Obecné Nařízení je velmi „komfortní“ vůči subjektům údajů (klientům, zaměstnancům atd.). Dává jim poměrně velké možnosti uplatňovat svá práva na informace a kontrolu zpracování svých osobních údajů, což může být pro správce velmi pracná a mnohdy i nepříjemná záležitost.
Co musím na žádost subjektu údajů sdělit?
S informační povinností podle článků 13 a 14 Nařízení se lze vypořádat vcelku bez problému na webových stránkách v podobě deklarace. Pokud pak řádně vedete záznamy o činnosti zpracování, neměl by být problém těmto článkům vyhovět. Podívejme se, ale jak je to s uplatněním dalších práv, zejména pak těch založených na aktivitě (žádosti) subjektu údajů. Jedná se o právo na přístup k osobním údajům, právo na opravu, resp. doplnění, právo na výmaz, právo na omezení zpracování, právo na přenositelnost údajů a právo vznést námitku.
Do kdy je nutné na žádost zareagovat?
Lhůta pro odpověď nebo reakci na podnět od subjektu údajů není nijak dlouhá. Informace o přijatých opatřeních musí být poskytnuta bez zbytečného odkladu, nejpozději však do jednoho měsíce od obdržení žádosti. Lhůtu lze ve výjimečných případech prodloužit o dva měsíce, o čemž musí být subjekt údajů ze strany správce informován, včetně uvedení důvodů prodloužení.
Jak postupovat po obdržení žádosti?
Nejprve se správce musí vypořádat s řádným ověřením identity subjektu údajů. Pouze emailová adresa je např. nedostačující. Dále doporučujeme, aby si správce nechal od subjektu údajů podepsat předávací protokol, který bude obsahovat prohlášení subjektu údajů o převzetí odpovědnosti za zabezpečení těchto dat.
Složitá práva pro správce
Nejsložitější pro správce je právo subjektu údajů na přístup k osobním údajům. Jedná se v podstatě o právo získat výpis všech osobních údajů, které správce o konkrétním subjektu údajů zpracovává. Bude-li výpis požadovat např. zaměstnanec správce, osobním údajem budou i záznamy o jeho docházce do zaměstnání.
Právo na opravu, právo na výmaz a právo na omezení zpracování se v praxi uplatní výjimečně. Při formulaci práva na výmaz autoři Nařízení cílili především na Google a sociální sítě. Při běžném provozu společnosti, ve které byly řádně implementovány povinnosti vyplývající z Nařízení, se tyto práva neuplatní. Jakmile totiž pomine účel zpracování osobních údajů, je správce povinen takové osobní údaje sám smazat, pokud jejich další zpracování není odůvodněno plněním právní povinnosti.
Podobné to je i s právem vznést námitku. V běžné praxi se uplatní jenom při zpracování osobních údajů na základě veřejného zájmu nebo oprávněného zájmu správce. V případě zpracování osobních údajů ve veřejném zájmu se právo vznést námitku může použít například za situace, kdy dojde ke zveřejnění platů státních zaměstnanců, kteří nejsou ve vrcholných funkcích. Typickým příkladem realizace oprávněného zájmu správce je přímý marketing, který společnost provozuje vůči svým aktuálním klientům. K této formě přímého marketingu není nutný souhlas, avšak subjekt údajů zde pak může vznést námitku proti zasílání newsletterů, přičemž správci tímto zanikne oprávnění pro tyto účely osobní údaje dále zpracovávat.
Rovněž právo na přenositelnost údajů se bude při běžném provozu společnosti uplatňovat velmi omezeně, a to pouze v případech, kdy je zpracování odůvodněné právním titulem v podobě souhlasu, či plnění na základě smlouvy, nebo se zpracování provádí automatizovaně. Jako příklad se často uvádí přechod od jedné pojišťovny k jiné a s tím související přenos pojišťovací historie.
Závěr
Vytvořením základních dokumentů, kterými jsou například v článku zmíněná deklarace, či záznamy o činnosti zpracování, lze naplnit požadavky informovanosti subjektů údajů vyplývající z Nařízení. Řádným nakládáním s osobními údaji lze předejít případným komplikacím a potenciálně narůstající agendě související s uplatňováním práv subjektů údajů. Pokud společnost odpovědným způsobem implementuje povinnosti vyplývající z Nařízení, práva subjektů údajů se v praxi uplatní sporadicky.
Pokud si nevíte s uvedenou problematikou rady, neváhejte se obrátit na naši obchodní společnost.