Informačná povinnosť prevádzkovateľa (zákon a GDPR)

Zobraziť pojem v strome Doména: Európska únia

Definícia

Nová právna úprava zakotvuje právny rámec poskytovania informácii dotknutej osobe:
  • v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme, formulované jasne a jednoducho (ak sú využívané ikony v elektronickej podobe, musia byť strojovo čitateľné);
  • písomne, elektronicky alebo inými prostriedkami alebo na požiadanie ústne (ak dotknutá osoba podala žiadosť elektronickými prostriedkami, informácie sa podľa možnosti poskytnú elektronickými prostriedkami, pokiaľ dotknutá osoba nepožiadala o iný spôsob);
  • bezplatné poskytovanie informácii, v osobitných prípadoch možnosť účtovať primeraný poplatok; 
  • oprávnenie prevádzkovateľa žiadať o poskytnutie dodatočných informácií potrebných na potvrdenie totožnosti dotknutej osoby.

V prípade, ak sa získavajú osobné údaje od dotknutej osoby, je potrebné navyše poskytnúť informáciu (oproti úprave podľa § 15 ods. 1 zákona):
  • kontaktné údaje prípadnej zodpovednej osoby;
  • právny základ spracúvania, a ak sa spracúvanie zakladá na článku 6 ods. 1 písm. f) nariadenia aj oprávnené záujmy prevádzkovateľa alebo tretej strany;
  • o dobe uchovávania osobných údajov alebo, ak to nie je možné, kritériá na jej určenie;
  • konkretizácia práv dotknutej osoby, a to (i) poskytnúť informáciu o existencii práva požadovať od prevádzkovateľa prístup k osobným údajom týkajúcim sa dotknutej osoby a práva na ich opravu alebo vymazanie alebo obmedzenie spracúvania, alebo práva namietať proti spracúvaniu, ako aj práva na prenosnosť údajov; (ii) ak je spracúvanie založené na súhlase, existencia práva kedykoľvek svoj súhlas odvolať; (iii) právo podať sťažnosť na úrad; (iv) informácia o tom, či je poskytovanie osobných údajov zákonnou alebo zmluvnou požiadavkou, alebo požiadavkou, ktorá je potrebná na uzavretie zmluvy, či je dotknutá osoba povinná poskytnúť osobné údaje, ako aj možné následky neposkytnutia takýchto údajov; (v) existencia automatizovaného rozhodovania vrátane profilovania.

Zároveň už nie je potrebné informovať dotknutú osobu (i) o sprostredkovateľovi samotným sprostredkovateľom a o (ii) forme zverejnenia, ak mali byť osobné údaje zverejnené. Informačná povinnosť prevádzkovateľa o sprostredkovateľovi sa vykonáva na základe čl. 13 a čl. 14 nariadenia, keďže sprostredkovateľ je zároveň príjemcom v zmysle definície čl. 4 ods. 8 nariadenia.

Ak sa získavajú osobné údaje priamo od dotknutej osoby, nemusí prevádzkovateľ poskytnúť informácie len v prípade, ak požadovaný rozsah informácii dotknutá osoba už má. Podľa novej právnej úpravy, ak prevádzkovateľ získava osobné údaje priamo od dotknutej osoby na právnom základe osobitného právneho predpisu, na základe medzinárodnej zmluvy alebo na základe priamo vykonateľného právne záväzného aktu Európskej únie, bude povinný poskytnúť informácie tejto dotknutej osobe (zmena oproti § 15 ods. 3 zákona).

V prípade, ak sa nezískavajú osobné údaje od dotknutej osoby, je potrebné navyše poskytnúť informáciu (oproti úprave § 15 ods. 1 zákona):
  • kontaktné údaje prípadnej zodpovednej osoby;
  • právny základ spracúvania; a ak sa spracúvanie zakladá na článku 6 ods. 1 písm. f) nariadenia aj oprávnené záujmy prevádzkovateľa alebo tretej strany;
  • doba uchovávania osobných údajov alebo, ak to nie je možné, kritériá na jej určenie;
  • konkretizácia práv dotknutej osoby, a to (i) poskytnúť informáciu o existencia práva požadovať od prevádzkovateľa prístup k osobným údajom týkajúcim sa dotknutej osoby a práva na ich opravu alebo vymazanie alebo obmedzenie spracúvania, alebo práva namietať proti spracúvaniu, ako aj práva na prenosnosť údajov; (ii) ak je spracúvanie založené na súhlase, existencia práva kedykoľvek svoj súhlas odvolať; (iii) právo podať sťažnosť na úrad; (v) existencia automatizovaného rozhodovania vrátane profilovania;
  • z akého zdroja pochádzajú osobné údaje, prípadne informácie o tom, či údaje pochádzajú z verejne prístupných zdrojov;

Zároveň už nie je potrebné informovať dotknutú osobu (i) o sprostredkovateľovi samotným sprostredkovateľom a o (ii) forme zverejnenia, ak mali byť osobné údaje zverejnené. Informačná povinnosť prevádzkovateľa o sprostredkovateľovi sa vykonáva na základe čl. 13 a čl. 14 nariadenia, keďže sprostredkovateľ je zároveň príjemcom v zmysle definície čl. 4 ods. 8 nariadenia.

Ak sa nezískavajú osobné údaje priamo od dotknutej osoby nemusí prevádzkovateľ poskytnúť informácie v širších prípadoch ako podľa § 15 ods. 3 zákona; a to ak:
  • dotknutá osoba má už dané informácie; alebo
  • sa poskytovanie takýchto informácií ukáže ako nemožné alebo by si vyžadovalo neprimerané úsilie (potreba prijatia opatrení zo strany prevádzkovateľa); alebo
  • právny základ je uvedený v osobitnom právnom predpise; alebo
  • v prípade, keď osobné údaje musia zostať dôverné na základe povinnosti zachovávania profesijného tajomstva alebo povinnosti zachovávať mlčanlivosť podľa osobitného právneho predpisu.  

Súvisiace pojmy:

Nadradený pojem:
Susedné pojmy: