Práva subjektů údajů osobních údajů dle GDPR
Právo na informace poskytované na žádost subjektu údajů
Toto právo bylo i součástí zákona ZOOU (§ 12 ZOOU), kdy šlo o to, že správce měl subjektu údajů na základě jeho žádosti poskytnout určitý rozsah informací o zpracování jeho osobních údajů. To se v podstatě nemění, ale je zde jedna významná novinka. Subjekt údajů nemá pouze právo na informace o zpracování, jak tomu bylo dle § 12 ZOOU, ale také právo na poskytnutí přímo těchto osobních údajů (tedy např. kopii pracovní smlouvy, kopii faktury). V totmo ohledu zavádí GDPR větší rozsah práv než bylo zavedeno v ZOOU.
Dle čl. 15 GDPR má subjekt údajů má právo získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům a k následujícím informacím:
• účely zpracování;
• kategorie dotčených osobních údajů;
• příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny, zejména příjemci ve třetích zemích nebo v mezinárodních organizacích;
• plánovaná doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá ke stanovení této doby;
• existence práva požadovat od správce opravu nebo výmaz osobních údajů týkajících se subjektu údajů nebo omezení jejich zpracování anebo vznést námitku proti tomuto zpracování;
• právo podat stížnost u dozorového úřadu;
• veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů;
• skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.
Právo na opravu
Subjekt údajů má právo na to, aby správce bez zbytečného odkladu opravil nepřesné osobní údaje, které se ho týkají. S přihlédnutím k účelům zpracování má subjekt údajů právo na doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení.
Právo na opravu v zásadě reaguje na zásadu přesnosti, podle které osobní údaje musí být přesné a v případě potřeby aktualizované. Správce pak musí být přijmout veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny (čl. 5 odst. 1 písm. d) GDPR).
V případě uplatnění tohoto práva je správce povinen oznámit jednotlivým příjemcům, jimž byly osobní údaje zpřístupněny veškeré opravy, které učinil, s výjimkou případů, kdy se to ukáže jako nemožné nebo to vyžaduje nepřiměřené úsilí. Správce informuje subjekt údajů o těchto příjemcích, pokud to subjekt údajů požaduje. (čl. 19 GDPR).
Právo na výmaz ("právo být zapomenut")
Subjekt údajů má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden z těchto důvodů:
• osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány;
• subjekt údajů odvolá souhlas, na jehož základě byly údaje zpracovány, a neexistuje žádný další právní důvod pro zpracování;
• subjekt údajů vznese námitky proti zpracování podle čl. 21 odst. 1 GDPR a neexistují žádné převažující oprávněné důvody pro zpracování nebo subjekt údajů vznese námitky proti zpracování podle čl. 21 odst. 2 GDPR;
• osobní údaje byly zpracovány protiprávně;
• osobní údaje musí být vymazány ke splnění právní povinnosti stanovené v právu Unie nebo členského státu, které se na správce vztahuje;
• osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti podle čl. 8 odst. 1 GDPR. - případy, kdy subjekt údajů dal svůj souhlas v dětském věku a nebyl si plně vědom rizik spojených se zpracováním a později chce tyto osobní údaje zejména na internetu odstranit.
Aby bylo v internetovém prostředí posíleno právo být zapomenut, mělo by být rozšířeno právo na výmaz tím, že by správce, který zveřejnil osobní údaje, měl povinnost informovat správce, kteří osobní údaje zpracovávají, aby vymazali veškeré odkazy na dané osobní údaje či veškeré jejich kopie nebo replikace. Přitom by měl správce učinit vhodné kroky, s přihlédnutím k dostupné technologii a prostředkům, které má k dispozici, včetně uplatňování technických opatření, s cílem informovat správce, kteří tyto osobní údaje zpracovávají, o žádosti subjektu údajů. (odst. 66 úvodních ustanovení GDPR).
Další uchovávání osobních údajů je považováno za zákonné, pokud je to nezbytné k uplatnění práva svobody projevu a informací, z důvodu splnění právní povinnosti, provádění určitého úkolu ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce, z důvodů veřejného zájmu v oblasti veřejného zdraví, pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely nebo pro určení, výkon nebo obhajobu právních nároků.
V případě uplatnění tohoto práva je správce povinen oznámit jednotlivým příjemcům, jimž byly osobní údaje zpřístupněny výmaz údajů, který učinil, s výjimkou případů, kdy se to ukáže jako nemožné nebo to vyžaduje nepřiměřené úsilí. Správce informuje subjekt údajů o těchto příjemcích, pokud to subjekt údajů požaduje. (čl. 19 GDPR).
