Jednou z kľúčových zmien, ktoré prináša nariadenie GDPR, sú nové práva dotknutých osôb, ako aj posilnenie existujúcich. Firmy by mali mať väčšiu kontrolu nad spôsobom, akým spracovávajú osobné údaje svojich zákazníkov, obchodných partnerov či zamestnancov. V nasledovnom článku si vysvetlíme, aké práva udeľuje dotknutým osobám GDPR a aké povinnosti vyplývajú firmám v súvislosti s ich spracúvaním.
Právo na informácie a informačná povinnosť prevádzkovateľa
Nová právna úprava zakotvuje právny rámec informačnej povinnosti prevádzkovateľa, teda poskytovania informácií dotknutej osobe, ktoré sa týkajú spracovania jej osobných údajov.
Musia sa poskytnúť v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme, pričom musia byť formulované jasne a jednoducho, teda ľudskou rečou a nie právnym jazykom.
Informácie sa poskytujú písomne, elektronicky alebo inými prostriedkami. Na požiadanie môžu byť poskytnuté aj ústne, ale len vtedy, ak sa preukáže totožnosť dotknutej osoby.
V prípadoch, keď sa od dotknutej osoby získavajú osobné údaje, ktoré sa jej týkajú, poskytne prevádzkovateľ pri získavaní osobných údajov dotknutej osobe tieto informácie:
- totožnosť a kontaktné údaje prevádzkovateľa a v príslušných prípadoch zástupcu prevádzkovateľa,
- kontaktné údaje prípadnej zodpovednej osoby,
- účely spracovania, na ktoré sú osobné údaje určené, ako aj právny základ spracovania,
- ak je spracovanie nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, prevádzkovateľ musí poskytnúť údaje aj o týchto oprávnených záujmoch,
- príjemcovia alebo kategórie príjemcov osobných údajov, ak existujú,
- v relevantnom prípade informácia o tom, že prevádzkovateľ zamýšľa preniesť osobné údaje do tretej krajiny.
Dotknutá osoba má pri získavaní osobných údajov právo aj na tieto doplňujúce informácie, a to:
- účely spracúvania,
- kategórie dotknutých osobných údajov,
- kto sú príjemcovia alebo kategórie príjemcov, ktorým boli alebo budú osobné údaje poskytnuté, najmä príjemcovia v tretích krajinách alebo medzinárodné organizácie,
- ak je to možné, informácie o predpokladanej dobe uchovávania osobných údajov alebo, ak to nie je možné, kritériá na jej určenie;
- ak sa osobné údaje nezískali od dotknutej osoby, akékoľvek dostupné informácie, pokiaľ ide o ich zdroj;
- informácie, či existuje automatizované rozhodovanie vrátane profilovania a informácie o použitom postupe, ako aj význame a predpokladaných dôsledkoch takéhoto spracúvania pre dotknutú osobu.
Upozornenie:
Informačná povinnosť sa neviaže len na okamih získavania osobných údajov. Prevádzkovateľ je povinný oznámiť dotknutým osobám každú zmenu, a zabezpečiť túto povinnosť od získania až po výmaz osobných údajov.
Právo na prístup k osobným údajom
Prevádzkovateľ je povinný poskytnúť dotknutej osobe potvrdenie o tom, že spracúva osobné údaje, ktoré sa jej týkajú, pričom dotknutá osoba má právo získať prístup k jej osobným údajom.
Upozornenie:
Ak prevádzkovateľ spracováva veľké množstvo informácií, môže dotknutú osobu požiadať, aby špecifikovala informácie, ku ktorým chce získať prístup. Prevádzkovateľ môže odmietnuť vyhovieť žiadosti o prístup, ak je to zjavne neopodstatnené.
Právo na opravu osobných údajov
Dotknuté osoby majú právo na opravu svojich osobných údajov, ak sú nepresné alebo neúplné. Žiadosť o výmaz môže dotknutá osoba podať aj v prípade, ak sú jej údaje nezákonne spracovávané a protiprávne v súvislosti s GDPR. Prevádzkovateľ musí žiadosti o opravu osobných údajov vyhovieť bez zbytočného odkladu.
Právo na vymazanie (zabudnutie)
Prevádzkovateľ je povinný bez zbytočného odkladu vymazať osobné údaje dotknutej osoby, ak:
- osobné údaje už nie sú potrebné na účely, na ktoré sa získavali alebo inak spracúvali,
- dotknutá osoba odvolá súhlas, na základe ktorého sa spracúvanie vykonáva,
- ak neexistuje iný právny základ pre spracúvanie osobných údajov,
- dotknutá osoba namieta voči spracúvaniu a neprevažujú žiadne oprávnené dôvody na spracúvanie,
- dotknutá osoba namieta voči spracúvaniu a osobné údaje sa spracúvali nezákonne,
- osobné údaje musia byť vymazané, aby sa splnila zákonná povinnosť podľa práva Únie alebo práva členského štátu, ktorému prevádzkovateľ podlieha,
- osobné údaje sa získavali v súvislosti s ponukou služieb informačnej spoločnosti.
