Subjekty v tomto případě standardně rozumíme fyzické osoby, jejichž osobní údaje jsou zpracovány správcem nebo zpracovatelem osobních údajů (byť nový občanský zákoník zavedl namísto dosavadního pojmu „fyzická osoba“ možná srozumitelnější pojem „člověk“, v oficiálním překladu Nařízení je nadále používán pojem „fyzická osoba“, nejlépe odpovídající anglickému pojmu „natural person“, který je použit v originálním znění).

Zásada transparentnosti a právo na informace

Nařízení je postaveno na několika základních zásadách, z nichž každá v sobě zahrnuje určité povinnosti správce osobních údajů a tomu odpovídající práva subjektu osobních údajů. Subjekty tedy mají právo na to, aby jejich osobní údaje byly zpracovány pouze na základě některého z titulů – zákonných důvodů – vymezených v Nařízení, např. na základě jejich souhlasu (zásada zákonnosti), aby byly zpracovávány pouze pro určité, vyjádřené a legitimní účely (zásada účelového omezení), aby bylo zpracování přiměřené, relevantní a omezené na nezbytný rozsah s ohledem na účel zpracování (zásada minimalizace údajů), a další.

Jednou z nejvýznamnějších je zásada transparentnosti. Tato zásada podle odst. 58 preambule Nařízení vyžaduje, „aby všechny informace určené veřejnosti nebo subjektu údajů byly stručné, snadno přístupné a srozumitelné, podávané za použití jasných a jednoduchých jazykových prostředků a ve vhodných případech navíc i vizualizace. Pokud budou tyto informace určeny veřejnosti, mohly by být poskytovány v elektronické podobě, například prostřednictvím internetových stránek.“ Cílem této zásady je tedy upravit formu a srozumitelnost informací poskytovaných subjektům údajů ohledně zpracování.

Právo na určitou sumu informací poskytnutých výše uvedeným stručným, snadno přístupným a srozumitelným způsobem je tedy základním právem každého subjektu údajů vůči správci. Právo na informace není žádnou novotou, i dosavadní právní úprava vycházející ze Směrnice č. 95/46/ES o ochraně osobních údajů ukládala správcům povinnost poskytnout subjektům určité informace, Nařízení však okruh těchto informací rozšiřuje. Podle Nařízení tedy mají Subjekty právo na to, aby jim správci výše uvedeným transparentním způsobem sdělili informace o:

• identifikačních údajích správce, případně jeho zástupce v EU a kontakty na případného Pověřence pro ochranu osobních údajů, pokud jej má správce mít;
• účelech zpracování, pro které jsou osobní údaje určeny, a právním základu pro zpracování;
• kategoriích zpracovávaných osobních údajů;
• případných příjemcích osobních údajů;
• detailech případného předávání osobních údajů mimo EU (zahrnující identifikaci konkrétních zemí, způsobech zajištění ochrany osobních údajů a zárukách ochrany)
• době zpracování osobních údajů, nebo kritériích použitých pro stanovené této doby;
• je-li titulem zpracování ochrana oprávněných zájmů správce nebo třetí osoby, identifikace těchto oprávněných zájmů;
• právech subjektu údajů v užším slova smyslu – právu požadovat od správce přístup ke zpracovávaným osobním údajům, právu na jejich opravu nebo výmaz, na omezení zpracování, právu vznést námitku proti zpracování, právu na přenositelnost údajů, právu na podání stížnosti k dozorovému úřadu;
• dochází-li ke zpracování na základě souhlasu subjektu údajů, o právu na odvolání tohoto souhlasu, aniž by tím byla dotčena zákonnost zpracování, k němuž docházelo před odvoláním tohoto souhlasu;
• skutečnosti, zda je poskytnutí osobních údajů založeno na zákonném nebo smluvním základě a o následcích neposkytnutí údajů;
• o tom, zda ve vztahu k osobním údajům má docházet k automatizovanému rozhodování, s informací o použitých postupech a následcích tohoto zpracování pro jednotlivce.

Poskytnutí výše uvedených informací je základním právem subjektu údajů, přičemž standardně je má subjekt obdržet v přiměřené lhůtě po získání osobních údajů, ale nejpozději do jednoho měsíce, s ohledem na konkrétní okolnosti, za nichž jsou osobní údaje zpracovávány.

Pokud však mají být osobní údaje použity ke komunikaci se subjektem údajů, pak musí být informace poskytnuty nejpozději v okamžiku, kdy poprvé dojde ke komunikaci s tímto subjektem (např. v okamžiku, kdy si subjekt údajů prohlíží internetové stránky, které užívají cookies a analytické nástroje, nebo kdy jako zákazník vyplňuje své osobní údaje za účelem uzavření smlouvy), a mají-li být údaje zpřístupněny jiným příjemcům, pak nejpozději v okamžiku tohoto zpřístupnění.

