Obecné nařízení o ochraně osobních údajů neboli GDPR (General Data Protection Regulation) je nařízení Evropské unie, jehož cílem je chránit jednotlivce v souvislosti s nakládáním s jejich osobními údaji. V Nařízení, které je přímo aplikovatelné v českém právu a není tak třeba ho jako evropské směrnice propisovat do českých zákonů, najdeme základní pravidla zpracování osobních údajů, povinnosti správců, které jsou se zpracováním spojeny, a práva subjektů údajů, která vůči správcům mají.
GDPR stojí na základních zásadách každého zpracování, které obsahuje zejména čl. 5 GDPR. Jde o zákonnost, korektnost a transparentnost zpracování, které určují otevřenost vztahu k subjektu údajů. Dále jde o zásadu účelového omezení zpracování, která říká, že údaje shromážděné k určitému účelu nemohou být následně zpracovávána v rozporu s tímto účelem. Zásada minimalizace údajů říká, že je třeba s ohledem na účel minimalizovat rozsah zpracovávaných údajů. Tuto zásadu doplňuje zásada omezení uložení vyžadující, aby byla data ve formě osobních údajů uchovávána pouze po nezbytnou dobu a následně bylo přikročeno k jejich anonymizaci nebo likvidaci. Zásada přesnosti vyžaduje po správcích, aby přijali rozumná opatření k aktualizaci údajů. Zásada integrity a důvěrnosti stanovuje základní požadavky na ochranu dat před neoprávněným přístupem, ale i změnou.
Nakládání s osobními údaji vedle obecného nařízení reguluje i řada dalších právních předpisů. V některých případech jde o případy, na něž se částečně nevztahují pravidla v GDPR, jako je například regulace zpracování dat bezpečnostními složkami státu zakotvená v zákoně o zpracování osobních údajů. V jiných případech jde o pravidla, která obecnou ochranu dat dle GDPR doplňují a rozvíjejí, jako je tomu například u zpracování zdravotnických dat podle zákona o zdravotních službách.
Důležité pojmy
V práci s GDPR je předně nezbytné ujasnit si obsah používaných pojmů. Osobním údajem je jakákoliv informace týkající se identifikované nebo identifikovatelné fyzické osoby. Pokud tedy je možno z údaje zjistit identitu osoby, případně ho bez vynaložení nějakého velkého úsilí propojit s dalšími údaji, které jsou třeba veřejně dostupné (zejména na internetu), bude se o osobní údaj jednat. Je třeba také pamatovat, že osobním údajem nemusí být pouze identifikační údaje osob (jméno, bydliště, datum narození, apod.), ale všechny informace, které s identitou osoby jsme schopni propojit. Vedle pojmu osobní údaj se v praxi setkáte i s pojmem subjekt údajů. Jde o jedince (tedy fyzickou osobu), k němuž se dané osobní údaje vztahují.
Dalším důležitým pojmem je zpracování osobních údajů. Zpracování je „jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení“. Zjednodušeně řečeno zpracováním tedy může být prakticky cokoli, co s osobními údaji děláte od jejich shromáždění až po jejich likvidaci.
Správce je ten, kdo určuje účel a prostředky zpracování osobních údajů, případně komu ukládá zákon povinnost údaje zpracovávat. Toto zpracování také zpravidla provádí a rovněž odpovídá za realizaci práv subjektu údajů. Některými úkoly nebo i celým zpracováním ale může pověřit zpracovatele.
Co právo obsahuje?
Právo na přístup k informacím o zpracování osobních údajů je jedním ze základních práv, které nám jako tzv. subjektům údajů dává obecné nařízení o ochraně osobních údajů. Jeho smyslem je umožnit nám kontrolu nad informacemi, které o nás někdo zpracovává.
Toto právo, které je v GDPR zakotveno v čl. 15, má tři složky. Předně zahrnuje zejména možnost žádat o informace, zda vůbec a případně jaké osobní údaje jsou zpracovávány. Současně by správce měl předat informace o základních parametrech tohoto zpracování, jako je samotný účel zpracování, zdroj osobních údajů, doba zpracování nebo označení těch, kterým jsou či mohou být údaje předávány. Žádat lze pak také o kopie zpracovávaných osobních údajů (např. příslušné informace z databází, kopie smluv, nahrávky kamerových záznamů, audio nahrávky apod.)
