Informační povinnost vůči subjektu údajů
Informační povinnost vůči subjektu údajů
- Povinnosti správce v oblasti poskytování transparentních informací, sdělení a postupů pro výkon práv subjektů údajů jsou detailně upraveny v článcích 12, 13 a 14 GDPR.
- Výjimka z povinnosti poskytnout informaci je přípustná pouze v tom případě, že subjekt údajů již těmito informacemi disponuje. Správce však musí být v případě potřeby schopen prokázat, že subjekt údajů byl skutečně informován o všech požadovaných informacích, tj. že došlo ke splnění informační povinnosti dle GDPR.
- Do poskytovaných informací subjektu údajů patří:
- totožnost a kontaktní údaje správce a jeho případného zástupce,
- kontaktní údaje pověřence pro ochranu osobních údajů (DPO – Data Protection Officer),
- právní důvod pro zpracování osobních údajů a účely zpracování,
- příjemce nebo kategorie příjemců osobních údajů,
- případný úmysl správce předat osobní údaje do třetí země nebo mezinárodní organizaci.
- Správce poskytne subjektu údajů v okamžiku získání osobních údajů další informace, jsou-li nezbytné pro zajištění spravedlivého a transparentního zpracování o:
- době, po kterou budou osobní údaje uloženy,
- právu požadovat od správce přístup, opravu nebo výmaz osobních údajů, popřípadě omezení zpracování,
- právu vznést námitku proti zpracování a právu na přenositelnost údajů,
- právu odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním,
- právu podat stížnost u dozorového úřadu,
- skutečnosti, zda poskytování osobních údajů je zákonným či smluvním požadavkem, nebo požadavkem, který je nutné uvést do smlouvy. Zda má subjekt údajů povinnost osobní údaje poskytnout, a o možných důsledcích neposkytnutí těchto údajů,
- skutečnosti, že dochází k automatizovanému rozhodování včetně profilování.
- Pokud správce hodlá osobní údaje dále zpracovávat pro jiný účel, než je účel, pro který byly shromážděny, poskytne subjektu údajů ještě před uvedeným dalším zpracováním informace o tomto jiném účelu.
- Správce přijme vhodná opatření, aby poskytl subjektu údajů stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace uvedené v článcích 13 a 14 GDPR, a učinil veškerá sdělení podle článků 15 až 22 a 34 GDPR o zpracování, zejména pokud se jedná o informace určené konkrétně dítěti. Informace poskytne písemně nebo jinými prostředky, ve vhodných případech v elektronické formě. Pokud si to subjekt údajů vyžádá, mohou být informace poskytnuty ústně, a to za předpokladu, že identita subjektu údajů je prokázána jinými způsoby.
- Pokud se jedná o žádost podle článků 15 až 22 GDPR, musí být informace o přijatých opatřeních poskytnuta bez zbytečného odkladu a v každém případě do jednoho měsíce od obdržení žádosti. Lhůtu lze ve výjimečných případech prodloužit o dva měsíce, o čemž musí být subjekt údajů ze strany správce informován, včetně důvodů prodloužení.
- Zásadně platí, že informace podle článků 13 a 14 GDPR a veškerá sdělení a úkony podle článků 15 až 22 a 34 GDPR se poskytují a činí bezplatně. Pouze v případě, kdy jsou žádosti podané subjektem údajů zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může správce buď uložit přiměřený poplatek, nebo odmítnout žádosti vyhovět. Zjevnou nedůvodnost dokládá správce.