Hlavní obsah
Aktuální dění

Dnešek je Dnem ochrany osobních údajů. Víte, jaká práva ve vztahu ke svým údajům máte?

Médium.cz je otevřená blogovací platforma, kde mohou lidé svobodně publikovat své texty. Nejde o postoje Seznam.cz ani žádné z jeho redakcí.

Foto: Fotolia.com

Každý jednotlivec se má svobodně rozhodnout, co s jeho osobními údaji bude. Právě proto vám GDPR přisuzuje v jejich souvislosti hned několik práv.

28. leden je připomínán jako mezinárodní Den ochrany osobních údajů. Se svými údaji přitom nakládáme denně. Mnohé internetové společnosti je pak využívají k cílenému marketingu. Co vše se rozumí osobními údaji a jaká práva v souvislosti s nimi máte?

Článek

Již v květnu 2018 nabylo účinnosti obecné nařízení o ochraně osobních údajů, známější pod zkratkou GDPR, které upravuje všechny podstatné aspekty ochrany osobních údajů. Zásadní změnu v chápání údajů a práv s nimi spojených sice GDPR tehdy nepřineslo, avšak přimělo společnost a firmy zpracovávající osobní údaje více si problematiky všímat a důkladněji dbát na zabezpečení osobních dat.

Co je osobním údajem

Definice osobního údaje je značně široká, protože jím je každá informace, na základě které lze identifikovat fyzickou osobu (člověka), jež se v terminologii GDPR nazývá subjekt údajů. Osobním údajem tak je jméno a příjmení, adresa, datum narození i rodné číslo, ale také síťový identifikátor (IP adresa) nebo fotografie, pokud z ní lze určit vyfocenou osobu. Rozhodovací praxe soudů již dříve zařadila mezi osobní údaje také telefonní číslo či e-mailovou adresu, protože umožňují se s jejich držitelem spojit v reálném čase, což je základní cesta, jak se někomu dostat do soukromí.

Kdo a jak osobní údaje zpracovává

Podobně široce je definováno také zpracování osobních údajů. Jedná se o jakoukoliv operaci s osobními údaji – počínaje zaznamenáním, přes uložení, až po jejich zničení. Cílem takto obsáhlých vymezení je chránit osobní údaje občanů Evropské unie v co největší možné míře. K tomu přispívá také to, že se unijním pravidlům musejí přizpůsobit i společnosti, které sice mají sídlo mimo EU, avšak zpracovávají údaje na jejím území. Zpracování provádí správce, případně jej může svěřit zpracovateli.

Osobní údaje musejí být zabezpečeny přiměřeně k rozsahu a rizikovosti zpracování. Pekař na rohu zaměstnávající dva pomocníky toho bude mít k zabezpečení méně než společnost provozující internetovou platební bránu a rizika budou také nesouměřitelná. Podle toho je nutné zvolit přiměřené prostředky ochrany: v prvním případě stačí uzamčená skříň se šanony a zaheslovaný počítač s nainstalovaným antivirem, ve druhém případě se společnost neobejde bez nákladného šifrovacího systému.

Při zpracování má správce také řadu informačních povinností. Pokud po vás někdo (a to i na internetu) bude chtít osobní údaje, měl by vám při jejich získávání vždy sdělit svou totožnost a kontaktní údaje. Měl by vám objasnit, proč a na co údaje požaduje, a také na jakém právním základu je bude zpracovávat – nejčastěji na základě smlouvy nebo souhlasu. Dále by vám měl sdělit, jestli údaje bude někomu předávat, jak dlouho je bude mít uloženy, a poučit vás o právech, která k nim podle GDPR máte.

Kdy je ke zpracování osobních údajů nutný souhlas

GDPR zná kromě souhlasu se zpracováním osobních údajů hned několik dalších důvodů, na jejichž základě lze údaje legálně zpracovávat. Nejčastější z nich je plnění smlouvy. Když například uzavřete kupní smlouvu s e-shopem, nebylo by možné vám řádně doručit zboží bez znalosti vašeho jména, příjmení a adresy. Dále je k nutné komunikaci (zaslání potvrzení a faktury) často potřeba také adresa e-mailová. Všechny tyto údaje proto může e-shop za účelem plnění smlouvy zpracovat bez vašeho souhlasu. Pokud by je však chtěl použít nad rámec smlouvy k reklamním účelům, musí vás zpravidla požádat o souhlas.

Písemné prohlášení o souhlasu a žádost o jeho udělení musejí být uvedeny odlišitelně od všech ostatních sdělení. GDPR zde stanovuje také podmínky srozumitelnosti a snadného přístupu za použití jasných a jednoduchých jazykových prostředků. To znamená, že není možné, abyste souhlas se zpracováním udělili bezděčně zaškrtnutím souhlasu s obchodními podmínkami, v nichž jsou tyto informace „ukryty“.

Také nelze souhlasem se zpracováním údajů podmiňovat plnění smlouvy, tedy dodání zboží či poskytnutí služby. Jestliže se na vás v tomto duchu obrátí nějaká společnost s tvrzením, že bez udělení vašeho souhlasu se zpracováním osobních údajů vám již nemůže nadále poskytovat své služby či s jejich poskytováním vůbec začít, není to pravda. I pokud souhlas neudělíte, nesmíte být při plnění smlouvy nijak znevýhodněni.

Dále je možné zpracovávat údaje, když je to nezbytné pro splnění právní povinnosti správce nebo pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci. Pokud tedy má úřad zákonem předepsáno, že musí pro účely evidence nějaké údaje zpracovávat, souhlas k tomu také nepotřebuje. Stejně tak zaměstnavatel musí dle zákoníku práce a předpisů o sociálním zabezpečení zpracovávat řadu údajů, a protože při tom plní své právní povinnosti, může tak činit i bez vašeho souhlasu.

