Práva subjektů údajů

Jednou z největších změn v rámci celého Obecného nařízení o ochraně osobních údajů 2016/679 (dále též „GDPR“) je výrazné posílení práv subjektu údajů, tedy fyzických osob. GDPR přiznává subjektům mnohem širší práva a možnosti k jejich uplatnění, než tomu bylo dosud. Následující text poskytuje přehled těch nejdůležitějších práv subjektů.

GDPR, Evropské právo

Právo být zapomenut  

Velmi diskutované ustanovení dávající subjektum údajů právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají. Správce má povinnost osobní údaje vymazat, byl-li splněn jeden z následujících důvodů:

  • údaje nejsou dále potřebné pro účely, pro které byly shromážděny nebo jinak získány
  • subjekt údajů odvolal souhlas se zpracováním a neexistuje žádný další právní důvod pro jejich zpracování 
  • subjekt vznese námitky proti zpracování (v případě, kdy nařízení tuto námitku připouští)
  • osobní údaje byly protiprávně zpracovány
  • osobní údaje musí být vymazány ke splnění právní povinnosti stanovené v právu Unie nebo členského státu, které se na správce vztahuje
  • osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti dětem

Nejedná se však o právo absolutní. V určitých případech může být výmaz zamítnut. Jedná se zejména o případy zpracování:

  • pro účely archivace či vědeckého výzkumu;
  • pro výkon práva na svobodu projevu a informace;
  • pro splnění právní povinnosti;
  • z důvodu veřejného zájmu v oblasti veřejného zdraví;
  • pro určení, výkon nebo obhajobu právních nároků.

Právo na přenositelnost údajů 

Tímto se posiluje kontrola subjektu nad nakládáním s jeho osobními údaji. Subjekt má právo získat osobní údaje, které se ho týkají, jež poskytl správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu správce, kterému byly osobní údaje poskytnuty, bránil.

Přenos je možný za současného splnění dvou podmínek: 

  • zpracování je založeno na souhlasu subjektu nebo je nezbytné pro plnění smlouvy;
  • zpracování je prováděno automatizovaně.

Právo na přístup k osobním údajům

Dává subjektům právo získat od správce potvrzení, zda tento má jejich osobní údaje. Pokud je výsledek kladný, tak jsou subjekty oprávněny požádat o přístup k těmto údajům a s nimi souvisejícími informacemi. Ve zkratce se jedná o informace týkající se účelu zpracování, kategorií dotčených osobních údajů, jejich příjemců, zda dochází k automatizovanému zpracování, včetně profilování, a v případě předávání osobních údajů do třetích zemí informace o vhodných zárukách. Jako příklad lze uvést žádost o přístup k vlastní zdravotnické dokumentaci a všem informacím v ní obsažených.
Od tohoto práva se v zásadě odvíjí i další práva, např. právo na opravu nebo doplnění osobních údajů.

Právo na omezení zpracování

Jestliže není možné výmaz osobních údajů požadovat nebo sám subjekt takový výmaz nechce z nějakého důvodu nechce, tak může být uplatněno právo na omezení zpracování osobních údajů. Tím je správci omezena možnost zpracování, tj. nakládání s osobními údaji, které se subjektu týkají. Nařízení přiznává toto právo ve třech případech:

  1. subjekt údajů popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby správce mohl přesnost osobních údajů ověřit;
  2. zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití;
  3. správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků;
  4. subjekt údajů vznesl námitku proti zpracování, dokud nebude ověřeno, zda oprávněné důvody správce převažují nad oprávněnými důvody subjektu údajů.

Právo vznést námitku

Subjekt má právo vznést námitku proti zpracování osobních údajů, které se jej týkají. Toto právo nastává v případě, kdy je zpracování prováděno ve veřejném zájmu nebo při výkonu veřejné moci nebo kdy je zpracování nezbytné pro účely oprávněných zájmů správce či třetí strany. Správce pak po podání námitky osobní údaje dále nezpracovává, ledaže by prokázal závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů nebo nad zájmy pro určení, výkon nebo obhajobu právních nároků.

Pokud se osobní údaje zpracovávají pro účely přímého marketingu, má subjekt údajů právo vznést kdykoli námitku proti zpracování osobních údajů, které se ho týkají, pro tento marketing, což zahrnuje i profilování, pokud se týká tohoto přímého marketingu. Pokud subjekt údajů vznese námitku proti zpracování pro účely přímého marketingu, nebudou již osobní údaje pro tyto účely zpracovávány. 

Subjekt údajů musí být s možností podat námitku seznámen nejpozději při počátku komunikace se správcem, a to zřetelně a odděleně od ostatních informací. Jsou-li osobní údaje zpracovávány pro účely vědeckého či historického výzkumu nebo pro statistické účely, má subjekt údajů, z důvodů týkajících se jeho konkrétní situace, právo vznést námitku proti zpracování osobních údajů, které se ho týkají. Výjimkou je v tomto případě zpracování nezbytné pro splnění úkolu prováděného z důvodů veřejného zájmu.

Související články

Souhlas GDPR

Obecné nařízení o ochraně osobních údajů 2016/679 (dále též „GDPR“) jako jeden ze zákonných důvodů pro zpracování některých osobních údajů získání souhlasu subjektu údajů. Protože při získávání osobních subjektů se jedná o zásah do jeho práva na soukromí, tak GDPR stanoví takové podmínky, aby si byl subjekt vědom tohoto následku.

Zobrazit více

Narušení bezpečnosti osobních údajů

Jednou z hlavních změn, kterou zavedlo Obecné nařízení o ochraně osobních údajů 2016/679 (GDPR), je povinnost ohlašovat případy, kdy dojde k narušení bezpečnosti ochrany osobních údajů (data breach).

Zobrazit více

Chcete dostávat články pravidelně na e-mail?