vyhovieť, musí na jej žiadosť adekvátnym spôsobom zareagovať a nezabudnúť uviesť všetky informácie o spracúvaní osobných údajov dotknutej osoby v spoločnosti, o jej právach, ako aj dôvodoch nevyhovenia žiadosti.

Určite netreba opomenúť v žiadosti uviesť aj právo dotknutej osoby, že ak s vybavením žiadosti nesúhlasí alebo vybavenie považuje za nedostatočné, môže sa obrátiť na Úrad na ochranu osobných údajov SR.

V akej lehote musí spoločnosť žiadosť dotknutej osoby vybaviť?

Spoločnosť musí vybaviť žiadosť dotknutej osoby bez zbytočného odkladu najneskôr do 30 dní od jej prijatia. Túto lehotu môže spoločnosť predlžiť o ďalšie dva mesiace, ak je žiadosť komplikovaná. O taktom predĺžení lehoty však musí spoločnosť dotknutú osobu informovať.

Akým spôsobom je potrebné žiadosť dotknutej osoby vybaviť?

Žiadosť dotknutej osoby sa zvyčajne vybavuje spôsobom, akým bola jej žiadosť uplatnená (napr. ak poslala žiadosť emailom, odpoveď na žiadosť bude poslaná na tento email). Dotknutá osoba však môže požiadať aj o iný spôsob vybavenia žiadosti, napr. že si odpoveď vyzdvihne osobne v sídle spoločnosti. Ak je to možné, spoločnosť by mala takejto žiadosti dotknutej osoby vyhovieť.

Pokiaľ sú však v odpovedi na žiadosť dotknutej osoby uvedené aj citlivé osobné údaje (napr. dokumenty obsahujúce údaje o zdraví), je vhodné zvážiť poslanie odpovede poštou do vlastných rúk, aby sa predišlo riziku, že sa k nim dostane neoprávnená osoba alebo sa tieto dokumenty stratia.

Aké ďalšie povinnosti vyplývajú spoločnosti pri vybavovaní žiadostí dotknutých osôb?

Vybavenie žiadosti dotknutej osoby je bezplatné. Pokiaľ ide o žiadosť neopodstatnenú alebo neprimeranú, najmä ak je žiadosť opakovaná, môže si spoločnosť žiadať primeraný poplatok alebo aj odmietnuť konať. Bremeno dokazovania týchto skutočností je však na spoločnosti samotnej.

Všetky žiadosti, odpovede na žiadosti a evidenciu žiadostí dotknutých osôb musí spoločnosť uchovávať 5 rokov, aby vedela preukázať splnenie týchto povinností pri prípadnej kontrole zo strany dozorného orgánu.

Záver

Riadnym a včasným vybavením žiadosti dotknutej osoby môže spoločnosť predísť kontrole zo strany dozorného orgánu, keďže je vysoký predpoklad, že sa dotknutá osoba, v prípade nespokojnosti, na tento orgán obráti. V prípade, že sa dotknutá osoba na dozorný orgán obráti, spoločnosť bude vedieť preukázať, že na žiadosť dotknutej osoby odpovedala v prepísanej lehote, so všetkými potrebnými informáciami a vhodným spôsobom.

Potrebujete nastaviť systém vybavovania žiadosti dotknutých osôb vo Vašej organizácii? Dajte nám vedieť na avris@avris.sk.