Vaše práva k osobním údajům

GDPR vychází z toho, že se každý jednotlivec svobodně rozhoduje, co s jeho osobními údaji bude. Máte proto právo na přístup k osobním údajům, jež sestává z povinnosti správce sdělit vám na žádost, zda vaše údaje zpracovává. Pokud tomu tak je, musí vám poskytnout rovněž předepsané informace a kopii zpracovávaných osobních údajů.

Každou žádost podle GDPR musí správce vyřídit do jednoho měsíce od jejího obdržení, a to bezplatně. To neplatí, pokud jsou žádosti zjevně nedůvodné nebo nepřiměřené (často se opakují). V takovém případě může správce buď uložit přiměřený poplatek za vyřízení, nebo žádosti nevyhovět. U kopie zpracovávaných údajů platí, že bezplatně poskytuje správce vždy jen tu první.

Právo na opravu a „právo být zapomenut“

Jakmile dojde ve vašich osobních údajích k nějaké změně, máte právo na to, aby správce bez zbytečného odkladu nepřesnosti opravil, případně doplnil údaje neúplné. Právo na výmaz neboli právo být zapomenut v sobě zahrnuje základní pravidlo, že jakmile již nejsou údaje potřebné pro účely, pro které byly shromážděny, musejí být co nejdříve vymazány. To se vztahuje také na situaci, kdy odvoláte souhlas se zpracováním svých údajů – pokud neexistuje žádný další právní důvod pro zpracování (například uzavřená smlouva), musí správce údaje vymazat.

Právo být zapomenut je však vykládáno ještě šířeji. Podle bývalé právní úpravy už v roce 2014 rozhodl Soudní dvůr Evropské unie, že internetové vyhledávače jsou zodpovědné za obsah, na který odkazují. Výsledkem takového výroku ve sporu mezi španělským občanem a společností Google bylo, že Google musel vymazat výsledky vyhledávání, jež se zobrazily po zadání jména Španěla, i když vyhledávač pouze odkazuje na stránky s informacemi zveřejněnými třetími stranami. Konkrétně Google můžete o odstranění obsahu požádat skrze webový formulář, který naleznete v sekci nejčastějších dotazů v rubrice ochrana soukromí a smluvní podmínky.

Právo na přenositelnost údajů a právo vznést námitku

Přenositelnost spočívá v tom, že jako subjekt údajů máte právo od správce získat svá osobní data ve strukturovaném, běžně používaném a strojově čitelném formátu a předat je jinému správci, aniž by vám v tom ten původní mohl bránit. Takový postup je však možný pouze v případě, kdy jsou údaje zpracovávány automatizovaně na základě souhlasu nebo smlouvy. Pokud je to technicky proveditelné, můžete navíc požadovat, aby si správci předali údaje přímo mezi sebou. Zavedení práva na přenositelnost má zjednodušit přechody mezi různými poskytovateli služeb, kteří předávání údajů často komplikovali ve snaze udržet si zákazníka.

Námitku můžete vznést proti zpracování, jež je prováděno ve veřejném zájmu či při výkonu veřejné moci nebo pro účely oprávněných zájmů správce. Jedním z oprávněných zájmů může být takzvaný přímý marketing, tedy zasílání nabídek, které přímo souvisejí s dřívějším nákupem a jsou proto očekávatelné. Například může jít o nabídku stélek do bot a impregnačního spreje od prodejce, u něhož jste si dříve zakoupili boty. Jestliže vznesete námitku proti přímému marketingu, musí správce přestat se zpracováváním vašich údajů. V dalších případech může ve zpracovávání pokračovat jedině tehdy, prokáže-li závažné oprávněné důvody pro zpracování, které převažují nad vašimi zájmy nebo nad vašimi právy a svobodami. Pokračovat ve zpracování lze také tehdy, pokud jsou údaje potřebné pro určení, výkon nebo obhajobu právních nároků.

A co sociální sítě

Na sociální sítě uživatelé nahrávají denně velké množství osobních údajů – ať už se jedná o fotografie s životními úspěchy, informace o změně zaměstnání, o stěhování, či jednoduše „jen“ jméno, příjmení a datum narození. Rozsáhlé poskytování údajů ale nepřispěje pouze „k lepšímu uživatelskému zážitku“, jak provozovatelé sociálních sítí deklarují. Osobní údaje jsou v podstatě platidlem, které je směňováno za možnost využívat službu. Sociální sítě a další internetové společnosti – především Meta a Google – totiž někde své příjmy získat musejí, pokud poskytují své služby zdarma – primárním zdrojem příjmů je jim využívání osobních údajů pro účely cílené a další reklamy.

Co když někdo své povinnosti porušuje

Pokud máte podezření, že správce vaše údaje zpracovává v rozporu s domluveným účelem, dostatečně je nezabezpečil nebo ignoruje vaše požadavky, můžete podat stížnost k Úřadu pro ochranu osobních údajů (ÚOOÚ). O postupu v řešení stížnosti či přímo o jeho výsledku má úřad povinnost vás vyrozumět do tří měsíců. Pokud tak neučiní, můžete se obrátit na soud. U něj se rovněž můžete domáhat náhrady újmy, kterou vám správce porušením svých povinností způsobí.

Máte na tohle téma jiný názor? Napište o něm vlastní článek.

Texty jsou tvořeny uživateli a nepodléhají procesu korektury. Pokud najdete chybu nebo nepřesnost, prosíme, pošlete nám ji na medium.chyby@firma.seznam.cz.

Sdílejte s lidmi své příběhy

Stačí mít účet na Seznamu a můžete začít psát. Ty nejlepší články se mohou zobrazit i na hlavní stránce Seznam.cz