1.161
GDPR a práva subjektu údajů
Mgr. David Burian, Mgr. Zuzana Dubská, CIPP/E
Cílem tohoto textu je poskytnout ucelený přehled práv, jež mají fyzické osoby v postavení subjektů údajů k dispozici, jejich popis a nezbytné kroky, které musí správci podniknout, aby dostáli své korespondující povinnosti umožnit výkon těchto práv a zajistit tak soulad s nařízením GDPR.
V rámci zajišťování účinné ochrany osobních údajů v celé EU, a protože nařízení by mělo sloužit lidem, si zákonodárci jako jeden z hlavních cílů vytyčili posílení a podrobné vymezení práv subjektů údajů. Konkrétně články 12 – 14 GDPR jsou vlastně vyjádřením transparentnosti a korektnosti zpracování, tzn., jakým způsobem by měl správce komunikovat se subjektem údajů a informovat ho o podmínkách zpracování.
Informování o podmínkách zpracování osobních údajů by mělo být především:
NahoruPráva subjektu údajů podle GDPR
Většina práv subjektu údajů, která jsou v GDPR uvedena, byla již obsažena v předešlé právní úpravě (Směrnice 95/46/ES), nebo byla zavedena prostřednictvím rozhodovací praxe evropských soudů. GDPR tak upevnilo postavení subjektů údajů tím, že daná práva výslovně upravuje a rovněž přineslo některá zcela nová práva.
Celou ochranu práv navíc posiluje zavedení přístupu založeného na riziku, na jehož základě je v rámci zpracování nutné zvažovat možné nepříznivé dopady do práv a svobody fyzických osob. Na správce klade také zvýšené nároky prostřednictvím principu odpovědnosti správce, který musí k zajištění a doložení výkonu těchto práv přijmout související opatření.
Pro vyřízení žádosti subjektu údajů nařízení stanoví i poměrně přísné lhůty, ve kterých musí správce subjekt údajů vyrozumět o přijatých opatřeních, a to jak jinak než bez zbytečného odkladu a v každém případě do jednoho měsíce, s možností za určitých podmínek tuto lhůtu prodloužit o další dva měsíce, samozřejmě s odůvodněním a s povinností o prodloužení subjekt údajů informovat.
Vzájemnou provázanost jednotlivých institutů podle nařízení lze spatřovat například v právu na přístup k osobním údajům, v kterém se promítá zásada transparentnosti a doplňuje plnění informační povinnosti. Na toto právo je často nahlíženo jako na podmnožinu zcela nového práva na přenositelnost údajů. V právu na opravu, právu na výmaz či být zapomenut a právu na omezení zpracování se zase promítají zejména zásady omezení uložení a přesnosti. Zásada zákonnosti se pak mimo jiné promítá také do práva odvolat souhlas se zpracováním osobních údajů. V neposlední řadě je nutné zmínit právo vznést námitku a zcela specifické právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování osobních údajů. Nakonec je nutné zmínit práva související s právní ochranou subjektu údajů, a to právo podat stížnost u dozorového úřadu a právo na účinnou soudní ochranu, které lze uplatnit jak vůči správci nebo zpracovateli, tak i vůči dozorovému úřadu.
NahoruBezplatný výkon práv subjektů
Důležitou informací pro správce osobních údajů je také to, že výkon práv subjektů údajů musí být realizován v zásadě bezplatně. Výjimkou může být pouze situace, kdy jsou žádosti subjektů údajů zjevně nedůvodné nebo nepřiměřené. Určit hranici, kdy je žádost zjevně nedůvodná či nepřiměřená však může být poměrně obtížné. Odpovědnost za doložení této nedůvodnosti či nepřiměřenosti samozřejmě leží na správci, proto než se správce rozhodne požadovat od subjektu údajů přiměřený poplatek zohledňující administrativní náklady spojené s poskytnutím požadovaných informací nebo sdělení s učiněním požadovaných úkonů, doporučujeme pečlivě zvážit vhodnou argumentaci. To samé platí, pokud se správce rozhodne žádosti nevyhovět.
NahoruPovinnosti související s výkonem práv subjektu údajů
Vzhledem k tomu, že povinnosti podle GDPR nestojí samostatně, ale vzájemně se prolínají, je nutné upozornit i na další povinnosti, které s výkonem práv subjektu údajů souvisí. Jednou z těchto povinností je povinnost správce poskytnout subjektu údajů nařízením stanovené informace týkající se zpracování osobních údajů, a to stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků. Obsah této informace stanoví nařízení, přičemž je-li to nezbytné pro zajištění spravedlivého a transparentního zpracování, je potřeba uvést také informaci o existenci práv subjektu údajů.
NahoruPrávo na přístup a právo na přenositelnost
Nařízení přineslo zcela nové právo, a to právo na přenositelnost osobních údajů. Dle našeho názoru však určitě nelze opomíjet ani již dříve zavedené právo na přístup k osobním údajům, které doznalo značného rozšíření. Právo na přístup je neodmyslitelně spjato s právem na přenositelnost, neboť to v prvním stupni výslovně obsahuje právo získat osobní údaje, což se v zásadě rovná přístupu. Bezpochyby si také nelze představit způsob, jak by mohl jeden správce osobní údaje předat jinému správci, pokud by je nedovedl nejdřív vyhledat a extrahovat do pro poskytnutí použitelné formy.
V rámci práva na přístup má subjekt údajů v prvé řadě právo získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány. Následně si může vyžádat přístup k těmto údajům a k nařízením stanovenému penzu informaci. Mezi tyto informace samozřejmě patří informace o základních parametrech zpracování, tedy:
-
o účelech zpracování,
-
o kategoriích osobních údajů,
-
o příjemcích či kategoriích příjemců osobních údajů,
-
o plánované době, po kterou budou osobní údaje uloženy či kritéria pro stanovení této doby,
-
o existenci dalších práv,
-
o zdroji, z kterého osobní údaje pocházejí,
-
o případném předávání mimo EU
-
a rovněž o skutečnosti, zda dochází k automatickému rozhodování.
NahoruPrávo na získání kopie zpracovávaných osobních údajů
Novinkou v rámci práva na přístup k osobním údajům však je povinnost správce poskytnout subjektu údajů bezplatnou kopii zpracovávaných osobních údajů. V tomto ohledu je právo na přístup dokonce širší než…