K výše uvedeným informacím je nutno si uvědomit, že se vždy vztahují ke konkrétnímu účelu, vyplývajícímu z příslušného právního důvodu zpracování (např. souhlasu). Pokud by mělo začít docházet ke zpracování ke zcela novému účelu, pak je nutné tyto informace subjektu poskytnout znovu, a pochopitelně k tomuto novému účelu od subjektu získat souhlas, není-li dán jiný právní důvod zpracování (ten je dán např. je-li poskytnutí osobních údajů nezbytné ke splnění závazků správce ze smlouvy uzavřené se subjektem údajů, typicky např. k odeslání zboží zákazníkovi). Výše uvedené informace není nutno subjektům poskytovat v případě, že už tyto informace mají, nebo se ukáže, že poskytnutí takových informací není možné nebo by vyžadovalo nepřiměřené úsilí (zde Nařízení výslovně odkazuje na situace archivace údajů ve veřejném zájmu nebo vědeckého či historického výzkumu – standardní správci tedy jen stěží budou moci tuto výjimku aplikovat). Informace nemusí být poskytnuty rovněž v případě, kdy je jejich získávání a zpřístupnění výslovně stanoveno právem Unie (typicky zpřístupňování osobních údajů ve veřejných rejstřících), nebo jsou osobní údaje předmětem služebního tajemství.

Práva subjektů v užším slova smyslu

Za práva subjektů v užším slova smyslu považujeme možnost realizace konkrétních přímých nároků subjektu vůči správci na základě výslovné žádosti subjektu. Jejich výčet stanoví Nařízení v čl. 15 až 22, přičemž správce je povinen mimo jiné subjekt o těchto nárocích informovat v rámci informační povinnosti (viz výše). Dále se zaměříme právě na práva subjektů v užším slova smyslu.

Právo na přístup k osobním údajům

Subjekt údajů může správce požádat, aby mu poskytl informaci o tom, zda jsou nebo nejsou jeho osobní údaje zpracovávány, a pakliže jsou, aby mu k těmto údajům poskytl přístup. Přístup k údajům je realizován poskytnutím kopie osobních údajů, přičemž první kopie musí být poskytnuta zdarma, za poskytnutí případných další kopií je správce oprávněn účtovat přiměřený poplatek na základě administrativních nákladů. První poskytnutí informace zdarma představuje podstatnou změnu oproti stávající praxi, umožňující požadovat úhradu nákladů na poskytnutí již při prvním poskytnutí. V případě, že je žádost podána formou elektronické komunikace, musí být i kopie osobních údajů poskytnuta v elektronické formě v běžně používaném formátu, pokud subjekt údajů nepožaduje něco jiného. Zde je nutno upozornit, že správci pracující se speciálními formáty, zejména s formáty vyžadujícími použití speciálního software, budou muset být schopni data exportovat i ve formátu čitelném pro standardního uživatele.

Asi nejtypičtější případ, kdy budou subjekty patrně uplatňovat právo na přístup k osobním údajům, výslovně zmiňuje bod 63 preambule Nařízení, podle něhož právo na přístup zahrnuje „přístup k údajům o svém zdravotním stavu, například k údajům ve své lékařské dokumentaci, která obsahuje například informace o diagnóze, výsledky vyšetření, posudky ošetřujících lékařů a údaje o veškeré léčbě a provedených ošetřeních nebo zákrocích“. Nebude už tedy rozhodně možné, aby lékař odmítnul vydat pacientovi výpis z jeho zdravotnické dokumentace s tím, že tuto předá pouze jinému lékaři.

Informace o zpracování osobních údajů, na něž má subjekt vůči správci nárok na základě své žádosti, jsou obsahově obdobné těm, které má správce automaticky poskytnout subjektu v rámci informační povinnosti, uvedené výše. Subjekt by měl tedy na svou žádost získat informace o tom, za jakým účelem se osobní údaje zpracovávají, o období, po které budou uchovávány, kdo jsou příjemci osobních údajů, v čem spočívá logika automatizovaného zpracování osobních údajů a jaké mohou být důsledky takového zpracování přinejmenším v případech, kdy je zpracování založeno na profilování. Preambule Nařízení doporučuje (slovy „je-li to možné…“), aby správci poskytli subjektům údajů dálkový přístup k bezpečnému systému, který by jim umožnil přímý přístup k jejich osobním údajům. Obecně panuje shoda o tom, že toto ustanovení má pouze povahu doporučení, nicméně pro správce představuje toto doporučení možnost doložit dodržování zásady odpovědnosti. V každém případě představují shora uvedená práva subjektů údajů důvod zanalyzovat si stav a možnosti stávajících informačních systémů a vnitřních procesů a případně provést jejich úpravy.