Poskytnuté informace by měly být pro vás srozumitelné, případně by měl správce poskytnout vysvětlení.
Příklady
Více informací
EDPB: Pokyny 01/2022 k právům subjektů údajů – právo na přístup
Co právo obsahuje?
Právo na opravu v sobě zahrnuje právo subjektu údajů žádat opravu nepřesných nebo zastaralých osobních údajů. Právní úpravu tohoto práva najdeme v čl. 16 GDPR. Tomuto právu pak odpovídá povinnost správce se jeho žádostí o opravu zabývat. K opravě, pokud je důvodná, by pak měl přistoupit bez zbytečného odkladu.
Právo na opravu je odrazem jedné ze základních zásad, kterou je přesnost osobních údajů. Podle ní by správce měl přijmout veškerá rozumná opatření, aby zpracovával osobní údaje přesné a aktuální.
Příklady
Co právo obsahuje?
Právo být zapomenut či právo na výmaz dává subjektu údajů možnost dosáhnout v určitých případech likvidace jeho osobních údajů a tím ukončení jejich zpracování. Toto právo je upraveno v čl. 17 GDPR a vztahuje se zejména na situace, kdy již není důvod údaje zpracovávat, chybí právní titul zpracování či subjekt údajů odvolal svůj souhlas se zpracováním.
Konkrétně půjde o následující případy, kdy je na místě údaje vymazat:
a) osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány;
b) subjekt údajů odvolá souhlas, na jehož základě byly údaje zpracovány, a neexistuje žádný další právní důvod pro zpracování;
c) subjekt údajů vznese námitky proti zpracování, které je prováděno na základě § 6 odst. 1 písm. e) nebo f) GDPR (tj. na základě právního titulu nezbytnosti zpracování pro účely veřejného zájmu nebo oprávněného zájmu správce nebo třetí strany) a neexistují žádné převažující oprávněné důvody pro zpracování ani subjekt údajů nepožaduje omezení zrpacování místo výmazu. Případně subjekt údajů vznese námitky proti zpracování pro účely přímého marketingu.
d) osobní údaje byly zpracovány protiprávně;
e) osobní údaje musí být vymazány ke splnění právní povinnosti stanovené v právu Unie nebo členského státu, které se na správce vztahuje;
f) osobní údaje byly shromážděny v souvislosti s nabídkou internetových služeb dětem.
Ve většině z výše uvedených případů by správce měl údaje smazat automaticky, jakmile ztratí právní titul ke zpracování (je odvolán souhlas, zanikne potřebnost zpracování údajů, je zjištěna protiprávnost jejich zpracování, je tím plněna právní povinnost). Může se ale stát, že správce údaje nezlikviduje. Je tak lepší ho k tomu vyzvat žádostí o výmaz (likvidaci) osobních údajů.
Výmaz údajů má i své výjimky, které se týkají zejména případů, kdy zde je další kolidující zájem na pokračování zpracování, který je silnější, než právo subjektu údajů na výmaz. K tomu více v části Jak mohu tato práva uplatnit.
Rozsudek Google Spain aneb jak mazat data z vyhledávání Googlu
Pro formulování pravidel pro výmaz osobních údajů bylo důležité rozhodnutí Soudního dvora Evropské unie z roku 2012, které určilo, že Google prostřednictvím svého vyhledavače zpracovává osobní údaje na základě právního titulu oprávněného zájmu, je tak také povinen v odůvodněných případech zabránit vyhledávání konkrétních údajů prostřednictvím svého vyhledavače. V reakci na toto rozhodnutí pak Google zavedl možnost pomocí formuláře zažádat o výmaz konkrétních informací z jeho vyhledávání. Ve formuláři je třeba kromě URL problematického odkazu vyplnit i důvody, proč by měl být vymazán z vyhledávání.
Klíčem k posouzení, zda je taková žádost oprávněná nebo nikoli je pak zejména posouzení možné kolize se svobodou slova. Pokud si vezmeme třeba novinářský článek o mimomanželském poměru významného politika, tak v době výkonu jeho funkce by politik s žádostí o odstranění článku z vyhledávání Google pravděpodobně neuspěl. Jiná situace už ale může být v době, kdy opustil politiku a argument výkonem svobody slova ve veřejném zájmu je již oslaben.
