Jaká jsou Vaše práva v souvislosti s ochranou osobních údajů?
Již téměř dva měsíce platí unijní nařízení o ochraně fyzických osob v souvislosti se zpracováním osobních údajů, známé spíše pod zkratkou GDPR. Byť nejde v ochraně osobních údajů o revoluci, ale spíše evoluci, mnozí se o osobní údaje a jejich ochranu začali zajímat až v souvislosti s mediální masáží, která kolem GDPR vznikla. Víte však jaká konkrétní práva přinesla nová unijní úprava právě Vám – subjektům údajů?
Čtete-li tento článek, můžete si být jisti, že jste dle pojmosloví GDPR „subjektem údajů“, stejně jako jimi jsou ostatní čtenáři Právního prostoru a všichni lidé kolem Vás. Podle GDPR je totiž subjektem údajů jakákoli identifikovaná fyzická osoba, případně fyzická osoba identifikovatelná, tj. taková, kterou je možné identifikovat přímo či nepřímo, zejména s pomocí jména a příjmení či dalších identifikačních údajů, nebo díky zvláštním prvkům její fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity.
Existence jednotlivých práv subjektů údajů je přitom základním pilířem ochrany osobních údajů v rámci evropském prostoru a posiluje postavení subjektu údajů, který je zpravidla ve vztahu ke správci slabší stranou. GDPR posílilo systém práv subjektů údajů, a to buď revizí práv, které původní právní úprava znala již před 25. květnem 2018, nebo doplněním katalogu práv o některé nové prvky, jako je např. právo na přenositelnost či právo na výmaz.
Pojďme se podívat na katalog těchto práv a stručně si je představme.
Právo být informován podle čl. 12, resp. čl. 13 a čl. 14 GDPR, je pasivním právem subjektu údajů. To znamená, že je na správci, aby informace subjektu údajů poskytl či zpřístupnil. Subjekt údajů by měl v každém případě vědět, že jsou jeho osobní údaje zpracovávány, kdo je jako správce zpracovává, měl by mít možnost správce kontaktovat a mít povědomí o účelech a právních základech zpracování. Tyto informace by měl správce subjektu údajů poskytnout v okamžiku shromáždění osobních údajů od subjektu údajů. Pokud osobní údaje získal z jiného zdroje, je povinen informace subjektu údajů poskytnout v přiměřené lhůtě.
Právo na přístup k osobním údajům podle čl. 15 GDPR představuje právo získat od správce informaci, zda jsou či nejsou osobní údaje subjektu údajů zpracovávány a současně pokud ke zpracování dochází, má subjekt údajů právo tyto osobní údaje získat společně s informacemi o účelech zpracování, plánovanou dobou, po kterou budou osobní údaje uloženy, o jejich příjemcích či kategoriích příjemců, a o dalších skutečnostech dle čl. 15 odst. 1 GDPR. Správce je povinen poskytnout subjektu údajů první kopii zpracovávaných osobních údajů zdarma; další kopie již může zpoplatnit přiměřeným poplatkem odvíjejícím se od administrativních nákladů. Uplatněním práva podle čl. 15 GDPR by však neměla být nepříznivě dotčena práva ani svobody ostatních, např. obchodní tajemství nebo duševní vlastnictví.
Pokud se subjekt údajů domnívá, že správce zpracovává jeho nepřesné či neúplné údaje, má možnost využít svého práva na opravu osobních údajů podle čl. 16 GDPR. Správce poté bude povinen tyto nepřesné údaje opravit a případně též doplnit neúplné osobní údaje. Právo na opravu a povinnost osobní údaje opravit je opatřením k zajištění zásady přesnosti, podle níž mají být zpracovávány přesné, případně aktualizované osobní údaje.
Právo na výmaz, nebo také právo být zapomenut, na nějž pamatuje GDPR v čl. 17, je spjato s povinností správce zlikvidovat osobní údaje, pokud je splněna alespoň jedna z vypočtených podmínek. Jde například o situace, kdy dochází ke zpracování osobních údajů, ačkoli již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány, pokud subjekt údajů odvolá souhlas a neexistuje-li žádný další právní důvod pro zpracování, nebo pokud byly zpracovány protiprávně. Vysokou důležitost tohoto práva vyzdvihuje GDPR ve svém recitálu 65 pro případy, kdy dal subjekt údajů svůj souhlas ke zpracování v dětském věku, ačkoli si nebyl plně vědom rizik spojených se zpracováním a později chce tyto osobní údaje (zejména z internetu) odstranit.
Právo na omezení zpracování podle čl. 18 GDPR má své místo v případě, kdy subjekt údajů popírá přesnost osobních údajů (na dobu potřebnou k tomu, aby správce mohl přesnost osobních údajů ověřit), dále pokud je zpracování protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití, případně pokud správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků. Právo na omezení zpracování může subjekt údajů uplatnit také společně s námitkou proti zpracování. Omezit zpracování je možné například dočasným přesunem vybraných údajů do jiného systému zpracování, znepřístupněním vybraných osobních údajů uživatelům či dočasným odstraněním zveřejněných údajů z internetových stránek.
