Práva subjektu údajů jsou důležitým prvkem ochrany osobních údajů jako celku, jelikož subjekt údajů je často ve slabším postavení než správce a tudíž vybalancovávají vztah mezi ním a správcem.

Výčet práv subjektu údajů:

  • Na přístup k informacím
    se rozumí oprávnění subjektu údajů na základě jeho aktivní žádosti získat od správce informaci (potvrzení), zda jsou či nejsou jeho osobní údaje zpracovávány a pokud jsou zpracovávány, má subjekt údajů právo tyto osobní údaje získat a zároveň má právo získat následující informace:

    • Účely zpracování
    • Kategorie dotčených osobních údajů
    • Příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny
    • Plánovaná doba, po kterou budou osobní údaje uloženy
    • Existence práva požadovat od správce opravu nebo výmaz osobních údajů, právo vznést námitku
    • Právo podat stížnost u dozorového úřadu
    • Veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů
  • Na opravu respektive doplnění
    Subjekt údajů má právo na opravu nepřesných osobních údajů, které se ho týkají. Toto právo vyvěrá ze zásady přesnosti. Neznamená to povinnost správce aktivně vyhledávat nepřesné údaje (avšak nic mu v tom ani nebrání), ani to neznamená povinnost správce např. každoročně požadovat po subjektu údajů aktualizaci jeho údajů. Pokud se subjekt údajů domnívá, že správce zpracovává jeho nepřesné údaje, upozorní jej na to. Je povinností správce, pokud mu subjekt údajů oznámí, že požaduje opravu jeho osobních údajů, zabývat se jeho žádostí.
  • Na výmaz údajů („být zapomenut“)
    představuje v obecném nařízení GDPR jinými slovy vyjádřenou povinnost správce zlikvidovat osobní údaje, pokud je splněna alespoň jedna podmínka:

    • Osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány
    • Subjekt údajů odvolá souhlas a neexistuje žádný další právní důvod pro zpracování
    • Subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování
    • Osobní údaje byly zpracovány protiprávně
    • Osobní údaje musí být vymazány ke splnění právní povinnosti
    • Osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti podle článku 8 odst. 1 obecného nařízení GDPRPrávo na výmaz se tedy uplatní jen ve vyčtených bodech, tj. když nastane daná okolnost. Většina vyjmenovaných případů je součástí i současného zákona č. 101/2000 Sb., o ochraně osobních údajů, nebo vyplývají z jeho podstaty.Právo na výmaz není absolutní právo, které by subjektu údajů dávalo možnost žádat kdykoli a za jakékoli situace o vymazání osobních údajů. Nelze např. v rámci práva být zapomenut žádat likvidaci všech osobních údajů např. při ukončení zaměstnání či poskytování finančních služeb, jelikož na správce se vztahují povinnosti o dalším uchování některých osobních údajů.
  • Na omezení zpracování
    je zcela nové právo subjektu údajů omezit zpracování osobních údajů správcem.
  • Na přenositelnost zpracování
    je zcela nové právo subjektu údajů, jehož podstatou je možnost za určitých podmínek získat osobní údaje, které se ho týkají a jež správci poskytl, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu původní správce bránil. Zároveň má subjekt údajů, pokud požádá, i právo na to, aby správce předal jeho osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu jinému správci, je-li to technicky proveditelné.
  • Na námitku proti zpracování
    subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které jsou zpracovávány na základě právních důvodů:

    • Zpracování je nezbytné pro plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen.
    • Zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany.

    Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.

    Námitku lze vznést i proti zpracování osobních údajů pro účely přímého marketingu nebo profilování. Pokud subjekt údajů vznese námitku proti zpracování pro účely přímého marketingu, nebudou již osobní údaje pro tyto účely zpracovávány.

  • Automatizovanému individuálnímu rozhodování včetně profilování
    zajišťuje subjektu údajů, že nebude předmětem rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká. Jinými slovy, jde o zajištění, aby se o právních účincích nerozhodovalo automatizovanými postupy bez lidské ingerence, kromě možných výjimek.
    Automatizované rozhodování je přípustné v případě, kdy je nezbytné k uzavření nebo plnění smlouvy mezi subjektem údajů a správcem, pokud je povoleno právem EU nebo ČR nebo pokud je založeno na výslovném souhlasu subjektu údajů.

