Rešpektujte práva dotknutých osôb

pravoskata

Rešpektovanie práv dotknutých osôb je dôležitou súčasťou práce s osobnými údajmi.

Aké práva majú dotknuté osoby podľa GDPR?

GDPR poskytuje dotknutým osobám, t. z. jednotlivcom, ktorých údaje sú spracúvané, tieto práva:

právo na informácie,
právo na prístup k údajom,
právo na opravu,
právo na vymazanie (právo na zabudnutie),
právo na obmedzenie spracúvania,
právo na prenosnosť údajov,
právo namietať,
právo na to, aby sa naňho nevzťahovalo rozhodnutie, ktoré je založené výlučne na automatizovanom spracúvaní.

Niektoré z týchto práv sa neuplatňujú vo všetkých situáciách.

Čo robiť vo vzťahu k právam dotknutých osôb?

Buďte pripravení: prijmite systémy a procesy ako odpovedať na žiadosti týkajúce sa práv dotknutých osôb a vyškoľte váš personál, aby ste vybavovanie žiadostí týkajúcich sa práv dotknutých osôb integrovali do vášho interného pracovného postupu.
Uľahčite vykonávanie práv: urobte to dotknutým osobám jednoduchšie, aby vedeli aké sú ich práva a ako vás majú kontaktovať, ak ich chcú uplatniť.
Poznajte toky vašich dát: udržiavajte svoje záznamy aktuálne, aby ste vedeli rýchlo identifikovať údaje, ktoré spracúvate a účinne vyhľadať a získať informácie.
Buďte transparentní: vždy informujte dotknuté osoby jasným a zrozumiteľným spôsobom o osobných údajoch, ktoré spracúvate, predtým, ako ich začnete spracúvať (napr. vo vašom oznámení o spracúvaní údajov) a počas spracúvania (napr. pri vybavovaní žiadosti o prístup k údajom).
Odpovedzte v priebehu 1 mesiaca: dotknutej osobe vždy odpovedzte v priebehu mesiaca. Ak potrebujete dodatočný čas na odpoveď alebo ak nemôžete včas vybaviť žiadosť dotknutej osoby, informujte o tejto skutočnosti dotknutú osobu v priebehu mesiaca.
Postúpte žiadosť ďalej: ak vám bude doručená žiadosť týkajúca sa osobných údajov, ktoré ste preniesli ´ďalším príjemcom, nezabudnite informovať príjemcov o výsledku žiadosti.
Zaznamenávajte: uchovajte si záznam žiadostí od dotknutých osôb a zaznamenajte vaše odpovede, rovnako si uchovajte záznam odôvodnenia, ak na žiadosť neodpoviete.

Ako vybaviť žiadosť dotknutej osoby?

Kľúčom v ochrane údajov je vo všeobecnosti transparentnosť a platí to aj pri vybavovaní žiadostí dotknutých osôb.

Prevádzkovateľ musí:

komunikovať s dotknutou osobou a jasne a zrozumiteľným spôsobom (najmä v prípade, ak je dotknutou osobou dieťa), a
uľahčiť výkon týchto práv, najmä prostredníctvom elektronických prostriedkov. Napr. na vašej webstránke môžete poskytnúť formulár, ktorý môžu dotknuté osoby použiť na jednoduché uplatnenie svojich práv.

Odpovedzte písomne: Všeobecným pravidlom je, že spoločnosť musí odpovedať dotknutej osobe rovnakým spôsobom, akým bola podaná žiadosť, alebo spôsobom, o aký dotknutá osoba požiadala. Mali by ste odpovedať písomne, vrátane elektronických prostriedkov, ak je to primerané. Poskytnutie ústnej odpovede na žiadosť dotknutej osoby vám neodporúčam, keďže by bolo zložité ho preukázať.

Odpovedzte v priebehu mesiaca: GDPR stanovuje, v akej lehote musí prevádzkovateľ na žiadosť odpovedať a v akých prípadoch je oprávnený požadovať uhradenie poplatku.

Ak dotknutá osoba uplatní jedno zo svojich práv, prevádzkovateľ musí odpovedať v priebehu jedného mesiaca. Ak je žiadosť príliš komplexná a odpoveď si vyžaduje viac času, vaša spoločnosť si môže predĺžiť časový limit o dva mesiace, za predpokladu, že o tom dotknutú osobu informujete v lehote jedného mesiaca od doručenia žiadosti. Ak vaša spoločnosť vie preukázať, že žiadosti sú zjavne neopodstatnené alebo neprimerané, najmä pre ich opakujúcu sa povahu, môžete buď požadovať primeraný poplatok alebo odmietnuť konať na základe žiadosti.

Ak má vaša spoločnosť dôvodné pochybnosti o identite osoby podávajúcej žiadosť (napr. ak je žiadosť podaná prostredníctvom inej e-mailovej adresy ako zvyčajne používa zákazník, alebo je podaná mimo overeného zákazníckeho účtu), môžete požadovať dodatočné informácie, ktoré vám potvrdia identitu dotknutej osoby pred samotnou odpoveďou.

Ak nemáte v úmysle konať na základe žiadosti dotknutej osoby, musíte informovať dotknutú osobu do jedného mesiaca od doručenia žiadosti o dôvodoch odmietnutia (napr. prečo nevymažete požadované údaje). Okrem toho, dotknutú osobu musíte informovať o možnosti podať podnet regulačnému orgánu v oblasti ochrany osobných údajov, ktorým je Úrad na ochranu osobných údajov Slovenskej republiky a požadovať aj súdnu nápravu.

Nepožadujte poplatok: vaša spoločnosť nemôže od dotknutej osoby, ktorá uplatňuje niektoré zo svojich práv, požadovať žiadny poplatok. Avšak, môžete žiadať poplatok ak sú žiadosti dotknutej osoby zjavne neopodstatnené alebo neprimerané, najmä pre ich opakujúcu sa povahu. Poplatok musí zohľadňovať administratívne náklady vašej spoločnosti na poskytnutie informácií alebo na oznámenie alebo na uskutočnenie požadovaného opatrenia. Rovnako je možné odmietnuť konať na základe žiadosti, ktorá je zjavne neopodstatnená alebo neprimeraná. V takomto prípade však túto skutočnosť musíte vedieť preukázať.

Články

GDPR slovník pre náborára

Ako nedostať pokutu pri práci s osobnými údajmi / 2 časť

Ako GDPR ovplyvňuje nábor?

Rešpektujte práva dotknutých osôb

Ako nedostať pokutu pri práci s osobnými údajmi / 1 časť

GDPR: Čo to vlastne je a prečo je dôležité?

Kategórie

Rešpektujte práva dotknutých osôb

Články

GDPR slovník pre náborára

Ako nedostať pokutu pri práci s osobnými údajmi / 2 časť

Ako GDPR ovplyvňuje nábor?

Rešpektujte práva dotknutých osôb

Ako nedostať pokutu pri práci s osobnými údajmi / 1 časť

GDPR: Čo to vlastne je a prečo je dôležité?

Kategórie

Značky

Zostaňme v kontakte