V době internetu je samozřejmě problém, že data mohou být jednoduše kopírována a šířena dál už mimo kontrolu původního správce. Proto je dobré zachovat si kontrolu nad tím, jakým všem dalším správcům dávám souhlas se zpracováním osobních údajů. Často totiž dáním jednoho souhlasu souhlasím i s předáním dat desítkám dalších firem.
Při odvolání takového souhlasu je pak samozřejmě obtížné zajistit, aby byla data zlikvidována skutečně všude. Správce má pro případ, že zveřejnil vaše osobní údaje a má je nyní vymazat, povinnost předat informaci o požadavku subjektu údajů o výmaz údajů i dalším správcům, kteří tyto údaje zpracovávají. Ti by pak měli vymazat veškeré odkazy na tyto osobní údaje či jejich kopie. Zde je správce nicméně limitován technologickou dostupností a přiměřeností předávání těchto informací s ohledem na náklady. Je tak těžko představitelné, že by správce takový krok dělal například ve vztahu ke stovkám dalších správců, kteří data začali mezitím zpracovávat.
Příklady
Více informací
EDPB: Pokyny č. 5/2019 ke kritériím práva být zapomenut v případech vyhledávačů podle nařízení GDPR
Co právo obsahuje?
Právo na přenositelnost osobních údajů je obsaženo v čl. 20 GDPR. Jeho smyslem je poskytnout každému možnost používat své osobní údaje, které sám poskytl správci, napříč různými službami. Umožňuje tak snadno a bez technologických překážek přesouvat osobní údaje mezi různými službami. Slouží tak zejména k tomu, aby uživatelé služeb nebyli vázáni pouze na jednoho poskytovatele a měli možnost volby včetně změny této volby bez toho, aby přišli o svá data z minulosti. Z povahy věci se nebude týkat údajů, které jsou zpracovávány orgány veřejné správy.
Povinnost zajistit přenositelnost údajů se vztahuje pouze na případy, kdy je zpracování osobních údajů založeno buď na souhlasu, nebo na základě právního titulu spočívajícího v plnění smlouvy. Současně musí jít o automatizované zpracování.
Správce má povinnost poskytnout údaje „ve strukturovaném, běžně používaném a strojově čitelném formátu“. Přesné formáty nejsou v právních předpisech stanoveny, ale může jít třeba o formáty JSON, XML, CSV a další. Smyslem je jednoduchost následného přenesení dat do systémů nového správce.
To, že dojde k přenosu údajů, nemá samo o sobě vliv na možnost uplatňovat další práva vůči správci. Uživatel může například i po přenesení údajů dál využívat služby původního správce, s čímž je spojeno zpracování osobních údajů a možnost uplatňovat všechna práva s tím spojená.
Příklady:
Více informací
Skupina WP 29: Pokyny týkající se práva na přenositelnost údajů (WP 242 rev.01)
Co právo obsahuje?
Právo na omezení zpracování souvisí s právem na opravu, právem a vznesení námitky či právem na výmaz. Co takové omezení zpracování znamená? Jde o označení osobních údajů a jejich vyčlenění z aktivního užívání. V praxi půjde například o vyjmutí údajů s omezeným zpracováním z nějaké databáze, jejich označení ve stávající databázi, které by dávalo jasně najevo, že jde o údaje s omezeným zpracováním, případně dočasné odstranění či znepřístupnění údajů na veřejných internetových stránkách.
A jaké mohou být důvody omezení zpracování?
První případ souvisí s právem na opravu, kdy jde o omezení zpracování po dobu přezkoumání, zda nejsou zpracovávány nepřesné osobní údaje.
Druhou možností je potom omezení zpracování poté, co subjekt údajů vznesl námitku proti zpracování podle čl. 21 odst. 1 GDPR a správce posuzuje, jestli oprávněné důvody subjektu údajů převažují nad oprávněnými důvody správce. Taková námitka se týká zpracování osobních údajů prováděného ve veřejném zájmu nebo při výkonu veřejné moci nebo zpracování pro účely ochrany oprávněných zájmů správce nebo třetí osoby (čl. 6 odst. 1 písm. e) a f) GDPR). Subjekt údajů se námitkou snaží prokázat, že jeho zájem v dané situaci převažuje nad těmito právními tituly ke zpracování.
