Doporučení SPIR k implementaci GDPR: reakce na žádosti uživatelů internetu o poskytnutí informací o tom, jaké osobní údaje jsou o uživateli zpracovávány

Sdružení pro internetový rozvoj (SPIR) na základě konzultací s členskými firmami doporučuje v případě, kdy uživatel po firmě žádá informace o tom, jaké jeho osobní údaje (a zejména pak nejrůznější online identifikátory) tato firma zpracovává, postupovat následujícím způsobem:

1. SPIR doporučuje odpovídat na všechny dotazy uživatelůbez ohledu na to, zda jim budou požadované informace poskytnuty či nikoliv. Kultivaci internetového prostředí a posilování důvěry uživatelů vůči digitálnímu byznysu přispívá právě fungující komunikace. Ostatně povinnost odpovědět na dotaz i v případě odmítnutí poskytnutí údajů vyplývá přímo z čl. 12 GDPR.
    
2. Kontaktuje-li uživatel společnost prostřednictvím e-mailu, SPIR doporučuje, aby mu firma poskytla pouze informace vztahující se k této e-mailové adrese. Žádá-li uživatel o informace vztahující se k jiným e-mailovým adresám než k té, z níž byla žádost zaslána, SPIR doporučuje požádat uživatele, aby svou žádost poslal znovu vždy z konkrétní e-mailové adresy, aby byla zajištěna rozumná míra ztotožnění žadatele s požadovanými osobními údaji a nedošlo k tomu, že žadateli budou poskytnuty informace o jiné osobě.
    
3. SPIR doporučuje posuzovat každou jednotlivou žádost zvlášť a zejména pak zohledňovat míru rizikovosti údajů, které firma o uživateli zpracovává a které uživatel po firmě požaduje. Míře rizika musí odpovídat požadavky na ztotožnění uživatele s požadovanými daty. V případě vyššího rizika lze žadatele požádat o další identifikaci (v souladu s čl. 12 odst. 6 GDPR). Míra rizikovosti by měla být zohledněna také při rozhodování o tom, jakým způsobem budou údaje poskytnuty. V odůvodněných případech by měly být nad rámec elektronické odpovědi využity ještě jiné, bezpečnější metody poskytnutí citlivých informací (např. zaslání výpisu do datové schránky nebo přímo na ověřenou adresu, a nikoliv e-mailem na adresu, ke které může mít přístup jiná osoba), případně by měly být údaje odeslány zašifrovaně s tím, že heslo k odemknutí souboru bude předáno jiným komunikačním kanálem. 

V případě pochybností ohledně identifikace žadatele a při vysoké míře rizika doporučuje SPIR s touto situací žadatele seznámit, a pokud uživatel neposkytne dodatečnou identifikaci, jeho žádosti nevyhovět.