dnes je 29.3.2024

Input:

GDPR a práva subjektu údajů

7.8.2017, , Zdroj: Verlag Dashöfer

1.5
GDPR a práva subjektu údajů

Mgr. David Burian, Mgr. Zuzana Radičová

Cílem tohoto textu je proto poskytnout ucelený přehled práv, jež mají fyzické osoby v postavení subjektů údajů k dispozici, jejich popis a nezbytné kroky, které musí správci podniknout, aby dostáli své korespondující povinnosti umožnit výkon těchto práv a zajistit tak soulad s nařízením GDPR.

Obecné nařízení o ochraně osobních údajů GDPR1 již dozajisté netřeba blíže představovat. Účinnost nařízení nastává 25. května 2018, což pro správce i zpracovatele znamená, že k tomuto datu by jejich činnosti spočívající ve zpracování osobních údajů ideálně měly probíhat plně v souladu s tímto nařízením, což musí být rovněž schopni prokázat.

V rámci zajišťování účinné ochrany osobních údajů v celé EU, a protože nařízení by mělo sloužit lidem, si zákonodárci jako jeden z hlavních cílů vytyčili posílení a podrobné vymezení práv subjektů údajů.2 Konkrétně články 12-14 nařízení jsou vlastně vyjádřením transparentnosti a korektnosti zpracování, tzn., jakým způsobem by měl správce komunikovat se subjektem údajů a informovat ho o podmínkách zpracování.

Informování o podmínkách zpracování osobních údajů by mělo být především:

  • stručným,

  • srozumitelným,

  • snadno přístupným způsobem,

  • za použití jasných a jednoduchých jazykových prostředků.

Na správce tak čekají nové povinnosti související s nutností zavedení procesů, které flexibilně zajistí výkon práv subjektů údajů. Cílem navazujícího textu je proto poskytnout ucelený přehled těchto práv, jež mají fyzické osoby v postavení subjektů údajů k dispozici, jejich popis a nezbytné kroky, které musí správci podniknout, aby dostáli své korespondující povinnosti umožnit výkon těchto práv a zajistit tak soulad s nařízením.

Práva subjektu údajů podle GDPR

Většina práv subjektu údajů, která jsou v GDPR uvedena jsou dnes obsažena i v aktuální právní úpravě, nebo byla zavedena prostřednictvím rozhodovací praxe evropských soudů.3 GDPR tak upevňuje výklad těchto soudů tím, že daná práva výslovně upravuje a rovněž přináší některá zcela nová práva.

Celou ochranu práv navíc posiluje zavedení přístupu založeného na riziku, 4 kde je v rámci zpracování nutné zvažovat možné nepříznivé dopady do práv a svobody fyzických osob. Na správce klade také zvýšené nároky prostřednictvím principu odpovědnosti správce, který musí k zajištění výkonu těchto práv přijmout související opatření.

Pro vyřízení žádosti subjektu údajů nařízení stanoví i poměrně přísné lhůty, ve kterých musí správce subjekt údajů vyrozumět o přijatých opatřeních, a to jak jinak než bez zbytečného odkladu a v každém případě do jednoho měsíce, s možností za určitých podmínek tuto lhůtu prodloužit o další dva měsíce, samozřejmě s odůvodněním a s povinností o prodloužení subjekt údajů informovat.

Vzájemnou provázanost jednotlivých institutů podle nařízení lze spatřovat například v právu na přístup k osobním údajům, v kterém se promítá zásada transparentnosti a doplňuje plnění informační povinností. Na toto právo je často nahlíženo jako na podmnožinu zcela nového práva na přenositelnost údajů, které je vzhledem k výkladovému stanovisku Pracovní skupiny WP 295 předmětem poměrně velké kritiky. V právu na opravu, právu na výmaz či být zapomenout a právu na omezení zpracování se zase promítají zejména zásady omezení uložení a přesnosti. Zásada zákonnosti se pak mimo jiné promítá také do práva odvolat souhlas se zpracováním osobních údajů. V neposlední řadě je nutné zmínit právo vznést námitku a zcela specifické právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování osobních údajů. Nakonec je nutné zmínit práva související s právní ochranou subjektu údajů, a to právo podat stížnost u dozorového úřadu a právo na účinnou soudní ochranu, které lze uplatnit jak vůči správci nebo zpracovateli, tak i vůči dozorovému úřadu.

