Práva subjektu údajů ve světle GDPR aneb správce, bojíš se?

Dnes, 25. května 2018, se stává účinné toliko diskutované a mnohdy obávané Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů, dále také jen „nařízení“). Co to však znamená pro samotný subjekt údajů, mění se výrazným způsobem jeho práva v souvislosti s ochranou a poskytováním jeho osobních údajů? Jedná se o revoluci a výrazné posílení práv subjektu údajů?

I přes v poslední době velké množství článků publikovaných v odborných periodikách, diskuzí na téma GDPR přetrvává stále obavy v souvislosti s nařízením. Jednou z nich je všeobecně zakořeněná obava ze zavedení mnoha nových práv subjektu údajů.

EU se nedá se upřít její snaha o „revoluci“ v souvislosti s ochranou osobních údajů, a to zejména z důvodů až lavinového nárůstu poskytování osobních údajů subjektem údajů, jejich sběru ze strany správce údajů, a to např. na sociálních sítích (Instagram, Facebook apod.), dále za účelem přímého marketingu společností a jejich následného sdílení mezi jednotlivými správci údajů, potažmo zpracovateli osobních údajů. Mnohdy subjekt údajů poskytl souhlas se zpracováním jeho osobních údajů tzv. „odkliknutím čtverečku“ pod obchodním sdělením ze strany správce, a nastal proces, na jehož konci subjekt údajů neměl ani při nejmenším představu, kdo všechno zpracovává jeho osobní údaje, za jakým účelem, v jakém rozsahu a jak dlouho jsou tyto údaje uchovány, neboť tyto informace v poučení při dávání souhlasu zcela chyběly. Tomu chce však nové nařízení předcházet, popř. přísně trestat vysokými pokutami. I když i před datem účinnosti nařízení byla snaha o omezení zpracovávání nadbytečných osobních údajů, až nařízení zavádí pevné mantinely v rámci celé EU v podobě nastavení jasných procesů zpracování osobních údajů, jejich ochrany osobních údajů a s tím spojeným výrazným posílení práv subjektů údajů. Zde nastává ona desinformace, že nařízení zavádí mnoho zcela nových práv subjektu údajů. Není tomu tak, jak si zodpovíme v tomto článku. Jak již bylo řečeno, jedná se spíše o výrazné posílení postavení práv subjektu údajů.

Nicméně opravdu by se dalo říct, že se jedná o „revoluci“ v ochraně osobních údajů, a to zejména v tom směru, že se dnes stává účinné obecně závazné nařízení v rámci celé EU, tedy toto nařízení je obecně přímo aplikovatelné na území všech členských států EU, což je novum. I před účinností nařízení však na půdě EU existovaly snahy o úpravu nakládání s osobními údaji. Jak napovídá i název samotného nařízení, jednalo se zejména o Směrnici Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995, která však dnes účinným nařízením byla zrušena. Již tato směrnice měla za úkol harmonizovat právní předpisy o ochraně základních práv a svobod fyzických osob v souvislosti s činnostmi zpracování a zajistit volný pohyb osobních údajů mezi členskými státy. S tím se pojí samozřejmě i úprava vnitrostátní, kdy jednotlivé členské státy upravovaly nakládání s osobními údaji prostřednictvím vnitrostátního zákona. V České republice se jednalo zejména o zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů (dále také jen „ZOOÚ“), který je právě účinností nařízení ve své podstatné části zrušen a namísto něj se stává přímo použitelné i v rámci ČR jako členského státu EU dané nařízení.

Nařízení se věnuje ve své kapitole III., konkrétně čl. 12 až čl. 23 právě právům subjektu údajů. Jedná se konkrétně o právo být informován o zpracování osobních údajů, právo na přístup, právo na opravu (resp. doplnění), právo být zapomenut (resp. právo na výmaz), právo na omezené zpracování osobních údajů, právo na přenositelnost údajů, právo vznést námitku a právo nebýt předmětem automatizovaného individuálního rozhodování, včetně profilování. Tyto práva subjektu údajů můžeme pro naše účely rozdělit do dvou skupin. První skupinou jsou práva, která nově zavádí nařízení. Při bližším studiu úpravy v ZOOÚ a nařízení se jedná o jediné nové právo zavedené nařízením. Jedná se o právo na přenositelnost údajů dle čl. 20 nařízení. Spočívá v právu na přenos osobních údajů a dalších informací uchovávaných v automatizovaném systému do systému jiného. Musí se jednat o zpracování osobních údajů založené na souhlasu subjektu údajů nebo smluvně a zároveň musí být tyto údaje poskytnuty správcem jinému správci ve strukturovaném a běžně používaném elektronickém formátu. Ostatní výše zmíněná práva již ve své podstatě znal ZOOÚ, který s nimi blíže pracoval. Nařízení tak zpřesňuje výklad jednotlivých práv subjektu údajů a zpřísňuje postihy za jejich nedodržení z pohledu správce osobních údajů, resp. zpracovatelů. Blíže k jednotlivým právům subjektu údajů…

