Uplatňování práv subjekty údajů
Obecně k uplatňování práv
Máme povinnost usnadňovat subjektům údajů výkon jejich práv, proto je možné nás kontaktovat v této souvislosti různými způsoby (osobně, dopisem, emailem, telefonicky, prostřednictvím datové schránky). Kontaktní údaje pro všechny tyto způsoby uvádíme v části týkající se Správce. Vzhledem k tomu, že je naší povinností ověřit totožnost subjektu údajů při prověřování jeho žádosti, jsou některé způsoby uplatňování práv vhodnější než jiné. Ideální způsoby uplatňování práv, které ušetří čas subjektu údajů i nám, jsou následující:
- zaslání dopisu na adresu sídla Správce s úředně ověřeným podpisem subjektu údajů
- zaslání emailu na emailovou adresu Správce podepsaného zaručeným elektronickým podpisem subjektu údajů
- zaslání datové zprávy do datové schránky Správce
- osobně na předem dohodnuté schůzce
Abychom byli schopni rychle a řádně žádost subjektu údajů vyřídit, je potřeba, aby z žádosti jasně vyplývalo následující:
- kdo žádost podává (jméno a příjmení žadatele, jeho datum narození a adresa)
- jaké právo je žádostí uplatňováno (stačí popsat slovy, případně odkazem na příslušný článek Nařízení GDPR)
- čeho se žádostí subjekt údajů domáhá a případně proč (blíže vysvětleno níže u jednotlivých práv)
- jakým způsobem si přeje subjekt údajů zaslat odpověď (dopisem, emailem, telefonicky, do datové schránky)
- kontaktní údaje subjektu údajů (telefon, email) pro naše případné doplňující dotazy
Naší povinností je vyřídit žádost bezplatně, nicméně pokud by žádosti byly zjevně nedůvodné nebo nepřiměřené, zejména protože by se opakovaly, máme právo požadovat zaplacení přiměřeného poplatku zohledňujícího administrativní náklady spojené s poskytnutím požadovaných informací nebo sdělení nebo s učiněním požadovaných úkonů, anebo máme právo odmítnout žádosti vyhovět.
Na žádost odpovíme vždy nejpozději do jednoho měsíce od jejího obdržení.
Konkrétně k uplatňování jednotlivých práv
Právo na přístup k osobním údajům
Subjekt údajů má právo po nás chtít potvrzení, zda zpracováváme jeho osobní údaje a přehled těchto údajů od nás získat. Dále má právo v souvislosti se zpracováním jeho osobních údajů získat od nás následující informace:
- účely zpracování jeho osobních údajů
- kategorie dotčených osobních údajů
- příjemci nebo kategorie příjemců, kterým jeho osobní údaje byly nebo budou zpřístupněny (zejména příjemci ze zemí mimo Evropskou unii a Evropský hospodářský prostor nebo mezinárodní organizace)
- plánovaná doba uložení jeho osobních údajů
- existence práva požadovat od nás opravu nebo výmaz jeho osobních údajů, práva na omezení jejich zpracování nebo práva vznést námitku proti jejich zpracování
- právo podat stížnost u dozorového úřadu
- veškeré dostupné informace o zdroji osobních údajů, pokud bychom jeho osobní údaje nezískali přímo od něj
- skutečnost, že dochází k automatizovanému rozhodování a s tím související informace
V případě, že to nebude z žádosti jasně vyplývat, můžeme požádat subjekt údajů o upřesnění, jakých přesně jeho osobních údajů se žádost týká.
Pokud si bude subjekt údajů přát také kopii jeho osobních údajů, které zpracováváme, má na to právo a první takové poskytnutí je bezplatné. Za další kopie můžeme požadovat přiměřenou úhradu nepřevyšující náklady nezbytné na poskytnutí informace. Uplatňováním tohoto práva nesmějí být nepříznivě dotčena práva a svobody jiných osob.
Právo na opravu osobních údajů
Subjekt údajů má právo po nás chtít opravit jeho osobní údaje, které zpracováváme a které jsou nesprávné nebo nepřesné. Stačí nám dát vědět, jaké údaje a jak máme opravit. Učiníme tak bez zbytečného odkladu.
Také má subjekt údajů právo po nás požadovat, abychom jeho osobní údaje, které zpracováváme a které jsou neúplné, doplnili dle jeho pokynu. Toto přání splníme, pokud doplňované osobní údaje skutečně potřebujeme pro účely daného zpracování.
V případě, že nás v rámci uplatňování tohoto práva o to subjekt údajů požádá, budeme ho informovat i o příjemcích jeho osobních údajů, jimiž byly jeho osobní údaje v minulosti zpřístupněny a kterým jsme oznámili jím požadované opravy nebo doplnění jeho osobních údajů.