Zajímavé je, že preambule Nařízení obsahuje určité změkčení povinnosti správce v případě, že tento zpracovává velké množství informací týkajících se subjektu údajů – v takovém případě má mít před poskytnutím informací možnost požádat subjekt údajů, aby konkrétně uvedl, kterých informací nebo činností zpracování se jeho žádost týká. Z toho by vyplývalo, že v takovém případě správce nemusí subjektu poskytnout informace o úplně všech zpracovávaných údajích, v samotném textu Nařízení se však už žádné takové změkčení nevyskytuje. Nicméně s ohledem na základní funkci preambulí komunitárních předpisů, kterou je stanovit danému předpisu základní interpretační rámec, lze očekávat, že správci zpracovávající skutečně velké množství informací by si patrně svůj upřesňující požadavek obhájili. Pojem „velké množství informací“ však není nijak definován.

Právo na opravu zpracovávaných údajů

Článek 16 Nařízení zakotvuje právo subjektu požadovat vůči správci opravu nepřesně zpracovávaných údajů, a na doplnění údajů neúplných. Toto právo odpovídá dosavadnímu právu vyplývajícímu již ze Směrnice o ochraně osobních údajů, a samotný komunitární zákonodárce je patrně považuje za natolik jasné, že mu ani nevěnuje žádný samostatný bod v preambuli.

Právo na výmaz – tzv. právo být zapomenut

Právo požadovat na správci ukončení a výmaz osobních údajů sice existuje i podle dosavadní právní úpravy, Nařízení je však podstatně rozvádí. Obecně nastupuje právo subjektu na výmaz jeho osobních údajů v případech, kdy zpracování nesplňuje anebo přestalo splňovat požadavky Nařízení. Konkrétně čl. 17 obsahuje úplný výčet situací, kdy může subjekt požadovat výmaz svých údajů, přičemž zejména mezi nimi nalezneme případy, kdy (1) osobní údaje přestaly být potřebné pro účely, pro které byly shromážděny, (2) kdy subjekt údajů odvolal svůj souhlas se zpracováním a pro zpracování neexistuje žádný jiný důvod, anebo (3) subjekt údajů vznesl námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování (k právu subjektu na vznesení námitek viz dále).

Zvláštní režim při přijetí požadavku na výmaz údajů dopadá na správce, který osobní údaje subjektu zveřejnil – v takovém případě je povinen přijmout „s ohledem na dostupnou technologii a náklady na provedení“ přiměřené kroky k tomu, aby informoval ostatní správce, kteří na základě zveřejnění údajů tyto zpracovávají, že subjekt podal žádost o výmaz. Tento případ směřuje zejména k ochraně uživatelů v on-line prostředí, v němž dochází k přejímání osobních údajů jinými správci (například provozovateli internetových vyhledávačů), přičemž je nutno zdůraznit, že přiměřené kroky na straně správce mají směřovat pouze k informování jiných správců o žádosti, nikoliv k odstranění samotnému.

Nařízeno formuluje určité výjimky, kdy nebude možno právo na výmaze realizovat (např. je-li zpracování nezbytné pro výkon práva na svobodu projevu a informace).

Právo na omezení zpracování

Právem na omezení zpracování se rozumí uvedení osobních údajů do jakési izolace, kdy mohou být pouze uloženy, ale bez souhlasu subjektu údajů nemohou být (s určitými výjimkami pro zpracování z důvodu ochrany práv jiných osob nebo z důvodu ochrany veřejných zájmů Unie nebo členských států) nadále jakkoli jinak zpracovávány. Subjekt může k požadavku na omezení zpracování přistoupit zejména v případech, kdy:

• popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby správce mohl přesnost osobních údajů ověřit,
• zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů, a žádá místo toho o omezení jejich použití,
• nebo správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků (zejména např. v případě spotřebitelského sporu mezi správcem a subjektem).

V případě, že je zpracování prováděno automatizovanými prostředky, musí použitý informační systém omezení umožňovat, což podle povahy poskytované služby může znamenat přesunutí dat na samostatné úložiště, zablokování osobních údajů na internetových stránkách, nebo přijetí jiných opatření.

Právo na přenositelnost údajů

Toto právo je oproti stávající úpravě zcela nové. Subjekt může od správce požadovat vydání osobních údajů, které se ho týkají a která správci poskytl, ve strukturovaném, běžně používaném a strojově čitelném formátu, aby tyto údaje mohl samotný subjekt uchovat pro vlastní potřebu, anebo aby správce tyto údaje přímo předal jinému správci, kterého subjekt označí. Lze tedy požadovat, aby správce napřímo komunikoval s jiným správcem za účelem předání údajů. Za právní titul zpracování a celkový soulad zpracování s Nařízením na straně nového správce si však tento nový správce odpovídá zcela samostatně.

