Realizace práv subjektu údajů

Vydáno: 16 minut čtení

Nařízení Evropského parlamentu a Rady 2016/679 ze dne 27. 4. 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) – dále jen „Obecné nařízení“, obsahuje nejen celou řadu povinností pro správce i pro zpracovatele osobních údajů, ale také několik práv subjektu údajů. Subjekt údajů může svá práva kdykoli realizovat a správce (případně zpracovatel) jsou povinni tato práva respektovat.

Realizace práv subjektu údajů
JUDr.
Eva
Janečková
 
Odpovědnost za realizaci práv subjektu údajů
Aby bylo možné efektivně řešit žádosti subjektu údajů, je nutné rozdělit si v rámci obecního úřadu odpovědnost za výkon práv subjektu údajů.
Nejvyšší a konečnou zodpovědnost za výkon práv subjektů údajů má pověřenec pro ochranu osobních údajů. Pověřenec je vstupním místem pro veškeré žádosti, proto jsou jeho kontaktní údaje zveřejněny na webových stránkách. V případě doručení jiné osobě než pověřenci by příjemce žádosti (kterýkoli zaměstnanec) měl tuto žádost co nejdříve předat pověřenci pro ochranu osobních údajů.
Všechny žádosti však nemůže řešit zcela pověřenec sám, ostatně toho ani není reálně schopen. Pověřenec má celý proces vyřízení žádosti zastřešovat.
Potřebnou součinnost a konkrétní podklady pro vyřízení žádosti by měl pověřenci pro ochranu osobních údajů poskytnout vedoucí zaměstnanec.
Žádost by měla být vyřízena bez zbytečného odkladu a vždy do jednoho měsíce od obdržení žádosti, resp. od ověření totožnosti žadatele.
Pro upřesnění postavení jednotlivých osob a jejich povinností je vhodné vytvořit tzv. matici odpovědnosti, tedy tabulku, ve které bude uvedena pozice jednotlivých osob zapojených do zpracování osobních údajů v rámci toho zpracování a činnosti, za něž odpovídají.
Aby bylo možné správně realizovat práva subjektu údajů, je nezbytné s existencí těchto práv seznámit všechny zaměstnance, aby případně žádost neodložili nebo zcela neignorovali.
 
Druhy práv subjektu údajů a jejich realizace
Když ponecháme stranou tzv. informační povinnost, která je plněna setrvale, je nejčastěji využívaným právem právo na přístup k osobním údajům.
 
Právo na přístup k osobním údajům
Toto právo je uvedeno v článku 15 Obecného nařízení. Jeho obsahem je právo subjektu údajů získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům a k následujícím informacím:
a)
za jakým účelem jsou zpracovávány,
b)
jaké jsou kategorie dotčených osobních údajů,
c)
kdo jsou příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny, zejména pokud by se jednalo o země mimo EU (třetí země) nebo mezinárodní organizace,
d)
plánovaná doba, po kterou budou osobní údaje uloženy, nebo kritéria pro určení této doby (např. skartační lhůty dle spisového a skartačního řádu),
e)
existence práva požadovat od správce opravu nebo výmaz osobních údajů, právo vznést námitku,
f)
právo podat stížnost u dozorového úřadu,
g)
veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů (např. z informačních systémů jiných správců, katastru nemovitostí atd.),
h)
skutečnost, že dochází k automatizovanému rozhodování, včetně profilování.
Článek 15 Obecného nařízení v odst. 3 dává také subjektu údajů právo získat kopii, když říká, že „správce poskytne kopii zpracovávaných osobních údajů. Za další kopie na žádost subjektu údajů může správce účtovat přiměřený poplatek na základě administrativních nákladů. Jestliže subjekt údajů podává žádost v elektronické formě, poskytnou se informace v elektronické formě, která se běžně používá, pokud subjekt údajů nepožádá o jiný způsob. Právem získat kopii nesmějí být nepříznivě dotčena práva a svobody jiných osob.“
Informace jsou zásadně poskytovány na základě žádosti subjektu údajů. V tomto případě je tak očekávána aktivita subjektu údajů, nikoli správce.
Subjekt údajů obvykle požaduje poskytnutí informace ihned, nicméně i pro toto právo zůstává
relevantní
výše uvedená lhůta (bez zbytečného odkladu, nejpozději do jednoho měsíce).
Právo na přístup k osobním údajům je rozšířeným právem, které bylo dosud známé z § 12 zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů.
V rámci úřadu je nezbytné stanovit lhůty, v nichž budou zaměstnanci povinni předat podklady pro vyřízení žádosti pověřenci pro ochranu osobních údajů.
 
