05
dec
V dnešnej digitálnej dobe, kde je práca s osobnými údajmi každodennou záležitosťou, je nesmierne dôležité, aby správca osobných údajov vedel, ako správne reagovať na požiadavky dotknutých osôb. Jednou z možných žiadostí je žiadosť o obmedzenie spracovania údajov podľa článku 18 nariadenia GDPR. Takáto požiadavka má svoje právne, technické a organizačné špecifiká. V nasledujúcom článku si detailne prejdeme, čo žiadosť o obmedzenie spracovania znamená, ako by na ňu mal správca reagovať, aké sú jeho povinnosti, ako zabezpečiť súlad s legislatívou a zároveň si udržať dôveru svojich klientov a partnerov. Zameriame sa tiež na praktické kroky, ktoré môže organizácia podniknúť, aby rýchlo a efektívne tieto požiadavky riešila v súlade s GDPR. Článok je určený najmä prevádzkovateľom, zodpovedným osobám, ale aj každému, kto pracuje s osobnými údajmi.
1. Čo je žiadosť o obmedzenie spracovania údajov podľa GDPR?
Žiadosť o obmedzenie spracovania údajov je právo dotknutej osoby, vyplývajúce z článku 18 nariadenia (EÚ) 2016/679 – GDPR. Toto právo poskytuje fyzickým osobám možnosť požiadať správcu, aby na určitý časový úsek obmedzil prácu s ich osobnými údajmi. Obmedzenie znamená, že údaje nebudú predmetom ďalšieho spracovania – okrem ich uchovávania – až do vyriešenia konkrétnej situácie.
Dotknutá osoba môže toto právo uplatniť v prípade, ak:
- spochybňuje presnosť svojich osobných údajov,
- je spracovanie nezákonné a nechce, aby boli údaje zmazané,
- správca už údaje nepotrebuje, ale osoba ich požaduje pre uplatnenie právneho nároku,
- bola podaná námietka proti spracovaniu a čaká sa na overenie, či oprávnené dôvody prevládajú.
Správca musí v týchto situáciách zabezpečiť, že údaje nebudú spracovávané iným spôsobom, než je ich uchovávanie, s výnimkou, že na to dá dotknutá osoba výslovný súhlas alebo existuje zákonný dôvod.
2. Ako rozpoznať a správne prijať žiadosť?
Prvým krokom je schopnosť správne rozpoznať, že ide o žiadosť o obmedzenie spracovania. Žiadosti nemusia byť formulované technicky alebo citovať presné ustanovenie GDPR. Stačí, ak dotknutá osoba uvedie, že si neželá, aby jej údaje boli ďalej spracúvané v určitej forme alebo na určitý účel.
Odpoveďou správcu by malo byť:
- formálne potvrdenie prijatia žiadosti,
- overenie totožnosti žiadateľa (ak nebola potvrdená),
- analýza možnosti uplatnenia práva,
- escalácia prípadu na zodpovednú osobu (DPO),
- dodržanie lehoty odpovede do 1 mesiaca podľa GDPR.
Dôležité je poskytnúť jasnú, zrozumiteľnú a transparentnú odpoveď obsahujúcu aj popis ďalších krokov.
3. Povinnosti správcu po prijatí žiadosti
Po prijatí platnej žiadosti musí správca prijať rozhodnutie, či je oprávnená a či sa uplatňuje niektorý z dôvodov uvedených v čl. 18 GDPR. Pokiaľ áno, nastáva povinnosť obmedziť prístup a spracovanie údajov.
Správca musí prijať tieto opatrenia:
- Zastaviť spracovanie údajov na konkrétny účel,
- Zaevidovať čas obmedzenia v záznamoch o spracovaní,
- Informovať všetky tretie strany (spracovateľov), ktorým boli údaje poskytnuté, prípadne ich požiadať o rovnaké obmedzenie,
- Označiť údaje v interných systémoch (napr. cez prístupové práva, príznaky, samostatné tabuľky),
- Zabezpečiť, aby zamestnanci vedeli, ktoré údaje sú obmedzené a ako s nimi nakladať.
