Práva dotknutých osôb, ktoré by ste mali poznať


Ako osoba zodpovedná za GDPR firmy si musíte dávať pozor nielen na dodržiavanie všetkých povinností, ktoré vám GDPR zákon nariaďuje, ale aj na práva dotknutých osôb. Dotknutou osobou je každý človek, ktorý vám, prípadne vašej firme poskytne niektoré z osobných údajov, ktorých spracovanie upravujú zákony GDPR.

Hneď prvou vecou, ktorú by ste si v súlade s právami dotknutých osôb mali uvedomiť, je vaša povinnosť informovať dotknuté osoby o ich právach. Naviac, na dostupnom mieste musíte zverejniť svoje kontaktné údaje, aby vás mohli dotknuté osoby jednoducho kontaktovať. Ako prevádzkovateľ máte právo túto povinnosť odmietnuť, musíte však preukázať právne dôvody takéhoto konania, ktoré sú nadradené nad práva dotknutej osoby. Dotknuté osoby naviac musíte o tejto skutočnosti informovať.

Prejdime však na 8 práv dotknutých osôb, na ktoré by ste ako prevádzkovateľ a osoba zodpovedná za GDPR firmy mali dbať.

1. Právo byť informovaný

Dotknuté osoby majú právo byť informované o tom, prečo a ako budú ich osobné údaje spracúvané. Tieto informácie musíte dotknutým osobám poskytnúť v čase, keď sú ich osobné údaje zbierané, nemusíte ich však poskytovať v prípade, ak už boli poskytnuté predtým. Informácie musia zahŕňať totožnosť a kontaktné údaje prevádzkovateľa, kategórie údajov a účely spracovania vrátane právneho základu alebo oprávnených záujmov na spracovanie, v prípade zverejnenia alebo presunu údajov do tretích krajín informácie o príjemcoch alebo kategórii príjemcov, prípadne skutočnosť, že máte v úmysle previesť osobné údaje do tretej krajiny (mimo EÚ alebo Spojeného kráľovstva) a opis príslušných ochranných opatrení.

2. Právo na prístup

Dotknuté osoby majú právo požiadať o prístup k osobným údajom. Môžu požiadať o potvrdenie, že ich údaje sa spracovávajú a o tom, ktoré kategórie údajov sa spracúvajú. Ako prevádzkovateľ musíte byť schopný preukázať zákonnosť spracovania, ako je napríklad súhlas dotknutej osoby alebo nevyhnutnosť pre plnenie zmluvy, oprávnené dôvody každej spracovateľskej činnosti atď.. Informácie ste povinný poskytnúť do 1 mesiaca, ak je žiadosť príliš komplikovaná, najneskôr do 2 mesiacov. Ak nie je žiadosť neprimeraná alebo opakovaná, ste povinný poskytnúť tieto údaje bezplatne. Ak sú žiadosti zjavne neopodstatnené, môžete odmietnuť odpovedať, ale musíte udať legitímne dôvody a informovať dotknutú osobu o jej práve podať sťažnosť dozornému orgánu.

3. Právo na opravu

Dotknuté osoby majú právo na to, aby boli ich osobné údaje aktualizované, upravené, prípadne doplnené o dodatočné údaje. Ak žiadosť nie je príliš komplikovaná, máte povinnosť túto úpravu vykonať najneskôr do 1 mesiaca.

4. Právo na vymazanie

Samozrejmosťou je právo dotknutej osoby na vymazanie osobných údajov, ktoré vám poskytla. Ako prevádzkovateľ ste povinný tieto údaje bezodkladne vymazať v prípade splnenia aspoň jednej z nasledovných podmienok – osobné údaje už nie sú potrebné k účelu, na ktorý boli pôvodne zhromaždené a spracované, dotknutá osoba odobrala svoj súhlas, dotknutá osoba namietla proti spracovaniu údajov a prevádzkovateľ nepreukázal žiadne oprávnené dôvody na pokračovanie spracovania, osobné údaje boli spracované neoprávnene alebo osobné údaje musia byť vymazané, aby sa splnili zákonné povinnosti prevádzkovateľa. O vymazaní osobných údajov ste povinný informovať aj tretie strany, ak im boli tieto údaje poskytnuté.

