Výzva jménem DSAR…aneb jak má správce postupovat, když mu přijde žádost o přístup k osobním údajům, část II.

Výzva jménem DSAR…aneb jak má správce postupovat, když mu přijde žádost o přístup k osobním údajům, část II.

V květnu tomu byly dva roky, co se stalo aplikovatelným obecné nařízení o ochraně osobních údajů známé pod zkratkou GDPR.1 Tato právní regulace blíže upravila a posílila práva subjektů údajů, což si mnozí i díky medializaci tématu ochrany osobních údajů uvědomují, a žádosti o výkon práv subjektů jsou stále častější. V tomto příspěvku navážeme na předchozí díl,2 který se zaobíral hmotně-právními aspekty práva na přístup. Tentokrát se zaměříme na jeho procesní stránku a předestřeme návod pro správce, jak a kdy na žádosti reagovat.

 

ochrana osobních údajů        DSAR         žádosti subjektů        GDPR          žádost o přístup

Subjekt údajů má právo na přístup ke shromážděným osobním údajům, které se ho týkají. Měl by mít možnost toto právo snadno a v přiměřených odstupech uplatňovat, aby byl o zpracování informován a mohl si ověřit jeho zákonnost. K uplatňování tohoto práva dochází na základě žádosti o přístup (DSAR – Data Subject Access Request).3 Pro správce a zpracovatele osobních údajů může DSAR představovat časově i administrativně náročnou zátěž, kdy v relativně krátké časové lhůtě musí vyhodnotit oprávněnost žádosti, shromáždit všechny požadované údaje a správně reagovat.

Příjem žádosti o přístup k informacím

Náležitosti žádosti ani její forma nejsou předepsány. Nařízení GDPR pouze stanoví, že správce by měl zajistit podmínky pro to, aby žádosti mohly být podávány elektronicky, zejména v případě zpracování dat elektronickými prostředky.4 Správce může např. zřídit zvláštní e-mailovou adresu pro příjem žádostí nebo zveřejnit na své webové stránce vzorový formulář žádosti. Tím usnadní nejen výkon práv subjektu údajů, ale celý proces zjednoduší i sobě.

Je však třeba mít na paměti, že subjekt údajů nemusí vzorový formulář ani určenou e-mailovou adresu využít a může požádat o přístup k osobním údajům ústně, telefonicky, dopisem nebo jinou formou. Podstatné z hlediska nastavení procesů u správce je i to, že subjekt se může s žádostí obracet na kteroukoli osobu jednající za správce. Může se stát, že žádost o přístup vznese např. klient banky v rámci telefonického hovoru z call centra nabízejícího nový produkt nebo bývalý zaměstnanec na vrátnici fabriky.

Správce by měl zajistit, aby všichni pracovníci věděli, co se rozumí žádostí o přístup (a dalšími právy dle nařízení GDPR) a uměli na takovou situaci správně reagovat. Proto by správce měl zavést postupy pro evidenci a vyřizování žádostí.

Identifikace subjektu

Jak má správce osobních údajů postupovat v případě, že obdrží žádost od někoho „neznámého“? Nařízení GDPR neobsahuje žádné konkrétní požadavky týkající se způsobu identifikace žadatele. Správci údajů nicméně musejí zavést postup ověřování, kterým spolehlivě prokážou, že žadatel je subjektem osobních údajů, k nimž uplatňuje právo na přístup. Poskytnutí osobních údajů neoprávněné osobě totiž znamená porušení zabezpečení osobních údajů, za které správci hrozí sankce.

Pokud má správce údajů důvodné pochybnosti o totožnosti subjektu údajů, může požádat o další informace pro potvrzení totožnosti subjektu údajů5, a pokud žadatel takové informace poskytne, správce údajů nemůže odmítnout přijmout jeho žádost. Vyžadované dodatečné informace musejí být přiměřené povaze daného zpracování – nesmějí vést k nadměrným požadavkům na žadatele ani ke shromažďování nadbytečných osobních údajů, které nejsou relevantní ani nezbytné pro ověření. Není vždy nezbytné požadovat celé jméno a další identifikační údaje6; prokázání totožnosti podle GDPR není totéž co prokázání totožnosti na výzvu policie nebo provádění identifikace klienta dle předpisů proti praní špinavých peněz.7 Pokud se např. subjekt údajů přihlašuje k určité službě pouze svým uživatelským jménem a heslem a podá žádost o přístup v rámci této služby (žádost integrovaná na stránce služby po přihlášení), pak není potřeba jej ověřovat dalšími identifikátory.

Lhůty k reakci

Správce musí informace poskytnout bez zbytečného odkladu, v každém případě však do jednoho měsíce od obdržení žádosti.8 V případě potřeby a s ohledem na složitost lze lhůtu k poskytnutí informací prodloužit o další dva měsíce, a to za předpokladu, že subjekt údajů byl o důvodech tohoto odkladu informován do jednoho měsíce od původní žádosti. O případném odmítnutí žádosti musí správce subjekt údajů informovat do jednoho měsíce od přijetí žádosti.

