Menu

Jaká práva dává GDPR nám jako občanům

Jedním z největších dopadů nařízení je výrazné posílení práv občanů neboli tzv. subjektů údajů. Těmito právy jsou zejména práva na přístup, opravu, výmaz, právo být zapomenut, právo na omezení zpracování, přenositelnost údajů a v neposlední řadě právo vznést námitku.

Jako občané máme tato práva ke všem údajům, které má správce o nás k dispozici, tj. i k tzv. nestrukturovaným údajům, které mohou tvořit přílohy e-mailů nebo které jsou uloženy na různých interních a externích úložištích.

Právo na přístup dává občanům zejména možnost ověřit si zákonnost zpracování jejich údajů. Je téměř absolutním právem subjektu údajů, s výjimkou případů stanovených článkem 23, který dává členským státům EU možnost omezit toto právo v zájmu národní a veřejné bezpečnosti, obrany a soudních řízení.

Příkladem práv na přístup je informace o zdravotním stavu subjektu, přístup k údajům ve své zdravotní dokumentaci, která obsahuje například informace o diagnóze, výsledky vyšetření, posudky ošetřujících lékařů a údaje o veškeré léčbě a provedených ošetřeních nebo zákrocích.

Každý občan tedy bude mít právo vědět a být informován zejména o tom, za jakým účelem se osobní údaje zpracovávají – znát období, po které budou údaje uchovávány, znát příjemce jeho osobních údajů, vědět, v čem spočívá logika automatizovaného zpracování osobních údajů a jaké mohou být důsledky takového zpracování přinejmenším v případech, kdy je zpracování založeno na profilování.

Tímto právem by však neměla být nepříznivě dotčena práva či svobody ostatních, například obchodní tajemství nebo duševní vlastnictví a zejména autorské právo chránící programové vybavení. Zohlednění těchto skutečností by ovšem nemělo vést k tomu, že by občanům bylo odepřeno poskytnutí všech jejich informací.

V případě, že máme podezření na nesprávnost našich údajů, a to subjektivní nebo objektivní povahy, můžeme požádat danou společnost o nápravu. Správce by měl zajistit podmínky pro to, aby žádosti o opravu mohly být podávány online, zejména v případě zpracování osobních údajů elektronickými prostředky.

Naprosto novým právem podle GDPR je právo na to, aby správce bez zbytečného odkladu vymazal naše osobní údaje, pokud je dán jeden z těchto důvodů:

  • Osobní údaje již nejsou potřebné pro účel, pro který byly shromažďovány nebo zpracovávány.
  • Občan odvolá souhlas, pokud je zpracování založeno na souhlasu a neexistuje žádný další právní důvod pro zpracování.
  • Občan vznese námitku proti zpracování z důvodu oprávněných zájmů správce osobních údajů, jako je např. vedení záznamů o zaměstnancích.
  • Osobní údaje byly zpracovány protiprávně.
  • Pokud není dán rodičovský souhlas se zpracováním osobních údajů dětí.
  • Právní povinnost stanovená právem Unie nebo členským státem.

Další právo být zapomenut je rozšířeným právem na výmaz. Spočívá v provedení přiměřených kroků, včetně technických opatření, k vymazání veškerých odkazů na osobní údaje žadatele a jejich kopie. Zde však GDPR uvádí řadu výjimek, pročež bude v praxi dost složité právo uplatnit, zejména v případech, kdy jsou naše osobní údaje zpracovávány státními institucemi.

Pokud konkrétní osoba nebude mít možnost uplatnit právo na výmaz, tak potom mu GDPR umožňuje uplatnit alespoň právo vznést námitku a tím donutit společnost k omezenému zpracování těch údajů, které jsou předmětem uplatněné námitky.

Způsoby, jak omezit zpracování osobních údajů, by mohly mimo jiné zahrnovat dočasný přesun vybraných údajů do jiného systému zpracování, znepřístupnění vybraných osobních údajů uživatelům nebo dočasné odstranění zveřejněných údajů z internetových stránek.

V systémech automatizovaného zpracování by omezení zpracování mělo být zajištěno technickými prostředky tak, aby se na osobní údaje již nevztahovaly žádné další operace zpracování a aby nemohly být změněny. Skutečnost, že zpracování osobních údajů je omezeno, by měla být v systému jasně vyznačena.

Neméně důležitým právem, jež nařízení nově zavádí, je právo na přenositelnost, které je v podstatě rozšířeným právem přístupu a může být subjektem uplatněno za splnění dvou podmínek, které musí nastat současně: 1. Zpracování je založeno na souhlasu občana nebo na smlouvě a 2. je prováděno automatizovaně.

Aby měl občan větší kontrolu nad svými údaji, měl by v případě, kdy se osobní údaje zpracovávají automatizovaně, mít též právo získat osobní údaje, které se ho týkají a jež poskytl správci, ve strukturovaném, běžně používaném, strojově čitelném formátu a předat je jinému správci. Vzhledem ke své povaze by toto právo nemělo být uplatňováno vůči správcům, kteří zpracovávají osobní údaje v rámci výkonu veřejné moci. Pokud se určitý soubor osobních údajů týká více než jednoho subjektu údajů, neměla by právem obdržet osobní údaje být dotčena práva a svobody jiných subjektů údajů podle tohoto nařízení.


Hlavní partneři

GDPR vstoupí v účinnost za :

  dnů :   hodin :   minut :   vteřin

: 25. května 2018