Nová právna úprava zakotvuje právny rámec poskytovania informácii dotknutej osobe:
- v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme, formulované jasne
a jednoducho (ak sú využívané ikony v elektronickej podobe, musia byť strojovo
čitateľné);
- písomne, elektronicky alebo inými prostriedkami alebo na požiadanie ústne (ak
dotknutá osoba podala žiadosť elektronickými prostriedkami, informácie sa podľa
možnosti poskytnú elektronickými prostriedkami, pokiaľ dotknutá osoba nepožiadala o
iný spôsob);
- bezplatné poskytovanie informácii, v osobitných prípadoch možnosť účtovať
primeraný poplatok;
- oprávnenie prevádzkovateľa žiadať o poskytnutie dodatočných informácií potrebných
na potvrdenie totožnosti dotknutej osoby.
V prípade, ak sa získavajú osobné údaje od dotknutej osoby, je potrebné navyše poskytnúť
informáciu (oproti úprave podľa § 15 ods. 1 zákona):
- kontaktné údaje prípadnej zodpovednej osoby;
- právny základ spracúvania, a ak sa spracúvanie zakladá na článku 6 ods. 1 písm. f)
nariadenia aj oprávnené záujmy prevádzkovateľa alebo tretej strany;
- o dobe uchovávania osobných údajov alebo, ak to nie je možné, kritériá na jej určenie;
- konkretizácia práv dotknutej osoby, a to (i) poskytnúť informáciu o existencii práva
požadovať od prevádzkovateľa prístup k osobným údajom týkajúcim sa dotknutej
osoby a práva na ich opravu alebo vymazanie alebo obmedzenie spracúvania, alebo
práva namietať proti spracúvaniu, ako aj práva na prenosnosť údajov; (ii) ak je
spracúvanie založené na súhlase, existencia práva kedykoľvek svoj súhlas odvolať; (iii)
právo podať sťažnosť na úrad; (iv) informácia o tom, či je poskytovanie osobných
údajov zákonnou alebo zmluvnou požiadavkou, alebo požiadavkou, ktorá je potrebná
na uzavretie zmluvy, či je dotknutá osoba povinná poskytnúť osobné údaje, ako aj
možné následky neposkytnutia takýchto údajov; (v) existencia automatizovaného
rozhodovania vrátane profilovania.
Zároveň už nie je potrebné informovať dotknutú osobu (i) o sprostredkovateľovi samotným
sprostredkovateľom a o (ii) forme zverejnenia, ak mali byť osobné údaje zverejnené.
Informačná povinnosť prevádzkovateľa o sprostredkovateľovi sa vykonáva na základe čl. 13
a čl. 14 nariadenia, keďže sprostredkovateľ je zároveň príjemcom v zmysle definície čl. 4 ods.
8 nariadenia.
Ak sa získavajú osobné údaje priamo od dotknutej osoby, nemusí prevádzkovateľ poskytnúť
informácie len v prípade, ak požadovaný rozsah informácii dotknutá osoba už má. Podľa novej právnej úpravy, ak prevádzkovateľ získava osobné údaje priamo od dotknutej osoby na právnom
základe osobitného právneho predpisu, na základe medzinárodnej zmluvy alebo na základe
priamo vykonateľného právne záväzného aktu Európskej únie, bude povinný poskytnúť
informácie tejto dotknutej osobe (zmena oproti § 15 ods. 3 zákona).
V prípade, ak sa nezískavajú osobné údaje od dotknutej osoby, je potrebné navyše poskytnúť
informáciu (oproti úprave § 15 ods. 1 zákona):
- kontaktné údaje prípadnej zodpovednej osoby;
- právny základ spracúvania; a ak sa spracúvanie zakladá na článku 6 ods. 1 písm. f)
nariadenia aj oprávnené záujmy prevádzkovateľa alebo tretej strany;
- doba uchovávania osobných údajov alebo, ak to nie je možné, kritériá na jej určenie;
- konkretizácia práv dotknutej osoby, a to (i) poskytnúť informáciu o existencia práva
požadovať od prevádzkovateľa prístup k osobným údajom týkajúcim sa dotknutej
osoby a práva na ich opravu alebo vymazanie alebo obmedzenie spracúvania, alebo
práva namietať proti spracúvaniu, ako aj práva na prenosnosť údajov; (ii) ak je
spracúvanie založené na súhlase, existencia práva kedykoľvek svoj súhlas odvolať; (iii)
právo podať sťažnosť na úrad; (v) existencia automatizovaného rozhodovania vrátane
profilovania;
- z akého zdroja pochádzajú osobné údaje, prípadne informácie o tom, či údaje
pochádzajú z verejne prístupných zdrojov;
Zároveň už nie je potrebné informovať dotknutú osobu (i) o sprostredkovateľovi samotným
sprostredkovateľom a o (ii) forme zverejnenia, ak mali byť osobné údaje zverejnené.
Informačná povinnosť prevádzkovateľa o sprostredkovateľovi sa vykonáva na základe čl. 13
a čl. 14 nariadenia, keďže sprostredkovateľ je zároveň príjemcom v zmysle definície čl. 4 ods.
8 nariadenia.
Ak sa nezískavajú osobné údaje priamo od dotknutej osoby nemusí prevádzkovateľ poskytnúť
informácie v širších prípadoch ako podľa § 15 ods. 3 zákona; a to ak:
- dotknutá osoba má už dané informácie; alebo
- sa poskytovanie takýchto informácií ukáže ako nemožné alebo by si vyžadovalo
neprimerané úsilie (potreba prijatia opatrení zo strany prevádzkovateľa); alebo
- právny základ je uvedený v osobitnom právnom predpise; alebo
- v prípade, keď osobné údaje musia zostať dôverné na základe povinnosti zachovávania
profesijného tajomstva alebo povinnosti zachovávať mlčanlivosť podľa osobitného
právneho predpisu.