Nové práva dotčených osob

Mezi základní práva dotčených osob patří právo na informace, právo na opravu, právo na zapomnění (vymazání), právo na omezení zpracování, právo nesouhlasit se zpracováváním na základě veřejného zájmu, právo namítat proti automatizovanému rozhodování a profilování, zcela novým právem je právo na přístup k osobním údajům a právo na přenositelnost.

Právo namítat může dotyčná osoba uplatnit kdykoliv, čímž může napadat zpracovávání osobních údajů, které je prováděno na základě veřejného zájmu nebo oprávněných zájmů provozovatele nebo třetí strany, včetně zpochybnění profilování na základě těchto údajů. Dále v případě pokud osobní údaje dotyčné osoby zpracovávají pro účely přímého marketingu včetně profilování v rozsahu v jakém souvisí s tímto přímým marketingem, a v tomto případě je provozovatel povinen okamžitě ukončit zpracování a profilování údajů pro tyto účely.

Dotyčné osoby budou také moci namítat a žádat, aby se na ně nevztahovalo rozhodnutí, které je založeno výlučně na tzv. profilování – automatizované zpracování jejich osobních údajů bez jakéhokoli lidského zásahu (např. posuzování bonity při žádosti o úvěr).

Právo na přístup je právem dotyčné osoby, aby jí provozovatel na základě žádosti poskytl potvrzení o tom, zda zpracovává údaje, které se jí týkají a pokud ano, současně poskytnout další informace o těchto údajích, účelu zpracovávání, o příjemcích nebo třetích zemích, kde se údaje poskytli nebo budou poskytnuty, předpokládané době uchovávání údajů, informace o existenci automatizovaného rozhodování včetně profilování a jiné. Provozovatel bude po novém povinen poskytnout dotčené osobě kopii údajů, které o ní zpracovává. Takovou kopií může být výpis z evidence, případně zpřístupněním přes interní konto dotčené osoby u provozovatele, kde tu tyto údaje dostupné.

Právo na přenositelnost znamená, že dotyčná osoba bude mít právo získat osobní údaje, které se jí týkají a které poskytla provozovateli, v strukturovaném běžně používaném a strojově čitelném formátu (tj aby byly osobní údaje dále plnohodnotně použitelné) a bude mít právo tyto údaje přenést dalšímu provozovateli. Podmínkou uplatnění tohoto práva však je, že zpracování údajů u původního poskytovatele je založeno na souhlasu nebo na plnění smlouvy s dotyčnou osobou a současně jde o zpracovávání automatizovanými prostředky (ne papírové dokumenty). Dotyčná osoba bude moci žádat, aby provozovatel přenesl její údaje přímo jinému provozovateli, pokud je to technicky možné a současně tento postup nemá nepříznivé dopady na práva a svobody jiných.

Provozovatelé by tak měly poskytovat možnost přímého stažení osobních údajů a zároveň jejich přímý přenos jinému provozovateli. Provozovatelé by měly nabádat k tomu, aby vyvíjeli interoperabilní formáty, které přenosnost umožní. Cílem použití těchto postupů má být jednodušší změna např. poskytovatele služby. Není však vyřešena otázka rizikovosti a bezpečnosti zpracování u druhého provozovatele, tj např. pokud by se mělo jednat o přenos do třetích zemí. V zásadě však platí, že provozovatel přenášející osobní údaje není zodpovědný za další zpracování osobních údajů, přijímajícím provozovatelem nebo dotyčnou osobou, avšak odpovídá za přijetí bezpečnostních opatření, kterými se zajistí bezpečnost dat (např. Jejich šifrování) při jejich přenosu a jejich dodání správnému provozovateli (např. dodatečná autentifikace). Přijímající provozovatel nemusí přeneseny údaje zpracovávat na stejný účel jako původní provozovatel, přičemž by měl zajistit, aby předávané údaje byly přiměřené novému účelu zpracování a splnit všechny podmínky zákonnosti zpracování.

Zde se také vyvstává otázka, zda pod přenosnost spadají veškeré osobní údaje nebo existují výjimky. Ano existují výjimky z osobních údajů, které pod přenosnost nespadají. Jsou to údaje tzv. odvozené osobní údaje. To jsou např. údaje, které provozovatel získal individualizovaných, profilování, kategorizovaných nebo další analýzou údajů, poskytnutých dotyčnou osobou. Z uvedeného vyplývá, že pod právo na přenositelnost osobních údajů by měly spadat pouze ty osobní údaje, které provozovateli poskytla dotyčná osoba na právním základě souhlasu nebo plnění smlouvy. Stejně by pod právo na přenositelnost neměli spadat osobní údaje, které provozovatel získal od jiné než od dotyčné osoby.

Využití práva na přenositelnost nevede k výmazu osobních údajů u původního provozovatele, který osobní údaje zpracovává další, přičemž ho omezuje doba uchovávání.