V obou těchto případech by k omezení zpracování mělo dojít bez nutnosti o to žádat v souvislosti s vyřizováním žádosti o opravu nebo posuzováním námitky.
Třetí a čtvrtý případ se pak týkají likvidace osobních údajů. Zde omezení zpracování připadá v úvahu tehdy, kdy jsou sice dány důvody pro výmaz, ale subjekt údajů z nějakého důvodu žádá o zachování osobních údajů.
Mohou nastat dvě situace:
a) zpracování je protiprávní a subjekt údajů odmítá likvidaci osobních údajů a místo toho žádá o omezení jejich použití
b) správce již údaje nepotřebuje pro zpracování, ale subjekt údajů je vyžaduje pro určení, výkon nebo obhajobu právních nároků
V obou těchto případech žádá subjekt údajů fakticky o to, aby k výmazu osobních údajů nedošlo, ačkoli by to jinak v souvislosti se zjištěnou protiprávností nebo odpadnutím právního důvodu bylo na místě.
Příklady
Právo vznést námitku najdeme v čl. 21 GDPR. Umožňuje subjektu údajů namítat důvody, proč by nemělo pokračovat zpracování osobních údajů v konkrétních případech, kdy je prováděné zpracování poškozuje.
Nejde tedy o to, že by mělo být zpracování nezákonné a subjekt údajů se domáhá jeho ukončení. Spíše jde o specifické situace, kdy jsou zde osobní důvody, které mohou vést k závěru, že zájem na ochraně soukromí zde převyšuje zájem na pokračování zpracování údajů.
Konkrétně se jedná o případy, kdy:
Všechna uvedená zpracování by měla stát na provedení balančního testu v okamžiku rozhodování o tom, jestli ke zpracování dojde nebo nikoli. Tento balanční test (porovnání významu oprávněného zájmu proti zájmu na ochraně soukromí subjektu údajů) je nicméně na počátku často obecný ve vztahu k subjektům údajů, protože správce nemá o jejich konkrétní situaci informace. Právě podání námitek tak může sloužit k tomu, aby správce mohl tuto úvahu více individualizovat.
Vedle uvedených příkladů námitek pak existuje ještě specifický druh námitky proti zpracování osobních údajů pro účely přímého marketingu, které je založeno na oprávněném zájmu. Tato námitka má ovšem specifický režim.
Příklady:
Co právo obsahuje?
Právo vznést námitku proti zpracování osobních údajů pro účely přímého marketingu na základě právního titulu oprávněného zájmu najdeme podobně jako obecné vznesení námitek proti zpracování v čl. 21 GDPR. Jedná se o specifický případ vznesení námitky, který se odchyluje od obecného vznesení námitek.
Přímý marketing (anglicky direct marketing) je přitom způsob marketingové komunikace, při které se oslovují zákazníci přímým adresním oslovením (např. e-mailem, poštou, telefonicky nebo i osobně). Často je pak spojen i se širším zpracováním osobních údajů včetně profilování zákazníků.
Na rozdíl od obecných námitek tady také není žádné posuzování zájmu správce. Jednoduše přání subjektu údajů je zde absolutní a správce musí ukončit zpracování osobních údajů ihned.
V souvislostí se vznesením námitky, která je fakticky jakýmsi opt-out principem zpracování pro účely přímého marketingu je třeba zmínit i příbuznou úpravu v § 7 zákona o některých službách informační společnosti, který říká, že pokud obchodník získal v souvislosti s poskytováním svých služeb kontakt na zákazníka, může mu zasílat obchodní sdělení, pokud má zákazník jednoduchou možnost další zasílání těchto sdělení odmítnout.
Zatímco tento zákon ale chrání zejména náš komunikační kanál, konkrétně to, abychom neměli e-mail zahlcený spamem, tak námitka dle GDPR chrání naše osobní údaje, které jsou zpracovávány za účelem zasílání těchto obchodních nabídek nebo zobrazování personalizované reklamy.
Příklady
Na koho se obrátit?
