Právo byť informovaný: Kľúč k ochrane osobných údajov a transparentnosti

By /

V dnešnej digitálnej dobe, kde osobné údaje predstavujú cenný zdroj informácií, je právo jednotlivca byť informovaný o tom, ako sú jeho dáta spracúvané, základným pilierom ochrany súkromia. Toto právo, ktoré vychádza zo zásad ochrany údajov a súkromia, nadobudlo na dôležitosti s príchodom moderných nariadení, akými sú napríklad Všeobecné nariadenie o ochrane údajov (GDPR) v Európskej únii. GDPR má širší rozsah a vzťahuje sa na organizácie spracúvajúce údaje jednotlivcov v EÚ bez ohľadu na to, kde sa organizácia nachádza.

Ilustrácia ochrany osobných údajov

Čo sú osobné údaje a kto ich spracúva?

Osobné údaje predstavujú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby, ktorá sa nazýva aj dotknutá osoba. Môžu to byť základné identifikačné údaje ako meno a priezvisko, ale aj citlivejšie informácie, napríklad údaje týkajúce sa zdravotného stavu, finančné údaje, či údaje na účely trestného konania (napr. uznania viny za trestné činy a priestupky).

V kontexte spracúvania osobných údajov sa stretávame s dvoma hlavnými aktérmi:

  • Prevádzkovateľ: Tento subjekt rozhoduje o účele a spôsobe, akým sa osobné údaje spracúvajú. Je to hlavná zodpovedná strana za dodržiavanie pravidiel ochrany osobných údajov.
  • Sprostredkovateľ: Uchováva a spracúva údaje v mene prevádzkovateľa. Jeho činnosť je podriadená pokynom prevádzkovateľa a musí dodržiavať dohodnuté zmluvné podmienky.

Kedy sa uplatňuje Všeobecné nariadenie o ochrane údajov (GDPR)?

GDPR sa uplatňuje na spracúvanie osobných údajov, ktoré je spojené s:

  • Ponúkaním tovaru alebo služieb osobám v EÚ, bez ohľadu na to, či je za spracovanie platené.
  • Monitorovaním správania osôb v EÚ, pokiaľ ich správanie prebieha v rámci EÚ.

Toto nariadenie sa vzťahuje na organizácie, ktoré majú sídlo v EÚ, ale aj na organizácie mimo EÚ, ktoré sa zacieľujú na ľudí žijúcich v EÚ. Podniky, ktoré nemajú sídlo v EÚ a spracúvajú údaje občanov EÚ, musia vymenovať zástupcu v EÚ.

GDPR sa však neuplatňuje v prípadoch, keď spracúvanie údajov nesúvisí s činnosťou, podnikaním alebo povolaním, alebo ak ide o spracúvanie osobných údajov výlučne na osobné alebo domáce účely.

Zodpovedná osoba: Strážca ochrany údajov v organizácii

V rámci spoločnosti existuje zodpovedná osoba, ktorá môže byť určená spoločnosťou. Táto osoba slúži ako kontaktné miesto pre orgán pre ochranu osobných údajov a pre jednotlivcov, ktorých údaje sa spracúvajú. Jej úlohou je dohliadať na dodržiavanie pravidiel ochrany osobných údajov a poskytovať informácie a rady týkajúce sa tejto problematiky.

Diagram zobrazujúci úlohu zodpovednej osoby v ochrane dát

Kedy je potrebné vymenovať zodpovednú osobu?

