Realizace práv subjektu údajů

Aby bylo možné efektivně řešit žádosti subjektu údajů, je nutné rozdělit si v rámci obecního úřadu odpovědnost za výkon práv subjektu údajů.

Nejvyšší a konečnou zodpovědnost za výkon práv subjektů údajů má pověřenec pro ochranu osobních údajů. Pověřenec je vstupním místem pro veškeré žádosti, proto jsou jeho kontaktní údaje zveřejněny na webových stránkách. V případě doručení jiné osobě než pověřenci by příjemce žádosti (kterýkoli zaměstnanec) měl tuto žádost co nejdříve předat pověřenci pro ochranu osobních údajů.

Všechny žádosti však nemůže řešit zcela pověřenec sám, ostatně toho ani není reálně schopen. Pověřenec má celý proces vyřízení žádosti zastřešovat.

Potřebnou součinnost a konkrétní podklady pro vyřízení žádosti by měl pověřenci pro ochranu osobních údajů poskytnout vedoucí zaměstnanec.

Žádost by měla být vyřízena bez zbytečného odkladu a vždy do jednoho měsíce od obdržení žádosti, resp. od ověření totožnosti žadatele.

Pro upřesnění postavení jednotlivých osob a jejich povinností je vhodné vytvořit tzv. matici odpovědnosti, tedy tabulku, ve které bude uvedena pozice jednotlivých osob zapojených do zpracování osobních údajů v rámci toho zpracování a činnosti, za něž odpovídají.

Aby bylo možné správně realizovat práva subjektu údajů, je nezbytné s existencí těchto práv seznámit všechny zaměstnance, aby případně žádost neodložili nebo zcela neignorovali.

Když ponecháme stranou tzv. informační povinnost, která je plněna setrvale, je nejčastěji využívaným právem právo na přístup k osobním údajům.

Toto právo je uvedeno v článku 15 Obecného nařízení. Jeho obsahem je právo subjektu údajů získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům a k následujícím informacím:

Článek 15 Obecného nařízení v odst. 3 dává také subjektu údajů právo získat kopii, když říká, že „správce poskytne kopii zpracovávaných osobních údajů. Za další kopie na žádost subjektu údajů může správce účtovat přiměřený poplatek na základě administrativních nákladů. Jestliže subjekt údajů podává žádost v elektronické formě, poskytnou se informace v elektronické formě, která se běžně používá, pokud subjekt údajů nepožádá o jiný způsob. Právem získat kopii nesmějí být nepříznivě dotčena práva a svobody jiných osob.“

Informace jsou zásadně poskytovány na základě žádosti subjektu údajů. V tomto případě je tak očekávána aktivita subjektu údajů, nikoli správce.

Subjekt údajů obvykle požaduje poskytnutí informace ihned, nicméně i pro toto právo zůstává výše uvedená lhůta (bez zbytečného odkladu, nejpozději do jednoho měsíce).

Právo na přístup k osobním údajům je rozšířeným právem, které bylo dosud známé z § 12 zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů.

V rámci úřadu je nezbytné stanovit lhůty, v nichž budou zaměstnanci povinni předat podklady pro vyřízení žádosti pověřenci pro ochranu osobních údajů.

Toto právo je obsaženo v článku 16 Obecného nařízení, který říká, že subjekt údajů má právo na to, aby správce bez zbytečného odkladu opravil nepřesné osobní údaje, které se ho týkají. S přihlédnutím k účelům zpracování má subjekt údajů právo na doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení. Právo na opravu navazuje na povinnost správce osobních údajů zpracovávat přesné údaje.

Zpracování bude ověřováno na základě zpochybnění přesnosti osobních údajů subjektem údajů (na základě jeho žádosti o opravu nepřesných osobních údajů) nebo v případech, kdy ji zpochybní jiná osoba.

I při realizaci tohoto práva je nutné rozdělit . Pověřenec v součinnosti s příslušným vedoucím zaměstnancem ověří skutečný stav napadených zpracovávaných osobních údajů. Vedoucí zaměstnanci musí do vyřešení žádosti zajistit omezení zpracování osobních údajů.