Povinnost umožnit přístup má správce. Správcem je ten, kdo určil účely a prostředky zpracování osobních údajů nebo kdo má toto zpracování provádět na základě právních předpisů. Správcem může být fyzická osoba, ale častěji ji bude právnická osoba (firma, škola, orgán veřejné moci atd.).
Nejvhodnější způsob podání žádosti uvádí obvykle správci v obecných informacích o zpracování osobních údajů, které najdete zpravidla na jejich webových stránkách.
Orgány veřejné moci i větší zpracovatelé osobních údajů by měly mít tzv. pověřence pro ochranu osobních údajů. Kontakt na něj je uveden obvykle v podmínkách zpracování osobních údajů, které najdete například na webových stránkách správce. Pokud není u správce určen někdo jiný, pak se obraťte s žádostí přímo na pověřence. Pokud nemá správce pověřence a není ani jinak zřejmé komu žádost přesně adresovat, pošlete žádost na adresu jeho sídla nebo třeba obecnou kontaktní e-mailovou adresu.
Pokud podáváte žádost elektronicky, tak by vám měly být údaje rovněž elektronicky poskytnuty, pokud tomu něco nebrání.
Jak žádost o přístup podat?
Žádost je vhodné poslat písemně (e-mailem, webovým formulářem, datovou schránkou, dopisem, osobně do protokolu). Pokud se budete dotazovat konkrétně na vaše osobní údaje, měl by správce ověřit, že jste skutečně subjektem údajů, tedy člověkem, k němuž se poskytované informace nebo kopie osobních údajů vztahují. Jinak by mohl porušit povinnost zabezpečit údaje před neoprávněným přístupem, pokud by informace poskytl někomu jinému. To může být problematické u e-mailového dotazu nebo třeba dotazu přes webový formulář pokud nepoužíváte elektronický podpis. Je tak možné, že správce bude trvat na prokázání vaší totožnosti, případně bude vyžadovat nějaký způsob autentizace jako je třeba sdělení kódu zaslaného na mobilní telefon vedený jako telefon klienta apod.
Co by mělo být v žádosti uvedeno?
Z žádosti by mělo být zřejmé, na koho se obracíte a jaké informace a případně kopie jakých údajů, žádáte. Není vyloučeno žádat ani všechny osobní údaje, které o vás daný správce zpracovává. Kvůli rychlosti vyřízení žádosti ale může být i pro vás výhodnější, být konkrétnější. Správce se může i sám dotázat, jestli není pro vás lepší žádat pouze část informací, které vás skutečně zajímají. Samozřejmě je také nutné uvést identifikaci vás samotných tak, aby nebyla možná vaše záměna s někým jiným. Obvykle se budete identifikovat jménem, adresou a případně datem narození, číslem smlouvy, k níž se údaje váží apod. Žádost nemusíte nijak zdůvodňovat, je na vás proč o informace a kopii údajů žádáte.
Jaké jsou lhůty?
Správce musí poskytovat tuto kopii bez zbytečného odkladu, a to nejpozději do jednoho měsíce od podání žádosti. Pokud je žádost o přístup složitá nebo se týká velkého množství informací, může správce tuto lhůtu prodloužit o další dva měsíce. O takovém prodloužení vás musí informovat.
Jsou nějaká omezení tohoto práva?
Právo na přístup není absolutní a může být omezeno v určitých případech. Například v situacích, kdy by poskytnutí informací mohlo ohrozit práva a svobody jiných osob, nebo pokud by to bylo v rozporu s jinými právními předpisy. Může jít třeba o situaci, kdy žádáte o kamerové záznamy, na nichž jste, ale současně je na kamerových záznamech více lidí. V takovém případě může být důvodné například rozmazat obličeje dalších osob nebo v určitých případech odmítnout poskytnutí informací. Vedle zásahu do práva na ochranu osobních údajů jiných lidí může jít třeba i o zásah do autorských práv nebo obchodního tajemství. Správce by se ale měl vždy snažit, aby omezil právo na přístup co možná nejméně a měl by zvažovat jestli ochrana jiných práv vůbec má být upřednostněna před právem na přístup k údajům. Jednoduše řečeno měl by být vstřícný a hledat řešení. I v těchto případech pak správce musí informovat žadatele o důvodech odmítnutí žádosti nebo omezení poskytnutých informací a poskytnout mu možnost obrátit se na dozorový úřad nebo na soud.
