PRÁVA DOTKNUTÝCH OSÔB PODĽA VŠEOBECNÉHO NARIADENIA O OCHRANE ÚDAJOV
Dotknutou osobou je každá fyzická osoba, ktorej osobné údaje sa spracúvajú, pričom nie je dôležité, či je táto osoba občanom EÚ alebo nie. Všeobecné nariadenie o ochrane údajov[1] priznáva dotknutej osobe niekoľko práv, ktoré si môže uplatniť priamo u prevádzkovateľa (teda subjektu, ktorý jej osobné údaje spracúva).
1.Právo na prístup k údajom
- máte právo od prevádzkovateľa žiadať
- vydanie potvrdenia či sú alebo nie sú Vaše osobné údaje spracúvané
- prístup k Vašim osobným údajom a ďalším informáciám
- poskytnutie kópie osobných údajov, ktoré o Vás spracúva
- informácie o primeraných zárukách, ak sa osobné údaje prenášajú do tretej krajiny alebo medzinárodnej organizácii
- v prípade opätovnej žiadosti o kópiu prevádzkovateľ môže účtovať primeraný poplatok
- vzor: Žiadosť na prístup k osobným údajom
- podrobnejšie k právu na prístup k údajom v čl. 15 všeobecného nariadenia o ochrane údajov
Príklad: Ak dotknutá osoba požaduje kópiu svojich osobných údajov spracúvaných prostredníctvom monitorovania kamerovým systémom pri vchode do nákupného centra s 30000 návštevníkmi za deň, dotknutá osoba by mala presnejšie uviesť, kedy prešla monitorovanou oblasťou, poskytnutím časového rámca približne jednej hodiny. Ak prevádzkovateľ materiál stále spracúva, kópiu kamerového záznamu by mal poskytnúť. Ak je v tom istom materiáli možné identifikovať ďalšie dotknuté osoby, túto časť materiálu je pred odovzdaním kópie dotknutej osobe, ktorá žiadosť predložila, potrebné anonymizovať (napr. rozmazaním kópie alebo jej častí).[2]
2.Právo na opravu
Príklad: Firma vedie telefónny zoznam všetkých svojich zamestnancov, v ktorom je uvedené meno, priezvisko a pracovné číslo zamestnancov. Zamestnanec A si všimol, že pri jeho priezvisku je v telefónnom zozname chyba, keďže k jeho priezvisku pridali koncovku –ová. Zamestnanec si u zamestnávateľa uplatní právo na opravu nesprávnych osobných údajov.
3.Právo na vymazanie (právo „na zabudnutie“)
- máte právo si u prevádzkovateľa uplatniť vymazanie Vašich osobných údajov, ak je splnený jeden z týchto dôvodov
- Vaše osobné údaje už nie sú potrebné na účely, na ktoré sa získavali alebo inak spracúvali
- odvolali ste súhlas so spracúvaním
- využili ste právo namietať a prevádzkovateľ mu vyhovel
- Vaše osobné údaje sa spracúvajú nezákonne
- ide o právnu povinnosť prevádzkovateľa vymazať Vaše údaje
- Vaše osobné údaje sa získavali v súvislosti s ponukou služieb informačnej spoločnosti
- čl. 17 v odseku 3 upravuje výnimky z tohto práva
Príklad: Obchod so zmiešaným tovarom má problémy s vandalizmom, ktorý sa týka najmä jeho exteriéru, a preto využíva monitorovanie kamerou, ktorá je umiestnená vonku nad vchodom priamo upevnená na stenách. Okoloidúci požiada o vymazanie svojich osobných údajov z momentu, keď popri obchode prechádzal. Prevádzkovateľ je povinný na žiadosť odpovedať bez zbytočného odkladu a najneskôr do jedného mesiaca. Keďže predmetný záznam už nespĺňa účel, na ktorý bol pôvodne uchovávaný (v čase, keď dotknutá osoba prechádzala popri obchode, nedošlo k vandalizmu), v čase žiadosti neexistuje žiadny oprávnený záujem na uchovávaní údajov, ktorý by prevážil nad záujmami dotknutých osôb. Prevádzkovateľ musí osobné údaje vymazať.