Právo na výmaz („právo být zapomenut“)
Právo požadovat po nás vymazání svých osobních údajů má subjekt údajů v následujících případech:
- subjekt údajů je toho názoru, že jeho osobní údaje již nepotřebujeme pro účely, pro které jsme je shromáždili nebo jinak zpracovali
- subjekt údajů odvolal souhlas se zpracováním osobních údajů, na jehož základě jsme jeho osobní údaje zpracovávali, a je toho názoru, že již nemáme žádný další právní důvod pro jejich zpracování
- subjekt údajů vznesl vůči nám námitku proti zpracování svých osobních údajů na základě našich oprávněných zájmů a je toho názoru, že již nemáme žádné převažující oprávněné důvody pro jejich zpracování
- subjekt údajů vznesl vůči nám námitku proti zpracování osobních údajů za účelem přímého marketingu
- subjekt údajů je toho názoru, že jeho osobní údaje zpracováváme protiprávně
- subjekt údajů je toho názoru, že se na nás vztahuje povinnost jeho osobní údaje vymazat stanovená právem Evropské unie nebo právem členského státu Evropské unie
- subjekt údajů je dítětem mladším stanoveného věku a jeho osobní údaje byly shromážděny s jeho souhlasem v souvislosti s nabídkou služeb informační společnosti
Při uplatňování tohoto práva je nutné, aby subjekt údajů ve své žádosti uvedl, na základě jakého z výše uvedených případů požaduje vymazání svých osobních údajů a také jaké přesně své osobní údaje požaduje vymazat. Žádost by také měla být náležitě odůvodněna, jinak ji nelze vyhovět.
V případě, že žádost shledáme důvodnou a zpracování osobních údajů subjektu údajů nebude nezbytné:
- pro výkon práva na svobodu projevu a informace,
- pro splnění právní povinnosti, jež vyžaduje zpracování podle práva Evropské unie nebo členského státu Evropské unie, které se na nás vztahuje, nebo pro splnění úkolu provedeného ve veřejném zájmu nebo při výkonu veřejné moci, kterým jsme pověřeni,
- z důvodu veřejného zájmu v oblasti veřejného zdraví,
- pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu či pro statistické účely, pokud je pravděpodobné, že by právo na výmaz znemožnilo nebo vážně ohrozilo splnění cílů uvedeného zpracování,
- pro určení, výkon nebo obhajobu právních nároků,
tak bez zbytečného odkladu požadované osobní údaje vymažeme.
V případě, že jsme osobní údaje subjektu údajů zveřejnili a následně je v rámci uplatňovaného práva na výmaz vymazali, jsme také povinni s ohledem na dostupnou technologii a náklady na provedení, včetně technických opatření, zajistit informování správců, kteří tyto osobní údaje zpracovávají, že i po nich je požadováno, aby vymazali veškeré odkazy na tyto osobní údaje, jejich kopie či replikace.
V případě, že nás v rámci uplatňování tohoto práva o to subjekt údajů požádá, budeme ho informovat i o příjemcích jeho osobních údajů, jimiž byly jeho osobní údaje v minulosti zpřístupněny a kterým jsme oznámili jím požadované výmazy jeho osobních údajů.
Právo na omezení zpracování
Omezením zpracování osobních údajů se rozumí jejich označení a ukončení veškerého jejich zpracování s výjimkou uložení. Jinými slovy osobní údaje, jejichž zpracování je omezeno, si správce i nadále ponechává (tzn. nemůže je vymazat), ale není oprávněn takové osobní údaje jakkoliv používat.
Právo požadovat po nás omezení zpracování osobních údajů má subjekt údajů v následujících případech:
- subjekt údajů zároveň popírá přesnost svých osobních údajů
- subjekt údajů je toho názoru, že jeho osobní údaje zpracováváme protiprávně, ale místo výmazu svých osobních údajů požadujete jen omezení jejich použití
- my již osobní údaje subjektu údajů nepotřebujeme pro účely zpracování (měli bychom je tudíž vymazat), ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků
- subjekt údajů vznesl vůči nám námitku proti zpracování svých osobních údajů na základě našich oprávněných zájmů, o které zatím nebylo z naší strany rozhodnuto
Při uplatňování tohoto práva je nutné, aby subjekt údajů ve své žádosti uvedl, na základě jakého z výše uvedených případů požaduje omezení zpracování jeho osobních údajů a také zpracování jakých přesně jeho osobních údajů požaduje omezit. Žádost by také měla být náležitě odůvodněna, jinak ji nelze vyhovět.
