20.12.2018
Práva subjektů údajů a jejich uplatňování v podmínkách obcí: Právo na informace o zpracování osobních údajů a právo na přístup k údajům
Obecné nařízení GDPR přiznává subjektům údajů práva, která jsou při zpracování osobních údajů základem a nosným pilířem evropské úpravy ochrany osobních údajů. Tato práva mají vyvážit nerovný vztah mezi správcem a subjektem údajů, který musí zpracování svých osobních údajů mnohdy strpět.
Obecné nařízení GDPR přiznává subjektům údajů práva, která jsou při zpracování osobních údajů základem a nosným pilířem evropské úpravy ochrany osobních údajů. Tato práva mají vyvážit nerovný vztah mezi správcem a subjektem údajů, který musí zpracování svých osobních údajů mnohdy strpět. Mezi taková zpracování patří i některá vrchnostenská zpracování prováděná obcemi jakožto orgány veřejné moci.
Jedním ze základních práv je právo na informace o zpracování osobních údajů a právo na přístup k osobním údajům. Tato práva nejsou vůbec nová. Nacházejí se ve stále platné stojedničce (zákon č. 101/2000 Sb., o ochraně osobních údajů) a obecné nařízení GDPR je propracovalo a aktualizovalo.
Jaké osobní údaje o mě zpracováváte a proč?
Nezvykle poklidný pondělek po rušném víkendu. Úřednice rutinně zapisuje došlou poštu a zařazuje do šanonů dokumenty vyřízené v předchozím týdnu. Starosta pročítá poslední číslo svazového oběžníku INs a brblá, co nových povinností zase obcím přibude. Výpis z CzechPointu ani známku na popelnici dnes také nikdo nechce, přitom minulý týden se tu netrhly dveře. „Ťuk, ťuk“ ozve se. A do místnosti vstoupí občan. „Jaké osobní údaje o mě zpracováváte a proč?“ Novinka jménem „GDPR“ si žádá první „akci“ a štěstí přeje připraveným! Pohotový starosta odloží INs a odkáže občana na obecnou informaci o zpracování osobních údajů, kterou obec zveřejnila na svých webových stránkách. Občan ale namítá, že „to“ už četl a že chce vědět víc. Do toho vstoupí úřednice a mile ho odkáže na jedno z jeho GDPR práv: „Můžete si podat žádost. O jaké informace máte konkrétně zájem? Jedná se vám o zpracování vašich osobních údajů např. poplatkové agendě anebo chcete vědět, jaké osobní údaje jsme zpracovávali za posledních pět let?“.
Takováto situace nebude na obecním úřadě nic neobvyklého. Důležité je, aby obec věděla, jak v takovéto situaci postupovat. Obec má povinnost občany o své činnosti informovat – být transparentní. A právo na přístup k osobním údajům, stejně jako právo na informace, se zásadou transparentnosti úzce souvisí.
Právo na informace o zpracování osobních údajů
Podle obecného nařízení GDPR při zahájení zpracování osobních údajů má každý subjekt údajů právo automaticky získat informace o osobních údajích, které jsou o něm správcem shromažďovány. Z pohledu subjektu údajů se jedná o právo pasivní – musí být správcem informován a pro správce o právo aktivní – musí informovat. Tyto informace mohou být poskytnuty buď adresně (přímo subjektu údajů), například e-mailem, dopisem, na formuláři určeném k informování, anebo ve zobecněné podobě například publikováním politiky ochrany osobních údajů na webových stránkách obce a odkázáním na tuto obecnou informaci. Na webech obcí pak můžeme tuto obecnou informaci nalézt pod různými názvy jako např. Ochrana soukromí, Zásady zpracování osobních údajů či Infomemorandum atp. Obecné nařízení GDPR rozlišuje obsah informací podle toho, zda osobní údaje správce získal anebo nezískal od subjektů údajů (podle zdroje) a podle způsobu získání osobních údajů stanovuje i základní informační minimum (čl. 13 a 14).