Právo na omezení zpracování
Subjekt údajů má právo na to, aby správce omezil zpracování, v kterémkoli z těchto případů:
• subjekt údajů popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby správce mohl přesnost osobních údajů ověřit;
• zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití;
• správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků;
• subjekt údajů vznesl námitku proti zpracování podle čl. 21 odst. 1 GDPR, dokud nebude ověřeno, zda oprávněné důvody správce převažují nad oprávněnými důvody subjektu údajů.
GDPR uvádí příkladmo, jak fakticky omezit zpracování osobních údajů. Způsoby, jak omezit zpracování osobních údajů, by mohly mimo jiné zahrnovat dočasný přesun vybraných údajů do jiného systému zpracování, znepřístupnění vybraných osobních údajů uživatelům nebo dočasné odstranění zveřejněných údajů z internetových stránek. V systémech automatizovaného zpracování by omezení zpracování mělo být v zásadě zajištěno technickými prostředky tak, aby se na osobní údaje již nevztahovaly žádné další operace zpracování a aby nemohly být změněny. Skutečnost, že zpracování osobních údajů je omezeno, by měla být v systému jasně vyznačena. (odst. 67 úvodní ustanovení GDPR)
Pokud je zpracování osobních údajů omezeno, mohou být tyto osobní údaje, s výjimkou jejich uložení, zpracovány pouze se souhlasem subjektu údajů, nebo z důvodu určení, výkonu nebo obhajoby právních nároků, z důvodu ochrany práv jiné fyzické nebo právnické osoby nebo z důvodů důležitého veřejného zájmu Unie nebo některého členského státu.
Subjekt údajů, který dosáhl omezení zpracování, má být správcem předem upozorněn na to, že bude omezení zpracování zrušeno.
V případě uplatnění tohoto práva je správce povinen oznámit jednotlivým příjemcům, jimž byly osobní údaje zpřístupněny veškeré omezení zpracování, které učinil, s výjimkou případů, kdy se to ukáže jako nemožné nebo to vyžaduje nepřiměřené úsilí. Správce informuje subjekt údajů o těchto příjemcích, pokud to subjekt údajů požaduje. (čl. 19 GDPR).
Právo na přenositelnost údajů
V úvodních ustanoveních (odst. 68 GDPR) je popsán důvod zavedení práva na přenositelnost údajů. Aby měl subjekt údajů větší kontrolu nad svými údaji, měl by v případě, kdy se osobní údaje zpracovávají automatizovaně, mít též právo získat osobní údaje, které se ho týkají, a jež poskytl správci, ve strukturovaném, běžně používaném, strojově čitelném a interoperabilním formátu a předat je jinému správci. Správce údajů je třeba podporovat v rozvíjení interoperabilních formátů umožňujících přenositelnost údajů. Toto právo by se mělo uplatnit v případě, kdy subjekt údajů poskytl osobní údaje na základě svého souhlasu, nebo pokud je zpracování potřebné za účelem plnění smlouvy. Právo subjektu údajů předat nebo obdržet osobní údaje, které se ho týkají, by nemělo zakládat povinnost správců zavést nebo zachovávat technicky kompatibilní systémy zpracování. Pokud se určitý soubor osobních údajů týká více než jednoho subjektu údajů, neměla by právem obdržet osobní údaje být dotčena práva a svobody jiných subjektů údajů podle tohoto nařízení. Tímto právem by dále nemělo být dotčeno právo subjektu údajů dosáhnout výmazu osobních údajů a omezení uvedeného práva, jak je stanoveno v tomto nařízení, a zejména by toto právo nemělo znamenat výmaz osobních údajů týkajících se daného subjektu údajů, které tento subjekt údajů poskytl v rámci plnění smlouvy, v rozsahu, v němž jsou tyto osobní údaje nezbytné pro plnění dané smlouvy, a po dobu nezbytně nutnou pro toto plnění. Pokud je to technicky možné, měl by mít subjekt údajů právo na to, aby osobní údaje byly předány přímo jedním správcem správci jinému.
Dle uvedené koncepce pak GDPR zavádí právo subjektu údajů získat osobní údaje, které se ho týkají, jež poskytl správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu správce, kterému byly osobní údaje poskytnuty, bránil, a to v případě, že:
a) zpracování je založeno na souhlasu nebo na smlouvě; a
b) zpracování se provádí automatizovaně.
Při výkonu svého práva na přenositelnost údajů má subjekt údajů právo na to, aby osobní údaje byly předány přímo jedním správcem správci druhému, je-li to technicky proveditelné.
Právo vznést námitku
Právo vznést námitku zavádí GDPR na určité situace. Námitka v případě zpracování prováděném na základě zákona a v případě oprávněných zájmů nejrůznějších subjektů.