Správce také může odmítnout vyhovět žádosti z důvodu, že je zjevně nedůvodná nebo nepřiměřená. Toto omezení se bude týkat zejména šikanózních žádostí, které by se například opakovaly každý den, aniž by docházelo k takto časté aktualizaci dat.
Bude mě to něco stát?
Správce má povinnost vyřídit žádost o přístup bezplatně. To platí třeba i u poskytování kopie údajů třeba na nějakém datovém nosiči. Poplatek lze žádat za poskytnutí další kopie, například pokud byste žádali kopii i pro dozorový úřad. V takovém případě si správce může účtovat poplatek, který ale musí být přiměřený administrativním nákladům, které s vyřízením žádosti správce skutečně má. Je ale třeba zdůraznit, že jde o druhou kopii údajů vztahující se k jedné žádosti. Pokud byste podali novou žádost, pak by opět mělo být vyhovění žádosti bezplatné, pokud by tedy správce například neodmítl žádosti vyhovět pro její nepřiměřenost (viz výše).
Co mám dělat, když správce nereaguje nebo mi informace neposkytne?
V takovém případě se lze obrátit na Úřad pro ochranu osobních údajů. Druhou možností je obrátit se na soud a informací se domáhat soudně. Je na vás jakou cestu zvolíte. Můžete také využít obě cesty současně.
Dostupné nástroje
Pro usnadnění uplatnění práva na přístup můžete využít online nástroje pro generování žádostí DataRequests.org nebo MyDataDoneRight.eu.
Na koho se obrátit?
Povinnost provádět opravu má správce, který by měl vedle reakce na žádosti o opravu také sám zajistit v přiměřené míře přesnost a aktuálnost zpracovávaných osobních údajů. Správcem je ten, kdo určil účely a prostředky zpracování osobních údajů nebo kdo má toto zpracování provádět na základě právních předpisů. Správcem může být fyzická osoba, ale častěji ji bude právnická osoba (firma, škola, orgán veřejné moci atd.).
Orgány veřejné moci i větší zpracovatelé osobních údajů by měly mít tzv. pověřence pro ochranu osobních údajů. Kontakt na něj je uveden obvykle v podmínkách zpracování osobních údajů, které najdete například na webových stránkách správce. Pokud není u správce určen někdo jiný, pak se obraťte s žádostí přímo na pověřence. Pokud nemá správce pověřence a není ani jinak zřejmé komu žádost přesně adresovat, pošlete žádost na adresu jeho sídla nebo na obecnou kontaktní e-mailovou adresu.
Pokud podáváte žádost elektronicky, tak by vám měly být údaje rovněž elektronicky poskytnuty, pokud tomu něco nebrání.
Jak žádost o opravu podat?
Nejvhodnější způsob podání žádosti uvádí obvykle správci v obecných informacích o zpracování osobních údajů, které najdete zpravidla na jejich webových stránkách.
Žádost je vhodné poslat písemně (e-mailem, webovým formulářem, datovou schránkou, dopisem, osobně do protokolu). Při podání by měl správce ověřit, že komunikuje skutečně s tím, o jehož osobní údaje jde. Je tak možné, že správce bude trvat na prokázání vaší totožnosti, případně bude vyžadovat nějaký způsob autentizace jako je třeba sdělení kódu zaslaného na mobilní telefon vedený jako telefon klienta apod.
Co by mělo být v žádosti uvedeno?
Z žádosti by mělo být zřejmé, na koho se obracíte a jaké údaje žádáte opravit. Pokud je to třeba, tak přiložte i doklady, které nepřesnost osobních údajů prokazují.
Jaké jsou lhůty a jak by měl správce postupovat?
Správce by měl žádost vyřídit bez zbytečného odkladu, nejpozději do jednoho měsíce od podání žádosti.
Správce je v souvislosti s žádostí povinen prověřit, jestli jsou osobní údaje, k nimž se vaše žádost vztahuje přesné a aktuální. Do té doby, než údaje ověří, je zpracování údajů omezeno dle čl. 18 GDPR. Takové osobní údaje mohou být použity pouze se souhlasem subjektu údajů, nebo z důvodu určení, výkonu nebo obhajoby právních nároků, z důvodu ochrany práv jiné fyzické nebo právnické osoby nebo z důvodů důležitého veřejného zájmu Unie nebo některého členského státu.
