Úvod do problematiky GDPR, GDPR pro e-shopy

Práva subjektu údajů

Nařízení GDPR přiznává subjektům údajů značný rozsah práv, která mohou vůči správci uplatnit. Jedná se především o právo na informace, právo na přístup k osobním údajům, právo na opravu a doplnění osobních údajů, právo na výmaz (neboli právo „být zapomenut“), právo na omezení zpracování, právo na přenositelnost údajů, právo vznést námitku a právo nebýt předmětem automatizovaného individuálního rozhodnutí.

V případě, že subjekt údajů uplatní některé ze svých práv, správce by měl být schopen tuto žádost vyřídit bez zbytečného odkladu. I v případě, že správce žádost zamítne, by měl být o této skutečnosti subjekt údajů informovat. Vzhledem ke značné komplexnosti úpravy práv subjektu údajů a vzhledem k zaměření tohoto článku je cílem této kapitoly seznámit čtenáře se základní definicí hlavních práv, které nařízení GDPR subjektům údajů přiznává.

Je též nutné zdůraznit, že ne vždy je možné žádosti subjektů údajů, v rámci které uplatňují některé ze svých práv, kladně vyhovět. Velmi často záleží na právním důvodu zpracování osobních údajů (např. v případě souhlasu subjektu údajů se zpracováním osobních údajů, může subjekt údajů daný souhlas odvolat, v případě zpracování osobních údajů na základě plnění právní povinnosti správce to však možné není).

Vzhledem ke značně komplexní úpravě práv subjektů údajů proto v případě nejasností ohledně této problematiky doporučujeme obrátit se na právního zástupce.

Právo na informace

Právo na informace úzce souvisí se zásadou korektnosti a transparentnosti. Subjekt údajů by měl být především informován o totožnosti a kontaktních údajích správce (případně pověřence pro ochranu osobních údajů), o účelech zpracování osobních údajů a tomu odpovídajícímu právní základu (v případě, že jsou údaje zpracovávány na základě oprávněného zájmu správce, by měl být subjekt údajů informován i o takovém konkrétním zájmu správce), dále o případných příjemcích nebo kategorií příjemců osobních údajů (např. externí účetní firma, IT služby apod.) a v neposlední řadě i o případném úmyslu správce předat osobní údaje do třetí země či mezinárodní existenci.

Nařízení GDPR ve čl. 13 odst. 2 uvádí další informace, se kterými by měl být subjekt údajů seznámen, je-li to nezbytné pro „zajištění spravedlivého a transparentního zpracování“. I zde je nutné připomenout, že informace by měly být subjektu údajů poskytovány v jasném a srozumitelném jazyce.

Právo na přístup k osobním údajům

Právo na přístup k osobním údajům vyjadřuje právo subjektů údajů požádat správce o potvrzení, zda o něm zpracovává osobní údaje či nikoli.

Pokud správce takové osobní údaje zpracovává, má subjekt údajů právo získat od správce další informace, mezi které patří zejména účel zpracování, kategorie dotčených orgánů, plánovaná doba, po kterou budou osobní údaje uloženy, právo podat stížnost u dozorového úřadu, existence práva požadovat od správce opravu nebo výmaz osobních údajů či jejich omezení, či existence práva vznést proti tomuto zpracování námitku apod.

Právo na opravu a doplnění

Jak již samotné pojmenování tohoto práva naznačuje, obsahem práva na opravu a doplnění je možnost subjektu údajů žádat správce, aby bez zbytečného odkladu opravil nepřesné osobní údaje, které se ho týkají, či žádat, aby správce doplnil osobní údaje subjektu údajů, které jsou neúplné. Toto právo úzce souvisí se zásadou přesnosti, která již byla popsána dříve v rámci tohoto článku.

Právo na výmaz

Právo na výmaz neboli právo být zapomenut, znamená právo subjektu údajů žádat, aby správce bez zbytečného odkladu vymazal osobní údaje, které o subjektu údajů zpracovává. Na tomto místě je však nutné zdůraznit, že správce má povinnost uvedené údaje vymazat jen při naplnění důvodů, které jsou uvedeny v Nařízení GDPR (např. osobní údaje již nejsou potřeba pro účel, pro který byly zpracovávány atd., viz čl. 17 Nařízení GDPR).

I v rámci tohoto práva však Nařízení GDPR uvádí případy, při kterých se právo na výmaz neuplatní, jedním z nich je například nezbytnost pro určení, výkon či obhajobu právních nároků (viz čl. 17 odst. 3 Nařízení GDPR).

