Práva subjektů údajů dle GDPR
Právo na informace poskytované na žádost subjektu údajů
Toto právo bylo součástí bývalého zákona o ochraně osobních údajů (§ 12 ZOOU). Správce měl subjektu údajů na základě jeho žádosti poskytnout informace o zpracování jeho osobních údajů. GDPR tuto povinnost rozšiřuje – subjekt údajů má nejen právo na informace, ale také na poskytnutí kopií zpracovávaných osobních údajů (např. kopii pracovní smlouvy, faktury).
Dle čl. 15 GDPR má subjekt údajů právo získat od správce potvrzení, zda jeho osobní údaje jsou zpracovávány, a pokud ano, získat k nim přístup včetně následujících informací:
- Účely zpracování
- Kategorie dotčených osobních údajů
- Příjemci osobních údajů
- Doba uchování nebo kritéria pro její stanovení
- Práva subjektu údajů (oprava, výmaz, omezení zpracování, námitka)
- Možnost podat stížnost u dozorového úřadu
- Zdroje osobních údajů (pokud nejsou získány od subjektu)
- Automatizované rozhodování včetně profilování
Právo na opravu
Subjekt údajů má právo požadovat opravu nepřesných nebo neúplných osobních údajů. Správce musí tuto opravu provést bez zbytečného odkladu.
Správce je rovněž povinen informovat všechny příjemce osobních údajů o provedené opravě, pokud to není nemožné nebo nevyžaduje nepřiměřené úsilí.
Právo na výmaz („právo být zapomenut“)
Subjekt údajů může požadovat výmaz svých osobních údajů, pokud:
- Údaje již nejsou potřebné pro původní účel
- Subjekt odvolal souhlas a neexistuje jiný právní důvod
- Údaje byly zpracovány protiprávně
- Výmaz je nutný ke splnění právní povinnosti
- Subjekt vznesl námitku proti zpracování
Správce je povinen přijmout přiměřená opatření k informování dalších správců, kteří údaje zpracovávají.
Právo na omezení zpracování
Subjekt údajů může požadovat omezení zpracování, pokud:
- Zpochybňuje přesnost údajů
- Požaduje omezení namísto výmazu
- Správce již údaje nepotřebuje, ale subjekt je vyžaduje pro právní nároky
- Vznesl námitku proti zpracování
Omezené údaje mohou být dále zpracovány pouze se souhlasem subjektu údajů nebo pro stanovení, výkon či obhajobu právních nároků.
Právo na přenositelnost údajů
Subjekt údajů má právo získat své osobní údaje ve strukturovaném a strojově čitelném formátu a předat je jinému správci, pokud:
- Zpracování je založeno na souhlasu nebo smlouvě
- Zpracování se provádí automatizovaně
Pokud je to technicky možné, má subjekt údajů právo na přímý přenos údajů mezi správci.
Právo vznést námitku
Subjekt údajů může vznést námitku proti zpracování, pokud se zpracování zakládá na oprávněném zájmu správce nebo je prováděno pro účely veřejného zájmu.
Správce musí zpracování ukončit, pokud neprokáže závažné důvody převažující nad právy subjektu údajů.
Právo na námitku proti přímému marketingu
Subjekt údajů má právo kdykoli vznést námitku proti zpracování osobních údajů pro účely přímého marketingu, včetně profilování. Správce musí zpracování pro tyto účely ukončit.
Právo na ochranu před automatizovaným rozhodováním
Subjekt údajů má právo nebýt předmětem rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, pokud toto rozhodnutí má právní účinky nebo se ho významně dotýká. Výjimky jsou:
- Rozhodnutí je nezbytné k uzavření nebo plnění smlouvy
- Je povoleno právem EU nebo členského státu
- Subjekt údajů udělil výslovný souhlas
V těchto případech musí správce zajistit lidský zásah a možnost subjektu údajů rozhodnutí napadnout.
Právo na náhradu újmy
Subjekt údajů má právo na náhradu újmy způsobené porušením GDPR. Odpovědnost za újmu nese správce nebo zpracovatel, pokud neprokáží, že za ni nenesou odpovědnost.
Pokud je do zpracování zapojeno více správců nebo zpracovatelů, odpovídají společně a nerozdílně.