7.2
Právo na přístup k osobním údajům
Zásady zpracování osobních údajů
31.8.2019
Článek 15 GDPR stanoví, že každý subjekt údajů má právo získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům a dále rovněž k informacím o účelu zpracování, o kategoriích dotčených údajů, o příjemcích, jimž budou osobní údaje zpřístupněny, o plánované době uložení osobních údajů, o existenci práva požadovat na správci provedení opravy nebo výmazu či práva na vznesení námitky proti zpracování, o právu na podání stížnosti u dozorového úřadu, o zdroji osobních údajů, skutečnosti, že dochází k automatizovanému rozhodování apod. Jinými slovy to znamená, že právo na přístup k osobním údajům má dvě formy. První vymezuje oprávnění subjektu údajů získat na základě žádosti od správce informaci o tom, zda jsou jeho osobní údaje zpracovávány či nikoli. Druhá se pak uplatní v případě, kdy je potvrzeno, že jeho osobní údaje jsou zpracovávány, a pak má subjekt údajů právo tyto osobní údaje získat a zároveň má právo získat výše uvedené informace obsažené a podrobně popsané v čl. 15 odst. 1 GDPR.
Ze samotné povahy tohoto práva vyplývá, že na straně subjektu údajů jde o právo pasivní, jemuž má odpovídat aktivní činnost na straně povinného subjektu, tedy správce, který by měl požadované informace subjektu údajů poskytnout/zpřístupnit. Zpřístupnění informací o zpracování osobních údajů a jeho rozsahu je stěžejní pro určení, zda samotný proces zpracovávání a shromažďování osobních údajů probíhá v souladu se zásadami zákonnosti a transparentnosti.
Podle GDPR je správce povinen subjektu údajů kdykoliv na jeho žádost poskytnout kopii zpracovávaných osobních údajů. Za další kopie na žádost subjektu údajů může správce účtovat přiměřený poplatek odpovídající výši administrativních nákladů. Z praktického hlediska lze jen doporučit podávání žádosti nebo poskytování osobních údajů běžně užívanou elektronickou formou. Volba formy poskytnutí údajů samozřejmě závisí na samotném žadateli. Samotným ministerstvem školství je doporučováno, aby měly školy a školská zařízení jako správci osobních údajů možnost poskytnout subjektu údajů dálkový přístup k zabezpečenému systému, který by zajišťoval přímý přístup subjektu údajů k jeho osobním údajům zpracovávaných správcem. Pokud tento přímý přístup není zajištěn, je správce povinen ze svého systému požadované údaje týkající se žadatele – subjektu údajů – získat a tyto údaje v požadované formě subjektu údajů poskytnout.
Subjekt údajů se tedy souladu s čl. 15 GDPR může kdykoliv obrátit na kteréhokoliv správce s dotazem, zda tento správce jeho osobní údaje zpracovává či nikoliv, a o tomto zjištění má správce žadateli/subjektu údajů poskytnout potvrzení. Pokud je zjištění pozitivní a je tak zřejmé, že daný správce skutečně osobní údaje žadatele zpracovává, pak musí subjektu údajů umožnit přístup k těmto osobním údajům, a nadto poskytnout informace vyjmenované v čl. 15 odst. 1 Nařízení.
Speciální odstavec v rámci článku 15 GDPR se věnuje právu subjektu údajů být informován o vhodných zárukách…