Informace o právech subjektu údajů

Právo subjektu údajů být informován o zpracování (viz článek 13 a 14 obecného nařízení nařízení GDPR)

Subjekt údajů má právo být informován o zpracování svých osobních údajů. Jde zejména o informace o účelu zpracování, totožnosti správce, o jeho oprávněných zájmech a o příjemcích osobních údajů. V tomto případě jde o pasivní právo, jelikož aktivitu musí vůči subjektu údajů vyvinout správce, který požadované informace stanovené v obecném nařízení subjektu údajů poskytne, resp. zpřístupní v okamžiku získání osobních údajů.

Právo subjektu údajů na přístup k osobním údajům (viz článek 15 obecného nařízení)

Subjekt údajů má právo získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou nebo nejsou správcem zpracovávány, a pokud jsou zpracovávány, má právo tyto osobní údaje získat a zároveň má právo získat následující informace:

• za jakým účelem jsou zpracovávány,
• jaké jsou kategorie dotčených osobních údajů,
• kdo jsou příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny, zejména pokud by se jednalo o země mimo EU (třetí země) nebo mezinárodní organizace,
• jaká je plánovaná doba, po kterou budou osobní údaje uloženy, nebo jaká jsou kritéria pro určení této doby,
• o existenci práva požadovat od správce opravu nebo výmaz svých osobních údajů, omezení jejich zpracování anebo vznést námitku proti zpracování,
• o právu podat stížnost u dozorového úřadu,
• o zdroji osobních údajů, pokud nejsou získány od subjektu údajů,
• o skutečnosti, že dochází k automatizovanému rozhodování, včetně profilování (včetně informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů).

Předmětem práva na přístup jsou všechny zpracovávané osobní údaje týkající se subjektu údajů, tj. nejen takové, které subjekt údajů správci poskytl.

 „Správce poskytne kopii zpracovávaných osobních údajů. Za další kopie na žádost subjektu údajů může správce účtovat přiměřený poplatek na základě administrativních nákladů. Jestliže subjekt údajů podává žádost v elektronické formě, poskytnou se informace v elektronické formě, která se běžně používá, pokud subjekt údajů nepožádá o jiný způsob.“

Při poskytnutí kopií nesmějí být nepříznivě dotčena práva a svobody jiných osob.  

Právo subjektu údajů na opravu nepřesných osobních údajů (viz článek 16 obecného nařízení)

„Subjekt údajů má právo na to, aby správce bez zbytečného odkladu opravil nepřesné osobní údaje, které se ho týkají. S přihlédnutím k účelům zpracování má subjekt údajů právo na doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení.“

Pokud se subjekt údajů domnívá, že správce zpracovává jeho nepřesné údaje, upozorní jej na to. Povinností správce je ověřit, zda jsou osobní údaje, k nimž se žádost subjektu o opravu vztahuje, přesné a pokud dojde k závěru, že osobní údaje nejsou přesné, provede jejich opravu. Do doby, než správce přesnost údajů ověří, je zpracování těchto osobních údajů omezeno.

Právo na doplnění osobních údajů může subjekt údajů využít, když chce správci z vlastní vůle o sobě poskytnout dodatečné osobní údaje.

Právo subjektu údajů na výmaz („právo být zapomenut“)  (viz článek 17 obecného nařízení)

„Subjekt údajů má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden z těchto důvodů:“

• osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány,
• subjekt údajů odvolá souhlas a neexistuje žádný další právní důvod pro zpracování,
• subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování,
• osobní údaje byly zpracovány protiprávně,
• osobní údaje musí být vymazány ke splnění právní povinnosti, která se na správce vztahuje,
• jedná se o osobní údaje dětí shromážděné v souvislosti s nabídkou služeb informační společnosti.

Právo na výmaz se neuplatní, pokud je zpracování osobních údajů nezbytné:

• pro výkon práva na svobodu projevu a informace,
• pro splnění právní povinnosti, která se na správce vztahuje, nebo pro splnění úkolu ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen,
• z důvodů veřejného zájmu v oblasti veřejného zdraví,
• pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu či pro statistické účely,
• pro určení, výkon nebo obhajobu právních nároků.

Právo subjektu údajů na omezení zpracování osobních údajů (viz článek 18 obecného nařízení)

Právo na omezení zpracování je „právem dočasným“. Subjekt údajů může požádat správce, aby omezil zpracování osobních údajů, které se ho týkají a správce tak musí učinit v případech:

kdy subjekt údajů popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby správce mohl přesnost osobních údajů ověřit (bylo uplatněno právo na opravu),
pokud je zpracování protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití,
správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků,
subjekt údajů vznesl námitku proti zpracování, a dokud nebude ověřeno, zda oprávněné důvody správce převažují nad oprávněnými důvody subjektu údajů.
Osobní údaje, jejichž zpracování bylo omezeno, nesmí správce dále zpracovávat, s výjimkou jejich uložení. Zpracování dalšími způsoby je možné pouze:

• se souhlasem subjektu údajů, který o omezení požádal,
• z důvodu určení, výkonu nebo obhajoby právních nároků,
• z důvodu ochrany práv jiné fyzické nebo právnické osoby nebo
• z důvodů důležitého veřejného zájmu.

Právo subjektu údajů na přenositelnost údajů (viz článek 20 obecného nařízení)

Podstatou uplatnění práva na přenositelnost je možnost získat za určitých podmínek osobní údaje, které se týkají subjektu údajů a které subjekt údajů správci poskytl, a právo předat tyto údaje jinému správci, aniž by tomu původní správce bránil. Zároveň má subjekt údajů, pokud požádá, i právo na to, aby správce předal jeho osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu jinému správci, je-li to technicky proveditelné.

Pro uplatnění tohoto práva musí být současně splněny dvě podmínky:

• musí jít o zpracování založené na právním základě souhlasu či smlouvě, a
• zpracování se provádí automatizovaně.

Toto právo se neuplatní na zpracování nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen. Právem navíc nesmí být nepříznivě dotčena práva a svobody jiných osob.

Právo subjektu údajů vznést námitku (viz článek 21 obecného nařízení)

Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů:

• na základě právního titulu oprávněného zájmu a plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci,
• pro účely přímého marketingu na základě právního titulu oprávněného zájmu,
• pro účely vědeckého či historického výzkumu nebo pro statistické účely.

Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.

Právo subjektu údajů nebýt předmětem automatizovaného individuálního rozhodování, včetně profilování (viz článek 22 obecného nařízení)

„Subjekt údajů má právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká.“

Právo subjektu údajů podat stížnost (viz článek 77 obecného nařízení)

Aniž jsou dotčeny jakékoliv jiné prostředky správní nebo soudní ochrany, má každý subjekt údajů právo podat stížnost u některého dozorového úřadu, zejména v členském státě svého obvyklého bydliště, místa výkonu zaměstnání nebo místa, kde došlo k údajnému porušení, pokud se subjekt údajů domnívá, že zpracováním jeho osobních údajů je porušeno toto nařízení. Funkci dozorového orgánu v ČR plní Úřad na ochranu osobních údajů.

Právo subjektu údajů odvolat souhlas se zpracováním svých osobních údajů (viz článek 7 obecného nařízení)

Subjekt údajů má právo svůj souhlas kdykoli odvolat. Odvoláním souhlasu není dotčena zákonnost zpracování vycházejícího ze souhlasu, který byl dán před jeho odvoláním.