Právo na přenositelnost však není neomezené, Nařízení je výslovně zakládá pouze ve dvou případech – (1) zpracování je založeno na souhlasu subjektu nebo na smlouvě, jejíž je subjekt údajů smluvní stranou, anebo (2) zpracování se provádí automatizovaně. Nicméně vzhledem k tomu, že souhlas subjektů nebo plnění smluvní povinnosti jsou těmi nejčastějšími tituly zpracování osobních údajů, a málokteré zpracování neprobíhá prostřednictvím automatizovaných prostředků (zejm. elektronicky), je jasné, že se právo na přenos údajů bude týkat obrovského množství případů zpracování.

Za pozornost stojí podmínka, podle níž se přenositelnost týká pouze údajů, které subjekt správci poskytl – mohlo by se zdát, že se toto právo vztahuje pouze na údaje, které subjekt správci poskytl aktivně (prostřednictvím přihlašovacího formuláře apod.). Podle pracovní skupiny WP 29, poskytující interpretační vodítka k některým ustanovením Nařízení, však tato podmínka dopadá i na další data, která subjekt správci aktivně neposkytne, ale která správce získá sledováním chování subjektu (tedy pasivně poskytovaná data jako lokalizační údaje, historie vyhledávání nebo prohlížení internetových stránek, obsah e-mailů zaslaných subjektu apod.).

Výslovně se uvádí, že výkonem práva na přenositelnost není dotčeno právo na výmaz osobních údajů. Právo na přenositelnost se nevztahuje na zpracování nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci.

Právo vznést námitku proti zpracování

Právo na vznesení námitky proti zpracování je jednou z dalších novot, které Nařízení zavádí, přičemž je výslovně stanoví ve třech situacích:

1. jsou jeho osobní údaje subjektu zpracovávány pro účely přímého marketingu - na základě vznesení námitky musí správce okamžitě takového zpracovávání zanechat; v tomto případě není právo na vznesení námitky čímkoli dalším omezeno a má absolutní povahu (bude se zajisté doplňovat s úpravou odhlášení od zasílání obchodních sdělení, u nás obsaženou v zák. 480/2004 Sb. o některých službách informační společnosti);
2. při zpracování údajů pro účely vědeckého či historického výzkumu nebo pro statistické účely je subjekt oprávněn vznést námitku z důvodů, které se týkají jeho konkrétní situace, ledaže je zpracování nezbytné pro splnění úkolu prováděného z důvodů veřejného zájmu; toto právo je tedy méně absolutní, když v samotné námitce budou subjekty muset specifikovat důvody, týkající se jejich situace (na rozdíl od námitky podané v případě přímého marketingu, kdy nemusí být uváděn žádný důvod).
3. při zpracování z důvodu veřejného zájmu nebo při výkonu veřejné moci, nebo pro účely oprávněných zájmů příslušného správce či třetí strany, musí správce na základě námitky zanechat zpracování, ledaže prokáže oprávněné důvody zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo nezbytnost zpracování údajů pro určení, výkon nebo obhajobu právních nároků; i v tomto případě je podání námitky podmíněno důvody, týkajícími se konkrétní situace subjektu.

Ve všech případech oprávněného podání námitky by výsledkem mělo být upuštění od dalšího zpracování v rozsahu, odpovídajícím podané námitce.

Závěr

Pro všechna výše uvedená práva subjektů v užším smyslu je společné, že na tyto požadavky mají správci reagovat bez zbytečného odkladu, nejpozději do jednoho měsíce od přijetí požadavku (s ohledem na složitost a počet žádostí lze tuto dobu jednostranným oznámením správce vůči subjektu prodloužit na 2 měsíce). Správce musí rovněž vynaložit přiměřené prostředky k ověření identity osoby, která k němu podala žádost. V případě pochybnosti mají správci možnost žádat o poskytnutí dodatečných údajů k potvrzení totožnosti žadatele.

Jak je vidět, seznam práv subjektu údajů je poměrně rozsáhlý, a stejně rozsáhlá mohou být i opatření správců k tomu, aby byli schopni těmto právům vyhovět, a to i v případě, že požadavky vznesou třeba všechny subjekty údajů najednou. Správci údajů by si měli včas důkladně analyzovat, zda jejich informační systémy umožňují vyhledání a poskytnutí dat tak, aby bylo dosaženo uspokojení práv subjektů údajů a tedy souladu s Nařízením.

Právům subjektů odpovídá i množství povinností na straně správců – právě jim se bude věnovat následující díl našeho seriálu.

Mgr. et Mgr. Petr Mališ, advokát | malis@lawyer.cz Autor je společníkem v advokátní kanceláři Jansa, Mokrý, Otevřel & partneři s.r.o., kde se zabývá zejména smluvní úpravou v oblasti informačních technologií, ochrannými známkami a internetovým právem.