Aby pověřenec mohl zajistit opravu údajů, je třeba vyžádat si od subjektu údajů doklad nebo informaci, stvrzující avizovanou nepřesnost ve zpracování osobních údajů. Údaje budou následně opraveny a subjekt údajů informován o provedené opravě.

Právo na výmaz je obsaženo v článku 17 Obecného nařízení, podle něhož má subjekt údajů právo na to, aby správce vymazal osobní údaje, které se daného subjektu údajů týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden z těchto důvodů:

K nejčastějším důvodům v praxi patří další nepotřebnost po pominutí účelu, odvolání souhlasu a vznesení námitek.

Pokud nastane situace, kdy má subjekt údajů právo na výmaz, což je analogicky povinnost správce osobní údaje subjektu údajů vymazat, tj. zlikvidovat, měl by si správce osobních údajů uvědomit, že i samotná likvidace osobních údajů je zpracování, za které odpovídá. Jinými slovy, správce za osobní údaje odpovídá až do doby, než budou zlikvidovány.¹⁾

Aby povinnost mohla být realizována, musí být v první řadě prověřeny všechny okolnosti dosavadního zpracování. Následně pověřenec zpracování posoudí a rozhodne, zda je splněna alespoň jedna z podmínek uvedených v článku 17 Obecného nařízení. V případě, že dojde k závěru, že právo na výmaz opravdu vzniklo, vedoucí zaměstnanec musí zajistit, aby zpracování údajů bylo ukončeno a údaje byly zlikvidovány.

Z této povinnosti existuje několik výjimek. Povinnost se neuplatní, pokud je zpracování nezbytné:

Jestliže byly údaje zveřejněny, je správce povinen je vymazat a přijmout s ohledem na dostupnou technologii a náklady na provedení přiměřené kroky, včetně technických opatření, aby informoval správce, kteří tyto osobní údaje zpracovávají, že je subjekt údajů žádá, aby vymazali veškeré odkazy na tyto osobní údaje, jejich kopie či replikace.

Omezením zpracování se podle článku 4 odst. 3 Obecného nařízení rozumí označení uložených osobních údajů za účelem omezení jejich zpracování v budoucnu. Podle článku 18 Obecného nařízení má právo subjekt údajů na to, aby správce omezil zpracování, v kterémkoli z těchto případů:

Pokud bylo zpracování omezeno, mohou být tyto osobní údaje, s výjimkou jejich uložení, zpracovány subjektu údajů, nebo Unie nebo některého členského státu.

Právo na omezení zpracování je tedy dočasné, vždy přesně časově omezené.

Mezi způsoby omezení zpracování osobních údajů může patřit například dočasný přesun vybraných údajů do jiného systému zpracování, znepřístupnění vybraných osobních údajů uživatelům, dočasné odstranění zveřejněných údajů z internetových stránek apod.

Omezení vždy musí odpovídat způsobu zpracování osobních údajů.

Jedná se o zcela nové právo uvedené v článku 20 Obecného nařízení. Obecné nařízení stanoví několik podmínek, které musí být splněny všechny zároveň, aby mohlo právo vzniknout. Jde o případy, kdy se jedná o osobní údaje, které se týkají subjektu údajů, který právo uplatňuje a zároveň:

Právo na přenositelnost proto bude aplikovatelné jen v některých případech. Přenositelnost údajů subjektům údajů v podstatě umožňuje získat a opětovně používat „své“ údaje pro své vlastní účely a napříč různými službami. Toto právo usnadňuje schopnost snadno a bez zábran přesouvat, kopírovat nebo předávat osobní údaje z jednoho informačního prostředí do jiného. Očekává se, že kromě posílení postavení spotřebitele tím, že se zabrání tomu, aby byl odkázán na určitého dodavatele služeb, toto právo podpoří příležitosti k inovacím a výměnu osobních údajů mezi správci bezpečným a spolehlivým způsobem pod kontrolou subjektu údajů.

Uplatní-li fyzická osoba své právo na přenositelnost údajů (nebo jiné právo podle obecného nařízení o ochraně osobních údajů), činí tak, aniž by tím bylo dotčeno jakékoliv jiné právo.