O každé provedené opravě by měl správce informovat v souladu s čl. 19 GDPR další správce, kterým data poskytl, pokud to nevyžaduje nepřiměřeně velké úsilí. Rovněž by vás pak měl informovat, pokud ukončí omezení zpracování údajů podle čl. 18 GDPR po dobu posuzování důvodů pro provedení opravy. To by měl udělat i v případě, že se rozhodne opravu neprovést, protože dojde k závěru, že její provedení je nedůvodné.
Jsou nějaká omezení tohoto práva?
Žádná omezení nejsou. Správce by obecně měl zpracovávat osobní údaje tak, aby byly přesné a aktuální. K tomu by měl vyvíjet i přiměřenou činnost. Není tak žádný legitimní důvod, proč by opravu nepřesných údajů neměl provést. Samozřejmě je možné, že dojde ke sporu nad tím, co jsou správné osobní údaje a správce odmítne opravu provést. V takovém případě je vhodný postup obdobný, jako v případě, když správce na žádost nereaguje (viz níže).
Bude mě to něco stát?
Správce má povinnost vyřídit žádost o opravu bezplatně.
Co mám dělat, když správce nereaguje nebo odmítne opravu provést?
V takovém případě se lze obrátit na Úřad pro ochranu osobních údajů. Druhou možností je obrátit se na soud a opravy se domáhat touto cestou. Je na vás jakou cestu zvolíte. Můžete také využít obě cesty současně.
Dostupné nástroje
Pro usnadnění uplatnění práva na přístup můžete využít online nástroje pro generování žádostí DataRequests.org nebo MyDataDoneRight.eu.
Na koho se obrátit?
Jedná se o povinnost správce. Právě na něj je tak potřeba se s žádostí o výmaz osobních údajů obracet. Správcem je ten, kdo určil účely a prostředky zpracování osobních údajů nebo kdo má toto zpracování provádět na základě právních předpisů. Správcem může být fyzická osoba, ale častěji ji bude právnická osoba (firma, škola, orgán veřejné moci atd.).
Nejvhodnější způsob podání žádosti uvádí obvykle správci v obecných informacích o zpracování osobních údajů, které najdete zpravidla na jejich webových stránkách.
Orgány veřejné moci i větší zpracovatelé osobních údajů by měly mít tzv. pověřence pro ochranu osobních údajů. Kontakt na něj je uveden obvykle v podmínkách zpracování osobních údajů, které najdete například na webových stránkách správce. Pokud není u správce určen někdo jiný, pak se obraťte s žádostí přímo na pověřence. Pokud nemá správce pověřence a není ani jinak není zřejmé komu žádost přesně adresovat, pošlete žádost na adresu jeho sídla nebo třeba obecnou kontaktní e-mailovou adresu.
Jak žádost o výmaz osobních údajů podat?
Jednou z možností je, že je výmaz umožněn přímo v klientském rozhraní konkrétního správce. Pokud zde taková možnost není, pak je ideální komunikovat se správcem písemně (e-mailem, webovým formulářem, datovou schránkou, dopisem). Variantou tohoto postupu může být i podání žádosti z klientského účtu způsobem, který správce určí.
Co by mělo být v žádosti uvedeno?
V žádosti byste měli uvést jaké osoby a jakých jejích osobních údajů se žádost týká. Žádost by měla dále obsahovat zejména důvody, proč by mělo dojít k výmazu osobních údajů.
Samozřejmě je také nutné se identifikovat tak, aby nebyla možná vaše záměna s někým jiným, obvykle tedy jménem, adresou a případně datem narození, číslem smlouvy, k níž se údaje váží apod. Stejně jako u uplatnění jiných práv může správce žádat dodatečné informace, aby bylo jednoznačně prokázáno, že se zpracovávané údaje skutečně vztahují k vaší osobě. Pokud se nepodaří jednoznačně určit, že se osobní údaje vztahují k žadateli, měl by správce poskytnutí údajů odmítnout.
Jaké jsou lhůty?
