Práva subjektů údajů
Je třeba zdůraznit, že subjektem údajů je pouze fyzická osoba, jíž se osobní údaje týkají. Subjekt údajů není nikdy právnická osoba.
A. Právo na přístup
Právo na přístup dává občanům zejména možnost ověřit si zákonnost zpracování jejich údajů.
Každý občan má dle GDPR právo vědět a být informován zejména o tom:
- za jakým účelem se osobní údaje zpracovávají;
- po jaké období budou údaje uchovávány;
- jací jsou příjemci jeho osobních údajů;
- v čem spočívá logika automatizovaného zpracování osobních údajů a jaké mohou být důsledky takového zpracování
Tímto právem by však neměla být nepříznivě dotčena práva či svobody ostatních, například obchodní tajemství nebo duševní vlastnictví a zejména autorské právo chránící programové vybavení. Zohlednění těchto skutečností by však nemělo vést k tomu, že by občanům bylo odepřeno poskytnutí všech jejich informací.
B. Právo na opravu
Občan je dle GDPR oprávněn požádat danou společnost o opravu chybných údajů. Správce by měl zajistit podmínky pro to, aby žádosti o opravu mohly být podávány on-line, zejména v případě zpracování osobních údajů elektronickými prostředky.
C. Právo na výmaz
Občan je oprávněn správce požádat, aby bez zbytečného odkladu vymazal jeho osobní údaje, pokud je dán byť jen jediný z těchto důvodů:
- osobní údaje již nejsou potřebné pro účel, pro který byly shromažďovány nebo zpracovávány
- občan odvolá souhlas, pokud je zpracování založeno na souhlasu a neexistuje žádný další právní důvod pro zpracování
- občan vznese námitku proti zpracování z důvodu oprávněných zájmů správce osobních údajů, jako je např. vedení záznamů o zaměstnancích
- osobní údaje byly zpracovány protiprávně
- pokud není dán rodičovský souhlas se zpracováním osobních údajů dětí
- právní povinnost stanovená právem EU nebo členským státem.
Tato povinnost neplatí pro údaje, které je správce dle příslušných právních předpisů povinen uchovávat (záruka, účetnictví, archivace, atp.)
D. Právo být zapomenut
Právo být zapomenut je rozšířeným právem na výmaz. Spočívá v provedení přiměřených kroků, včetně technických opatření, k vymazání veškerých odkazů na osobní údaje občana a jejich kopie. Zde však GDPR uvádí řadu výjimek, pročež bude v praxi dost složité právo uplatnit.
E. Právo vznést námitku
Pokud konkrétní osoba nebude mít možnost uplatnit právo na výmaz, GDPR mu umožňuje uplatnit alespoň právo vznést námitku a tím donutit společnost k omezenému zpracování těch údajů, které jsou předmětem uplatněné námitky. Způsoby, jak omezit zpracování osobních údajů, by mohly mimo jiné zahrnovat dočasný přesun vybraných údajů do jiného systému zpracování, znepřístupnění vybraných osobních údajů uživatelům nebo dočasné odstranění zveřejněných údajů z internetových stránek.
V systémech automatizovaného zpracování by omezení zpracování mělo být zajištěno technickými prostředky tak, aby se na osobní údaje již nevztahovaly žádné další operace zpracování a aby nemohly být změněny. Skutečnost, že zpracování osobních údajů je omezeno, by měla být v systému jasně vyznačena.
F. Právo na přenositelnost
Může být subjektem údajů uplatněno za splnění dvou podmínek, které musí nastat současně:
- zpracování je založeno na souhlasu občana nebo na smlouvě
- zpracování je prováděno automatizovaně.
Aby měl občan větší kontrolu nad svými údaji, měl by v případě, kdy se osobní údaje zpracovávají automatizovaně, mít též právo získat osobní údaje, které se ho týkají a jež poskytl správci, ve strukturovaném, běžně používaném, strojově čitelném formátu a předat je jinému správci. Pokud se určitý soubor osobních údajů týká více než jednoho subjektu údajů, neměla by právem obdržet osobní údaje být dotčena práva a svobody jiných subjektů údajů.