Právo subjektu údajů být informován (čl. 13, 14 nařízení) o skutečnosti, zda jsou ze strany správce údajů zpracovány osobní údaje subjektu údajů a zároveň má subjekt údajů právo tyto osobní údaje získat. Jedná se o ekvivalentní právo stanovené již ust. v § 12 ZOOÚ. Dále se jedná o právo na opravu(resp. doplnění, čl. 16 nařízení) nepřesných osobních údajů a to v případě, že subjekt údajů upozorní správce, že zpracovává nepřesné údaje, pak se tímto podnětem musí správce zabývat. Nejedná se tak o aktivní povinnost správce údajů vyhledávat nepřesné údaje či jeho povinnost vyzvat subjekt údajů k pravidelné aktualizaci údajů. Právo subjektu údajů vznést námitku(čl. 21 nařízení) proti zpracování osobních údajů, které jsou zpracovány na základě plnění úkoly prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen nebo je zpracování nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany. Pozor pokud subjekt údajů vznese námitku proti zpracování pro účely přímého marketingu (včetně profilování), pak musí dojít vždy k výmazu jeho osobních údajů. Opět se jedná o právo, které znal již ZOOÚ a to konkrétně v ust. § 11 odst. 6. Dále se jedná o právo být zapomenut (právo na výmaz, čl. 17 nařízení) jedná se o vyjádření povinnosti správce osobních údajů vymazat tyto údaje subjektu, pokud jsou k tomu splněny podmínky a to osobní údaje již nejsou potřebné pro účel, pro nějž byly shromážděny, subjekt údajů odvolá dříve daný souhlas, subjekt údajů vznese námitky proti zpracování a neexistují žádné jiné oprávněné důvody pro zpracování osobních údajů, osobní údaje byly zpracovány protiprávně aj. Většinu těchto důvodů opět znal již ZOOÚ. Dalším je právo na omezené zpracování osobních údajů (čl. 18 nařízení),kdy subjekt údajů popírá jejich přesnost, zpracování je protiprávní, ale subjekt údajů odmítá výmaz a pouze žádá o omezené použití, subjekt údajů je sice nepotřebuje, ale subjekt údajů je požaduje pro uplatnění svých nároku anebo subjekt údajů vznesl v určitých případech námitku proti zpracování. A v neposlední řadě má subjekt údajů právo na přístup k osobním údajům(čl. 15 nařízení) a to na základě jeho žádosti vůči správci osobních údajů, zda jsou či nejsou zpracovány jeho osobní údaje, v jakém rozsahu atd. Opět se nejedná o nově zavedené právo. V ZOOÚ se mu věnovalo ust. § 12. A v neposlední řadě právo nebýt předmětem automatizovaného individuálního rozhodování, včetně profilování (čl. 22 nařízení),jedná se o situaci, kdy subjekt údajů je předmětem určitého rozhodnutí na základě automatizovaného zpracování.Z daného pravidla existují výjimky, jako jsou zpracování za účelem uzavření smlouvy mezi subjektem údajů a správcem, je to povoleno právem EU nebo členským státem a je to založeno na výslovném souhlasu subjektu údajů. Toto právo subjektu údajů bylo upraveno v § 11 odst. 6 ZOOÚ.

Na jedné straně tedy vystupuje subjekt údajů, jehož osobní údaje se snaží nařízení účinněji chránit v podobě posílení jeho stávajících práv. A na druhé straně stojí správce osobních údajů, popř. zpracovatel, u nějž naopak nařízení razantněji lpí na dodržování a respektování zásad ochrany při nakládání s osobními údaji.

Jak je patrno z výše uvedeného textu, již úprava v ZOOÚ počítala s většinou práv subjektu údajů a určitým způsobem ji poskytovala ochranu, v případě, že jste jako správce ještě před účinností nařízení jednali v souladu s platnou legislativou, pak se dá říci, že jste připravení vyjít vstříc nařízení! Ale v případě, že jste problematiku ochrany osobních údajů nikdy moc neřešili, zpozorněte! Úřad pro ochranu osobních údajů bude, jak ze své úřední povinnosti, tak na základě podnětů šetřit případy nedodržení zásad na ochranu osobních údajů! Nařízení zavádí pokuty v případě porušení až 4 % z celkového obratu Vaší společnosti! A proto odpověď na otázku v názvu tohoto příspěvku zní, neobávejte se v případě, že máte vše nastavené tak, aby vše bylo v souladu s nařízením! Pokud jste na ochranu soukromí osob, které souvisejí s vaší činnosti či předmětem podnikání nedbali, je nejvyšší čas. Každý z nás jsme subjektem údajů a každý z nás by měl "činit druhým jen to, co nechce, aby oni činili jemu!"

A naše doporučení na závěr?

Správně nastavte, chraňte a buďte GDPR compliance!

To je oč tu běží!

A proto jsme tady pro Vás připraveni! Advokátní kancelář Pečený, Fučík, Langer poskytuje kompletní právní poradenství z pohledu nastavení procesů v rámci ochrany osobních údajů ve světle GDPR a jejich následné kompletní zavedení do firemní kultury.