Právo na prenosnosť osobných údajov. Prípad Kinobox vs. ČSFD

Keď Kinobox umožnil používateľom ČSFD „preniesť si“ vlastné recenzie na jeho platformu, rozhýbal sa nielen trh filmových databáz, ale jemne sa zavlnila aj právna rovina nakladania s osobnými údajmi. GDPR si strihlo vedľajšiu rolu v spore medzi Kinoboxom a ČSFD – dvoma konkurentmi v oblasti filmových recenzií.

Kinobox umožnil používateľom ČSFD „preniesť si“ svoje vlastné recenzie z ČSFD k sebe. Nespoliehal sa na ochotu užívateľov kopírovať svoje recenzie za x rokov spätne a pripravil im aplikáciu, ktorou mohli  požiadať ČSFD o prenos svojich osobných údajov – recenzií – podľa článku 20 GDPR. ČSFD reagovala žalobou pre nekalú súťaž. Nevieme, ako by súd dopadol v inom filme, ale Městský soud v Prahe žalobu zamietol – podľa neho išlo o legitímnu konkurenčnú súťaž, pretože dáta sa len kopírovali a recenzie zostali na pôvodnej platforme.

Čo hovorí GDPR o práve na prenosnosť

Čl. 20 GDPR, dotknutá osoba má právo získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla prevádzkovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a má právo preniesť tieto údaje ďalšiemu prevádzkovateľovi bez toho, aby jej prevádzkovateľ, ktorému sa tieto osobné údaje poskytli, bránil: 

  • ak sa spracúvanie zakladá na súhlase, 
  • a ak sa zároveň spracúvanie vykonáva automatizovanými prostriedkami.

Inak povedané: ak sú údaje digitalizované a poskytol ich samotný používateľ, mal by ich vedieť „zobrať so sebou“ aj inde. Týka sa to len údajov, ktoré sú digitalizované a štruktúrované tak, aby ich bolo možné ľahko preniesť (napr. v CSV, XML, JSON). 

Ako postupovať v prípade, že dotknutá osoba uplatní svoje právo na prenosnosť osobných údajov

V prvom rade, dôsledne preverte, či je žiadateľom skutočne dotknutá osoba. Podľa vašich technických možností nastavte overenie cez klientsky portál, pomocou hesla, cez dvojfaktorové či iné bezpečené potvrdenie.

Právo na prenos podľa GDPR nie je absolútne, a preto žiadosti vyhovejte len v takom rozsahu, ktorý nepredstavuje porušenie práv iných osôb. Nikdy nevyexportujte dokumenty, ktoré by obsahovali osobné údaje iných osôb. 

  • Ak nie je technicky vôbec možné zamedziť prenosu osobných údajov iných osôb, tak žiadosti nevyhoviete. 
  • Ak je technicky možné zamedziť prenosu osobných údajov iných osôb len z niektorých dokumentov, ak sprístupnite to, čo je možné – teda osobné údaje iných osôb neobsahuje. To je čiastočné vyhovenie žiadosti. 

    V oboch prípadoch dotknutú osobu zdvorilo informujte o dôvodoch. To isté platí aj v prípade, ak odmietate žiadosť dotknutej osoby ako zjavne neopodstatnenú alebo neprimeranú. 

    Bremeno preukázania zjavnej neopodstatnenosti alebo neprimeranosti žiadosti znáša prevádzkovateľ. Preto sa veľmi dobre uistite, či ide o skutočné právne či technické prekážky.  Ak na základe podnetu dotknutej osoby pristúpi dozorný orgán k vykonaniu kontroly, budete musieť neopodstatnenosť, neprimeranosť alebo nemožnosť preukázať. 

    Na vybavenie žiadosti či už vyhovením, čiastočným vyhovením alebo nevyhovením, máte 30 dní, lehotu je možné predĺžiť v zmysle zákona. Aj o potrebe predĺženia dotknutú osobu informujte v rámci tejto lehoty.

    Dokumentácia

    Spôsob a proces plnenia povinností voči zodpovednej osobe nemôžu byť náhodné. Povinnosti prevádzkovateľa a práva dotknutých osôb je potrebné vnímať v kontexte. Nejde o izolované práva a izolované povinnosti. Ide o činnosti, ktoré musia byť integrované do chodu firmy ako celistvý, zdokumentovaný proces. 

    Prvým zásadným dokumentom je Záznam o spracovateľských činnostiach, kde sú popísané všetky činnosti, účely, právne základy, sprístupňovanie údajov, lehoty na výmaz, technické a organizačné bezpečnostné opatrenia.

    Druhým zásadným dokumentom je interný predpis, napríklad smernica, v ktorej dostatočne podrobne, prakticky a zrozumiteľne popíšete, ako presne má kto postupovať v tom-ktorom prípade. Samorejme, zamestnancov je potrebné s týmito postupmi oboznámiť a priebežne preškoľovať.  

    A tretím zásadným dokumentom je dokument nazývaný “Zásady ochrany osobnych údajov”, tzv. Privacy policy alebo infopovinnosť. V tomto dokumente, okrem iného, informujete dotknuté osoby o ich právach. Je veľmi dôležité, aby ste tieto práva neokopírovali z Nariadenia len preto, že sú tam uvedené. Uvádzajte len tie práva, ktoré dotknuté osoby skutočne majú a informujte aj o prípadných obmedzeniach, lehotách a tak podobne. Buďte transparentní tak, ako by ste chceli, aby boli iné firmy transparentné voči vám. 

    Dokumentácia nie je všetko. Nestačí mať niečo napísané, je potrebné aj reálne prijať, zaviesť, kontrolovať a aktualizovať technické a bezpečnostné opatrenia. Inak povedané, to čo robíte musí byť v súlade s dokumentáciou, dokumentácia s reálnym postupom a to všetko musí byť v súlade s Nariadením. 

    Ak si nie ste istí, či máte politiku a prax v súlade, obráťte sa na svoju zodpovednú osobu. Prevencia býva vždy lacnejšia než riešenie následkov, ako finančných, tak reputačných.

    kontaktovať
    Categories:
    , ,

    Latest Posts

    Categories

    Tags

    bezpečnostné opatrenia bezpečnosť bezpečný web compliance cookies DPO e-mail facebook firemné procesy GDPR GDPR compliance GDPR dokumentácia GDPR prax GDPR školenie implementácia GDPR incidenty IT kybernetická bezpečnosť manžment rizík náklady GDPR náklady na GDPR ochana osobných údajov ochrana osobných údajov ochrana súkromia oprávnený záujem personalistika podvodný e-mail povinnosti prevádzkovateľa priame volania práva dotknutých osôb sextortioin sociálne inžinierstvo sociálne siete správa sociálnych sietí strata osobných údajov súhlas súhlas podľa GDPR súkromie súlad s GDPR volania zamestnanie zodpovedná osoba základy GDPR zákony zásady GDPR