Nařízení GDPR nás dostihne brzy. Každý z nás má právo být neustále informován o tom, že naše údaje jsou zpracovávány, kým a jak jsou zpracovávány. Restaurace řeší, jak poučit zákazníka, který volá se žádostí o rezervaci o tom, jak jej v okamžiku získání jeho jména a telefonu pro účely rezervace poučit v souladu s GDPR. Tento nekoncepční požadavek GDPR ponechám nyní stranou a ve třetím díle se zaměříme na oznamovací povinnost.
Oznamovací povinnost
Velmi často opomíjenou agendou může být pro správce povinnost neustále subjekty údajů informovat o zpracování jejich osobních údajů.
Každý, jehož osobní data zpracovává správce buď sám nebo prostřednictvím zpracovatele na základě písemně uzavřené smlouvy, má právo být informován o tom, že jeho osobní údaje jsou zpracovávány. GDPR rozlišuje plnění informační povinnosti v závislosti na tom, zda osobní údaje získal správce přímo od subjektu údajů, či zda je získal od třetí strany, v tomto případě je rozsah informační povinnosti obsáhlejší.
V okamžiku, kdy získáte osobní údaje, musíte toho, jehož osobní údaje jste získali, informovat. Každý z Vás to patrně bude činit jinak a přizpůsobí to svým specifickým potřebám. Proto si namodelujte tyto případy, připravte si Vaše oznámení a pověřte konkrétní zaměstnance těmito povinnostmi. Lze doporučit činit tak zejména emailem s odkazem na Vaši webovou stránku se sekcí prohlášení o ochraně osobních údajů.
Informovat subjekty údajů o značném množství informací a dokázat to provézt stručně a srozumitelně, bude důležité.
Vrstvené podmínky zpracování osobních údajů
Nástrojem, který považuji za velmi užitečný, jsou tzv. vrstvené podmínky zpracování osobních údajů. Jedná se o podmínky rozčleněné do několika vrstev, za ideální považuji dvě vrstvy. Jejich základním kamenem je vrstva druhá, která by měla tvořit propracovaný dokument s názvem například Podmínky (prohlášení) ochrany osobních údajů a podobně. Plnění informační povinnosti prostřednictvím tohoto dokumentu se jeví jako praktické.
V prohlášení o ochraně osobních údajů by měla být veškerá podstatná sdělení rozepsána podrobně, samotný dokument by měl být dostupný na webu příslušného správce, popř. třeba v zakázkové místnosti a podobně.
První vrstva, nebo také stručná a krátká oznámení, se kterou se subjekt údajů setká, by měla obsahovat jen ty nejdůležitější a nezbytné údaje, aby byla co nejstručnější, ale současně subjekty údajů informovala alespoň o identitě daného správce a účelech zpracování osobních údajů. Dále by měla dát odpověď na otázku, jak se má subjekt dostat k podrobnějším informacím (ideální je hypertextový odkaz, který subjekt údajů přesměruje přímo do příslušné části podmínek zpracování osobních údajů). Obdobně si lze představit, že například přímo na prodejně či v zakázkové zóně u výrobce by byl zákazník informován, že podrobnější podmínky týkající se ochrany osobních údajů jsou k dispozici na vyžádání, přičemž tuto informaci se zákazník dozví z výše uvedené tzv. první vrstvy, tedy ze základní informace, která bude transparentně a srozumitelně zákazníkovi poskytnuta při objednání služby. Obdobně v jiné oblasti postupuje mnoho restaurací ve svém menu, když uvádí, že informace o alergenech jsou k dispozici na vyžádání u obsluhy.
Po formální stránce by první vrstva měla být psána jednoduchým jazykem oproštěným od odborných a technických termínů a využívat krátké texty, doporučeně také obrázky a infografiky. Dvouvrstevné podmínky zpracování osobních údajů jsou tedy ideálním nástrojem splnění informační povinnosti správce osobních údajů.
První vrstva – splňuje povinnost subjekty údajů informovat, stručná oznámení (potažmo i zkrácená oznámení) odpovídají podmínkám jednoduchosti, srozumitelnosti a požadavku jasných a jednoduchých jazykových prostředků.
Druhá vrstva – v podobě prohlášení o ochraně osobních údajů již konkrétně a podrobně seznamuje subjekt údajů se všemi postupy správce, popř. zpracovatele osobních údajů a obsahuje taktéž veškeré povinné informativní údaje, které GDPR zejména v článku 13 a 14 přikazuje subjektům údajů oznámit.
Nejlepší strategií je tedy informovat subjekty údajů jen v základních mezích tam, kde je to nezbytné, formou stručných oznámení a kompletně pak v podmínkách zpracování osobních údajů. Popsaný způsob řešení rovněž odpovídá požadavku na přehlednost splnění informační povinnosti.
Michal Filouš