Právo na přístup k údajům
Oproti informační povinnosti podávané automaticky (bez žádosti), je předmětem práva na přístup k údajům (na základě žádosti), aby subjekt údajů získal od správce potvrzení, zda jsou jeho osobní údaje zpracovávány. Dojde-li správce k závěru, že osobní údaje tohoto subjektu údajů (žadatele) nezpracovává, pouze mu tento fakt oznámí. Pokud ale zjistí, že osobní údaje zpracovává, je povinen umožnit mu přístup k jeho osobním údajům a to poskytnutím ve formě tzv. kopie a zároveň ho informuje o účelech zpracování, zdrojích, pokud nebyly získány od subjektu údajů, příjemcích a kategorii příjemců, plánované době uložení, a dále o existenci práva na opravu či výmaz, omezení zpracování, vznesení námitky, podání stížnosti k dozorovému úřadu a rovněž o skutečnosti, zda dochází k automatizovanému rozhodování včetně profilování, popř. další smysluplné informace pro dané zpracování.
Formu žádosti obecné nařízení nestanovuje, a proto může být žádost uplatněna jak písemně, tak i ústně a to jak prezenčně, tak i na dálku (dopis, e-mail, telefonát). O to větší pozornost pak musí obec věnovat přesné identifikaci žadatele a jeho správnému ztotožnění se subjektem údajů. V případě pochybnosti o totožnosti žádající osoby, může využít postup dle článku 12 odst. 6 obecného nařízení a vyžádat si dodatečné informace nezbytné k potvrzení totožnosti žadatele.
Právo na přístup k osobním údajům může subjekt údajů uplatnit kdykoliv v průběhu zpracování, podle svého vlastního uvážení, na základě podané žádosti. Jedná se tedy o právo aktivní. Velmi často je ale toto právo zaměňováno s právem na svobodný přístup k informacím podle zákona č. 106/1999 Sb. Zásadní rozdíl je ale v tom, že právo na přístup svědčí pouze subjektu údajů, kterého se osobní údaje týkají, kdežto právo na svobodný přístup k informacím se vztahuje na informace o činnosti orgánu veřejné moci a žadatelem může být i jiná osoba.
Obce mají většinou osobní údaje roztříštěny v různých systémech a bude pro ně obtížnější zjistit, kde a v jakém rozsahu se osobní údaje nacházejí. Práci by jim měly ulehčit zejména záznamy o činnostech zpracování, které jsou obce, jakožto orgány veřejné moci, povinny vést podle článku 30 obecného nařízení GDPR. V agendách a činnostech, u kterých se velmi často opakují stejné žádosti lze doporučit, aby si obec vypracovala šablonu se základním rozsahem informací dle čl. 15 a poté už ji pouze upravovala podle konkrétní žádosti.
Na poskytnutí odpovědi má obec jeden měsíc. Ve složitých případech nebo při velkém množství žádostí může tuto lhůtu prodloužit o další dva měsíce. O prodloužení lhůty ale musí žadatele do jednoho měsíce informovat včetně důvodu, proč byla lhůta prodloužena.
Vraťme se ale ještě k povinnosti správce poskytnout při výkonu práva na přístup k údajům kopii zpracovávaných osobních údajů. V praxi je velmi často pokládána otázka, zda je možné poskytnout na vyžádání záznam z kamerového systému či telefonního hovoru? Obecné nařízení říká, že subjekt údajů má právo získat kopii zpracovávaných údajů, což evokuje i kopie kamerového záznamu či telefonního hovoru. Právem získat kopii osobních údajů nesmí být ale nepříznivě dotčena práva a svobody jiných osob. Záznam je možné poskytnout, ale v případě, že jsou na něm zachyceny i jiné osoby, je třeba ho anonymizovat. Přítomnost třetích osob nemůže být důvodem pro neposkytnutí záznamu.
Pro tento článek bylo čerpáno z Modelové situace „Jak postupovat v případě žadatele, který požádá o zajištění všech relevantních informací, které o něm úřad vede“ zveřejněné na webových stránkách Ministerstva vnitra ČR a z knihy „Praktický průvodce GDPR“ autora JUDr. Jiřího Žůrka.