Pro splnění informační povinnosti nestačí jen vytvořit a zveřejnit dokument se zásadami zpracování osobních údajů. Informace musí být srozumitelná a přehledná. Co by měla obsahovat první vrstva informování? A jak informovat v nedigitálním prostředí?
Povinnost informovat o zpracování osobních údajů je v dnešní době už relativně známá. Většina správců osobních údajů ví, že by měl vzniknout dokument (nazvaný například „zásady zpracování osobních údajů“), v němž budou uvedeny informace dle čl. 13 GDPR. Samotná existence dokumentu však ještě neznamená, že svoje povinnosti plníte správně. Je totiž důležité vědět, jak informace vůbec předat.
Co požaduje GDPR
V rámci informování subjektů údajů o zpracování osobních údajů bychom si měli být schopni odpovědět na tři základní otázky – co je obsahem informování, kdy informace poskytnout a jak informace poskytnout.
Obsah informační povinnosti je uveden v čl. 13 GDPR (popřípadě čl. 14, ten však tentokrát vynecháme). V tomto kroku by neměly vznikat žádné problémy, ačkoliv na mnoho informací se běžně zapomíná (třeba informaci o oprávněných zájmech a jejich vysvětlení nenajdeme skoro u žádného správce).
Jak poskytnout informace nám říká čl. 12 GDPR – stručně, transparentně, srozumitelně a snadno přístupně, za použití jasných a jednoduchých jazykových prostředků. Pokud tedy v našem dokumentu doslova šermujeme pojmy jako „subjekt údajů“, „zpracovatel“ či „právní titul“, aniž bychom tyto pojmy vysvětlili, svoje povinnosti pravděpodobně neplníme úplně správně. Čím více „právnicky“ svoji informační dokumentaci píšeme, tím více se vzdalujeme od účelu informační povinnosti, a sice co nejjednodušeji předat podstatné informace o zpracování osobních údajů. Jakkoliv tedy můžeme mít naši dokumentaci po obsahové stránce správně, pokud běžný člověk bez právního vzdělání není schopen pochopit její obsah, děláme něco špatně.
WP29 v rámci pokynů k transparentnosti uvádí následující příklady informování o zpracování osobních údajů jako nevhodné:
„Vaše osobní údaje můžeme použít pro výzkumné účely.“
„Vaše osobní údaje můžeme použít pro nabízení personalizovaných služeb.“
Poslední otázkou zůstává, kdy bychom měli informace o zpracování osobních údajů poskytnout. Čl. 13 odst. 1 GDPR hovoří explicitně o tom, že informace mají být poskytnuty v okamžiku získání osobních údajů. Avšak uvádět například u internetového formuláře celý doslova „telefonní seznam“ informací o zpracování – včetně informací o účelech, podmínkách uplatnění práv, jejich vysvětlení nebo vysvětlení, v čem spočívá oprávněný zájem správce – je kvůli rozsahu prakticky nereálné.
Informování ve vrstvách
Z toho důvodu se vyvinula obecně uznávaná praktika, které se říká vícevrstvý přístup k informování, respektive vícevrstvá oznámení o ochraně soukromí. Kdy naposledy jste si četli mandatorní licenční ujednání (EULA) při instalaci softwaru na svém počítači? Zřejmě si ani nevzpomenete. WP29 v této souvislosti hovoří o zahlcení povinně poskytovanými informacemi, jež mohou mít naprosto odlišný efekt, než je účel zásady transparentnosti. Pokud subjekty údajů hned zahltíme veškerými informacemi o zpracování, můžeme s velkou pravděpodobností předpokládat, že počet lidí, kteří si skutečně předmětné informace přečtou, se nejspíš bude blížit nule.
To však neznamená, že si při sběru osobních údajů v rámci formulářů vystačíme s formulací „beru na vědomí podmínky zpracování, které jsou umístěny v zásadách zpracování“ a s uvedením prostého odkazu na zásady. Stejně tak svoji povinnost nesplníme v případě, kdy informace schováme za různá tlačítka či podvrstvy, které se zobrazí až po několika kliknutích na různé odkazy či grafické prvky.
WP29 tak ve svých pokynech uvádí doporučení, že v rámci první vrstvy by měly být poskytnuty informace o účelech zpracování, totožnosti správce a popis práv subjektů údajů. Samozřejmostí je i odkaz na kompletní informace o zpracování osobních údajů, které se často objevují v takzvaných zásadách zpracování osobních údajů, nadepsaných jako druhá vrstva.
Kromě toho WP29 připomíná pravidlo, že v rámci první vrstvy by měly zaznít veškeré informace, které by mohly mít největší dopad na subjekt údajů a mohly by jej překvapit. Teoreticky se tak může jednat o informace o předávání údajů jiným správcům, popřípadě předání osobních údajů do zahraničí. Vždy bude záležet na konkrétní situaci a konkrétním správci, tudíž bychom měli vždy posoudit dopad na subjekt údajů a identifikovaná rizika zohlednit v procesu informování.
(Ne)digitální prostředí
Výše uvedený princip by se měl uplatnit nejen v prostředí elektronických formulářů, ale taktéž i v nedigitálním prostředí. Například ve vztahu ke kamerovému systému je to obecně známá věc, nejméně se však tato povinnost dodržuje v rámci telefonických rozhovorů. Zkuste si sami vzpomenout kdy jste slyšeli naposled cokoliv jiného než pouze „tento hovor může být monitorován“.
Dle WP29 by informace z první vrstvy (v daném sdělení) měly být sdělovány na úvod hovoru a na toto informování by mělo navazovat například zaslání kopie zásad prostřednictvím e-mailu či odkazu na příslušný dokument, tedy zásady zpracování osobních údajů.