Bezplatný výkon práv subjektů

Důležitou informací pro správce osobních údajů je také to, že výkon práv subjektů údajů musí být realizován v zásadě bezplatně. Výjimkou může být pouze situace, kdy jsou žádosti subjektů údajů zjevně nedůvodné nebo nepřiměřené. Určit hranici, kdy je žádost zjevně nedůvodná či nepřiměřená však může být poměrně obtížné. Odpovědnost za doložení této nedůvodnosti či nepřiměřenosti samozřejmě leží na správci, proto než se správce rozhodne požadovat od subjektu údajů přiměřený poplatek zohledňující administrativní náklady spojené s poskytnutím požadovaných informací nebo sdělení s učiněním požadovaných úkonů, doporučujeme pečlivě zvážit vhodnou argumentaci. To samé platí, pokud se správce rozhodne žádosti nevyhovět.

Povinnosti související s výkonem práv subjektu údajů

Vzhledem k tomu, že povinnosti podle GDPR nestojí samostatně, ale vzájemně se prolínají, je nutné upozornit i na další povinnosti, které s výkonem práv subjektu údajů souvisí. Jednou z těchto povinností je povinnost správce poskytnout subjektu údajů nařízením stanovené informace týkající se zpracování osobních údajů, a to stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků. Obsah této informace stanoví nařízení, přičemž je-li to nezbytné pro zajištění spravedlivého a transparentního zpracování je potřeba uvést také informaci o existenci práv subjektu údajů.

Podmínky a výjimky

U některých práv jako např. práva na přenositelnost, nařízení stanoví podmínky, za kterých je možné dané právo uplatnit nebo u jiných, jako např. práva nebýt předmětem automatizovaného rozhodnutí založeného výhradně na automatizovaném zpracování, stanoví naopak výjimky, kdy právo uplatnit nelze.

Uvedené podmínky či výjimky úzce souvisí se zásadou zákonnosti zpracování a povinnosti správce osobních údajů disponovat právním titulem pro zpracování osobních údajů. Od právního titulu zpracování se pak bude v praxi odvíjet i postup správce, pokud subjekt údajů některé ze svých práv uplatní. Nejen v návaznosti na práva subjektu, ale samozřejmě i z důvodu naplnění principu zákonnosti, by tak správci měli v rámci implementace nařízení pečlivě zmapovat právní důvody, na základě kterých provádějí zpracování osobních údajů. Prostřednictvím této aktivity tak lze nejen předejít nadbytečnému využívání souhlasu se zpracování, správně nastavit parametry zpracování, ale také stanovit vhodné způsoby pro vyřizování požadavků subjektů údajů uplatňujících svá práva.

Právo na přístup a právo na přenositelnost

Ohledně práv subjektů údajů si asi největší pozornost doposud získalo zcela nové právo, a to právo na přenositelnost osobních údajů. Dle našeho názoru však určitě nelze opomíjet ani dnes již zavedené právo na přístup k osobním údajům, které doznalo značného rozšíření. Právo na přístup je neodmyslitelně spjato s právem na přenositelnost, neboť to v prvním stupni výslovně obsahuje právo získat osobní údaje, což se v zásadě rovná přístupu. Bezpochyby si také nelze představit způsob, jak by mohl jeden správce osobní údaje předat jinému správci, pokud by je nedovedl nejdřív vyhledat a extrahovat do pro poskytnutí použitelné formy.

V rámci práva na přístup má subjekt údajů v prvé řadě právo získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány. Následně si může vyžádat přístup k těmto údajům a k nařízením stanovenému penzu informaci. Mezi tyto informace samozřejmě patří informace o základních parametrech zpracování, tedy:

  • o účelech zpracování,

  • o kategoriích

Nahrávám...
Nahrávám...