V případě, že žádost shledáme důvodnou, tak bez zbytečného odkladu omezíme zpracování požadovaných osobních údajů. Během trvání tohoto omezení jsme oprávněni tyto osobní údaje zpracovávat jen se souhlasem subjektu údajů, nebo z důvodu určení, výkonu nebo obhajoby právních nároků, z důvodu ochrany práv jiné fyzické osoby nebo právnické osoby nebo z důvodu důležitého veřejného zájmu Evropské unie nebo některého členského státu Evropské unie.
Pokud odpadnou důvody pro omezení zpracování osobních údajů, tak subjekt údajů na to upozorníme a poté omezení zpracování zrušíme.
V případě, že nás v rámci uplatňování tohoto práva o to subjekt údajů požádá, budeme ho informovat i o příjemcích jeho osobních údajů, jimiž byly jeho osobní údaje v minulosti zpřístupněny a kterým jsme oznámili jím požadované omezení zpracování jeho osobních údajů.
Právo na přenositelnost údajů
V případě, že zpracováváme osobní údaje na základě uděleného souhlasu subjektem údajů nebo na základě smlouvy uzavřené se subjektem údajů, a toto zpracování provádíme automatizovaně (tzn. ne manuálně), má subjekt údajů právo po nás požadovat, abychom mu předali (případně umožnili stáhnout) jeho osobní údaje, které nám sám poskytl, a to ve strukturovaném, běžně používaném a strojově čitelném formátu, případně i požadovat, abychom tyto osobní údaje poskytli přímo jinému správci.
Přání, abychom osobní údaje subjektu údajů předali přímo jinému správci, vyhovíme pouze v případě, že to bude technicky možné.
Při uplatňování tohoto práva je nutné, aby subjekt údajů v žádosti uvedl, k jakým jeho osobním údajům se tato žádost vztahuje, a zda si přeje, abychom předali dané osobní údaje pouze jemu či přímo jinému správci a jakým způsobem bychom to měli učinit. Bez těchto informací nelze žádosti vyhovět.
Uplatňováním tohoto práva nesmějí být nepříznivě dotčena práva a svobody jiných osob. Pokud by toto hrozilo, musíme žádost odmítnout nebo jí nevyhovět zcela.
Právo vznést námitku
V případě, že zpracováváme osobní údaje na základě našeho oprávněného zájmu, má subjekt údajů právo kdykoliv proti tomu vznést námitku a požadovat po nás, abychom dále jeho osobní údaje takto nezpracovávali. V žádosti musí být jasně uvedeno, k jakým osobním údajům se námitka vztahuje a proti jakému zpracování je námitka vznášena. Žádost by také měla být přiměřeně odůvodněna.
Po obdržení žádosti subjektu údajů je naší povinností dále jeho osobní údaje nezpracovávat, anebo prokázat, že existují závažné oprávněné důvody pro toto zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo že je zpracování těchto osobních údajů nezbytné pro určení, výkon nebo obhajobu právních nároků.
V případě, že zpracováváme osobní údaje pro účely přímého marketingu, má subjekt údajů právo kdykoliv proti tomu vznést námitku a požadovat po nás, abychom dále jeho osobní údaje takto nezpracovávali. V žádosti musí být jasně uvedeno, že se námitka vznáší proti zpracování pro účely přímého marketingu a k jakým osobním údajům se vztahuje.
Po obdržení žádosti subjektu údajů je naší povinností dále jeho osobní údaje pro účely přímého marketingu nezpracovávat.
Další práva
Subjekt údajů má také právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které by pro něho mělo právní účinky nebo by se ho obdobným způsobem významně dotýkalo s výjimkou případů, kdy by toto rozhodnutí
- bylo nezbytné k uzavření nebo plnění smlouvy uzavřené se subjektem údajů
- bylo povoleno právem Evropské unie nebo členského státu Evropské unie, které se na nás vztahuje a které rovněž stanoví vhodná opatření zajišťující ochranu práv a svobod a oprávněných zájmů subjektu údajů
- bylo založeno na výslovném souhlasu subjektu údajů
V případě, že zpracováváme osobní údaje na základě subjektem údajů uděleného souhlasu se zpracováním osobních údajů, má subjekt údajů právo kdykoliv tento souhlas odvolat. Odvoláním souhlasu ale není dotčena zákonnost zpracování vycházející ze souhlasu, který byl dán před jeho odvoláním.
V případě, že se bude subjekt údajů domnívat, že zpracováním jeho osobních údajů došlo k porušení Nařízení GDPR má právo podat stížnost u některého dozorového úřadu, zejména ve státě jeho obvyklého bydliště, místa výkonu jeho zaměstnání nebo místa, kde došlo k údajnému porušení. Tímto dozorovým úřadem pro Českou republiku je Úřad pro ochranu osobních údajů, se sídlem Pplk. Sochora 27, 170 00 Praha 7, Česká republika, IČ: 708 37 627, www.uoou.cz.