Jaká jsou Vaše práva v souvislosti s ochranou osobních údajů?

Již téměř dva měsíce platí unijní nařízení o ochraně fyzických osob v souvislosti se zpracováním osobních údajů, známé spíše pod zkratkou GDPR. Byť nejde v ochraně osobních údajů o revoluci, ale spíše evoluci, mnozí se o osobní údaje a jejich ochranu začali zajímat až v souvislosti s mediální masáží, která kolem GDPR vznikla. Víte však jaká konkrétní práva přinesla nová unijní úprava právě Vám – subjektům údajů?

advokátka ve FAIRSQUARE | LAW FIRM, členka redakční rady webu Právní prostor.cz
Foto: Shutterstock

Čtete-li tento článek, můžete si být jisti, že jste dle pojmosloví GDPR „subjektem údajů“, stejně jako jimi jsou ostatní čtenáři Právního prostoru a všichni lidé kolem Vás. Podle GDPR je totiž subjektem údajů jakákoli identifikovaná fyzická osoba, případně fyzická osoba identifikovatelná, tj. taková, kterou je možné identifikovat přímo či nepřímo, zejména s pomocí jména a příjmení či dalších identifikačních údajů, nebo díky zvláštním prvkům její fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity.

Existence jednotlivých práv subjektů údajů je přitom základním pilířem ochrany osobních údajů v rámci evropském prostoru a posiluje postavení subjektu údajů, který je zpravidla ve vztahu ke správci slabší stranou. GDPR posílilo systém práv subjektů údajů, a to buď revizí práv, které původní právní úprava znala již před 25. květnem 2018, nebo doplněním katalogu práv o některé nové prvky, jako je např. právo na přenositelnost či právo na výmaz.

Pojďme se podívat na katalog těchto práv a stručně si je představme.

Právo být informován podle čl. 12, resp. čl. 13čl. 14 GDPR, je pasivním právem subjektu údajů. To znamená, že je na správci, aby informace subjektu údajů poskytl či zpřístupnil. Subjekt údajů by měl v každém případě vědět, že jsou jeho osobní údaje zpracovávány, kdo je jako správce zpracovává, měl by mít možnost správce kontaktovat a mít povědomí o účelech a právních základech zpracování. Tyto informace by měl správce subjektu údajů poskytnout v okamžiku shromáždění osobních údajů od subjektu údajů. Pokud osobní údaje získal z jiného zdroje, je povinen informace subjektu údajů poskytnout v přiměřené lhůtě.

Právo na přístup k osobním údajům podle čl. 15 GDPR představuje právo získat od správce informaci, zda jsou či nejsou osobní údaje subjektu údajů zpracovávány a současně pokud ke zpracování dochází, má subjekt údajů právo tyto osobní údaje získat společně s informacemi o účelech zpracování, plánovanou dobou, po kterou budou osobní údaje uloženy, o jejich příjemcích či kategoriích příjemců, a o dalších skutečnostech dle čl. 15 odst. 1 GDPR. Správce je povinen poskytnout subjektu údajů první kopii zpracovávaných osobních údajů zdarma; další kopie již může zpoplatnit přiměřeným poplatkem odvíjejícím se od administrativních nákladů. Uplatněním práva podle čl. 15 GDPR by však neměla být nepříznivě dotčena práva ani svobody ostatních, např. obchodní tajemství nebo duševní vlastnictví. 

Pokud se subjekt údajů domnívá, že správce zpracovává jeho nepřesné či neúplné údaje, má možnost využít svého práva na opravu osobních údajů podle čl. 16 GDPR. Správce poté bude povinen tyto nepřesné údaje opravit a případně též doplnit neúplné osobní údaje. Právo na opravu a povinnost osobní údaje opravit je opatřením k zajištění zásady přesnosti, podle níž mají být zpracovávány přesné, případně aktualizované osobní údaje.