Podstatou dalšího práva na přenositelnost údajů podle čl. 20 GDPR je možnost subjektu údajů za určitých podmínek získat od správce osobní údaje, jejichž zpracování je prováděno automatizovaně, a to ve strukturovaném, běžně používaném a strojově čitelném formátu. Tyto údaje pak může subjekt údajů bez omezení předat jinému správci. Subjekt údajů může též žádat, aby předání jinému správci realizoval přímo správce, je-li to technicky proveditelné. Výkonem práva na přenositelnost však nesmí být nepříznivě dotčena práva a svobody jiných osob.
Pokud správce provádí zpracování osobních údajů, které je nezbytné pro plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen, případně zpracování, které je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, má subjekt údajů podle čl. 21 GDPR právo vznést námitku proti zpracování osobních údajů. Správce osobní údaje nesmí dále zpracovávat, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.
Katalog práv uzavírá právo nebýt předmětem automatizovaného individuálního rozhodování s právními či obdobnými účinky, zahrnujíce i profilování, jenž se ukrývá v čl. 22 GDPR. Toto právo zajišťuje subjektu údajů, že nebude předmětem rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká. Automatizované rozhodování je přípustné v případě, kdy je nezbytné k uzavření nebo plnění smlouvy mezi subjektem údajů a správcem, pokud je povoleno právem Evropské unie nebo členským státem nebo pokud je založeno na výslovném souhlasu subjektu údajů. Nelze tak např. automatizovaně pokutovat řidiče překročující rychlost či automatizovaně odmítnout žádost o úvěr, aniž by pokutu či poskytnutí úvěru přezkoumal člověk.
Platí přitom, že výše uvedená práva má subjekt údajů ke všem údajům, které o něm správce nashromáždil, a to i v případě nestrukturovaných údajů obsažených například v přílohách e-mailů.
Doplněk právního systému CODEXIS® MONITOR - OCHRANA OSOBNÍCH ÚDAJŮ (GDPR) je praktickým průvodcem problematikou GDPR.
Díky MONITORU OCHRANA OSOBNÍCH ÚDAJŮ (GDPR) si velice snadno uděláte přehled v tom, jaká jsou vaše práva v případě, že někdo zpracovává vaše osobní údaje. Zároveň, pokud jste subjektem, který osobní údaje (např. vašich klientů) zpracovává, si kromě vašich povinností vyplývajících z nařízení ujasníte, jakých práv mohou využít ti, jejichž osobní údaje zpracováváte.
Doplněk obsahuje komplexní přehled legislativy a judikatury České republiky a Evropské unie týkající se nařízení GDPR, Obecné nařízení o ochraně osobních údajů, Stanoviska a sdělení Úřadu pro ochranu osobních údajů, Důvodové zprávy, Komentáře LIBERIS a ucelený přehled nejčastějších otázek a odpovědí ke GDPR.
Více informací naleznete na www.codexis.cz.
Další články
Participační práva dětí, aneb „ty nevíš, co je pro tebe dobré“ podruhé
Rozsudek Nejvyššího správního soudu z prosince 2025 vyjasňuje limity participačních práv dětí v opatrovnických řízeních. Zdůrazňuje, že smyslem pohovoru není dítě přesvědčovat, ale citlivě porozumět jeho názoru a respektovat jeho prožívání.
Evropská unie rozšiřuje regulaci AI. Obsah generovaný nebo upravený umělou inteligencí musí být pro uživatele rozpoznatelný
Jednou z nejzásadnějších změn v oblasti regulace AI budou nová pravidla transparentnosti, která vstoupí v účinnost 2. srpna 2026. Zavádějí povinnost jakýkoli AI obsah označit, informovat o deepfakes a upozornit uživatele, pokud komunikuje s umělou inteligencí.
Svěřenské fondy v realitních transakcích: Transparentní evidence skutečných majitelů versus limity AML prověrky
Využívání institutu svěřenských fondů zažívá v České republice v posledních letech dynamický nárůst, a to nejen jako nástroj pro správu rodinného majetku (family office) či mezigenerační transfer, ale stále častěji i jako entita vystupující v roli investora na realitním trhu. Pro realitní zprostředkovatele a další povinné osoby však toto uspořádání představuje značnou výzvu v oblasti Anti-Money Laundering (AML) procesů.
Maximální ceny pohonných hmot vyhlašované Ministerstvem financí
Ministerstvo financí od 8. dubna tohoto roku vyhlašuje v reakci na aktuální situaci na světových trzích a v návaznosti na to na domácím trhu každý pracovní den maximální ceny pohonných hmot na následující den, v případě vyhlášení v pátek na následující víkend a pondělí. Jaký je právní základ tohoto jeho počínání?
Česká republika rozšiřuje povinný screening zahraničních investic
Zahraniční investoři zvažující vstup do cílových společností aktivních na českém trhu by měli věnovat pozornost zásadní změně v oblasti prověřování zahraničních investic (FDI). Od 1. listopadu 2025 se v důsledku novely zákona o prověřování zahraničních investic výrazně rozšířil okruh transakcí, které podléhají povinné notifikaci a schválení ze strany Ministerstva průmyslu a obchodu. Povinnému screeningu budou nově častěji podléhat investice zejména v digitálním, technologickém, zdravotnickém či energetickém sektoru.
