Ako dotknuté osoby môžu mať prístup k všetkým svojim osobným údajom, ktoré má prevádzkovateľ u seba – či už v listinnej podobe, vo svojich softvéroch alebo aj v e-mailoch. Ide najmä o právo na transparentnú komunikáciu, právo na prístup, na zabudnutie, na opravu, na prenosnosť údajov i právo namietať.
Čo znamená transparentná komunikácia?
GDPR vychádza z požiadavky, aby dotknutá osoba vedela, ako prevádzkovateľ zaobchádza s jej údajmi. Preto je potrebné komunikovať s ňou tak, aby skutočne porozumela tomu, čo sa jej oznamuje. Všetky informácie jej musia byť poskytnuté stručne, transparentne, zrozumiteľne a musia byť ľahko dostupné. V záujme toho bude potrebné používať rôzne vizualizácie či ikony, ktoré zvyšujú prehľadnosť a zrozumiteľnosť.
Čo musí prevádzkovateľ oznámiť dotknutej osobe?
Dotknutá osoba má právo napríklad vedieť, na aký účel budú jej údaje spracúvané, na základe čoho, či budú prenášané do zahraničia, komu sú jej osobné údaje poskytované a ako dlho budú uchovávané. Musí byť tiež upozornená na to, že si svoje práva môže uplatňovať u prevádzkovateľa. Všetky tieto informácie majú byť dotknutej osobe známe v čase, keď svoje údaje prevádzkovateľovi poskytuje.
Môže mať dotknutá osoba prístup k svojim osobným údajom?
Dotknutá osoba má právo získať potvrdenie o tom, či jej osobné údaje prevádzkovateľ spracúva, a ak áno, má právo získať k nim prístup. Prevádzkovateľ je povinný jej poskytnúť kópiu osobných údajov, ktoré o nej spracúva. Ak je to možné, poskytne jej priamy vzdialený zabezpečený prístup k jej údajom, ktoré si bude môcť sama upraviť. Právo na prístup však nesmie ohroziť osobné údaje tretích osôb ani obchodné tajomstvo či duševné vlastníctvo prevádzkovateľa. V tomto prípade bude potrebné prístup zúžiť, nie však odoprieť.
Čo, ak sú osobné údaje nesprávne?
Dotknutá osoba má právo na opravu nepresných osobných údajov, ktoré o nej spracúva prevádzkovateľ, a na doplnenie neúplných údajov.
GDPR začne platiť 25. mája 2018, preto prípravu naň nemožno odkladať
Je možné žiadať o úplné vymazanie osobných údajov?
Právo na výmaz alebo právo na zabudnutie dáva dotknutej osobe možnosť za určitých okolností požadovať od prevádzkovateľa, aby zlikvidoval jej osobné údaje. Prevádzkovateľ má potom povinnosť vymazať ich všetky vrátane ich kópii a archivovaných údajov. Právo na zabudnutie nie je právom absolútnym. GDPR uvádza viacero výnimiek, keď prevádzkovateľ nebude musieť žiadosti vyhovieť. Pôjde zväčša o prípady povinného uchovávania údajov podľa osobitných predpisov (napr. na daňové účely je povinné uchovávanie údajov 10 rokov) alebo o prípady uchovávania údajov na obhajobu právnych nárokov (napr. na reklamačné účely). Prevádzkovateľ je povinný vymazanie osobných údajov oznámiť všetkým organizáciám, ktorým tieto údaje poskytol, aby ich mohli tiež vymazať.
Môže dotknutá osoba žiadať o prenos svojich údajov k inému poskytovateľovi služby?
Právo na portabilitu údajov je úplne novým právom, ktorého cieľom je umožniť prenos osobných údajov medzi prevádzkovateľmi. To by malo podporiť konkurenciu prevádzkovateľov. Dotknutá osoba môže požadovať prenos údajov k inému poskytovateľovi služby, ak sú jej údaje spracúvané elektronicky a na základe jej súhlasu alebo zmluvy uzavretej s prevádzkovateľom. Osobné údaje musia byť poskytnuté v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte. Bezpečnosť prenosu k novému poskytovateľovi musí zaručiť prevádzkovateľ.
Kedy je možné vzniesť námietku?
GDPR umožňuje dotknutej osobe vzniesť námietku proti spracúvaniu osobných údajov. Ide najmä o prípady, keď sa údaje spracúvajú na základe oprávneného záujmu, alebo o spracúvanie na účely priameho marketingu. Ak bola námietka oprávnená, je prevádzkovateľ povinný ukončiť spracúvanie osobných údajov. Je pritom povinný dotknutú osobu výslovne informovať o jej práve namietať, a to zreteľne a oddelene od akýchkoľvek iných oznámení.
Ako môže dotknutá osoba uplatniť svoje práva?
Prevádzkovateľ má podľa GDPR povinnosť uľahčovať výkon práv dotknutých osôb, čo znamená, že má zaviesť vhodné spôsoby, akými môžu žiadať o svoje práva –napríklad sprístupnením formulárov, dotazníkov či vytvorením hot linky. Formu komunikácie si primárne volí dotknutá osoba. Prevádzkovateľ musí byť schopný vybaviť žiadosti v rôznych formách, teda nielen elektronicky, ale aj telefonicky, ústne či písomne.
Dokedy musí prevádzkovateľ reagovať?
Prevádzkovateľ musí vybaviť žiadosť dotknutej osoby bezodkladne, najneskôr do jedného mesiaca od doručenia žiadosti. V zložitých prípadoch môže túto lehotu predĺžiť o dva mesiace a je povinný poskytovať informácie a vybavovať žiadosti bezplatne. V prípade, že by išlo o opakovanú žiadosť alebo žiadosť zjavne nedôvodnú alebo neprimeranú, môže požadovať za jej vybavenie poplatok.
Dotknuté osoby majú v rukách významný prostriedok kontroly nad svojimi osobnými údajmi. Aby prevádzkovatelia boli schopní reagovať na ich žiadosti včas, mali by mať prehľad o tom, aké osobné údaje spracúvajú, kde sa nachádzajú, a mali by mať funkčný interný systém na riešenie práv dotknutých osôb. GDPR začne platiť 25. mája 2018, preto prípravu naň nemožno odkladať.
Autorka je seniorný právnik advokátskej kancelárie SEMANČÍN & PARTNERS.
