GDPR a osobní údaje

Práva osob při zpracování osobních údajů

S rostoucí úlohou technologií a zjednodušováním běžných aktivit v online světě jde ruku v ruce i větší fluktuace osobních údajů každého z nás. Osobní údaje se stávají velmi cennou komoditou, a proto je nutné osoby, které poskytují své údaje, vybavit patřičnými právy. Správci údajů musejí být od počátku transparentní a otevření ohledně toho, jak sbírají, užívají a sdílejí osobní údaje dotčených jednotlivců. Pokud by tak nečinili, dotčené osoby mohou využít mnoha práv, aby informace zjistily.

Základní elementy uplatňování práv

Správce usnadňuje výkon práv — přijme vhodná opatření, aby práva mohla být řádně a snadným způsobem uplatňována, včetně vhodného způsobu sdělování informací (písemně, elektronicky, případně i ústně, pokud lze osobu identifikovat).
Správce reaguje bez zbytečného odkladu — v každém případě však vyřizuje žádosti do jednoho měsíce od obdržení žádosti (možné prodloužit ve zvlášť složitých případech) a o všech svých krocích dotčenou osobu informuje.
Poučení o dalším postupu — pokud správce dotčené osobě nevyhoví, informuje ji o důvodech takového rozhodnutí, včetně možnosti podat stížnost u dozorového úřadu nebo žádat soudní ochranu, a to do jednoho měsíce od přijetí žádosti.
Bezplatnost — veškerá sdělení a úkony v rámci uplatňování práv jsou zdarma.
Nedůvodnost a nepřiměřenost — jestliže jsou žádosti zjevně nedůvodné nebo nepřiměřené (dokazuje správce), zejména protože se opakují, může správce požadovat poplatek přiměřený nákladům na vyřízení žádosti, nebo odmítnout žádosti vyhovět.
Totožnost bez nejmenších pochybností — správce může žádat poskytnutí dodatečných informací k potvrzení totožnosti osoby, pokud o ní má důvodné pochybnosti.

Jste si jisti, že při zpracovávání osobních údajů neopomíjíte práva osob v žádném ohledu? S Privatry generátorem zásad zpracování a GDPR nástrojem na nic zásadního nezapomenete. Navštivte privatry.com

Výčet jednotlivých práv

Práva zůstala v GDPR prakticky stejná jako ve směrnici EU, která platila před GDPR, novinkou je přenositelnost osobních údajů.

1) Informace o zpracování osobních údajů (čl. 13 a 14) — podrobnosti v článku Co musejí obsahovat zásady zpracování osobních údajů?

V souladu s principem transparentnosti správce v dané lhůtě (ideálně bezprostředně) umožňuje dotčeným osobám pochopit kontext a důvody zpracování (především účely a právní základ zpracování a identifikaci správce), přičemž musí zajistit, že informace se k adresátům prokazatelně dostane (kromě oficiálního dokumentu o zpracování údajů je vhodné poskytovat informace i u jednotlivých zpracovatelských operací jako objednávka, registrace účtu apod.).

2) Právo na přístup (čl. 15)

Dotčené osoby mají právo získat od správce potvrzení, zda jsou jejich údaje zpracovávány, či nikoliv, a pokud ano, mají právo vědět to, co by mělo být v informaci o zpracování (totožnost správce, účely a právní základy, příjemce, existence práv apod.). Zároveň si mohou vyžádat i kopii zpracovávaných údajů.

3) Právo na opravu (čl. 16)

Dotčené osoby mohou žádat, aby správce bez zbytečného odkladu opravil nepřesné osobní údaje. Tyto údaje mohou samy doplnit.

4) Právo na výmaz (čl. 17)

Mimo výjimky typu správcova plnění úkolu ve veřejném zájmu mohou dotčené osoby žádat výmaz svých údajů, pokud:

— údaje již nejsou potřebné pro účely, pro které byly shromážděny

— byl odvolán souhlas

— vznesou oprávněnou námitku proti zpracování

— byly údaje zpracovány protiprávně

— údaje musí být vymazány pro splnění právní povinnosti

5) Právo na omezení zpracování (čl. 18)

Správce omezí zpracování, pokud:

— dotčená osoba namítá nepřesnost osobních údajů, a to po dobu, než jejich přesnost spolehlivě zjistí

— je zpracování protiprávní a dotčená osoba chce, namísto výmazu údajů, pouze omezit jejich použití

— již údaje nepotřebuje, ale dotčená osoba je požaduje pro určení, výkon nebo obhajobu právních nároků

— dotčená osoba vznesla námitku do doby ověření, jestli zájmy správce převažují nad jejími zájmy

6) Právo na přenositelnost (čl. 20)

Dotčené osoby mají právo získat údaje, které poskytly správci (včetně údajů z používání služby — tepové frekvence apod.), ve strukturovaném, běžně používaném a strojově čitelném formátu a předat je přímo druhému správci (či je nechat předat prvním správcem), za podmínky, že zpracování je založeno buď na smlouvě, nebo na souhlasu.

7) Právo vznést námitku (čl. 21)

Dotčená osoba má právo kdykoliv vznést námitku proti zpracování osobních údajů. Správce v takovém případě zastaví zpracování jejích údajů, pokud neprokáže závažné oprávněné důvody, které převažují nad jejími zájmy, právy a svobodami. Takovými důvody mohou být především určení, výkon nebo obhajoba právních nároků.

8) Právo podat stížnost (čl. 77)

Dotčená osoba může podat stížnost u dozorového úřadu (ÚOOÚ), pokud má za to, že byly porušeny právní předpisy (GPDR, Zákon o zpracování osobních údajů).

Uvedená práva mohou být v závažných případech omezena z důvodu národní a veřejné bezpečnosti, obrany, ochrany práv a svobod druhých, ale jen pokud se jedná o nezbytné a přiměřené opatření šetřící základní práva a svobody.