27.10.2018

INFORMAČNÍ POVINNOSTI VŮČI SUBJEKTU ÚDAJŮ

 

  • Povinnosti správce v oblasti poskytování transparentních informací, sdělení a postupů pro výkon práv subjektů údajů jsou detailně upraveny v článcích 12, 13 a 14 GDPR.
  • Výjimka z povinnosti poskytnout informaci je přípustná pouze v tom případě, že subjekt údajů již těmito informacemi disponuje. Správce však musí být v případě potřeby schopen prokázat, že subjekt údajů byl skutečně informován o všech požadovaných informacích, tj. že došlo ke splnění informační povinnosti dle GDPR.
  • Do poskytovaných informací subjektu údajů patří:
    • totožnost a kontaktní údaje správce a jeho případného zástupce,
    • kontaktní údaje pověřence pro ochranu osobních údajů (DPO – Data Protection Officer),
    • právní důvod pro zpracování osobních údajů a účely zpracování,
    • příjemce nebo kategorie příjemců osobních údajů,
    • případný úmysl správce předat osobní údaje do třetí země nebo mezinárodní organizaci.
  • Správce poskytne subjektu údajů v okamžiku získání osobních údajů další informace, jsou-li nezbytné pro zajištění spravedlivého a transparentního zpracování o:
    • době, po kterou budou osobní údaje uloženy,
    • právu požadovat od správce přístup, opravu nebo výmaz osobních údajů, popřípadě omezení zpracování,
    • právu vznést námitku proti zpracování a právu na přenositelnost údajů,
    • právu odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním,
    • právu podat stížnost u dozorového úřadu,
    • skutečnosti, zda poskytování osobních údajů je zákonným či smluvním požadavkem, nebo požadavkem, který je nutné uvést do smlouvy. Zda má subjekt údajů povinnost osobní údaje poskytnout, a o možných důsledcích neposkytnutí těchto údajů,
    • skutečnosti, že dochází k automatizovanému rozhodování včetně profilování.
  • Pokud správce hodlá osobní údaje dále zpracovávat pro jiný účel, než je účel, pro který byly shromážděny, poskytne subjektu údajů ještě před uvedeným dalším zpracováním informace o tomto jiném účelu.
  • Správce přijme vhodná opatření, aby poskytl subjektu údajů stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace uvedené v článcích 13 a 14 GDPR, a učinil veškerá sdělení podle článků 15 až 22 a 34 GDPR o zpracování, zejména pokud se jedná o informace určené konkrétně dítěti. Informace poskytne písemně nebo jinými prostředky, ve vhodných případech v elektronické formě. Pokud si to subjekt údajů vyžádá, mohou být informace poskytnuty ústně, a to za předpokladu, že identita subjektu údajů je prokázána jinými způsoby.
  • Pokud se jedná o žádost podle článků 15 až 22 GDPR, musí být informace o přijatých opatřeních poskytnuta bez zbytečného odkladu a v každém případě do jednoho měsíce od obdržení žádosti. Lhůtu lze ve výjimečných případech prodloužit o dva měsíce, o čemž musí být subjekt údajů ze strany správce informován, včetně důvodů prodloužení.
  • Zásadně platí, že informace podle článků 13 a 14 GDPR a veškerá sdělení a úkony podle článků 15 až 22 a 34 GDPR se poskytují a činí bezplatně. Pouze v případě, kdy jsou žádosti podané subjektem údajů zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může správce buď uložit přiměřený poplatek, nebo odmítnout žádosti vyhovět. Zjevnou nedůvodnost dokládá správce.