DSAR manažer

Jak bylo zmíněno výše, žádost o přístup k osobním údajům může obdržet každý pracovník. Koordinací žádostí, jejich interním zpracováním a zasláním odpovědí by ale správce měl pověřit vybraného pracovníka, kterého lze označit jako „DSAR manažer“ (v případě větších organizací tým pracovníků). Jaké mají být povinnosti DSAR manažera?

  • zajištění transparentního a efektivního nastavení procesů pro subjekty osobních údajů při podávání DSARs a další komunikaci,
  • nastavení procesů pro identifikaci žadatelů,
  • zajištění procesů pro včasnou a řádnou odpověď na žádost,
  • komunikace s DPO a jednotlivými odděleními, která shromažďují údaje,
  • koordinace shromažďování vyžadovaných osobních údajů – zajištění úplnosti dat, vyloučení údajů, které nemají být poskytnuty (např. anonymizace údajů třetích osob),
  • komunikace se subjekty (např. o možnosti zúžení žádosti jen k určitému typu dat),
  • ochrana osobních údajů třetích osob a jiných dat, která jsou vyňata z povinnosti poskytování přístupu,
  • komunikace se zpracovateli a dalšími společnými správci osobních údajů,
  • dokumentace přijetí a vyřizování žádosti o přístup k osobním údajům.

Rozsah a forma poskytování osobních údajů

Informace o zpracování osobních údajů jakož i kopie osobních údajů se poskytují zpravidla v běžně používané elektronické formě, pokud subjekt údajů nepožádá o jiný způsob.9 Některé žádosti mohou být formulovány natolik obecně (např.: „Žádám kopii všech svých osobních údajů.“), že jejich splnění bez existujících automatizovaných procesů by vyžadovalo hodiny práce.

Několik příkladů z praxe:

  • uživatel sociální sítě požádal v roce 2017 o kopii svých údajů a obdržel 800 stran10,
  • v rámci přípravy tohoto článku byla v únoru odeslána DSAR společnosti Facebook – byl poskytnut datový soubor o velikosti 3,6 GB,
  • zaměstnavatel po prvotním prohledávání systémů zjistil, že údaje o zaměstnanci, který požádal o přístup, jsou vedle jeho osobní složky obsaženy ve složkách dalších desítek zaměstnanců, v docházkových systémech, v desítkách tisíc e-mailů, v nahrávkách CCTV kamer atp.

Co může správce údajů dělat? Pokud zpracovává velké množství informací týkajících se subjektu údajů, může před poskytnutím informací požádat subjekt údajů o upřesnění, kterých informací nebo činností zpracování se jeho žádost týká.11

Jak je vidět na příkladu kopie datového souboru zaslaného společností Facebook, datové objemy mohou dosahovat několika gigabytů, takže není zpravidla možné je poskytovat prostřednictvím e-mailu a je potřeba hledat jiná (bezpečná) řešení. Samotné nařízení GDPR doporučuje, je-li to možné, umožnit subjektům údajů přímý přístup pomocí dálkového přístupu k systému.12

Bezplatnost

Na rozdíl od předchozí právní úpravy13 obecně platí, že správci nemohou subjektům údajů účtovat poplatky za sdělení informací či poskytnutí kopií dle žádosti o přístup. Výjimku tvoří přiměřený poplatek za administrativní náklady na další kopie osobních údajů na žádost subjektu údajů (první kopie je tak vždy poskytována bezplatně).

Screenshot 2020 10 02 at 15.20.06

Krok za krokem14

Před první žádostí

  • Je vhodné připravit vzorový formulář pro podání žádosti o přístup k osobním údajům a zpřístupnit jej elektronicky. Správce se tak vyvaruje neúplným podáním, chybějícím údajům o identifikaci apod. Navíc vhodnou formulací může správce např. subjekt údajů nasměrovat k omezení žádosti jen na určitý typ dat, určité časové období, zúžit žádost jen na poskytnutí informací ke zpracování bez poskytnutí kopie dat (nebo naopak) atp.
  • Správce by měl určit pracovníky zodpovědné za vyřizování DSARs, které by měl spolu s ostatními pracovníky řádně proškolit.

Do 24 hodin od obdržení DSAR

  • Pokud žádost nebyla zaslána přímo na adresu určenou k přijímání žádostí, měl by pracovník, který ji obdržel, tuto žádost ihned předat pověřeným osobám.
  • DSAR manažer otevře nový DSAR log k zdokumentování žádosti a zahájí procesy směřující k vyřízení žádosti.
  • Pokud nebyla žádost podána na vzorovém formuláři správce a není úplná, DSAR manažer může požádat subjekt údajů, aby svou žádost doplnil a odevzdal na předepsaném formuláři (subjekt údajů však nemusí této žádosti vyhovět).

Do 48 hodin od obdržení DSAR

  • DSAR manažer rozhodne o případném odmítnutí žádosti.
  • Správce informuje subjekt osobních údajů o přijetí DSAR (datum sdělení zaznačí DSAR manažer do DSAR logu).

