Vodítka podávají praktický návod a vysvětlení povinnosti transparentního zpracování osobních údajů podle obecného nařízení. Transparentnost podle obecného nařízení je povinnost s přesahem do tří hlavních oblastí:
- informování subjektů údajů ohledně spravedlivého zpracování;
- jak správci komunikují se subjekty údajů v souvislosti s jejich právy podle obecného nařízení; a
- jak správci napomáhají subjektům údajů při výkonu jejich práv.
Transparentnost se uplatní v následujících etapách zpracovatelského cyklu:
- před nebo při zahájení zpracovatelského cyklu, tj. v době shromažďování dat, ať přímo od subjektu údajů nebo odjinud;
- po celou dobu zpracování, tj. když dochází ke komunikaci se subjekty údajů ohledně jejich práv; a
- při zvláštních událostech během probíhajícího zpracování, například, dojde-li k porušení zabezpečení osobních údajů nebo při podstatných změnách ve zpracování.
Smysl transparentnosti
Smyslem transparentnosti je, aby informace a sdělení týkající se zpracování osobních údajů byly snadno přístupné a srozumitelné a podávané za použití jasných a jednoduchých jazykových prostředků.
Prvky transparentnosti podle obecného nařízení
Předmětná informace nebo komunikace musí být v souladu s následujícími pravidly:
- musí být stručná, transparentní, srozumitelná a snadno přístupná (článek 12 odst. 1);
- musí být použity jasné a srozumitelné jazykové prostředky (článek 12 odst. 1);
- požadavek jasného a srozumitelného jazyka je zejména důležitý, jde-li o informace dětem (článek 12 odst. 1);
- musí být písemná „nebo jinými prostředky, včetně ve vhodných případech v elektronické formě“ (článek 12 odst. 1);
- na žádost subjektu údajů může být ústní (článek 12 odst. 1); a
- musí být poskytnuta zdarma (článek 12 odst. 5).
Informace poskytované subjektu údajů – články 13 a 14
Veškeré informace v těchto článcích jsou stejně důležité a musí být subjektu údajů poskytnuty. Transparentnost je nutno dodržovat nejen v době prvotního sběru osobních údajů, ale také po celou dobu zpracování. Správce musí dodržovat stejné zásady jak při podávání původního prohlášení/sdělení, tak při jakékoliv jeho následné změně. Změny v prohlášení/sdělení si musí subjekty opravdu všimnout. Změna by měla také splňovat požadavky stručnosti, srozumitelnosti, snadné přístupnosti, jasné a jednoduché jazykové prostředky. Nestačí a je nekorektní pouhé upozornění v prohlášení/oznámení o ochraně soukromí, že subjekt má pravidelně sledovat, zda nedošlo ke změně nebo aktualizaci.
Informace ohledně dalšího zpracování
Správci jsou povinni informovat subjekt, pokud hodlají zpracovávat jeho osobní údaje za jiným účelem, než pro který byly získány. Informace musí být poskytnuta ještě před uvedeným dalším zpracováním. Mezi oznámením a dalším zpracováním by měla být rozumná prodleva.
Výjimky z povinnosti poskytnout informace
Výjimky v čl. 13
- výjimka se týká v tomto případě situace, kdy daný subjekt již informace má
- tuto skutečnost, že subjekt má aktuálně kompletní soubor informací viz čl. 13 odst. 1 a 2, musí správce prokázat
Výjmky v čl. 14
- obecným pravidlem je, že tyto výjimky by se měly uplatňovat omezeně
- výjimkou je buď situace, že subjekt dané informace již má, nebo:
- poskytnutí takových informací není možné nebo by vyžadovalo nepřiměřené úsilí nebo by znemožnilo či výrazně ztížilo dosažení cílů daného zpracování;
- správce je subjektem práva členského státu nebo Unie, které získávání nebo zpřístupnění osobních údajů stanoví a současně stanoví i vhodná opatření na ochranu oprávněných zájmů subjektu údajů; nebo
- povinnost zachovávat služební tajemství (včetně zákonné povinnosti mlčenlivosti)
Omezení práv subjektu údajů podle čl. 23
Tento článek umožňuje členským státům omezit rozsah práv subjektu ve vztahu k transparentnosti. Omezení však musí respektovat základní práva a svobody. Správce je dále povinen informovat subjekt, že takových omezení ve vztahu k transparentnosti využívá.
Transparentnost a porušení zabezpečení dat
Povinností správce je, informovat subjekt o bezpečnostním incidentu. Sdělení informace o porušení zabezpečení dat musí splňovat požadavky, které platí pro jakoukoli jinou komunikaci mezi subjektem a správcem (podle čl. 13 a 14).