Informační povinnost vůči subjektům údajů

  • Povinnosti správce v oblasti poskytování transparentních informací, sdělení a postupů pro výkon práv subjektů údajů jsou detailně upraveny v článcích 12, 13 a 14 obecného nařízení GDPR.
  • Výjimka z povinnosti poskytnout informaci je přípustná pouze v tom případě, že subjekt údajů již těmito informacemi disponuje. Správce však musí být v případě potřeby schopen prokázat, že subjekt údajů byl skutečně informován o všech požadovaných informacích, tj. že došlo ke splnění informační povinnosti dle obecného nařízení GDPR.
  • Do poskytovaných informací subjektu údajů patří:
    • Totožnost a kontaktní údaje správce a jeho případného zástupce
    • Případně kontaktní údaje případného pověřence pro ochranu osobních údajů
    • Účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování
    • Oprávněné zájmy správce nebo třetí strany v případě, že je zpracování založeno na čl. 6 odst. 1 písm. f)
    • Případné příjemce nebo kategorie příjemců osobních údajů
    • Případný úmysl správce předat osobní údaje do třetí země nebo mezinárodní organizaci
  • Vedle informací uvedených v předchozím odstavci 3 poskytne správce subjektu údajů v okamžiku získání osobních údajů tyto další informace, jsou-li nezbytné pro zajištění spravedlivého a transparentního zpracování:
    • Doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby
    • Existence práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz, popřípadě omezení zpracování, a vznést námitku proti zpracování, jakož i práva na přenositelnost údajů
    • Pokud je zpracování založeno na čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a), existence práva odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním.
    • Existence práva podat stížnost u dozorového úřadu
    • Skutečnost, zda poskytování osobních údajů je zákonným či smluvním požadavkem, nebo požadavkem, který je nutné uvést do smlouvy, a zda má subjekt údajů povinnost osobní údaje poskytnout, a ohledně možných důsledků neposkytnutí těchto údajů
    • Skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v čl. 22 odst. 1 a 4 obecného nařízení GDPR, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů
  • Pokud správce hodlá osobní údaje dále zpracovávat pro jiný účel, než je účel, pro který byly shromážděny, poskytne subjektu údajů ještě před uvedeným dalším zpracováním informace o tomto jiném účelu a příslušné další informace uvedené v odstavci 2.
  • Odstavce 1, 2 a 3 se nepoužijí, pokud subjekt údajů již uvedené informace má, a do té míry, v níž je má.
  • Správce přijme vhodná opatření, aby poskytl subjektu údajů stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace uvedené v článcích 13 a 14 obecného nařízení GDPR a učinil veškerá sdělení podle článků 15 až 22 a 34 obecného nařízení GDPR o zpracování, zejména pokud se jedná o informace určené konkrétně dítěti. Informace poskytne písemně nebo jinými prostředky, včetně ve vhodných případech v elektronické formě. Pokud si to subjekt údajů vyžádá, mohou být informace poskytnuty ústně, a to za předpokladu, že identita subjektu údajů je prokázána jinými způsoby.
  • Pokud se jedná o žádost podle článků 15 až 22 obecného nařízení GDPR, musí být informace o přijatých opatřeních poskytnuta bez zbytečného odkladu a v každém případě do jednoho měsíce od obdržení žádosti. Lhůtu lze ve výjimečných případech prodloužit o dva měsíce, o čemž musí být subjekt údajů ze strany správce informován, včetně důvodů prodloužení.
  • Zásadně platí, že informace podle článků 13 a 14 a veškerá sdělení a úkony podle článků 15 až 22 a 34 obecného nařízení GDPR se poskytují a činí bezplatně. Pouze v případě, kdy jsou žádosti podané subjektem údajů zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může správce buď uložit přiměřený poplatek, nebo odmítnout žádosti vyhovět. Zjevnou nedůvodnost dokládá správce.