Nejčastější chyby při realizaci práva na přístup podle GDPR

Právo na přístup k osobním údajů jako pilíř GDPR

Jedním z cílů obecného nařízení o ochraně osobních údajů (GDPR) je posílit kontrolu dotčených osob nad zpracováním jejich dat. Regulace proto upravuje celou řadu práv těchto osob, subjektů údajů. V praxi zdaleka nejčastěji je využívané právo na přístupk osobním údajům podle čl. 15 GDPR. Je to pochopitelné, protože subjekt údajů potřebuje nejprve zjistit, jestli správce jeho osobní údaje vůbec zpracovává a jaká data o něm má k dispozici, aby mohl efektivně uplatnit další práva, např. právo na opravu, na výmaz údajů atd.

Jaké informace musí správce subjektu údajů poskytnout? Právo na přístup v sobě zahrnuje:

• Potvrzení, zda správce osobní údaje žadatele zpracovává či nikoliv

• Specifikaci zpracovávaných osobních údajů a účelů zpracování 

• Sdělení, komu osobní údaje byly nebo budou zpřístupněny (příjemci osobních údajů)

• Plánovanou dobu uchování osobních údajů

• Informace o dalších právech subjektu údajů, např. právu na opravu dat, právo námitku proti zpracování, na stížnost k dozorovému úřadu atd.

• Informace o zdroji dat

• Informace o tom, zda dochází k automatizovanému zpracování osobních údajů, včetně profilování subjektů údajů

• Pokud o to subjekt údajů požádá, tak i kopii zpracovávaných dat.

A to vše ve lhůtě 30 dní, kterou lze v odůvodněných případech prodloužit až o další 2 měsíce.

Co když to správce nestihne, nebo když žádost vyřídí neúplně? Hrozí mu pokuta až 20 milionů EUR nebo 4 % z ročního obratu skupiny podniků, do které patří. Dozorové úřady se nezdráhají pokuty za nedostatečnou realizaci práva subjektu údajů na přístup rozdávat, jak nám ukazují příklady z Belgie či Rakouska nebo i praxe českého Úřadu pro ochranu osobních údajů.

Postupujete v souladu s pokyny Evropského sboru k právu na přístup?

Pravidla pro uplatnění práva na přístup k osobním jsou relativně jednoduchá, ale praxe řeší řadu otázek, nejasností a výkladových sporů. Evropský sbor pro ochranu osobních údajů pro usnadnění výkladu čl. 15 vydal metodický pokyn č. 1/2022. Zde na pouhých šedesátí stránkách upřesňuje, jak má být právo na přístup realizováno, jak se počítají lhůty, kdy může správce za vyřízení žádosti požadovat od subjektu údajů úhradu nákladů atd.

Jste si jistí, že postupuje plně v souladu s těmito pokyny? Evropské dozorové úřady pro ochranu osobních údajů si tak jisté nebyly. Proto v roce 2024 uskutečnily koordinovanou kontrolní a monitorovací akci zaměřenou právě na výkon práva na přístup k osobním údajům.

Jak to dopadlo?

V souhrnné zprávě Evropského sboru pro ochranu osobních údajů je identifikováno 7 opakujících se chyb při realizaci tohoto práva. Zpráva také obsahuje základní doporučení, jak dotyčným chybám předejít. Podíváme se na to zblízka.

7 kroků k souladu s GPDR

Chyba první: Nejasně nastavený proces pro vyřizování žádostí subjektů údajů

Správci často nevědí, v jakém rozsahu a jakým způsobem jsou žádosti o přístup k osobním údajům povinni přijímat a vyřizovat. Z toho plynou chyby, zejména neposkytnutí všech osobních údajů, které správce o žadateli zpracovává.

Jak se této chybě vyhnout?

Vyjasnit si, například s využitím záznamů o činnostech zpracování vedených podle čl. 30 GDPR, jaké kategorie osobních údajů o jednotlivých kategoriích subjektů správce vede, v jakých informačních systémech, za jakým účelem a po jakou dobou je uchovává. Pokud jsou záznamy úplné a aktuální, nemělo by vyřízení konkrétní žádosti o přístup k osobním údajům představovat zásadní problém.

Chyba druhá: Nejasné nebo příliš dlouhá doba pro uchování žádostí a odpovědí

Žádosti o přístup k osobním údajům a odpovědi na ně obsahují osobní údaje. Proto je nutné nastavit dobu, po kterou budou správcem uchovávány a po jejímž uplynutí budou vymazány. V praxi však má s tímto požadavkem nemálo správců problémy, resp. dobu uchování buď nenastaví vůbec nebo ji definuje jako nepřiměřeně dlouhou.

Co s tím?

Odpověď je zdánlivě jednoduchá: Nastavit dobu uchování žádostí o přístup a související komunikace se subjekty údajů. Ale jak, podle čeho? ÚOOÚ v příloze shrnující poznatky jednotlivých národních úřadů odkazuje na promlčecí lhůtu pro přestupek, která činí 3 roky. Uchování komunikace se subjektem údajů po tuto dobu je tedy plně legitimní k ochraně práv správce v případném sporu.

Chyba třetí: Neexistence interního procesu pro vyřízení podnětu subjektu údajů

Řada správců nemá jasně definovaný proces pro příjem, zpracování, vyřízení a evidenci žádostí subjektů údajů o uplatnění jejich práv. To může vést k tomu, že žádosti budou vyřízeny pozdě, neúplně nebo vůbec.

Tuto chybu lze také poměrně jednoduše odstranit: S ohledem na používané komunikační kanály, organizační struktury a praxi správce definovat a jasně popsat způsob, jakým může subjekt údajů svoji žádost podat, vymezit, kdo je za její přijetí a zpracování odpovědný, upravit vhodné zapojení pověřence pro ochranu osobních údajů, pokud byl u správce jmenován, a rozhodnout, kdo a jak bude tuto komunikaci evidovat.

Chyba čtvrtá: Překážky pro uplatnění práva na přístup

Správci jsou povinni subjektu údajů výkon jeho práv usnadnit. Aktivně hledat cesty, jak by mohl subjekt údajů bez mimořádného úsilí požádat o informaci o zpracování svých osobních údajů nebo o jejich aktualizaci. Pokud to správci nečiní, resp. pokud spíše subjektu údajů stavějí do cesty překážky, například ve formě nejasných nebo nedostupných informací, extenzivních požadavků nebo nepřiměřených poplatků, dopouštějí se také porušení GDPR.

Vědí vaši klienti či zaměstnanci, jakým kanálem (e-mail, telefon, osobní kontakt) mohou svoji žádost uplatnit? Poskytujete k tomu dostatečné informace, pomoc a nástroje? Nevyžadujete další a další potvrzení, upřesnění či identifikační údaje, jen abyste žadatele tak trochu odradili? Pak by vám podobný kontrolní nález hrozit neměl. 

Zbývající uvedené chyby naleznete v plném znění článku na GDPR.cz.