Tým, že povedomie ľudí a zamestnancov o ochrane údajov sa postupne zväčšuje, spoločnosti sa čoraz častejšie stretávajú s uplatňovaním práva na prístup zo strany dotknutých osôb. Častejšie ide o uplatnenie práva zo strany klientov alebo bývalých zamestnancov, či neúspešných uchádzačov o zamestnanie ako od zamestnancov samotných.
Žiadosť dotknutých osôb o uplatnenie práv na prístup podľa GDPR treba vybaviť rýchlo, predvídateľne a právne čisto. V zamestnávateľskej praxi sa najčastejšie uplatňuje právo na prístup podľa článku 15, právo na opravu, vymazanie a obmedzenie spracúvania, právo na prenositeľnosť pri vybraných údajoch a právo namietať pri spracúvaní na základe oprávneného záujmu. Lehota na odpoveď je jeden mesiac od prijatia žiadosti. Pri zložitých alebo početných žiadostiach sa dá lehota predĺžiť o ďalšie dva mesiace. Poplatok môže prevádzkovateľ požadovať iba pri zjavne neopodstatnených alebo neprimerane často opakovaných žiadostiach.
Proces vybavenia žiadosti dotknutej osoby začína jej prijatím a zaevidovaním so zaznamenaním dátumu, identity žiadateľa, typu práva a lehoty. Nasledovať by malo overenie identity, aby sa predišlo neoprávnenému prístupu. Ak je žiadosť nejasná, je potrebné požiadať dotknutú osobu o jej spresnenie, pričom práva dotknutej osoby by objektívne nemali byť obmedzované.
Po potvrdení prijatia žiadosti je potrebné zabezpečiť dočasné pozastavenie vymazávania údajov dotknutej osoby. V podstate by malo dôjsť k akémusi “zmrazeniu” stavu osobných údajov. Musia sa zachovať relevantné dáta v HR systémoch, v mzdových a dochádzkových aplikáciách, v systémoch na správu dokumentov, v e mailoch a chatových nástrojoch, v náborových a prístupových logoch a v záznamoch kamerových systémov. DPO zmapuje všetky zdroje údajov a identifikuje aj externých spracovateľov ako sú mzdové učtárne, príslušné portály alebo napríklad poskytovatelia pracovnej zdravotnej služby.
Ak si dotknutá osoba vyžiada informáciu o spracúvaní všetkých osobných údajov, ich kópiu a napríklad účel spracúvania, prevádzkovateľ musí vykonať následný zber a replikáciu dát. Prevádzkovateľ zozbiera osobné údaje zo systémov, všetky príslušné dokumenty a komunikáciu, pričom je však potrebné oddeliť informácie, ktoré nie sú osobnými údajmi dotknutej osoby. Údaje tretích osôb sa poskytujú len v rozsahu, ktorý nezasahuje do ich práv a slobôd. Najvhodnejšie je použiť primeranú anonymizáciu a začiernenie.
Výstup pre dotknutú osobu obsahuje kópie osobných údajov a účely spracúvania, ako aj kategórie údajov, kategórie príjemcov, zdroje údajov, lehoty uchovávania a poučenie o právach a možnostiach sťažnosti. Formát výstupu má byť prehľadný a primeraný. V praxi ide o kombináciu súborov PDF a pri prenositeľnosti o strojovo čitateľné formáty. Doručenie jednoznačne nie je vhodné robiť bežnou emailovou komunikáciou, ale ideálne cez šifrovaný odkaz s časovou platnosťou.
Niektorým žiadostiam sa nemusí vyhovieť v plnom rozsahu. Ak je žiadosť zjavne neopodstatnená alebo neprimeraná, prevádzkovateľ môže požadovať primeraný poplatok alebo zúženie rozsahu. Svoje dôvody však musí zrozumiteľne vysvetliť. Prevádzkovateľ by mal mať pripravené základné dokumenty a postupy na spracovanie takýchto žiadostí. Najčastejšie ide o postupy pre vybavovanie žiadostí s jasnou zodpovednosťou a lehotami, aktuálna dátová mapa systémov prevádzkovateľa a sprostredkovateľov, postup na dočasné pozastavenie vymazávania a retenčný plán s väzbami na účtovné a pracovnoprávne povinnosti. Pri monitorovaní zamestnancov, pri dochádzke a pri kamerových systémoch je dôležité mať interné predpisy a vyhodnotenia oprávneného záujmu a dbať na transparentnosť voči zamestnancom.
Je potrebné si uvedomiť, že nespracovanie a nevybavenie žiadosti dotknutej osoby je porušením povinnosti vyplývajúcej z GDPR. Takéto porušenie je zo strany Úradu na ochranu osobných údajov ľahko preukázateľné a sankcionovateľné. Preto je potrebné dbať na to, aby každá spoločnosť ako prevádzkovateľ mala zavedené a aktualizované štandardné pracovné postupy a vedela v lehotách stanovených GDPR reagovať a vybaviť žiadosti dotknutých osôb.
Kinstellar je popredná európska advokátska kancelária s viac ako 480 odborníkmi v Nemecku, Európe a USA. Našou hlavnou činnosťou je poskytovanie vynikajúceho, integrovaného právneho a daňového poradenstva, ktoré je odborne podložené, inovatívne a orientované na výsledok. Spolu so spoločnosťami v skupine Kinstellar vyvíjame taktiež udržateľné riešenia pre financovanie a management. Nami poskytované poradenstvo využívajú skupiny a stredné podniky, ako aj finančné inštitúcie a investori.
V dialógu s našimi mandantmi nachádzame odpovede na všetky právne aspekty ekonomického života. Náš odborný profil tak zahŕňa právo obchodných spoločností vrátane fúzii a akvizícií, súťažné, kartelové ako aj bankové právo vrátane práva kapitálového trhu a podnikového financovania. Špecializujeme sa na právo duševného vlastníctva, právo informačných technológii a telekomunikácií, právne otázky spojené s distribúciou tovaru, právne vzťahy k nehnuteľnostiam, pracovné právo, konkurzné právo, právo životného prostredia. Klientov zastupujeme pred riadnymi aj rozhodcovskými súdmi. Okrem toho ponúkame rozsiahle poradenstvo pri štruktúrovaní a financovaní investičných zámerov.