Naopak, ako prevádzkovateľ máte právo odmietnuť vymazanie osobných údajov. Musí však platiť, že osobné účely sú potrebné na jeden z nasledovných účelov – na uplatnenie práva na slobodu prejavu alebo práva na informácie, na splnenie povinnosti podľa osobitného predpisu, na plnenie zmluvy a právnu povinnosť prevádzkovateľa v súvislosti so zmluvou, na archívne účely verejného záujmu, vedeckého výskumu alebo historických alebo štatistických účelov a zastavenie spracovávania by mohlo vážne narušiť dosiahnutie cieľov tohto spracovania, alebo aj údaje slúžia na plnenie alebo obhajobu právnych nárokov.

5. Právo na obmedzenie spracovania

Dotknuté osoby môžu požiadať o obmedzenie spracovania ich osobných údajov v prípade, že presnosť osobných údajov je sporná, spracovanie je nezákonné, ale dotknutá osoba namietla proti vymazaniu osobných údajov, prevádzkovateľ už nepotrebuje osobné údaje na účely spracovania, ale sú vyžiadané dotknutou osobou alebo sa tieto údaje vyžadujú na ustanovenie alebo ochranu právnych nárokov dotknute osoby, alebo dotknutá osoba vzniesla námietku proti spracovaniu. Ak je spracovanie obmedzené, môžete osobné údaje naďalej uchovať, avšak ďalšie spracovanie je možné len so súhlasom dotknutej osoby. O obmedzení spracovania musíte informovať aj tretie strany, ktorým boli tieto údaje poskytnuté.

6. Právo na prenosnosť osobných údajov

Prenos údajov sa v praxi zvyčajne uskutoční vtedy, keď zákazník prepíše zmluvy medzi spoločnosťami, ako sú napríklad zmluvy s mobilným operátorom. Ak sú osobné údaje prenesené na inú spoločnosť, nová spoločnosť sa stáva prevádzkovateľom osobných údajov. Ako prevádzkovateľ ste povinný tieto údaje na žiadosť dotknutej osoby preniesť. Právo prenosnosti údajov platí, iba ak ide o osobné údaje, ktoré dotknutá osoba aktívne poskytla prevádzkovateľovi a ktoré sa týkajú dotknutej osoby, ak sa spracovanie zakladá na súhlase jednotlivca alebo na plnení zmluvy (pokiaľ prevádzkovateľ nemá právnu povinnosť pokračovať v zmluve a v spracovávaní osobných údajov) a v prípade, že sa spracovanie vykonáva automatizovanými prostriedkami.

7. Právo namietať

Dotknuté osoby majú právo vzniesť námietky na spracúvanie osobných údajov. Toto právo platí v prípade, že spracovanie sa zakladá na legitímnych záujmoch alebo plnení úlohy vo verejnom záujme úradnej moci, spracovanie zahŕňa priamy marketing alebo profilovanie, prípadne sa jedná o spracovanie viažuce sa ku konkrétnej situácii, okrem prípadu, ak spracovanie slúži na účely vedeckých, historických alebo štatistických zisťovaní, prípadne ak je nevyhnutné z dôvodov verejného záujmu. Kým sa nepreukážu legitímne dôvody na spracovanie, ste povinný na základe námietky spracúvanie osobných údajov danej dotknutej osoby pozastaviť. O práve dotknutej osoby namietať by ste mali informovať pri prvom kontakte s dotknutou osobou.

8. Práva súvisiace s automatizovaný rozhodovaním vrátane profilovania

Dotknutá osoba má právo nepodliehať rozhodnutiu založenému výlučne na automatizovanom spracovaní. Ako prevádzkovateľ ste povinný upozorniť dotknuté osoby na to, že ich údaje sú vyhodnocované automatizovaným systémom. V prípade profilovania by ste mali byť schopný preukázať, že dotknutá osoba poskytla na takéto spracovanie svoj výslovný súhlas.

Ako prevádzkovateľ môžete vykonávať čisto automatizované rozhodovanie v prípade, že je nevyhnutné pre uzatvorenie alebo plnenie zmluvy medzi spoločnosťou a dotknutou osobou, je autorizované zákonom alebo ho môžete vykonávať na základe výslovného súhlasu dotknutej osoby.

Veríme, že vďaka nášmu článku ste lepšie porozumeli základným právam dotknutých osôb a dokážete ich plnohodnotne zakomponovať do GDPR firmy.

 

 

BlogyOchrana osobných údajov