V piatok, 12. januára došlo k zverejneniu rozsudku Súdneho dvora EÚ, podľa ktorého má dotknutá osoba právo získať informácie o totožnosti konkrétnych príjemcov jej osobných údajov. Čo to pre každého prevádzkovateľa znamená?
Závery rozsudku, ktoré sa týkajú každého prevádzkovateľa
Znamená to, že keď si dotknutá osoba u vás, ako u prevádzkovateľa uplatní svoje právo na prístup k údajom, ktoré jej prináleží v zmysle čl. 15 všeobecného nariadenia o ochrane údajov (GDPR), musíte byť pripravený jej právu vyhovieť, a to aj informovaním o skutočných príjemcoch jej údajov. Celé znenie rozsudku si môžete prečítať kliknutím na tento odkaz.
Článok 15 GDPR pritom okrem iného vo svojom ods. 1 písm. c) uvádza, že dotknutá osoba má právo byť informovaná o príjemcoch alebo kategóriách príjemcoch. Teda subjektoch, ktorým boli alebo budú jej osobné údaje poskytnuté.
Rozhodnutie, či bude súčasťou odpovede na žiadosť “len” kategória príjemcov alebo informácia o konkrétnej totožnosti príjemcov však nie je na prevádzkovateľovi. Závisí to od žiadateľa – dotknutej osoby, ako podrobné informácie od prevádzkovateľa požaduje. Či jej postačuje informácia len o kategórii príjemcov alebo požaduje údaje o totožnosti konkrétnych príjemcov.
Pri tom mnoho prevádzkovateľov sa pri výkone práv dotknutých osôb do teraz domnievalo, že sa sami môžu rozhodnúť, ako podrobnú informáciu o príjemcoch dotknutej osobe poskytnú. Je totiž rozdiel uviesť žiadateľovi, že je ho dáta boli poskytnuté napríklad:
- organizáciám, ktoré poskytujú služby vzdelávania – teda ako informáciu o kategórii príjemcov
alebo
- organizácii Xz, s.r.o., Zx s.r.o., Qy, a.s., ktoré poskytujú služby vzdelávania – teda ako menovitý zoznam skutočných príjemcov osobných údajov žiadateľa.
Usmernenie o výkone práv dotknutých osôb
Takmer pred rokom, 22. januára 2022 Európsky výbor pre ochranu údajov (môžete sa stretnúť aj s označením EDPB) postúpil do verejnej diskusie dokument s názvom Usmernenia 01/2022 o právach dotknutých osôb – Právo na prístup. Pripomienky k dokumentu bolo možné zasielať do 11. marca 2022. EDPB prostredníctvom neho poskytuje podrobnejšie usmernenia práve k výkonu práva na prístup. Ako si toto právo vykladať a ako ho riadne plniť.
V bode 115 dokumentu uvádza tento príklad:
Zamestnávateľ vo svojom oznámení o ochrane osobných údajov uvádza informácie o tom, ktoré kategórie údajov sa odovzdávajú “cestovným kanceláriám” alebo “hotelom” v prípade služobných ciest v súlade s čl. 13 ods. 1 písm. e) a 14 ods. 1 písm. e) nariadenia GDPR.
Ak zamestnanec požiada o prístup k osobným údajom po služobnej ceste, mal by potom zamestnávateľ, pokiaľ ide o príjemcov osobných údajov podľa čl. 15 ods. 1 písm. c), uviesť vo svojej odpovedi cestovnú(-é) kanceláriu(-e) a hotel(-y), ktoré údaje prijali. Zatiaľ čo zamestnávateľ vo svojom oznámení o ochrane osobných údajov legitímne uviedol kategórie príjemcov podľa čl. 13 a 14, pretože v tejto fáze ešte nebolo možné uviesť mená príjemcov, mal by v súlade s článkom 14 ods. zásadami transparentnosti a spravodlivosti poskytnúť informácie o konkrétnych príjemcoch (názov cestovnej agentúr, hotelov atď.), keď zamestnanec podáva žiadosť o prístup.
Celý dokument si môžete prečítať kliknutím na tento odkaz.
Ako si teda evidovať príjemcov údajov?