Den 3 až 6 od obdržení DSAR

  • DSAR manažer kontaktuje DPO a příslušné vlastníky procesů zpracování pro zmapování uložení údajů a odhad náročnosti.

Den 7 až 15 od obdržení DSAR

  • „First-level search“ – shromažďování osobních údajů příslušnými vlastníky procesů (pověřenými pracovníky).
  • DSAR manažer poznačí datum odpovědí jednotlivých vlastníků procesů v DSAR logu.
  • DSAR manažer předběžně určí, jestli je žádosti možné vyhovět ve lhůtě jednoho měsíce, případně informuje subjekt údajů o prodloužení této lhůty.

Den 16 až 25 od obdržení DSAR

  • „Second-level search“ – DSAR manažer rozhodne o tom, které osobní údaje mají být redukovány nebo neposkytnuty z důvodu zákonných výjimek (včetně ochrany osobních údajů třetích osob).
  • DSAR manažer dokončí přípravu podkladů a poskytne subjektu údajů požadované informace, přístup a/nebo kopii osobních údajů; případně poskytne subjektu údajů odůvodnění, z jakých důvodů některé údaje byly redukovány.
  • DSAR manažer zaznamená datum poskytnutí žádosti, rozsah poskytnutí a případná omezení do DSAR logu a log uzavře.

Závěr

Subjekty údajů mají právo na přístup ke svým osobním údajům (včetně kopií) a informacím o jejich zpracování a správci jsou povinni (nejedná-li se o některou z výjimek) tyto údaje a informace poskytovat. V některých případech může být rozsah poskytovaných osobních údajů (kopií) natolik široký, že jak samotné shromažďování údajů, tak jeho předání subjektu údajů může správci činit poměrně závažné administrativní i technické potíže. Pro efektivní vyřízení DSARs je potřeba, aby správce údajů měl dobře nastavené procesy přijímání a řešení těchto žádostí. Zejména by však měl mít přehled o osobních údajích ve své organizaci, jednotlivých procesech zpracování, vlastnících procesů a místech uložení. Při správném nastavení procesů nemusí být odpověď na DSAR ničím zvlášť komplikovaným, skutečnou výzvou někdy ale je veškeré údaje dohledat.

Screenshot 2020 10 02 at 15.19.27Screenshot 2020 10 02 at 15.19.45

 

Poznámky pod čarou:

  1. Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/EU (dále jen „GDPR“).
  2. Srov. Věžníková, Petra: Výzva jménem DSAR (1. část) …aneb co pro správce znamená žádost o přístup k osobním údajům, Data Security Management, ročník XXIV, č. 2020/2, s. 17–20
  3. V širším pojetí se zkratka DSAR někdy používá souhrnně pro všechny uvedené žádosti subjektů údajů o výkon práv.
  4. Srov. bod 59 preambule GDPR
  5. Srov. čl. 12 odst. 6 GDPR
  6. Srov. zdroj [3], s. 14–15
  7. Podle zákona č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu
  8. Srov. čl. 12 odst. 3 GDPR
  9. Srov. čl. 15 odst. 3 GDPR
  10. https://www.theguardian.com/technology/2017/sep/26/tinder- -personal-data-dating-app-messages-hacked-sold
  11. Srov. bod (63) preambule GDPR
  12. Tamtéž
  13. Srov. § 12 odst. 3 zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů
  14. Tento návod je vzorovým příkladem best practice, kterou mohou správci zavést. Konkrétní postupy se přizpůsobí potřebám daného správce s ohledem na jeho velikost, množství zpracovávaných osobních údajů, typy zpracování atd.

Použité zdroje:

[ 1 ] BARCELO, R. a další. Absent Guidelines, Many Questions on Facilitating DSARs. Blog Security&Privacy // Bytes, publikováno 3. února 2020, dostupné z: https://www.securityprivacybytes.com/2020/02/absent-guidelines-many-questions-on-facilitating-dsars/

[ 2 ] Information Commissioner’s Office (ICO). Right of access. The Guide to Data Protection. Verze 1.0, z 26. listopadu 2019, dostupné online z: https://ico.org.uk/media/about-the-ico/consultations/2616442/right-of-access-draft-consultation-20191204.pdf

[ 3 ] Pracovní skupina pro ochranu údajů zřízená podle čl. 29 (WP29): Pokyny týkající se práva na přenositelnost údajů přijaté dne 13. prosince 2016, ve znění naposledy revidovaném a přijatém 5. dubna 2017, WP242 rev.01 (přijaté Evropským sborem pro ochranu osobních údajů)

[ 4 ] Pracovní skupina pro ochranu údajů zřízená podle čl. 29 (WP29): Pokyny k transparentnosti přijaté dne 29. listopadu 2017, ve znění naposledy revidovaném a přijatém 11. dubna 2018, WP260 rev.01 (přijaté Evropským sborem pro ochranu osobních údajů)


Vytisknout