AKMV 
Jedným z častých spôsobov nakladania s osobnými údajmi je aj ich spracúvanie vo forme dotazníkov. S dotazníkmi sa môžeme stretnúť napr. v pracovnoprávnej oblasti, ale aj pri poskytovaní rôznych služieb. V článku sa spracúvanie osobných údajov za pomoci dotazníkov pozrieme z hľadiska GDPR.
Účel spracúvania a právny základ
Aj v prípade spracúvania osobných údajov prostredníctvom dotazníkov platí, že prevádzkovateľ môže osobné údaje spracúvať iba z legitímnych dôvodov. Prevádzkovateľ určí účel spracúvania osobných údajov a ku každej spracovateľskej operácii je povinný priradiť právny základ. Právne základy spracúvania osobných údajov ustanovuje GDPR taxatívne. Právnych základov je šesť a každé spracúvanie, ktoré sa viaže k určitému účelu musí byť založené minimálne na jednom z týchto šiestych právnych základov.
Právne základy sú:
- dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov na jeden alebo viaceré konkrétne účely
- spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy
- spracúvanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa
- spracúvanie je nevyhnutné, aby sa ochránili životne dôležité záujmy dotknutej osoby alebo inej fyzickej osoby
- spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi
- spracúvanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, s výnimkou prípadov, keď nad takýmto záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov, najmä ak je dotknutou osobou dieťa
Spracúvať osobné údaje na tomto právnom základe nemôžu orgány verejnej moci pri výkone ich úloh.
Právny základ musí byť stanovený v práve Európskej únie alebo Slovenskej republiky, ktoré sa na prevádzkovateľa vzťahuje.
Pokiaľ chce teda prevádzkovateľ spracúvať osobné údaje vo forme dotazníkov, musí v prvom rade určiť účel spracúvania týchto osobných údajov a ku každému účelu priradiť jeden z uvedených právnych základov spracúvania osobných údajov.
Zásada minimalizácie
Pre spracúvanie osobných údajov vo forme dotazníkov je tiež dôležitá zásada minimalizácie. Prevádzkovateľ je povinný nastaviť spôsob spracúvania osobných údajov tak, aby zbytočne nespracúval osobné údaje, ktoré nie sú z hľadiska vymedzeného účelu potrebné, relevantné a nevyhnutné.
Pokiaľ by teda v dotazníku prevádzkovateľ žiadal aj poskytnutie osobných údajov, ktoré nie sú z hľadiska účelu ich spracúvania nevyhnutné, jednalo by sa o rozpor s GDPR.
Informačná povinnosť
Ak prevádzkovateľ získava osobné údaje dotknutej osoby nesmie zabudnúť ani na riadne splnenie informačnej povinnosti. GDPR zakotvuje, ktoré informácie sa majú dotknutej osobe poskytnúť a rozlišuje pri tom, či sa osobné údaje získavajú priamo od dotknutej osoby, ktorej sa týkajú alebo od inej osoby.
V prípade získavania osobných údajov priamo od dotknutej osoby je prevádzkovateľ podľa čl. 13 GDPR povinný poskytnúť dotknutej osobe najmä tieto informácie:
- totožnosť a kontaktné údaje prevádzkovateľa (prípadne zástupcu prevádzkovateľa)
- kontaktné údaje zodpovednej osoby (ak bola ustanovená)
- účely spracúvania a právne základy spracúvania
- oprávnené záujmy (pokiaľ je právnym základom oprávnený záujem)
- príjemcovia / kategórie príjemcov osobných údajov
- informácie o zamýšľaných prenosoch do tretích krajín alebo medzinárodných organizácií, o existencii rozhodnutia Komisie o primeranosti alebo odkaz na primerané / vhodné záruky v súvislosti s takýmto prenosom
- doba uchovania
- informácia o práve na prístup, práve na opravu, vymazanie, obmedzenie spracúvania, práve namietať proti spracúvaniu, práve na prenosnosť údajov, práve podať sťažnosť dozornému orgánu, práve odvolať súhlas ak bol právnym základom súhlas dotknutej osoby
- informácie, či je poskytovanie osobných údajov zákonnou alebo zmluvnou požiadavkou, ale požiadavkou potrebnou na uzavretie zmluvy, či je dotknutá osoba povinná poskytnúť osobné údaje a o možných následkoch neposkytnutia osobných údajov
- informácie o existencii automatizovaného rozhodovania vrátane profilovania
Všetky uvedené informácie nemusia byť poskytnuté priamo v dotazníku. Vhodný spôsob ich poskytnutia je potrebné posúdiť podľa konkrétnych okolností.
Právne služby
- Vypracovanie internej GDPR dokumentácie pre prevádzkovateľa
- Vypracovanie znenia súhlasov a poučení pre dotknuté osoby (napr. pri odbere newslettra, používaní cookies atď.)
- Vypracovanie politiky ochrany osobných údajov u prevádzkovateľa
- Vypracovanie tzv. LIA (Legitimate Interest Assessment) – posúdenia (testu) oprávneného záujmu
- Vypracovanie DPIA – posúdenia vplyvu na ochranu osobných údajov
- Zmapovanie toku osobných údajov u prevádzkovateľa a vypracovanie záznamov o spracovateľských činnostiach
- Analýza rozsahu a nutnosti spracúvania osobných údajov
- Analýza účelov a právnych základov spracúvania osobných údajov
- Vypracovanie vzoru zmluvy o spracúvaní osobných údajov sprostredkovateľom
- Školenia k aplikácii GDPR pripravené na mieru vrátane prípravy prezentácií a študijných materiálov
- Revízia a pripomienkovanie už existujúcich dokumentov vo vzťahu k ochrane osobných údajov (interné smernice o spracúvaní osobných údajov, VOP, zmlúv o spracúvaní osobných údajov sprostredkovateľom)
- Vypracovanie stanovísk a analýz ku konkrétnym praktickým otázkam súvisiacim so spracúvaním osobných údajov (napr. monitorovanie zamestnancov, kamery na pracovisku, bezpečnostné kamery na rodinnom dome, rozsah údajov v databáze klientov atď.)
- Osobné, telefonické a e-mailové konzultácie k ochrane osobných údajov