Právo na opravu a doplnění
Toto právo je obsaženo v článku 16 Obecného nařízení, který říká, že subjekt údajů má právo na to, aby správce bez zbytečného odkladu opravil nepřesné osobní údaje, které se ho týkají. S přihlédnutím k účelům zpracování má subjekt údajů právo na doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení. Právo na opravu navazuje na povinnost správce osobních údajů zpracovávat přesné údaje.
Zpracování bude ověřováno na základě zpochybnění přesnosti osobních údajů subjektem údajů (na základě jeho žádosti o opravu nepřesných osobních údajů) nebo v případech, kdy ji zpochybní jiná osoba.
I při realizaci tohoto práva je nutné rozdělit
kompetence
. Pověřenec v součinnosti s příslušným vedoucím zaměstnancem ověří skutečný stav napadených zpracovávaných osobních údajů. Vedoucí zaměstnanci musí do vyřešení žádosti zajistit omezení zpracování osobních údajů.
Aby pověřenec mohl zajistit opravu údajů, je třeba vyžádat si od subjektu údajů
relevantní
doklad nebo informaci, stvrzující avizovanou nepřesnost ve zpracování osobních údajů. Údaje budou následně opraveny a subjekt údajů informován o provedené opravě.
 
Právo na výmaz
Právo na výmaz je obsaženo v článku 17 Obecného nařízení, podle něhož má subjekt údajů právo na to, aby správce
bez zbytečného odkladu
vymazal osobní údaje, které se daného subjektu údajů týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden z těchto důvodů:
a)
osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány,
b)
subjekt údajů odvolá souhlas, na jehož základě byly údaje zpracovány, a neexistuje žádný další právní důvod pro zpracování,
c)
subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování nebo subjekt údajů vznese námitky proti zpracování,
d)
osobní údaje byly zpracovány protiprávně,
e)
osobní údaje musí být vymazány ke splnění právní povinnosti stanovené v právu Unie nebo členského státu, které se na správce vztahuje,
f)
osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti.
K nejčastějším důvodům v praxi patří další nepotřebnost po pominutí účelu, odvolání souhlasu a vznesení námitek.
Pokud nastane situace, kdy má subjekt údajů právo na výmaz, což je analogicky povinnost správce osobní údaje subjektu údajů vymazat, tj. zlikvidovat, měl by si správce osobních údajů uvědomit, že i samotná likvidace osobních údajů je zpracování, za které odpovídá. Jinými slovy, správce za osobní údaje odpovídá až do doby, než budou zlikvidovány.1)
Aby povinnost mohla být realizována, musí být v první řadě prověřeny všechny okolnosti dosavadního zpracování. Následně pověřenec zpracování posoudí a rozhodne, zda je splněna alespoň jedna z podmínek uvedených v článku 17 Obecného nařízení. V případě, že dojde k závěru, že právo na výmaz opravdu vzniklo, vedoucí zaměstnanec musí zajistit, aby zpracování údajů bylo ukončeno a údaje byly zlikvidovány.
Z této povinnosti existuje několik výjimek. Povinnost se neuplatní, pokud je zpracování nezbytné:
a)
pro výkon práva na svobodu projevu a informace,
b)
pro splnění právní povinnosti, jež vyžaduje zpracování podle práva Unie nebo členského státu, které se na správce vztahuje, nebo pro splnění úkolu provedeného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen,
c)
z důvodů veřejného zájmu v oblasti veřejného zdraví,
d)
pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu či pro statistické účely,
e)
pro určení, výkon nebo obhajobu právních nároků.
Jestliže byly údaje zveřejněny, je správce povinen je vymazat a přijmout s ohledem na dostupnou technologii a náklady na provedení přiměřené kroky, včetně technických opatření, aby informoval správce, kteří tyto osobní údaje zpracovávají, že je subjekt údajů žádá, aby vymazali veškeré odkazy na tyto osobní údaje, jejich kopie či replikace.
 