4.Právo na obmedzenie spracúvania
- máte právo od prevádzkovateľa žiadať obmedzenie spracúvania Vašich údajov,
- ak ste u prevádzkovateľa napadli správnosť osobných údajov
- ak spracúvanie, ktoré prevádzkovateľ vykonáva je protizákonné a namiesto vymazania žiadate obmedzenie ich použitia
- ak prevádzkovateľ už nepotrebuje osobné údaje, ale potrebujete ich Vy na preukázanie, uplatňovanie alebo obhajovanie právnych nárokov
- ak ste využili právo namietať a osobné údaje sú spracúvané na právnom základe, ktorým je verejný záujem alebo oprávnený záujem
Príklad: Sporiteľ (dotknutá osoba) si všimne, že doplnková dôchodcovská spoločnosť (DDS) zapísala za mesiac jún príspevok nižší než aký mu bol odpočítaný z výplaty. Uplatní si u DDS právo na opravu nesprávnych údajov a zároveň počas doby pokiaľ jej právu vyhovie si sporiteľ uplatní aj právo na obmedzenie spracúvania.
5.Právo na prenosnosť údajov
- máte právo od prevádzkovateľa získať svoje osobné údaje a preniesť ich ďalšiemu prevádzkovateľovi za súčasného splnenia týchto podmienok
- spracúvanie je založené na súhlase alebo zmluve a
- spracúvanie sa vykonáva automatizovanými prostriedkami
- požadované osobné údaje by sa mali týkať dotknutej osoby a malo by ísť o údaje, ktoré táto osoba poskytla
- uplatňovanie tohto práva by nemalo mať nepriaznivý vplyv na práva a slobody tretích strán
- v rámci tohto práva môžete:
- získať svoje osobné údaje od prevádzkovateľa v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte
- žiadať priame poskytnutie Vašich údajov ďalšiemu prevádzkovateľovi
Príklad: Ako príklad osobných údajov, ktoré vo všeobecnosti patria do rozsahu práva na prenosnosť údajov možno uviesť napríklad názvy kníh nakúpených určitou osobou z internetového kníhkupectva alebo piesne prehrané prostredníctvom služby pre prenos hudby, pretože sa spracúvajú na základe plnenia zmluvy, ktorej zmluvnou stranou je dotknutá osoba.[4]
6.Právo namietať
- máte právo u prevádzkovateľa namietať v nasledujúcich prípadoch
- ak sú Vaše osobné údaje spracúvané na právnom základe, ktorým je verejný záujem alebo oprávnený záujem
- ak dochádza k profilovaniu založenému na verejnom záujme alebo oprávnenom záujme
Príklad: Spotrebiteľ si objedná oblečenie z internetového obchodu (e-shop). Na základe tejto objednávky mu internetový obchod začne posielať newsletter s novými ponukami a akciami na emailovú adresu, ktorú spotrebiteľ uviedol ako kontaktný údaj na účely vybavenia objednávky. Spotrebiteľ nechce dostávať tieto emaily, preto si uplatní u internetového obchodu právo namietať. Nakoľko internetový obchod zasiela newsletter na základe oprávneného záujmu), je povinný prestať spracúvať emailovú adresu na tento účel.
