GDPR: Plnenie informačnej povinnosti ako najväčší problém firiem
Pri vykonávaní interných auditov u klientov zisťujeme, že v praxi robí firmám najväčší problém plnenie tzv. informačnej povinnosti voči dotknutým osobám. Spoločnosti často informačnú povinnosť vypracovanú majú, či už papierovo alebo on-line na svojej web stránke, avšak nie je zavedená do procesov tak, aby dotknutá osoba bola skutočne informovaná v súlade s GDPR.
Udelenie súhlasu dotknutej osoby alebo určenie iného právneho základu spracúvania osobných údajov neznamená, že prevádzkovateľ si splnil alebo už si nepotrebuje splniť informačnú povinnosť.
Dotknutou osobou je akákoľvek fyzická osoba, ktorej osobné údaje sa spracúvajú. Môže ísť napr. o klienta, zamestnanca a jeho blízku osobu, návštevníka web stránky alebo užívateľa aplikácie. Informačná povinnosť zo strany prevádzkovateľa osobných údajov, t. j. firmy, ktorá osobné údaje spracúva, sa považuje za základné právo dotknutej osoby.
Jasné pravidlá a povinnosti
Každý prevádzkovateľ je povinný dotknutú osobu informovať o spracúvaní jej osobných údajov už v momente ich získavania, a to stručne, transparentne, zrozumiteľne a v ľahko dostupnej forme, jasne a jednoducho. GDPR navyše presne stanovuje, ktoré všetky informácie musí dotknutá osoba o spracúvaní svojich osobných údajov dostať. Okrem toho, prevádzkovateľ musí vedieť preukázať, že dotknutú osobu informoval, a to za splnenia vyššie uvedených podmienok v súlade s GDPR.
Požiadaviek, ako zabezpečiť informačnú povinnosť, je celkom dosť a všetky treba dodržať súbežne, preto by si mal každý prevádzkovateľ informačnú povinnosť zaviesť do svojich štandardných procesov a do pracovných návykov svojich zamestnancov.
Informačná povinnosť vs. právny základ
Firmy si tiež často mýlia splnenie informačnej povinnosti s určením právneho základu spracúvania osobných údajov. Právnym základom spracúvania osobných údajov môže byť súhlas dotknutej osoby, zákon, zmluva s klientom, oprávnený záujem prevádzkovateľa alebo tretej strany, verejný záujem alebo ochrana života a zdravia. Avšak udelenie súhlasu dotknutej osoby alebo určenie iného právneho základu spracúvania osobných údajov neznamená, že prevádzkovateľ si splnil alebo už si nepotrebuje splniť informačnú povinnosť.
Informačnú povinnosť si musí prevádzkovateľ splniť vždy – bez ohľadu na právny základ spracúvania osobných údajov. Určenie právneho základu je povinnou súčasťou informačnej povinnosti voči dotknutej osobe, ale v žiadnom prípade ju nenahrádza.
Nie ste si istí nastavením informačnej povinnosti voči dotknutým osobám a jej zavedením do firemných procesov? Radi vám s tým pomôžeme.
Autor: JUDr. Monika Fegyveres Oravská, managing consultant