Žádosti subjektů údajů — kompletní průvodce pro pověřence

Žádost subjektu údajů je formální žádost jednotlivce správci, kterou uplatňuje své právo podle článku 15 GDPR na potvrzení, zda jsou jeho osobní údaje zpracovávány, a pokud ano, na přístup k těmto údajům spolu s konkrétními doplňujícími informacemi. Žádost může podat jakákoliv fyzická osoba, jejíž údaje jsou zpracovávány. Neexistují žádné formální požadavky — žádost může být podána ústně, e-mailem, přes webový formulář nebo dokonce přes sociální média. Totožnost žadatele musí být ověřena, ale organizace nesmí klást nepřiměřené překážky podání žádosti. Žádosti nejsou omezeny na zákazníky. Podat je mohou zaměstnanci, bývalí zaměstnanci, uchazeči o práci, návštěvníci webu i obchodní kontakty. Pro organizace s rozsáhlými HR operacemi jsou žádosti zaměstnanců často nejsložitější — zahrnují údaje rozptýlené v mzdových systémech, e-mailových archivech, hodnoceních výkonu a dalších.

Standardní lhůta pro odpověď na žádost je jeden měsíc od přijetí žádosti — nikoliv jeden měsíc od ověření totožnosti nebo potvrzení, ale od přijetí. Tato lhůta se počítá podle kalendářního měsíce: žádost přijatá 15. března má lhůtu do 15. dubna. Prodloužení je možné podle článku 12 odst. 3 GDPR: pokud je žádost obzvláště složitá nebo pokud organizace obdrží velký počet žádostí, lhůtu lze prodloužit o další dva měsíce. Správce však musí subjekt údajů o prodloužení informovat v rámci původní jednoměsíční lhůty, včetně důvodů zdržení. V praxi se většina dozorových úřadů dívá nelibě na prodloužení používané jako standardní postup. Jsou určeny pro skutečně složité případy — ne jako výchozí rezerva. Pokud zjistíte, že prodloužení potřebujete rutinně, je to známka toho, že váš proces vyřizování žádostí potřebuje zlepšit. Pro externí pověřence spravující 15 klientů s průměrně 3 žádostmi na klienta ročně to je 45 individuálních lhůt ke sledování. Ruční sledování přes kalendářní záznamy je náchylné k chybám a nešáluje se. Jediná zmeškaná lhůta může vést ke stížnosti k dozorovému úřadu a poškození reputace klienta i pověřence.

Článek 15 vyžaduje, aby správci v odpovědi na žádost poskytli následující informace: účely zpracování, kategorie dotčených osobních údajů, příjemce nebo kategorie příjemců, předpokládanou dobu uchování nebo kritéria pro její stanovení, existenci práva na opravu, výmaz nebo omezení, právo podat stížnost u dozorového úřadu, zdroj údajů (pokud nebyly získány přímo od subjektu údajů) a existenci automatizovaného rozhodování včetně profilování. Kromě těchto metadat musí správce poskytnout kopii zpracovávaných osobních údajů. První kopie musí být poskytnuta zdarma; za další kopie může být účtován přiměřený administrativní poplatek. Odpověď musí být poskytnuta v běžně používaném elektronickém formátu, pokud byla žádost podána elektronicky. Musí být stručná, transparentní a v jasném, srozumitelném jazyce — zejména pokud je subjektem údajů dítě.

Ne každá žádost musí být splněna v plném rozsahu. Článek 12 odst. 5 umožňuje správcům odmítnout žádosti, které jsou „zjevně neopodstatněné nebo nepřiměřené" — například opakované žádosti od stejné osoby, aniž by došlo k novému zpracování. Důkazní břemeno, že žádost je zjevně neopodstatněná, leží na správci. Profesní tajemství a obchodní tajemství mohou rovněž omezit, co musí být sděleno. Pokud by poskytnutí kompletní kopie všech údajů odhalilo proprietární algoritmy, obchodní strategie nebo informace o jiných osobách, správce může tyto konkrétní informace zredigovat nebo zadržet — ale stále musí na žádost celkově odpovědět. Žádosti zaměstnanců jsou obzvláště složité. Často zahrnují údaje držené více odděleními (HR, IT, finance, vedení) a mohou obsahovat interní komunikaci o zaměstnanci. Dozorové úřady obecně očekávají, že organizace prohledají všechny relevantní systémy, včetně e-mailu, ale důvěrné diskuse vedení o restrukturalizaci nebo disciplinárních řízeních mohou být za určitých podmínek vyňaty. V případě pochybností zdokumentujte své odůvodnění pro jakékoliv uplatněné omezení nebo výjimky. Dozorové úřady jsou mnohem vstřícnější, když správce dokáže prokázat promyšlený, zdokumentovaný rozhodovací proces, než když se setkají s plošným odmítnutím.