O GDPR z pohledu druhé strany

V předchozích článcích jsme věnovali pozornost Obecnému nařízení o ochraně osobních údajů (dále v textu jen „GDPR“) především z pohledu správců či zpracovatelů, tedy hlavně jejich povinnostem, které jim GDPR ukládá. Přesto by však bylo vhodné přiblížit GDPR i z pohledu těch, na jejichž ochranu bylo GDPR přijato, tedy ze strany subjektů údajů a jejich práv, která GDPR upravuje.

Začněme možná od píky a položme si dvě základní otázky: kdo je to subjekt údajů a co jsou vlastně ty osobní údaje? Subjektem údajů dle GDPR je taková fyzická osoba, o jejíž osobní údaje se jedná. Vzhledem k tomu, že nařízení je přímo závazné pro všechny státy EU, budou takovými osobami právě občani EU. Na druhou otázku však již nelze až tak jednoduše, resp. jednoznačně odpověď.

Samo nařízení totiž neudává přesný výčet toho, co můžeme za osobní údaj považovat. Obecně můžeme říci, že se jedná o takové informace, které jsou s to identifikovat jednotlivou osobu, typicky tak půjde o rodné číslo, místo narození, trvalé bydliště nebo dokonce i o vaši IP adresu. Také jméno a příjmení je samozřejmě osobním údajem, ovšem v některých případech nemusí vést k jednoznačné identifikovatelnosti jeho nositele, stačí si uvědomit, kolik máme v republice Josefů Nováků. V takovém případě vede k určení této osoby až další osobní údaj, tudíž je pak nutné je posuzovat jako jeden celek. Podobná situace pak může nastat i v případě e-mailové adresy; zatímco e-mailová adresa tvořená jménem a příjmením nemusí mít o subjektu údajů žádnou vypovídací hodnotu, přidáním např. obchodní firmy již může dojít k přesné identifikaci dotyčné osoby. Osobním údajem může být také fotografie, vaše poloha, kterou mohou nejrůznější aplikace sledovat, zkrátka cokoli, co umožňuje spojit konkrétně vaši osobu s těmito údaji.

Před samotným zpracováním vašich osobních údajů si správce či zpracovatel musí vyžádat váš souhlas právě se zpracováním osobních údajů. Přemýšlíte, kdy naposledy jste třeba při vyřizování věrnostní kartičky do vašeho oblíbeného obchodu vyloženě zaškrtli políčko „Souhlasím se zpracováním osobních údajů“? Pokud si nemůžete vzpomenout, není to nic divného. Doposud bývá standardem, že se souhlas se zpracováním osobních údajů „schová“ do všeobecných obchodních podmínek. Od účinnosti GDPR takový postup ale již nebude možný. Od května roku 2018 budete muset být jako subjekt údajů výslovně požádáni o souhlas se zpracováním, např. právě formou zvláštní kolonky na přihláškovém formuláři. Jednou z povinností správce totiž bude při případné kontrole ze strany Úřadu pro ochranu osobních údajů (dále jen „ÚOOÚ“) doložit, že tento souhlas byl skutečně udělen. Zároveň vás bude správce muset informovat o tom, po jakou dobu bude mít vaše osobní údaje uložené, jaký je účel zpracování vašich osobních údajů či zda má správce v úmyslu předat vaše osobní údaje do třetích zemí.

Pojďme dál, souhlas se zpracováním jste udělili, co se bude dít nyní? Můžete vůbec s osobními údaji ještě jakkoli manipulovat? Samozřejmě. V prvé řadě můžete v souladu s článkem 7 GDPR svůj souhlas se zpracováním kdykoli odvolat. Správci či zpracovateli tak dáte najevo, že do budoucna již neschvalujete další zpracování svých osobních údajů. Můžete jít samozřejmě i dál a domáhat se svého práva být zapomenut tak, jak jej označuje článek 17 GDPR. V tomto případě ale musí být dán jeden z šesti důvodů, které nařízení vyjmenovává. Nejčastěji se bude zřejmě jednat o tyto důvody: vaše osobních údaje již nejsou potřebné pro účel, pro který byly shromážděny, nebo odvoláte souhlas, který jste pro jeden či více konkrétních účelů sdělili, a není zde dán žádný další důvod pro zpracování nebo pokud vaše osobní údaje byly zpracovány protiprávně. Případně také máte právo dle článku 21 GDPR vznést námitku proti zpracování osobních údajů pro účely přímého marketingu a na základě této námitky můžete následně žádat o výmaz vašich osobních údajů.

V případě, že budete mít pocit, že s vašimi osobními údaji je nakládáno nesprávně, můžete dle článku 77 GDPR podat u ÚOOÚ stížnost, kterou se ÚOOÚ musí zabývat. Pokud by se ÚOOÚ vaší stížností nezabýval nebo by vás do tří měsíců neinformoval o pokroku ve věci, máte právo domáhat se účinné soudní ochrany. Stejně je tomu tak i v případě právně závazného rozhodnutí ÚOOÚ či pokud jste toho názoru, že správce nebo zpracovatel naložil s vašimi osobním údaji právě v rozporu s GDPR. A pro případ, že by buď rozhodnutím ÚOOÚ, nebo příslušného soudu bylo rozhodnuto o tom, že ochrana vašich osobních údajů byla porušena a navíc vám tímto porušením vznikla hmotná či nehmotná újma, nezapomínejte, že dle článku 82 GDPR se můžete domáhat její náhrady na správci či zpracovateli. GDPR tedy poskytuje občanům EU velké množství práv k ochraně jejich osobních údajů.

Blog