7.Právo na to, aby sa na Vás nevzťahovalo automatizované individuálne rozhodovanie vrátane profilovania
Príklad: Podnik inzeruje voľné pracovné miesto. Keďže práca pre predmetný podnik je populárna, podnik dostáva desiatky tisíc žiadostí. V dôsledku mimoriadne vysokého objemu žiadostí môže podnik zistiť, že prakticky nie je možné identifikovať vhodných kandidátov bez toho, aby sa najprv použili plne automatizované prostriedky na vyradenie irelevantných žiadostí. V tomto prípade môže byť potrebné automatizované rozhodovanie, aby sa vytvoril užší zoznam možných kandidátov, s úmyslom uzavrieť zmluvu s dotknutou osobou.[5]
8.Právo odvolať súhlas
- ak prevádzkovateľ spracúva Vaše osobné údaje na základe súhlasu/výslovného súhlasu, máte právo kedykoľvek tento súhlas odvolať
- odvolať súhlas by ste mali vedieť rovnako ľahko ako ste ho udelili
Príklad: Hudobný festival predáva vstupenky prostredníctvom online predajcu vstupeniek. Pri každom online predaji vstupenky sa požaduje súhlas s cieľom využívať kontaktné údaje na marketingové účely. Na vyjadrenie súhlasu na tento účel môžu zákazníci zvoliť možnosť Nie alebo Áno. Prevádzkovateľ informuje zákazníkov, že majú možnosť odvolať svoj súhlas. Urobiť to môžu tak, že sa obrátia na bezplatnú telefonickú službu v pracovných dňoch od 8:00 do 17:00. Prevádzkovateľ v tomto príklade nekoná v súlade s článkom 7 ods. 3 všeobecného nariadenia o ochrane údajov. Odvolanie súhlasu si v tomto prípade vyžaduje telefonický hovor počas pracovných hodín, čo je zaťažujúcejšie než jedno kliknutie myšou potrebné na poskytnutie súhlasu prostredníctvom online predajcu vstupeniek, ktorý je otvorený 24 hodín denne, 7 dní v týždni.[6]
9.Právo podať návrh na začatie konania o ochrane osobných údajov
- ako dotknutá osoba máte právo Úradu na ochranu osobných údajov SR podať návrh na začatie konania o ochrane osobných údajov
- bližšie k návrhu na začatie konania sa dočítate na tomto odkaze a v časti Ako postupovať, ak prevádzkovateľ neodpovedal alebo nevyhovel vašej žiadosti?
AKO MÁTE POSTUPOVAŤ PRI UPLATNENÍ VAŠICH PRÁV?
- Svoje práva si uplatňujete vždy u toho, kto Vaše osobné údaje spracúva, t. j. u konkrétneho prevádzkovateľa.
- Ak má prevádzkovateľ zodpovednú osobu, môžete Vašu žiadosť adresovať aj tejto osobe.
- Žiadosť môže byť ústna, písomná, elektronická prípadne podaná inými prostriedkami (všeobecné nariadenie o ochrane údajov nepredpisuje konkrétnu formu). Odporúčame využiť najmä písomnú alebo elektronickú formu, aby bolo možné v prípadnom konaní o ochrane osobných údajov preukázať, že ste si svoje právo uplatnili.
- Pripravte si identifikačné údaje ako napr. číslo zmluvy, Vaše ID u prevádzkovateľa, používateľské meno alebo heslo a pod. teda identifikátor, na základe ktorého Vás prevádzkovateľ bude schopný vo svojom prostredí identifikovať a poskytnúť Vám tak údaje, ktorá sa Vás týkajú.
- Prevádzkovateľ je povinný vybaviť Vašu žiadosť bezodkladne, najneskôr do 1 mesiaca od jej doručenia.
AKO POSTUPOVAŤ, AK PREVÁDZKOVATEĽ NEODPOVEDAL ALEBO NEVYHOVEL VAŠEJ ŽIADOSTI?
- Ak Vám prevádzkovateľ:
- v lehote 1 mesiaca (prípadne v predĺženej lehote) na Vašu žiadosť neodpovedal
- nevyhovel a myslíte si, že vyhovieť mal
- odpovedal, avšak nie ste s postupom prevádzkovateľa spokojný
môžete sa obrátiť na Úrad na ochranu osobných údajov SR a podať návrh na začatie konania o ochrane osobných údajov.
- Vzor návrhu ako aj všetky potrebné bližšie informácie k návrhu a konaniu nájdete na tomto odkaze.
- Dôležité je pripraviť si dôkazy, ktoré potvrdzujú Vaše tvrdenia uvedené v návrhu (napr. kópia listiny, prostredníctvom ktorej ste si práva uplatnili u prevádzkovateľa, odpoveď prevádzkovateľa, ak Vám tento odpovedal a pod.).
Pokiaľ pôjde o situáciu, v ktorej ste si svoje práva nevedeli uplatniť, je potrebné uviesť v návrhu, prečo nebolo možné si tieto práva u prevádzkovateľa uplatniť.
Verzia pre tlač