Technické opatrenia
Technicky je potrebné zabezpečiť, aby:
- sobory a databázy boli označené ako „neaktívne“ alebo „zablokované“,
- automatizované spracovanie údajov bolo pozastavené,
- údaje neboli predmetom marketingových kampaní alebo analytických výpočtov.
4. Komunikácia počas a po obmedzení
Aj počas obmedzenia spracovania musí zostať komunikácia s dotknutou osobou transparentná. Účelom je predchádzať nedorozumeniam a budovať dôveru.
Odporúčané komunikačné kroky:
- Potvrdenie o začiatku obmedzenia s uvedením dátumu a dôvodu,
- Informovanie o akýchkoľvek zmenách – ukončenie obmedzenia, ďalšie spracovanie, zákonné výnimky,
- Možnosť žiadateľa kontaktovať zodpovednú osobu (DPO) pre dodatočné vysvetlenia.
Pri ukončení obmedzenia musí správca transparentne informovať dotknutú osobu a opäť objasniť, akým spôsobom budú údaje ďalej spracovávané.
5. Najčastejšie chyby a ako sa im vyhnúť
Z praxe vyplýva niekoľko častých chýb, ktoré organizácie robia pri odpovediach na žiadosti o obmedzenie:
- Ignorovanie žiadosti – žiadosti nie sú spracované, pretože sa neidentifikujú správne ako relevantné,
- Nedodržanie lehoty 30 dní podľa GDPR,
- Neinformovanie tretích strán, čo môže viesť k porušeniu príslušných predpisov,
- Nesprávne technické riešenie – údaje sú používané ďalej cez API alebo súčasťou záloh,
- Chýbajúci interný proces na riadenie požiadaviek a ich dokumentáciu.
6. Ako zefektívniť celý proces v organizácii
Pre správcu osobných údajov je kľúčové, aby mal zavedené postupy na efektívnu prácu s požiadavkami dotknutých osôb.
Odporúčania pre organizácie:
- Vypracovanie vnútorných smerníc pre riešenie žiadostí podľa GDPR,
- Školenie pracovníkov, najmä tých, čo prichádzajú do kontaktu s údajmi,
- Vytvorenie formulára a jednotného kontaktného bodu,
- Pravidelná kontrola, či systém na ukladanie údajov umožňuje obmedzenie,
- Zabezpečiť logovanie všetkých krokov súvisiacich so žiadosťami – dôležité pre prípad inšpekcie ÚOOÚ.
Záver
Žiadosť o obmedzenie spracovania osobných údajov patrí medzi základné práva, ktoré zabezpečujú kontrolu jednotlivca nad tým, ako sú jeho osobné údaje používané. Ich správne spracovanie nie je len právnou povinnosťou vyplývajúcou z GDPR, ale aj výrazom rešpektu voči súkromiu a transparentnosti voči klientom, partnerom či zamestnancom.
Správca, ktorý nevie presne reagovať na takéto požiadavky, sa vystavuje nielen riziku pokuty zo strany Úradu na ochranu osobných údajov, ale aj strate dôvery zo strany verejnosti. Zavedenie vhodných interných procesov, školenie zamestnancov a technických riešení je preto kľúčové. Nezabudnime, že aj obmedzenie spracovania údajov môže znamenať konkurenčnú výhodu – organizácia, ktorá sa vie prispôsobiť potrebám dotknutých osôb, získava reputáciu zodpovedného digitálneho hráča.
V konečnom dôsledku nejde len o dodržiavanie paragrafov, ale o budovanie kultúry ochrany osobných údajov vo vnútri organizácie. Nech sú preto žiadosti o obmedzenie príležitosťou, nie prekážkou.