Právo na omezení zpracování

Subjekt údajů má nadále právo žádat správce, aby z určitých důvodů dočasně omezil zpracování jeho osobních údajů, tj. „označil uložené osobní údaje za účelem omezení jejich zpracování v budoucnu“ (viz čl. 4 odst. 3 Nařízení GDPR).

Důvody, pro které může subjekt údajů žádat omezení osobních údajů, jsou uvedeny v čl. 18 Nařízení GDPR, patří mezi ně například skutečnost, kdy subjekt údajů popírá přesnost osobních údajů, které jsou o něm zpracovávány apod. V případě, že zpracování osobních údajů bylo výše uvedeným způsobem omezeno, je správce případně povinen upozornit daný subjekt údajů o tom, že omezení zpracování bude zrušeno.

Právo na přenositelnost údajů

Právo na přenositelnost údajů zjednodušeně představuje možnost subjektu údajů žádat správce, aby mu v běžně používaném a strojově čitelném formátu poskytl osobní údaje, které se ho týkají a které správci sám poskytl.

Součástí tohoto práva je i možnost předat takto získané údaje jinému správci, a to i prostřednictvím správce původního (tj. správci si na základě žádosti osobní údaje předají mezi sebou, je-li to technicky možné). Uplatnění tohoto práva je nicméně opět značně omezeno (viz čl. 20 odst. 1 Nařízení GDPR).

Právo vznést námitku

Subjekt údajů má právo vznést námitku proti zpracování jeho osobních údajů za předpokladu, že tyto osobní údaje jsou zpracovávány na základě oprávněného zájmu správce či z důvodů výkonu úkonů prováděných ve veřejném zájmu či při výkonu veřejné moci.

Správce by v případě takto vznesené námitky měl subjektu údajů prokázat závažné oprávněné důvody, pro které osobní údaje zpracovává. Pokud takový závažný oprávněný důvod neprokáže, není oprávněn tyto osobní údaje již dále zpracovávat.

Právní důvody zpracování osobních údajů

Právní důvody ke zpracování osobních údajů jsou nezbytným předpokladem, aby správce mohl osobní údaje legálně zpracovávat. Osobní údaje správce zpracovává pro různé účely, přičemž pro každý účel existuje právní důvod.

V případě, že pomine poslední právní důvod ke zpracování osobních údajů, nastává povinnost správce osobní údaje vymazat.

Osobní údaje může správce zpracovávat, pokud je naplněn alespoň jeden z níže uvedených právních důvodů:

  • Správce získal od subjektu údajů souhlas ke zpracování osobních údajů
    • V e-shopech typicky souhlas udělený k zasílání marketingových sdělení, pro která nemůže provozovatel využít oprávněného zájmu, jak plyne z čl. 47 recitálu Nařízení GDPR.
    • Dle vyjádření Úřadu na ochranu osobních údajů jsou souhlasy se zpracováním osobních údajů udělené do dne nabytí účinnosti nařízení GDPR (dne 25. 5. 2018) platné nadále pouze za předpokladu, že byly uděleny v souladu s požadavky uvedenými v nařízení GDPR. Souhlas tedy musí být:
      • Jasně odlišitelný – pro každé zpracování osobních údajů zvlášť. Rovněž nesmí být souhlas součástí všeobecných obchodních podmínek.
      • Srozumitelný.
      • Odvolatelný – odvolat souhlas musí být stejně jednoduché jako jej poskytnout. V praxi se používá např. proklik na odhlášení ze zasílání obchodních sdělení.
      • Svobodný – udělení souhlasu nesmí být např. podmínkou uzavření smlouvy.
  • Oprávněný zájem
    • Je dán v případech, kdy existuje vztah mezi správcem a subjektem údajů, např. pokud je subjekt údajů klientem správce.
  • Plnění smlouvy
    • V e-shopech typicky při zpracování osobních údajů za účelem vyřízení objednávky.
  • Plnění právní povinnosti
    • Např. poskytnutí osobních údajů zákazníka do účetnictví provozovatele e-shopu.
  • Ochrana životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby
    • Např. při poskytování lékařských služeb.
  • Plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci
    • U státních orgánů, nikoli u soukromých subjektů.

• Témata: GDPR | Právní průvodce | Právo
• Oblasti podnikání: Právo, právní služby | Služby

Doporučujeme