Pokud mohou být osobní údaje zákonně zpracovávány, protože je toto zpracování nezbytné pro výkon úkolů vykonávaných ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce, nebo z důvodu oprávněných zájmů správce nebo třetí strany, měl by každý dotčený subjekt údajů přesto mít právo vznést námitku proti zpracování osobních údajů, které se týkají jeho konkrétní situace. (odst. 69 GDPR).
Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.
Na možnost vznést námitku má být subjekt údajů upozorněn a to nejpozději v okamžiku první komunikace se subjektem údajů.
Námitka v případě přímého marketingu
Jsou-li osobní údaje zpracovávány pro účely přímého marketingu, měl by mít subjekt údajů právo kdykoli bezplatně vznést námitku proti tomuto zpracování, včetně profilování, v rozsahu, v němž souvisí s daným přímým marketingem, ať již jde o počáteční, nebo další zpracování. Na toto právo by měl být subjekt údajů výslovně upozorněn a toto právo by mělo být uvedeno zřetelně a odděleně od jakýchkoli jiných informací. (odst. 70 GDPR).
Na možnost vznést námitku má být subjekt údajů upozorněn a to nejpozději v okamžiku první komunikace se subjektem údajů.
Námitka v případě zpracování pro účely výzkumu nebo statistiky
Jsou-li osobní údaje zpracovávány pro účely vědeckého či historického výzkumu nebo pro statistické účely, má subjekt údajů, z důvodů týkajících se jeho konkrétní situace, právo vznést námitku proti zpracování osobních údajů, které se ho týkají, ledaže je zpracování nezbytné pro splnění úkolu prováděného z důvodů veřejného zájmu. (čl. 21 odst. 3 GDPR)
Právo nestat se předmětem rozhodování založeném na automatizovanému individuálnímu rozhodování
Popis tohoto práva zní poněkud toporně, nicméně jde o stylizaci práva subjektu údajů, která je odrazem povinnosti (zákazu) správce, aby na výhradně základě automatizovaně prováděném zpracování osobních údajů prováděl jakékoli rozhodnutí, které by vůči subjektu údajů mělo právní účinky nebo se ho obdobným způsobem významně dotýkalo.
Již směrnice 95/46/ES, ZOOÚ, tak i GDPR v zásadě zakazuje, aby se subjekt údajů nestal předmětem žádného rozhodnutí, a to včetně opatření, které hodnotí osobní aspekty týkající se jeho osoby, vychází výlučně z automatizovaného zpracování a které má pro něj právní účinky nebo se jej podobně významně dotýká, jako jsou automatizované zamítnutí on-line žádosti o úvěr nebo postupy elektronického náboru bez jakéhokoliv lidského zásahu. (odst. 71 úvodních ustanovení GDPR).
Speciálním případem automatizovaného hodnocení je tzv. profilování, které GDPR definuje tak, že je to jakákoli forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází, nebo pohybu. (čl. 4 odst. 4 GDPR).
Právo subjektu údajů nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká má tyto výjimky:
• nezbytné k uzavření nebo plnění smlouvy mezi subjektem údajů a správcem údajů;
• povoleno právem Unie nebo členského státu, které se na správce vztahuje a které rovněž stanoví vhodná opatření zajišťující ochranu práv a svobod a oprávněných zájmů subjektu údajů;
• založeno na výslovném souhlasu subjektu údajů.
V každém případě by se na takové zpracování měly vztahovat vhodné záruky, které by měly zahrnovat konkrétní informování subjektu údajů a právo na lidský zásah, na vyjádření svého názoru, na získání vysvětlení o rozhodnutí učiněném po takovém posouzení a na napadnutí tohoto rozhodnutí. (odst. 71 úvodních ustanovení GDPR).Právo na náhradu újmy
GDPR zavádí právo na náhradu újmy a odpovědnost správce a zpracovatele na náhradu újmy. Dle čl. 82 GDPR má kdokoli, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy.
Správce zapojený do zpracování je odpovědný za újmu, kterou způsobí zpracováním, jež porušuje toto nařízení. Zpracovatel je za újmu způsobenou zpracováním odpovědný pouze v případě, že nesplnil povinnosti stanovené tímto nařízením konkrétně pro zpracovatele nebo že jednal nad rámec zákonných pokynů správce nebo v rozporu s nimi.
Správce nebo zpracovatel jsou odpovědnosti zproštěni, pokud prokáží, že nenesou žádným způsobem odpovědnost za událost, která ke vzniku újmy vedla. Pokud je do zpracování zapojeno více správců nebo zpracovatelů jsou odpovědni společně a nerozdílně, mezi sebou se však mohou vypořádat podle jejich podílu na odpovědnosti.