Potreba vymenovať zodpovednú osobu závisí od viacerých faktorov:

  • Rozsah spracúvania údajov: Ak organizácia spracúva údaje vo veľkom rozsahu, najmä ak ide o osobitné kategórie údajov (napr. zdravotné údaje) alebo údaje týkajúce sa uznania viny za trestné činy a priestupky.
  • Monitorovanie jednotlivcov vo veľkom rozsahu: Ak sa vo veľkom rozsahu monitoruje verejne prístupné miesto (napr. kamerový systém v nákupnom centre).
  • Povaha činnosti: Ak hlavná činnosť prevádzkovateľa alebo sprostredkovateľa spočíva v spracúvaní údajov, ktoré si z dôvodu svojej povahy, rozsahu a/alebo účelov vyžaduje pravidelné a systematické rozsiahle monitorovanie dotknutých osôb.
  • Špecifické sektory: Pre nemocnicu, ktorá spracúva veľké množstvo zdravotných údajov, sa vyžaduje mať zodpovednú osobu.

Zodpovedná osoba môže byť zamestnancom organizácie, externým dodávateľom na základe zmluvy o poskytovaní služieb, alebo môže vykonávať svoju funkciu aj mimo organizácie, ak je to v zmluve jasne špecifikované.

Právny základ pre spracúvanie osobných údajov

Spracúvanie osobných údajov je povolené len vtedy, ak na to existuje právny základ. Medzi hlavné právne základy patria:

  • Súhlas dotknutej osoby: Súhlas musí byť daný jednoznačným spôsobom na základe jasne a jednoducho formulovanej žiadosti, napríklad potvrdením na webovej stránke alebo podpisom formulára. Účelom týchto pravidiel je zabezpečiť, že dotknutá osoba rozumie, čoho sa týka jej súhlas, aké údaje sa spracúvajú a prečo. Súhlas musí byť poskytnutý slobodne, konkrétne, informovane a jednoznačne.
  • Plnenie zmluvy: Ak je spracúvanie nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo na vykonanie opatrení prijatých na základe jej žiadosti pred uzatvorením zmluvy.
  • Plnenie zákonnej povinnosti: Ak je spracúvanie nevyhnutné na splnenie zákonnej povinnosti, ktorá sa na prevádzkovateľa vzťahuje.
  • Ochrana životne dôležitého záujmu: Ak je spracúvanie nevyhnutné na ochranu životne dôležitého záujmu dotknutej osoby alebo inej fyzickej osoby.
  • Úloha vo verejnom záujme alebo pri výkone verejnej moci: Ak je spracúvanie nevyhnutné na splnenie úlohy vo verejnom záujme alebo pri výkone verejnej moci, ktorou je prevádzkovateľ poverený.
  • Oprávnený záujem: Ak je spracúvanie nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, s výnimkou prípadov, keď nad týmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré vyžadujú ochranu osobných údajov, najmä ak je dotknutou osobou dieťa.

Ak prevádzkovateľ spracúva údaje na základe oprávneného záujmu, musí vykonať posúdenie, či jeho oprávnený záujem prevažuje nad záujmami alebo základnými právami a slobodami dotknutej osoby. V takom prípade, ak preváži záujem jednotlivca, prevádzkovateľ musí dané osobné údaje prestať spracúvať.

Súhlas so spracovaním osobných údajov v zmysle GDPR | securion.

Práva dotknutých osôb

GDPR zaručuje jednotlivcom celý rad práv, ktoré im umožňujú kontrolovať svoje osobné údaje:

