Sedm chyb při vyřizování žádostí o přístup k osobním údajům

Když se vám někdo ozve s žádostí o přístup k osobním údajům, můžete mít pocit, že jde o rutinní administrativní záležitost. Není to ale jen tak. Pokud správce osobních údajů nepostupuje v souladu s pravidly GDPR, může se vystavit pokutám, které dosahují až 20 milionů EUR nebo 4 % ročního obratu společnosti. Evropské úřady v roce 2024 provedly rozsáhlou kontrolu plnění povinností správci při vyřizování žádostí o přístup k osobním údajům a identifikovaly sedm typických chyb, které mohou mít závažné důsledky. Jak těmto chybám předejít a zajistit si správný postup při vyřizování žádostí?

1. Nejasně nastavený proces pro vyřizování žádostí

Jednou z nejčastějších chyb je nejasně definovaný proces, jakým správce vyřizuje žádosti o přístup k osobním údajům. Často se stává, že správci nemají konkrétně stanovený postup, jakým způsobem mají žádosti přijímat a vyřizovat. V praxi to znamená, že žadateli mohou být poskytnuty pouze částečné nebo nepřesné informace, což je závažné porušení práv subjektů údajů.

Jak se tomu vyhnout?

Vyjasněte si, jaké konkrétní kategorie osobních údajů zpracováváte, kde jsou tato data uchovávána a jak dlouho. Udržujte aktuální záznamy o činnostech zpracování podle čl. 30 GDPR, které vám pomohou v případě žádosti o přístup poskytnout přesné a úplné informace. Záznamy o zpracování jsou klíčem k rychlému a bezproblémovému vyřízení žádosti.

2. Nejasné nebo příliš dlouhá doba pro uchování žádostí a odpovědí

Další běžnou chybou je nesprávně nastavená doba uchování žádostí a odpovědí. GDPR požaduje, aby správci stanovili konkrétní lhůtu, po jejímž uplynutí budou žádosti a odpovědi vymazány. To ale bývá často opomíjeno nebo se stanoví doba uchování příliš dlouhá.

Co s tím?

Nastavte lhůtu pro uchovávání žádostí o přístup a souvisejících dokumentů. Podle českého ÚOOÚ je zcela legitimní uchovávat tuto komunikaci po dobu 3 let, což odpovídá promlčecí lhůtě pro přestupek. Tímto způsobem budete mít dostatečný prostor k obraně v případě právních sporů, a přitom neporušíte požadavky na ochranu osobních údajů.

3. Neexistence interního procesu pro vyřízení podnětů

Mnoho správců nemá jasně definovaný vnitřní proces pro příjem a vyřízení žádostí subjektů údajů. To může vést k opomenutí žádosti, pozdnímu vyřízení nebo neúplným odpovědím. Tento problém může být obzvlášť vážný v případě, kdy správce zpracovává velké množství dat, což může vést k chaotickému přístupu.

Jak tomu předejít?

Definujte a implementujte proces pro přijetí žádosti, její zpracování a evidenci. Určte, kdo bude za jednotlivé kroky odpovědný. Je také dobré zapojit pověřence pro ochranu osobních údajů, pokud je u správce jmenován, a zajistit, aby byl proces zcela transparentní.

4. Překážky pro uplatnění práva na přístup

Správci jsou povinni usnadnit subjektům údajů uplatnění jejich práv. V případě, že subjekt údajů narazí na překážky, například složité požadavky na ověření identity, nejasné instrukce nebo nepřiměřené poplatky, porušuje správce GDPR.

Jak se tomu vyhnout?

Poskytněte jasné informace o tom, jakými kanály může subjekt údajů žádat o přístup k jeho datům. Ujistěte se, že možnosti kontaktu jsou přehledné a že žadatel nemá žádné zbytečné překážky. Pokud se žádost vztahuje k datům, které jsou snadno dostupné, zajistěte, aby byl proces co nejjednodušší.

5. Příliš široký výklad výjimek

Správci mají právo odepřít přístup k některým údajům, pokud by jejich poskytnutí mohlo ohrozit práva třetích stran (například v případě záznamu z bezpečnostní kamery, kde jsou zachyceni i jiní lidé). Nicméně, příliš široký výklad výjimek může vést k tomu, že je žádost o přístup zamítnuta neoprávněně.

Jak tomu předejít?

Každou žádost o přístup posuzujte individuálně. Místo použití formálního přístupu, kdy byste žádost automaticky zamítli na základě předem stanovených pravidel, analyzujte, zda je možné poskytnout data v jiném formátu nebo po částech.

6. Nadbytečné požadavky na upřesnění žádosti

GDPR zavádí tzv. vrstvený přístup, kdy správce v první fázi poskytne základní informace o zpracování dat a odkazy na podrobnosti. Někteří správci tento přístup zneužívají a kladou na žadatele nepřiměřené požadavky na upřesnění, aby se vyhnuli poskytnutí všech požadovaných informací.

Jak tomu předejít?

Pokud je žádost jasně formulována, poskytujte požadované informace co nejrychleji a bez zbytečného zdržování. Pokud žadatel neformuluje žádost úplně přesně, požádejte o upřesnění pouze v případě, že je to nezbytné.

7. Poskytování neúplných nebo příliš obecných informací

Někteří správci se snaží vyhnout poskytnutí plných informací tím, že žadateli nabídnou pouze obecné nebo neúplné údaje. Nejhorší variantou je, když správce uvádí nepravdivé informace, například že osobní údaje žadatele vůbec nezpracovává.

Ujistěte se, že máte jasno v tom, jaké kategorie osobních údajů o jednotlivých subjektech zpracováváte. Při vyřizování žádosti o přístup se vyhněte obecným odpovědím a poskytujte detailní informace o zpracovávaných datech. Jestliže se zjišťování údajů ukáže složitým, zajistěte transparentnost a informujte žadatele o průběhu vyřizování jeho žádosti.

,

Právo na přístup k osobním údajům není jen formalita. Správci musí být připraveni zajistit, aby každá žádost byla vyřízena rychle, transparentně a v souladu s pravidly GDPR. Pokud se vyvarujete výše uvedeným chybám, minimalizujete riziko pokut a právních problémů. K tomu je třeba mít správně nastavené procesy a pravidla, které zajistí efektivní a správné vyřizování žádostí o přístup k osobním údajům.