GDPR Academy

Dôležitý rozsudok o totožnosti príjemcov

V piatok, 12. januára došlo k zverejneniu rozsudku Súdneho dvora EÚ, podľa ktorého má dotknutá osoba právo získať informácie o totožnosti konkrétnych príjemcov jej osobných údajov. Čo to pre každého prevádzkovateľa znamená?


Závery rozsudku, ktoré sa týkajú každého prevádzkovateľa

Znamená to, že keď si dotknutá osoba u vás, ako u prevádzkovateľa uplatní svoje právo na prístup k údajom, ktoré jej prináleží v zmysle čl. 15 všeobecného nariadenia o ochrane údajov (GDPR), musíte byť pripravený jej právu vyhovieť, a to aj informovaním o skutočných príjemcoch jej údajov. Celé znenie rozsudku si môžete prečítať kliknutím na tento odkaz.

Článok 15 GDPR pritom okrem iného vo svojom ods. 1 písm. c) uvádza, že dotknutá osoba má právo byť informovaná o príjemcoch alebo kategóriách príjemcoch. Teda subjektoch, ktorým boli alebo budú jej osobné údaje poskytnuté.
Rozhodnutie, či bude súčasťou odpovede na žiadosť “len” kategória príjemcov alebo informácia o konkrétnej totožnosti príjemcov však nie je na prevádzkovateľovi. Závisí to od žiadateľa – dotknutej osoby, ako podrobné informácie od prevádzkovateľa požaduje. Či jej postačuje informácia len o kategórii príjemcov alebo požaduje údaje o totožnosti konkrétnych príjemcov.

Pri tom mnoho prevádzkovateľov sa pri výkone práv dotknutých osôb do teraz domnievalo, že sa sami môžu rozhodnúť, ako podrobnú informáciu o príjemcoch dotknutej osobe poskytnú. Je totiž rozdiel uviesť žiadateľovi, že je ho dáta boli poskytnuté napríklad:

  • organizáciám, ktoré poskytujú služby vzdelávania – teda ako informáciu o kategórii príjemcov

alebo 

  • organizácii Xz, s.r.o., Zx s.r.o., Qy, a.s., ktoré poskytujú služby vzdelávania – teda ako menovitý zoznam skutočných príjemcov osobných údajov žiadateľa.

Usmernenie o výkone práv dotknutých osôb 

Takmer pred rokom, 22. januára 2022 Európsky výbor pre ochranu údajov (môžete sa stretnúť aj s označením EDPB) postúpil do verejnej diskusie dokument s názvom Usmernenia 01/2022 o právach dotknutých osôb – Právo na prístup. Pripomienky k dokumentu bolo možné zasielať do 11. marca 2022. EDPB prostredníctvom neho poskytuje podrobnejšie usmernenia práve k výkonu práva na prístup. Ako si toto právo vykladať a ako ho riadne plniť.

V bode 115 dokumentu uvádza tento príklad:
Zamestnávateľ vo svojom oznámení o ochrane osobných údajov uvádza informácie o tom, ktoré kategórie údajov sa odovzdávajú “cestovným kanceláriám” alebo “hotelom” v prípade služobných ciest v súlade s čl. 13 ods. 1 písm. e) a 14 ods. 1 písm. e) nariadenia GDPR.

Ak zamestnanec požiada o prístup k osobným údajom po služobnej ceste, mal by potom zamestnávateľ, pokiaľ ide o príjemcov osobných údajov podľa čl. 15 ods. 1 písm. c), uviesť vo svojej odpovedi cestovnú(-é) kanceláriu(-e) a hotel(-y), ktoré údaje prijali. Zatiaľ čo zamestnávateľ vo svojom oznámení o ochrane osobných údajov legitímne uviedol kategórie príjemcov podľa čl. 13 a 14, pretože v tejto fáze ešte nebolo možné uviesť mená príjemcov, mal by v súlade s článkom 14 ods. zásadami transparentnosti a spravodlivosti poskytnúť informácie o konkrétnych príjemcoch (názov cestovnej agentúr, hotelov atď.), keď zamestnanec podáva žiadosť o prístup.

Celý dokument si môžete prečítať kliknutím na tento odkaz.

Ako si teda evidovať príjemcov údajov?

Obmedzený prístup

Ďalší obsah tohoto článku je dostupný len prihláseným členom GDPR Academy. Prihláste sa, alebo si predplaťte členstvo. Práve teraz je k dispozícii
0
Otázok a odpovedí
0
Dokumentov na stiahnutie
0
Online GDPR kurzy

Scroll to Top

Odoslané

Vašu požiadavku spracujeme, a pokúsime sa Vám odpovedať čo najskôr.