GDPR

SMĚRNICE Č. 17 K UPLATNĚNÍ PRÁV SUBJEKTŮ ÚDAJŮ

 

 1. PŘEDMĚT A ROZSAH SMĚRNICE

Tato směrnice upravuje postup při uplatňování práv subjektů údajů, stanovuje povinnosti správce při přijímání, evidenci a vyřizování Žádostí k uplatňování práv subjektů údajů („dále jen Žádost“).

Vyřizování Žádostí k uplatnění práv subjektů údajů se řídí touto Směrnicí a Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.

 

2. ZÁKLADNÍ POJMY

Správce = každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí za jím stanoveným účelem shromažďování, zpracování a uchování

Subjekt údajů = fyzická osoba, k níž se osobní údaje vztahují

Osobní údaj = veškeré informace vztahující se k identifikované nebo identifikovatelné fyzické osobě

Citlivý osobní údaj = údaje o údaje o rasovém či etnickém původu, politických názorech, náboženském nebo filozofickém vyznání, členství v odborech, o zdravotním stavu, sexuální orientaci a trestních deliktech či pravomocném odsouzení osob.

 

3. PRÁVA SUBJEKTŮ ÚDAJŮ:

Subjekt údajů má právo:

Být informován o zpracování svých osobních údajů (tzn. právo na určité informace o zpracování jeho osobních údajů tak, aby byla především naplněna zásada transparentnosti zpracování – zejména jde o informace o účelu zpracování, totožnosti správce, o jeho oprávněných zájmech, o příjemcích osobních údajů.

 

Mezi další práva subjektů údajů patří:
• právo na přístup k osobním údajům,
• právo na opravu, resp. doplnění,
• právo na výmaz,
• právo na omezení zpracování,
• právo na přenositelnost údajů,
• právo vznést námitku,
• právo nebýt předmětem automatizovaného individuálního rozhodování s právními či obdobnými účinky, zahrnujíce i profilování.

 

Právo na přístup k osobním údajům:

= oprávnění subjektu údajů na základě jeho aktivní Žádosti získat od správce informaci (potvrzení), zda jsou či nejsou jeho osobní údaje zpracovávány a pokud jsou zpracovávány, má subjekt údajů právo tyto osobní údaje získat a zároveň má právo získat následující informace:

  • účely zpracování,
  • kategorie dotčených osobních údajů,
  • příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny,
  • plánovaná doba, po kterou budou osobní údaje uloženy,
  • existence práva požadovat od správce opravu nebo výmaz osobních údajů, právo vznést námitku,
  • právo podat stížnost u dozorového úřadu,
  • veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů,
  • skutečnost, že dochází k automatizovanému rozhodování, včetně profilování.

Pokud správce o fyzické osobě žádné údaje nezpracovává, poskytuje se informace, že osobní údaje tazatele nejsou předmětem zpracování osobních údajů ze strany správce.

 

Právo na opravu:

Subjekt údajů má právo na opravu nepřesných osobních údajů, které se ho týkají.

 

Právo na výmaz (být zapomenut)

= povinnost správce zlikvidovat osobní údaje, pokud je splněna alespoň jedna podmínka:

  • osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány,

 

  • subjekt údajů odvolá souhlas a neexistuje žádný další právní důvod pro zpracování,
  • subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování,
  • osobní údaje byly zpracovány protiprávně,
  • osobní údaje musí být vymazány ke splnění právní povinnosti,
  • osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti podle článku 8 odst. 1 obecného nařízení.

Právo na výmaz není absolutní právo, které by subjektu údajů dávalo možnost žádat kdykoli a za jakékoli situace o vymazání osobních údajů. Nelze např. v rámci práva být zapomenut žádat likvidaci všech osobních údajů např. při ukončení zaměstnání či poskytování finančních služeb, jelikož na správce se vztahují povinnosti o dalším uchování některých osobních údajů.

 

Právo na omezení zpracování:

 

Subjekt údajů má právo na to, aby správce omezil zpracování, v kterémkoli z těchto případů:

 

  1. subjekt údajů popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby správce mohl přesnost osobních údajů ověřit;
  2. zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití;
  3. správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků;
  4. subjekt údajů vznesl námitku proti zpracování, dokud nebude ověřeno, zda oprávněné důvody správce převažují nad oprávněnými důvody subjektu údajů.

 

Pokud bylo zpracování omezeno, mohou být tyto osobní údaje, s výjimkou jejich uložení, zpracovány pouze se souhlasem subjektu údajů, nebo z důvodu určení, výkonu nebo obhajoby právních nároků, z důvodu ochrany práv jiné fyzické nebo právnické osoby nebo z důvodů důležitého veřejného zájmu Unie nebo některého členského státu.

 

Subjekt údajů, který dosáhl omezení zpracování  je správcem předem upozorněn na to, že bude omezení zpracování zrušeno.

 

Právo na přenositelnost:

= možnost za určitých podmínek získat osobní údaje, které se subjektu údajů týkají a jež správci poskytl, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu původní správce bránil.

 

Zároveň má subjekt údajů, pokud požádá, i právo na to, aby správce předal jeho osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu jinému správce, je-li to technicky proveditelné.

Společné podmínky k aplikaci práva na přenositelnost:

  • musí jít o zpracování založené na právním důvodu souhlasu či smlouvě,
  • zpracování se provádí automatizovaně.

Výkonem práva na přenositelnost nesmí být nepříznivě dotčena práva a svobody jiných osob.

