15 / 01 / 2018

Práva subjektu údajů (občana) v rámci GDPR

GDPR chrání a definuje práva, která má subjekt údajů (občan). Jaká jsou tato práva? Je jich celá řada. Podívejme se na ně blíže. 

Právo na přístup
Dává občanům EU možnost ověřit si zákonnost zpracování jejich údajů. Je téměř absolutním právem s výjimkou případů, kdy je zpracování údajů spojené se zájmy a zachováním národní a veřejné bezpečnosti, obrany a u soudních řízení.

Každý občan tedy bude mít právo vědět a být informován o účelech zpracování, příjemcích, kterým osobní údaje byly nebo budou zpřístupněny, době, po kterou budou osobní údaje uloženy.

Laicky řečeno: Již při souhlasu se zpracováním osobních údajů a v podstatě kdykoli během jejich uložení bystejako subjekt údajů měli mít možnost vědět, jaké jsou účely zpracování vašich osobních údajů, kdo s nimi bude pracovat a proč, jak dlouho a kde budou údaje uloženy.

Právo na opravu
Máte-li subjektivní či objektivní podezření na nesprávnost svých uložených údajů, můžeme požádat danou společnost o nápravu. S přihlédnutím k účelům zpracování má subjekt údajů právo na doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení. Správce by měl zajistit podmínky pro to, aby žádosti na opravu mohly být podávány online, zejména v případě zpracování osobních údajů elektronickými prostředky.

Laicky řečeno: máte-li pocit, že vaše uložené údaje jsou nesprávné, chybné nebo neúplné, musíte mít možnost tuto pochybnost reflektovat, ideálně elektronickou cestou a zpracovatel je povinnen zkontrolovat a případně opravit.

Právo na výmaz (v některých případech, kdy to vyžaduje zákon, například zákon o účetnictví vyžaduje archivaci osobních údajů 10 let, nemusíte údaje na vyžádání mazat). Jde o naprosto nové právo, které ukládá správci osobních údajů povinnost bez zbytečného odkladu vymazat osobní údaje subjektu údajů, tedy občana, kterému údaje náleží.

Vymazat údaje musíte pokud:

  • Osobní údaje již nejsou potřebné pro účel, pro který byly shromažďovány nebo zpracovávány.
  • Občan odvolá souhlas, pokud je zpracování založeno na souhlasu, a neexistuje žádný další právní důvod pro zpracování.
  • Osobní údaje byly zpracovány protiprávně.
  • Pokud není dán rodičovský souhlas se zpracováním osobních údajů dětí.
  • Právní povinnost stanovená právem Unie nebo členským státem.

Laicky řečeno: Je-li dokončen účel uložení osobních údajů a nevyžaduje-li zákon jejich další uložení, musí zpracovatel osobní údaje vymazat. Stejně tak musí zpracovatel učinit, požádádá-li jej o to subjekt údajů či odvolá-li souhlas se zpracováním apod.

Právo být zapomenut rozšiřuje právo na výmaz. Pokud subjekt údajů zažádá, jste povinni provést přiměřené kroky k vymazání veškerých osobních údajů, odkazů na ně, kopií apod. Existuje zde však řada výjimek.
Aby měl správce povinnost zlikvidovat osobní údaje, musí být splněna alespoň jedna z těchto podmínek:

  • osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány,
  • subjekt údajů odvolá souhlas a neexistuje žádný další právní důvod pro zpracování,
  • subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování,
  • osobní údaje byly zpracovány protiprávně,
  • osobní údaje musí být vymazány ke splnění právní povinnosti,
  • osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti podle článku 8 odst. 1 Obecného nařízení.

Laicky řečeno: Nejen, že pokud je splněna alespoň jedna z výše zmíněných podmínek, tak musíte smazat osobní údaje, ale také všechny zálohy, kopie. Prostě zajistit, aby neexistoval žádný zdroj údajů patřících žadateli (s vyjímkou těch, kde to vyžaduje zákon). Jako by pro vaši společnost nikdy neexistoval.

Právo na přenositelnost – je v podstatě rozšířeným právem přístupu a může být uplatněno za splnění dvou podmínek, které musí nastat současně: 1. zpracování je založeno na souhlasu občana nebo na smlouvě a 2. je prováděno automatizovaně.