  • Právo byť informovaný: Toto právo zabezpečuje, že dotknutá osoba má prístup k jasným a transparentným informáciám o tom, ako sa jej údaje zhromažďujú, používajú, uchovávajú a zverejňujú.
  • Právo na prístup: Každý, kto má právo dať informovaný súhlas, má aj právo na bezplatný prístup k svojim osobným údajom. Prevádzkovateľ je povinný poskytnúť kópiu osobných údajov, ktoré sa spracúvajú, v dostupnom formáte.
  • Právo na opravu: Každý má právo na zabezpečenie opravy nesprávnych osobných údajov bez zbytočného odkladu.
  • Právo na vymazanie („právo na zabudnutie“): Dotknutá osoba má právo na to, aby jej osobné údaje boli bez zbytočného odkladu vymazané, ak už nie sú potrebné na účely, na ktoré boli získané, alebo ak odvolá súhlas a neexistuje iný právny základ na spracúvanie.
  • Právo na obmedzenie spracúvania: Dotknutá osoba môže požiadať o obmedzenie spracúvania svojich osobných údajov, napríklad v prípade, ak spochybňuje presnosť údajov alebo ak spracúvanie je nezákonné.
  • Právo na prenosnosť údajov: Dotknutá osoba má právo získať svoje osobné údaje, ktoré poskytla prevádzkovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a má právo preniesť tieto údaje ďalšiemu prevádzkovateľovi bez toho, aby jej v tom prevádzkovateľ, ktorému osobné údaje poskytla, bránil.
  • Právo namietať: Dotknutá osoba má právo namietať proti spracúvaniu svojich osobných údajov na základe oprávnených záujmov prevádzkovateľa alebo na základe úlohy vo verejnom záujme.
  • Právo nepodliehať automatizovanému rozhodovaniu: Jednotlivci majú právo nepodliehať rozhodnutiu, ktoré sa zakladá len na automatizovanom spracúvaní, vrátane profilovania, ktoré má na nich právne účinky alebo ich podobne významne ovplyvňuje. Existujú však výnimky, napríklad ak dali výslovný súhlas.

Informačné povinnosti prevádzkovateľa

Prevádzkovateľ má viaceré informačné povinnosti voči dotknutej osobe. Tieto povinnosti sa líšia v závislosti od toho, či sa osobné údaje získavajú priamo od dotknutej osoby (článok 13 GDPR) alebo nie (článok 14 GDPR).

Ak sa údaje získavajú priamo od dotknutej osoby:

Informácie musia byť poskytnuté okamžite, v čase získavania údajov. Povinnosť správcu informovať zahŕňa:

  • Identitu a kontaktné údaje prevádzkovateľa.
  • Kontaktné údaje zodpovednej osoby pre ochranu údajov (ak je k dispozícii).
  • Účely spracovania a právny základ spracúvania.
  • Prípadné oprávnené záujmy prevádzkovateľa.
  • Príjemcovia pri prenose osobných údajov.
  • Úmysel preniesť osobné údaje do tretích krajín.
  • Dobu uchovávania osobných údajov.
  • Práva dotknutej osoby (právo na prístup, opravu, výmaz, obmedzenie spracúvania, prenosnosť údajov, právo namietať).
  • Možnosť odvolať súhlas.
  • Právo podať sťažnosť orgánu pre ochranu osobných údajov.
  • Informácia o tom, či je poskytnutie osobných údajov zákonnou alebo zmluvnou požiadavkou.
  • Informácia o prípadných automatizovaných rozhodovacích činnostiach vrátane profilovania.

Poskytované informácie by mali byť formulované jasne, jednoducho a zrozumiteľne.

Ak sa údaje nezískavajú priamo od dotknutej osoby:

Informácie musia byť poskytnuté v primeranej lehote, najneskôr však do jedného mesiaca od získania osobných údajov. V prípadoch, keď sa zhromaždené informácie používajú na priamy kontakt s dotknutou osobou, má právo byť informovaná okamžite po oslovení.

Obsah informácií je v zásade rovnaký ako pri priamom získavaní údajov, s výnimkou informácie o povinnostiach poskytnúť osobné údaje (pretože prevádzkovateľ v tomto prípade nerozhoduje). Navyše, prevádzkovateľ má povinnosť informovať o zdrojoch, z ktorých osobné údaje pochádzajú, a či boli verejne dostupné.

Existujú však výnimky z informačnej povinnosti, ak je poskytnutie informácií:

  • Nemožné alebo neprimerane drahé.
  • Požadované zákonom.
  • Vyžaduje sa zachovanie dôvernosti z dôvodu profesionálneho tajomstva alebo iných zákonných povinností týkajúcich sa utajenia.