 

Právo na námitku:

Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které jsou zpracovávány na základě právních důvodů:

  • zpracování je nezbytné pro plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen,
  • zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany.

Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.

Námitku lze vznést i proti zpracování osobních údajů pro účely přímého marketingu nebo profilování. Pokud subjekt údajů vznese námitku proti zpracování pro účely přímého marketingu, nebudou již osobní údaje pro tyto účely zpracovávány.

 

Právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném rozhodování:

Toto právo zajišťuje subjektu údajů, že nebude předmětem rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká. Jinými slovy, jde o zajištění, aby se o právních účincích nerozhodovalo automatizovanými postupy bez lidské ingerence, kromě možných výjimek.

Automatizované rozhodování je přípustné v případě, kdy je nezbytné k uzavření nebo plnění smlouvy mezi subjektem údajů a správcem, pokud je povoleno právem EU nebo členským státem nebo pokud je založeno na výslovném souhlasu subjektu údajů.

 

4. PŘÍJEM ŽÁDOSTI

Žádosti o uplatnění práva subjektu údajů je možné podávat písemně – osobně, poštou, v elektronické podobě, nebo ústně.

a) písemně – osobně:

  • Žádost se podává Mgr. Monice Strapkové – ředitelce
  • Monika Strapková na požádání potvrdí na předloženou kopii (stejnopis) Žádosti její přijetí
  • Z písemné Žádosti musí být zřejmé, kdo ji podává a čeho se týká

b) poštou:

  • na adresu: Monika Strapková, ředitelka

ARCHA Borovany, o. p. s.

Žižkovo náměstí 107, 373 12 Borovany

a) v elektronické podobě:

  • Žádost v elektronické podobě je možné zaslat na adresu strapkova@archaborovany.cz nebo podat na technickém nosiči dat předaném v kanceláři střediska Borovan. Pokud elektronickou poštou podaná žádost nebyla zaslána prostřednictvím zaručeného elektronického podpisu, bude subjekt údajů vyzván, aby tento nedostatek v přiměřené lhůtě odstranil. Pokud tak subjekt údajů neučiní, Mgr. Monika Strapková žádost o uplatnění práva subjektu údajů odloží a o tomto postupu informuje subjekt údajů.

 

b) ústní podání žádosti

– o ústní Žádosti sepíše se subjektem údajů Mgr. Monika Strapková Záznam, jinak se subjektu údajů doporučí, aby podat Žádost písemně nebo v elektronické podobě.

– záznam o ústním podání Žádosti musí obsahovat:

  •  datum podání
  •  identifikaci subjektu údajů – jméno, příjmení, adresa
  •  identifikace osoby, která žádost sepsala
  •  předmět žádosti
  • podpis subjektu údajů

– pokud si subjekt údajů požádá, vydá se mu kopie záznamu o ústním podání žádosti:

  • telefonické podání žádosti není možné
  • anonymní podání žádosti není možné

 

5. EVIDENCE ŽÁDOSTI

Evidenci žádostí vede Mgr. Monika Strapková v Knize žádostí o uplatnění práva subjektů údajů.

Evidence žádostí obsahuje tyto náležitosti:

  1. datum podán Žádosti
  2. identifikaci subjektu údajů
  3. předmět Žádosti
  4. kdy a kdo se k Žádosti vyjadřoval
  5. datum vyřízení Žádosti
  6. způsob vyřízení Žádosti
  7. originál Žádosti
  8. kopie odpovědi na Žádost

 

6. VYŘIZOVÁNÍ ŽÁDOSTI

Žádosti vyřizuje Mgr. Monika Strapková dle lhůt pro vyřízení uvedených v čl. 7 této Směrnice.

 

7. LHŮTY PRO VYŘÍZENÍ

Správce poskytne subjektu údajů na žádost o uplatnění práv informace o přijatých opatřením a to

a) bez zbytečného odkladu

b) v každém případě do jednoho měsíce od obdržení žádosti

 

Tuto lhůtu je možné v případě potřeby a s ohledem na složitost a počet žádostí prodloužit o další dva měsíce.

Správce informuje subjekt údajů o jakémkoliv takovém prodloužení do jednoho měsíce od obdržení žádosti spolu s důvody pro tento odklad.

Jestliže subjekt údajů podává žádost v elektronické formě, poskytnou se informace v elektronické formě, je-li to možné, pokud subjekt údajů nepožádá o jiný způsob.

 

9. DALŠÍ USTANOVENÍ

Informace, veškerá sdělení a veškeré úkon související s podáním Žádosti se poskytují a činí bezplatně.

Jsou-li žádosti podané subjektem údajů zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může správce:

  1. uložit přiměřený poplatek zohledňující administrativní náklady spojené s poskytnutím požadovaných informací nebo sdělení nebo s učiněním požadovaných úkonů nebo

(poplatek je stanoven na částku minimálně 500 Kč/hodinu )

2. odmítnout žádosti vyhovět

Zjevnou nedůvodnost nebo nepřiměřenost žádosti dokládá správce.

 

9. ZÁVĚREČNÁ USTANOVENÍ

Tato směrnice se v plném rozsahu vztahuje na všechny subjekty údajů, které poskytují správci své osobní údaje.

Tato směrnice nabývá účinnosti 25. 5. 2018

 

 

Vypracoval: Bc. Lucie Janco, DiS., konzultan a poradce v oblasti GDPR

Schválil: Mgr. Monika Strapková, ředitelka