Upozornenie:
Ak prevádzkovateľ osobné údaje zverejnil tretím stranám, musí ich informovať o žiadosti dotknutej osoby o výmaz, a požiadať ich o vymazanie jej osobných údajov.
Žiadosť o výmaz prevádzkovateľ neuplatňuje, pokiaľ je spracúvanie potrebné:
- na uplatnenie práva na slobodu prejavu a na informácie,
- na splnenie zákonnej povinnosti,
- na splnenie úlohy realizovanej vo verejnom záujme,
- z dôvodov verejného záujmu v oblasti verejného zdravia,
- na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely,
- na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.
Upozornenie:
Právo na výmaz nie je absolútnym právom. Ak existuje povinnosť, ktorá výmazu bráni, prevádzkovateľ nie je povinný žiadosti dotknutej osoby vyhovieť. Prevádzkovateľ musí vždy individuálne posúdiť, či osobné údaje potrebuje ešte spracovávať alebo už nie.
Príklad:
Uchádzač o zamestnanie, ktorý nebol úspešný vo výberovom konaní a nebol prijatý do zamestnania, požiada po ukončení výberového procesu o výmaz svojho životopisu. Prevádzkovateľ je povinný vyhovieť jeho žiadosti, lebo žiadny zákon nestanovuje povinnosť registratúry životopisov.
Právo na obmedzenie spracúvania osobných údajov
Dotknutá osoba má právo na to, aby prevádzkovateľ obmedzil spracúvanie jej osobných údajov, pokiaľ ide o jeden z týchto prípadov:
- dotknutá osoba napadne správnosť osobných údajov, a to počas obdobia umožňujúceho prevádzkovateľovi overiť správnosť osobných údajov,
- spracúvanie je protizákonné a dotknutá osoba namieta proti vymazaniu osobných údajov a žiada namiesto toho obmedzenie ich použitia,
- prevádzkovateľ už nepotrebuje osobné údaje na účely spracúvania, ale potrebuje ich dotknutá osoba na preukázanie, uplatňovanie alebo obhajovanie právnych nárokov,
- dotknutá osoba namietala voči spracúvaniu podľa článku 21 ods. 1, a to až do overenia, či oprávnené dôvody na strane prevádzkovateľa prevažujú nad oprávnenými dôvodmi dotknutej osoby.
Ak sa spracúvanie obmedzilo, takéto osobné údaje sa s výnimkou uchovávania spracúvajú:
- len so súhlasom dotknutej osoby,
- na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov,
- na ochranu práv inej fyzickej alebo právnickej osoby,
- z dôvodov dôležitého verejného záujmu Únie alebo členského štátu.
Upozornenie:
Prevádzkovateľ je povinný oznámiť každému príjemcovi, ktorému boli osobné údaje poskytnuté, každú opravu alebo vymazanie osobných údajov alebo obmedzenie spracúvania. Prevádzkovateľ o týchto príjemcoch informuje dotknutú osobu, ak to dotknutá osoba požaduje.
Právo na prenos osobných údajov
Dotknutá osoba má právo získať svoje osobné údaje, ktoré poskytla prevádzkovateľovi, a má právo preniesť tieto údaje ďalšiemu prevádzkovateľovi (napr. pri zmene poskytovateľa určitej služby). Prevádzkovateľ je na základe žiadosti povinný umožniť prenos údajov v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte (napr. XML alebo CSV).
Právo namietať spracúvanie na účely priameho marketingu a profilovanie
Ak sa osobné údaje spracúvajú na účely priameho marketingu, dotknutá osoba má právo kedykoľvek namietať proti spracúvaniu svojich osobných údajov vrátane profilovania. Ak dotknutá osoba namieta voči spracúvaniu na účely priameho marketingu, prevádzkovateľ už jej osobné údaje na tieto účely nesmie spracúvať.
Odporúčanie:
Odporúčame firmám, ktoré spracovávajú osobné údaje vo väčšom rozsahu, aby si vopred stanovili postupy na vybavenie žiadostí dotknutých osôb v zmysle ich práv podľa GDPR, a prijali na to primerané technické opatrenia.
Autorka: Ing. Marcela Ilavská
TIP PRE VÁS:
Pripravte sa s nami na aplikáciu nového nariadenia v praxi už teraz a zosúlaďte súčasné súhlasy s požiadavkami GDPR v predstihu!
GDPR nie je strašiak, ktorého sa treba báť. Väčšina firiem zaoberajúcich sa ochranou osobných údajov znepokojuje hrozbami vysokých pokút. Áno, pokuty pri nepripravenosti a nedôslednom uplatňovaní pravidiel GDPR skutočne hrozia. To je neodškriepiteľný fakt!
Naša stratégia je iná: pomôžeme sa vám vo všetkom zorientovať! Spravíme vám analýzu a vypracujeme bezpečnostný plán. Implementácia GDPR tak bude pre vás celkom jednoduchá!
My na tom zapracujeme a vy môžete svoj čas venovať dôležitejším veciam vo svojom podnikaní.
Objednajte si u nás nezáväznú Rozdielovú analýzu!
Posúdime (ne)súlad vašich IS s novým nariadením, predložíme konkrétne návrhy na realizáciu primeraných opatrení na zabezpečenie súladu.