Právo na výmaz, nebo také právo být zapomenut, na nějž pamatuje GDPR v čl. 17, je spjato s povinností správce zlikvidovat osobní údaje, pokud je splněna alespoň jedna z vypočtených podmínek. Jde například o situace, kdy dochází ke zpracování osobních údajů, ačkoli již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány, pokud subjekt údajů odvolá souhlas a neexistuje-li žádný další právní důvod pro zpracování, nebo pokud byly zpracovány protiprávně. Vysokou důležitost tohoto práva vyzdvihuje GDPR ve svém recitálu 65 pro případy, kdy dal subjekt údajů svůj souhlas ke zpracování v dětském věku, ačkoli si nebyl plně vědom rizik spojených se zpracováním a později chce tyto osobní údaje (zejména z internetu) odstranit.

Právo na omezení zpracování podle čl. 18 GDPR má své místo v případě, kdy subjekt údajů popírá přesnost osobních údajů (na dobu potřebnou k tomu, aby správce mohl přesnost osobních údajů ověřit), dále pokud je zpracování protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití, případně pokud správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků. Právo na omezení zpracování může subjekt údajů uplatnit také společně s námitkou proti zpracování. Omezit zpracování je možné například dočasným přesunem vybraných údajů do jiného systému zpracování, znepřístupněním vybraných osobních údajů uživatelům či dočasným odstraněním zveřejněných údajů z internetových stránek.

Podstatou dalšího práva na přenositelnost údajů podle čl. 20 GDPR je možnost subjektu údajů za určitých podmínek získat od správce osobní údaje, jejichž zpracování je prováděno automatizovaně, a to ve strukturovaném, běžně používaném a strojově čitelném formátu. Tyto údaje pak může subjekt údajů bez omezení předat jinému správci. Subjekt údajů může též žádat, aby předání jinému správci realizoval přímo správce, je-li to technicky proveditelné. Výkonem práva na přenositelnost však nesmí být nepříznivě dotčena práva a svobody jiných osob.

Pokud správce provádí zpracování osobních údajů, které je nezbytné pro plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen, případně zpracování, které je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, má subjekt údajů podle čl. 21 GDPR právo vznést námitku proti zpracování osobních údajů. Správce osobní údaje nesmí dále zpracovávat, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.

Katalog práv uzavírá právo nebýt předmětem automatizovaného individuálního rozhodování s právními či obdobnými účinky, zahrnujíce i profilování, jenž se ukrývá v čl. 22 GDPR. Toto právo zajišťuje subjektu údajů, že nebude předmětem rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká. Automatizované rozhodování je přípustné v případě, kdy je nezbytné k uzavření nebo plnění smlouvy mezi subjektem údajů a správcem, pokud je povoleno právem Evropské unie nebo členským státem nebo pokud je založeno na výslovném souhlasu subjektu údajů. Nelze tak např. automatizovaně pokutovat řidiče překročující rychlost či automatizovaně odmítnout žádost o úvěr, aniž by pokutu či poskytnutí úvěru přezkoumal člověk.

Platí přitom, že výše uvedená práva má subjekt údajů ke všem údajům, které o něm správce nashromáždil, a to i v případě nestrukturovaných údajů obsažených například v přílohách e-mailů.


Doplněk právního systému CODEXIS® MONITOR - OCHRANA OSOBNÍCH ÚDAJŮ (GDPR) je praktickým průvodcem problematikou GDPR.

Díky MONITORU OCHRANA OSOBNÍCH ÚDAJŮ (GDPR) si velice snadno uděláte přehled v tom, jaká jsou vaše práva v případě, že někdo zpracovává vaše osobní údaje. Zároveň, pokud jste subjektem, který osobní údaje (např. vašich klientů) zpracovává, si kromě vašich povinností vyplývajících z nařízení ujasníte, jakých práv mohou využít ti, jejichž osobní údaje zpracováváte.

Doplněk obsahuje komplexní přehled legislativy a judikatury České republiky a Evropské unie týkající se nařízení GDPR, Obecné nařízení o ochraně osobních údajů, Stanoviska a sdělení Úřadu pro ochranu osobních údajů, Důvodové zprávy, Komentáře LIBERIS a ucelený přehled nejčastějších otázek a odpovědí ke GDPR.

Více informací naleznete na www.codexis.cz.

Hodnocení článku
0%
Pro hodnocení článku musíte být přihlášen/a

Diskuze k článku ()

Pro přidání komentáře musíte být přihlášen/a

Související články

Další články