Právo na omezení zpracování
Omezením zpracování se podle článku 4 odst. 3 Obecného nařízení rozumí označení uložených osobních údajů za účelem omezení jejich zpracování v budoucnu. Podle článku 18 Obecného nařízení má právo subjekt údajů na to, aby správce omezil zpracování, v kterémkoli z těchto případů:
a)
subjekt údajů popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby správce mohl přesnost osobních údajů ověřit,
b)
zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití,
c)
správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků,
d)
subjekt údajů vznesl námitku proti zpracování, dokud nebude ověřeno, zda oprávněné důvody správce převažují nad oprávněnými důvody subjektu údajů.
Pokud bylo zpracování omezeno, mohou být tyto osobní údaje, s výjimkou jejich uložení, zpracovány
pouze se souhlasem
subjektu údajů, nebo
z důvodu určení, výkonu nebo obhajoby právních nároků, z důvodu ochrany práv jiné fyzické nebo právnické osoby nebo z důvodů důležitého veřejného zájmu
Unie nebo některého členského státu.
Právo na omezení zpracování je tedy dočasné, vždy přesně časově omezené.
Mezi způsoby omezení zpracování osobních údajů může patřit například dočasný přesun vybraných údajů do jiného systému zpracování, znepřístupnění vybraných osobních údajů uživatelům, dočasné odstranění zveřejněných údajů z internetových stránek apod.
Omezení vždy musí odpovídat způsobu zpracování osobních údajů.
 
Právo na přenositelnost
Jedná se o zcela nové právo uvedené v článku 20 Obecného nařízení. Obecné nařízení stanoví několik podmínek, které musí být splněny všechny zároveň, aby mohlo právo vzniknout. Jde o případy, kdy se jedná o osobní údaje, které se týkají subjektu údajů, který právo uplatňuje a zároveň:
a)
je zpracování založeno na souhlasu podle čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a) nebo na smlouvě podle čl. 6 odst. 1 písm. b), a
b)
zpracování se provádí automatizovaně.
Právo na přenositelnost proto bude aplikovatelné jen v některých případech. Přenositelnost údajů subjektům údajů v podstatě umožňuje získat a opětovně používat „své“ údaje pro své vlastní účely a napříč různými službami. Toto právo usnadňuje schopnost snadno a bez zábran přesouvat, kopírovat nebo předávat osobní údaje z jednoho informačního prostředí do jiného. Očekává se, že kromě posílení postavení spotřebitele tím, že se zabrání tomu, aby byl odkázán na určitého dodavatele služeb, toto právo podpoří příležitosti k inovacím a výměnu osobních údajů mezi správci bezpečným a spolehlivým způsobem pod kontrolou subjektu údajů.
Uplatní-li fyzická osoba své právo na přenositelnost údajů (nebo jiné právo podle obecného nařízení o ochraně osobních údajů), činí tak, aniž by tím bylo dotčeno jakékoliv jiné právo.
Dokud správce údajů údaje stále zpracovává, může subjekt údajů uplatňovat svá práva. Subjekt údajů může například pokračovat ve využívání služeb správce a jejich výhod i po operaci přenesení údajů. Podobně, pokud chce subjekt údajů uplatnit své právo na výmaz, právo na odmítnutí nebo právo na přístup ke svým osobním údajům, správce údajů nesmí předchozí nebo následné uplatnění práva na přenositelnost údajů použít jako důvod k odložení nebo zamítnutí realizaci práva subjektu údajů. Kromě toho přenositelnost údajů automaticky nevede k výmazu údajů ze systémů správce údajů a neovlivňuje původní dobu uchování platnou pro údaje, které byly předány podle práva na přenositelnost údajů.
Osobní údaje by měly být předány ve strukturovaném, běžně používaném a strojově čitelném formátu. Tyto specifikace týkající se prostředků by měly zaručit interoperabilitu formátu údajů poskytnutého správcem údajů, která představuje žádoucí výsledek. To nicméně neznamená, že by správci údajů měli udržovat kompatibilní systémy. Správci údajů by dále měli spolu s údaji poskytnout co nejvíce metadat, a to v co nejlepší možné úrovni přesnosti a rozčlenění, aby se zachoval přesný význam vyměňovaných informací.2)
Pověřenec tedy nejprve musí zjistit, zda jsou osobní údaje subjektu údajů zpracovávány, pro jaké účely, na základě jakého právního titulu a v jaké formě, a následně vyhodnotit, zda právo na přenositelnost vůbec vzniklo. Pokud dojde k závěru, že ano, bude postupovat podle formulace požadavku subjektu údajů a údaje předá určenému správci ve strukturovaném, běžně používaném a strojově čitelném formátu.
 