Transparentnosť a súhlas v kontexte zdravotnej starostlivosti

Právo byť informovaný je neoddeliteľnou súčasťou aj poskytovania riadnej zdravotnej starostlivosti. Komunikácia ošetrujúceho lekára s pacientom alebo jeho zákonným zástupcom je kľúčová. V zmysle zákona č. 576/2004 Z. z. je informovaný súhlas preukázateľný súhlas s poskytnutím zdravotnej starostlivosti, ktorému predchádzalo poučenie.

Poučenie musí byť poskytnuté zrozumiteľne, ohľaduplne, bez nátlaku, s dostatočným časom na slobodné rozhodnutie. Lekár je povinný primerane zdravotnému stavu, rozumovej a vôľovej vyspelosti osoby, ktorú má poučiť, poskytnúť podrobnú informáciu o diagnostických alebo liečebných postupoch, prípadne potrebných zdravotných výkonoch.

Každý, kto má právo dať informovaný súhlas, má aj právo tento súhlas kedykoľvek odvolať.

Bezpečnosť osobných údajov a oznamovanie porušení

Prevádzkovateľ je povinný prijať primerané technické a organizačné opatrenia na zabezpečenie bezpečnosti spracúvania osobných údajov. To zahŕňa aj pseudonymizáciu a šifrovanie osobných údajov, kde je to vhodné.

V prípade porušenia ochrany osobných údajov, ktoré by pravdepodobne viedlo k riziku pre práva a slobody fyzických osôb, je prevádzkovateľ povinný oznámiť toto porušenie dozornému orgánu (napr. Úradu na ochranu osobných údajov SR) do 72 hodín od okamihu, keď sa o ňom dozvedel. Ak je porušenie pravdepodobne vysoké riziko pre práva a slobody jednotlivcov, musí byť oznámené aj dotknutým osobám.

Infografika o procese oznamovania porušenia ochrany osobných údajov

Transparentnosť ako štandard

Transparentnosť v súvislosti so zhromažďovaním a používaním údajov je nevyhnutná na to, aby jednotlivci mohli efektívne vykonávať svoje práva na ochranu osobných údajov. GDPR dáva jednotlivcom právo byť informovaní, čo vedie k rôznym informačným povinnostiam zo strany prevádzkovateľa. Právo byť informovaný je základným princípom, ktorý jednotlivcom zaručuje právo na prístup k jasným a transparentným informáciám o tom, ako sa ich údaje spracúvajú.

V prípade, že osobné údaje nie sú zhromažďované od dotknutej osoby, vo výnimočných prípadoch nie je povinnosť informovať. To platí, ak je poskytnutie informácií buď nemožné alebo neprimerane drahé, zhromažďovanie a/alebo prenos je požadovaný zákonom, alebo ak údaje musia zostať dôverné z dôvodu profesionálneho tajomstva alebo iných zákonných povinností týkajúcich sa utajenia.

Pri spracúvaní osobných údajov je dôležité zohľadňovať zásady ochrany súkromia už pri návrhu (privacy by design) a štandardne (privacy by default). To znamená, že ochrana súkromia by mala byť integrovaná do procesov a systémov od samého začiatku a najprv by sa mali použiť štandardné nastavenia, ktoré najviac zohľadňujú ochranu súkromia.

V konečnom dôsledku, právo byť informovaný nie je len o splnení zákonných povinností, ale o budovaní dôvery medzi organizáciami a jednotlivcami a o zabezpečení toho, aby jednotlivci mali kontrolu nad svojimi osobnými údajmi v neustále sa meniacom digitálnom svete.

tags: #kto #ma #pravo #byt #informovany

Populárne príspevky:

  • Prehľad aktivít Ingrid Hurbanovej a Sály Dražby
  • Zálesie: Čaro bývania v súlade s prírodou
  • Pozrite si prehľad trhu s nehnuteľnosťami v Bardejove
  • Dopravné obmedzenia v Predmieri
  • Strategické riešenie: Prenájom kávovarov pre vaše podnikanie.