Dokud správce údajů údaje stále zpracovává, může subjekt údajů uplatňovat svá práva. Subjekt údajů může například pokračovat ve využívání služeb správce a jejich výhod i po operaci přenesení údajů. Podobně, pokud chce subjekt údajů uplatnit své právo na výmaz, právo na odmítnutí nebo právo na přístup ke svým osobním údajům, správce údajů nesmí předchozí nebo následné uplatnění práva na přenositelnost údajů použít jako důvod k odložení nebo zamítnutí realizaci práva subjektu údajů. Kromě toho přenositelnost údajů automaticky nevede k výmazu údajů ze systémů správce údajů a neovlivňuje původní dobu uchování platnou pro údaje, které byly předány podle práva na přenositelnost údajů.

Osobní údaje by měly být předány ve strukturovaném, běžně používaném a strojově čitelném formátu. Tyto specifikace týkající se prostředků by měly zaručit interoperabilitu formátu údajů poskytnutého správcem údajů, která představuje žádoucí výsledek. To nicméně neznamená, že by správci údajů měli udržovat kompatibilní systémy. Správci údajů by dále měli spolu s údaji poskytnout co nejvíce metadat, a to v co nejlepší možné úrovni přesnosti a rozčlenění, aby se zachoval přesný význam vyměňovaných informací.²⁾

Pověřenec tedy nejprve musí zjistit, zda jsou osobní údaje subjektu údajů zpracovávány, pro jaké účely, na základě jakého právního titulu a v jaké formě, a následně vyhodnotit, zda právo na přenositelnost vůbec vzniklo. Pokud dojde k závěru, že ano, bude postupovat podle formulace požadavku subjektu údajů a údaje předá určenému správci ve strukturovaném, běžně používaném a strojově čitelném formátu.

Podle článku 21 Obecného nařízení má subjekt údajů z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které se jej týkají, na základě čl. 6 odst. 1 písm. e)³⁾ nebo f)⁴⁾, včetně profilování založeného na těchto ustanoveních. Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.

Pokud se osobní údaje zpracovávají pro účely přímého marketingu, má subjekt údajů právo vznést kdykoli námitku proti zpracování osobních údajů, které se ho týkají, pro tento , což zahrnuje i profilování, pokud se týká tohoto přímého marketingu. Pokud subjekt údajů vznese námitku proti zpracování pro účely přímého marketingu, nebudou již osobní údaje pro tyto účely zpracovávány.

V případě uplatnění tohoto práva musí pověřenec zjistit, zda je zpracování založeno na některém ze dvou uvedených právních titulů. Zároveň je nutné posoudit, zda existují závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.

Do doby, než je námitka vyřízena, musí být zpracování napadených osobních údajů omezeno způsobem, který je uveden výše.

Právo nebýt předmětem automatizovaného rozhodování představuje pojistku proti výhradnímu automatizovanému rozhodování s právními účinky vůči člověku.⁵⁾

Článek 22 Nařízení říká, že subjekt údajů má právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká.

I z tohoto pravidla existují výjimky. Výše uvedené se nepoužije, pokud je rozhodnutí:

K realizaci všech práv je nutné uvést, že informace, veškerá sdělení a provedené úkony na žádost subjektu údajů se poskytují a činí bezplatně. Pouze v případě, kdy jsou žádosti podané subjektem údajů zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může správce buď uložit přiměřený poplatek, nebo odmítnout žádosti vyhovět. Zjevnou nedůvodnost nebo nepřiměřenost vždy dokládá správce.

Před zahájením řešení žádosti o uplatnění práva by měl pověřenec ověřit totožnost žadatele, který uplatňuje právo, tj. zda se skutečně jedná o subjekt údajů. Nepostačuje tedy zaslání žádosti ze strany subjektu údajů prostým e-mailem.

V souladu s potřebou ověřit totožnost subjektu údajů je zaslání žádosti datovou schránkou, elektronickou poštou podepsanou zaručeným elektronickým podpisem nebo v papírové podobě s ověřeným podpisem. Možné je také osobní doručení žádosti a ověření totožnosti žadatele na místě.

Pokud pověřenec pro ochranu osobních údajů vyhodnotí, že nemá dostatek údajů k řádné identifikaci, informuje o tom žadatele a výkon práva neumožní až do doby doplnění potřebných údajů.

Lhůta pro vyřízení práv pak začíná běžet od okamžiku ověření totožnosti žadatele.