Ako inak, ak nie transparentnými nariadeniami možno zvýšiť dôveryhodnosť občanov pri spracovaní osobných údajov. Práve transparentné a korektné nariadenia, ktoré GDPR zavádza, majú zvýšiť ochranu zákazníka pri poskytovaný osobných údajov. Akým spôsobom je teda transparentnosť pri manipulácii s osobnými údajmi zaručená?
Konkrétna a zrozumiteľná komunikácia
Informácia o spracovaní osobných údajov musí byť jasná, zrozumiteľná a transparentná. Podnikateľský subjekt (web, e-shop, predajca...) musí informáciu o spracovaní osobných údajov podať v čo najjednoduchšej podobe.
Informácia o spracovaní osobných údajov podľa článku 12 v GDPR musí byť:
- stručná, transparentná, zrozumiteľná a ľahko prístupná;
- písomnou formou alebo v elektronickej forme. Na požiadania dotknutej osoby môže byť súhlas ústnou formou. Súhlas musí byť poskytnutý bez akýchkoľvek poplatkov, teda zdarma.
Forma súhlasu
Ako sme spomínali, možností, ako danú informáciu o spracovaní údajov poskytnúť, je viac. Tou prvou je napríklad podpis zmluvy alebo zaškrtnutie políčka pri registrácii. Takisto môže ísť o vyskakovacie okná na web stránkach, ktoré je potrebné potvrdiť. Samotný subjekt však môže požiadať aj o iný druh overenia svojho súhlasu. Pokojne môže ísť o ústnu formu (telefón) alebo osobný kontakt. Ďalej v prípade špecifických aplikácií môže ísť o kamerové záznamy, QR kódy, video upozornenie alebo formou SMS či emailu.
Oznámenie v správny čas
Podmienkou transparentného spracovania osobných údajov je takisto i časový horizont, v ktorom dochádza k manipulácii s osobnými údajmi dotknutých osôb. Celý proces sa začína v momente pred alebo v okamihu spracovania, zhromažďovania takýchto informácií. Z hľadiska času informácia o spracovaní osobných údajov teda musí byť poskytnutá pred alebo v okamihu, kedy osobné údaje boli získané (vyplnenie formulára). Ak sú tieto informácie zachytené nepriamo, získané z iných zdrojov, informácia o získaní osobných údajov musí byť poskytnutá najneskôr do jedného mesiaca. Doba však zvyčajne býva kratšia a začína v momente prvého kontaktovania dotknutej osoby. Je nutné vedieť, že v prípade, ak spracovanie osobných údajov prebieha trvale, správca by mal subjekty opakovane informovať o rozsahu a dôvode spracovania osobných údajov.
Povinnosti prevádzkovateľa a možné výnimky
Minca má vždy dve strany, a tak je to aj pri nových pravidlách podľa GDPR. Čo správca musí a môže?
- Subjektu musí poskytnúť informáciu o ich právach. Subjektu musí umožniť čo najľahšie uplatnenie týchto práv a všetky postupy by mali byť primerané vo vzťahu medzi správcom a subjektom.
- Pri priamom získaní informácií musí správca jasne preukázať a doložiť, aké informácie od dotknutej osoby získal, kedy ich získal a zároveň preukázať, že nedošlo k ich pozmeneniu. Správca musí dbať na to, aby boli informácie aktuálne a kompletné.
- Pri nepriamom získaní je možné uplatniť určité výnimky. Spravidla povinnosť poskytnúť údaje nevzniká, ak sa dokáže, že takéto poskytnutie nie je možné. Tým máme na mysli prípady ako archivácia, štatistické účely alebo historický výskum. Rovnako to platí v prípade, že by poskytnutie vyžadovalo neprimerané úsilie a ohrozilo či znemožnilo by to ich spracovanie.