Právo vznést námitku
Podle článku 21 Obecného nařízení má subjekt údajů z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které se jej týkají, na základě čl. 6 odst. 1 písm. e)3) nebo f)4), včetně profilování založeného na těchto ustanoveních. Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.
Pokud se osobní údaje zpracovávají pro účely přímého marketingu, má subjekt údajů právo vznést kdykoli námitku proti zpracování osobních údajů, které se ho týkají, pro tento
marketing
, což zahrnuje i profilování, pokud se týká tohoto přímého marketingu. Pokud subjekt údajů vznese námitku proti zpracování pro účely přímého marketingu, nebudou již osobní údaje pro tyto účely zpracovávány.
V případě uplatnění tohoto práva musí pověřenec zjistit, zda je zpracování založeno na některém ze dvou uvedených právních titulů. Zároveň je nutné posoudit, zda existují závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.
Do doby, než je námitka vyřízena, musí být zpracování napadených osobních údajů omezeno způsobem, který je uveden výše.
 
Právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování
Právo nebýt předmětem automatizovaného rozhodování představuje pojistku proti výhradnímu automatizovanému rozhodování s právními účinky vůči člověku.5)
Článek 22 Nařízení říká, že subjekt údajů má právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká.
I z tohoto pravidla existují výjimky. Výše uvedené se nepoužije, pokud je rozhodnutí:
a)
nezbytné k uzavření nebo plnění smlouvy mezi subjektem údajů a správcem údajů,
b)
povoleno právem Unie nebo členského státu, které se na správce vztahuje a které rovněž stanoví vhodná opatření zajišťující ochranu práv a svobod a oprávněných zájmů subjektu údajů, nebo
c)
založeno na výslovném souhlasu subjektu údajů.
K realizaci všech práv je nutné uvést, že informace, veškerá sdělení a provedené úkony na žádost subjektu údajů se poskytují a činí bezplatně. Pouze v případě, kdy jsou žádosti podané subjektem údajů zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může správce buď uložit přiměřený poplatek, nebo odmítnout žádosti vyhovět. Zjevnou nedůvodnost nebo nepřiměřenost vždy dokládá správce.
Před zahájením řešení žádosti o uplatnění práva by měl pověřenec ověřit totožnost žadatele, který uplatňuje právo, tj. zda se skutečně jedná o subjekt údajů. Nepostačuje tedy zaslání žádosti ze strany subjektu údajů prostým e-mailem.
V souladu s potřebou ověřit totožnost subjektu údajů je zaslání žádosti datovou schránkou, elektronickou poštou podepsanou zaručeným elektronickým podpisem nebo v papírové podobě s ověřeným podpisem. Možné je také osobní doručení žádosti a ověření totožnosti žadatele na místě.
Pokud pověřenec pro ochranu osobních údajů vyhodnotí, že nemá dostatek údajů k řádné identifikaci, informuje o tom žadatele a výkon práva neumožní až do doby doplnění potřebných údajů.
Lhůta pro vyřízení práv pak začíná běžet od okamžiku ověření totožnosti žadatele.
1) ŽŮREK, J.
Praktický průvodce GDPR
. Olomouc: ANAG, 2017, s. 133.
2) Právo na přenositelnost. Často kladené otázky. https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=30194.
3) Zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce.
4) Zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě.
5) ŽŮREK, J.
Praktický průvodce GDPR
. Olomouc: ANAG, 2017, s. 141.