V případě automatizovaného zpracování osobních údajů, které je založeno na uděleném souhlasu nebo na uzavřené smlouvě, má osoba právo na tzv. přenositelnost těchto údajů. To spočívá v povinnosti správce předat nositeli údajů všechny o něm zpracovávané informace ve strukturovaném, běžně používaném, strojově čitelném formátu. Uplatněním tohoto práva získává osoba větší kontrolu nad svými osobními údaji a má rovněž možnost je v takto získané podobě předat jinému správci.

Laicky řečeno: Chce-li subjekt dat, aby jste mu dodali výpis všech jeho osobních údajů, se kterými pracujete a které schromažďujete, musíte mu je za předpokladu, že je zpracovávate oprávněně a automaticky předat, v strukturovaném, strojově čitelném formátu. Subjekt je má takto možnost předat jinému zpracovateli, klidně konkurenci.

Právo vznést námitku proti zpracování znamená, že pokud konkrétní osoba nebude mít možnost uplatnit právo na výmaz, tak potom mu GDPR umožňuje uplatnit alespoň právo vznést námitku a tím donutit společnost k omezenému zpracování těch údajů, které jsou předmětem uplatněné námitky. Na možnost vznést námitku musí být ze strany společností fyzická osoba výslovně upozorněna.

Námitku lze vznést i proti zpracování osobních údajů pro účely přímého marketingu nebo profilování. Pokud subjekt údajů vznese námitku proti zpracování pro účely přímého marketingu, nebudou již osobní údaje pro tyto účely zpracovávány.

Laicky řečeno: Pokud nemá osoba právo na výmaz, rovnou, může vznést námitku proti zpracování a než bude námitka vyřešena, může zažádat o omezené zpracování osobních údajů. Viz právo níže.

Právo na omezení zpracování – je rovněž novým právem fyzických osob podle GDPR. Způsoby, jak omezit zpracování osobních údajů, by mohly mimo jiné zahrnovat dočasný přesun vybraných údajů do jiného systému zpracování, znepřístupnění vybraných osobních údajů uživatelům nebo dočasné odstranění zveřejněných údajů z internetových stránek.

V systémech automatizovaného zpracování by omezení zpracování mělo být zajištěno technickými prostředky tak, aby se na osobní údaje již nevztahovaly žádné další operace zpracování a aby nemohly být změněny. Skutečnost, že zpracování osobních údajů je omezeno, by měla být v systému jasně vyznačena.

Laicky řečeno: Pokud má subjekt údajů nějaký důvod, například pochybnost se zpracování či námitku proti zpracování, může požádat o dočasné omezené zpracování.

Takže..., práva subjektu údajů jsou rozsáhlá, ne zcela přesně a pochopitelně definovaná a teprve běžná praxe ukáže jak se k nim stavět a nastolí precedenty chování. Avšak je potřeba se připravit již teď, než začne GDPR platit a přichystat si mechanismy a technické postupy, pomocí kterých budete práva občanů naplňovat. Kontaktujte co nejdříve společnost, specialuzující se na tuto problematiku. Konzultujte, raďte se, přenechejte část starostí na nich a věnujte se raději předmětu svého podnikání!

Zdroj: www.gdpr.cz

GDPR je obecné nařízení o ochraně osobních údajů (z angličtiny General Data Protection Regulation). Patří k novým revolučním legislativám EU, která výrazně zvýší ochranu osobních dat. Výrazně ovlivní nakládání s osobními daty vašich zaměstnanců i klientů.

Ochrana osobních údajů, s cílem hájit co nejvíce práva občanů EU proti neoprávněnému zacházení s jejich daty a osobními údaji. Nařízení přináší revoluci v ochraně osobních údajů. GDPR se týká všech firem, institucí, ale i jednotlivců a online služeb, které zpracovávají data uživatelů.

Dát evropským občanům šanci mít větší kontrolu nad tím, co se s jejich daty děje. GDPR zavádí enormní pokuty za porušování nových, přísnějších pravidel v ochraně osobních údajů.

EU nařizuje větším zpracovatelům dat zřídit nezávislou kontrolní funkci DPO (Data Protection Officer), tzv. pověřence pro ochranu osobních údajů. Jeho úkolem bude dohlížet na řádné zacházení s osobními daty a hlásit možné úniky dat či porušení zákona.