Správce musí žádost vyřídit bez zbytečného odkladu nejpozději do jednoho měsíce od podání žádosti. Z důvodu složitosti věci může správce tuto lhůtu prodloužit o další dva měsíce. O takovém prodloužení vás musí informovat. Prodlužování lhůty by teoreticky připadalo v úvahu například při zvažování aplikace některých výjimek, nicméně v drtivé většině případů by mělo k výmazu dojít maximálně v řádu dnů od podání žádosti, protože zvažování výjimek v případě splnění základních podmínek výmazu bude spíše výjimečné.
Jsou nějaká omezení tohoto práva?
Právo na výmaz má i svoje výjimky. Ty dopadají na případy, kdy jsou sice splněny podmínky výmazu uvedené pod písmeny a) – f) v kapitole Co právo obsahuje?, ale budou zde takové okolnosti, které odůvodňují pokračování ve zpracování. Týká se to následujících případů, kdy je zpracování nutné:
a) pro výkon práva na svobodu projevu a informace;
Tato výjimka se uplatní například v žurnalistice.
b) pro splnění právní povinnosti, jež vyžaduje zpracování podle práva Unie nebo členského státu, které se na správce vztahuje, nebo pro splnění úkolu provedeného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen;
Tato výjimka se bude vztahovat třeba na případy, kdy zákon ukládá uchovávat určité doklady v souvislosti s obchodní činností nebo zaměstnáváním (např. účetní doklady, podklady pro evidenci sociálního pojištění zaměstnanců apod.)
c) z důvodů veřejného zájmu v oblasti veřejného zdraví v souladu s čl. 9 odst. 2 písm. h) a i) a čl. 9 odst. 3 GDPR;
Tyto důvody spočívají zejména v obraně před zdravotními riziky souvisejícími s šířením nakažlivých nemocí.
d) pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu či pro statistické účely, pokud je pravděpodobné, že by právo na výmaz znemožnilo nebo vážně ohrozilo splnění cílů uvedeného zpracování;
Důvody zpracování spočívající ve vědeckém bádání, statistice nebo archivaci mají specifickou výjimku. Ta se uplatní pouze pokud budou dodrženy zákonné postupy vedoucí k minimalizaci zásahu do práva na ochranu osobních údajů, které najdeme třeba v §89 GDPR nebo v § 16 zákona o zpracování osobních údajů.
e) pro určení, výkon nebo obhajobu právních nároků.
I zde by měla být uplatňována zásada nezbytnosti. Výjimka se bude vztahovat třeba na případy, kdy pominuly důvody pro zpracování osobních údajů na základě plnění smlouvy, nicméně žádosti o výmaz nelze vyhovět, protože údaje jsou nezbytné pro vedení soudního sporu, který měl základ v neplnění smlouvy jednou smluvní stranou (např. při neplacení nájemného a jeho následného vymáhání).
Bude mě to něco stát?
Správce má povinnost vyřídit žádost o výmaz údajů bezplatně.
Co mám dělat, když správce nereaguje nebo žádosti nevyhoví?
V takovém případě se lze obrátit na Úřad pro ochranu osobních údajů. Druhou možností je obrátit se na soud a informací se domáhat soudně. Je na vás jakou cestu zvolíte. Můžete také využít obě cesty současně.
Dostupné nástroje
Pro usnadnění uplatnění práva na likvidaci údajů můžete využít online nástroje pro generování žádostí DataRequests.org nebo MyDataDoneRight.eu.
Na koho se obrátit?
Jedná se o povinnost správce. Právě na něj je tak potřeba se obracet. Správcem je ten, kdo určil účely a prostředky zpracování osobních údajů nebo kdo má toto zpracování provádět na základě právních předpisů. Správcem může být fyzická osoba, ale častěji ji bude právnická osoba (firma, škola, orgán veřejné moci atd.).
Nejvhodnější způsob podání žádosti uvádí obvykle správci v obecných informacích o zpracování osobních údajů, které najdete zpravidla na jejich webových stránkách.
Orgány veřejné moci i větší zpracovatelé osobních údajů by měly mít tzv. pověřence pro ochranu osobních údajů. Kontakt na něj je uveden obvykle v podmínkách zpracování osobních údajů, které najdete například na webových stránkách správce. Pokud není u správce určen někdo jiný, pak se obraťte s žádostí přímo na pověřence. Pokud nemá správce pověřence a není ani jinak není zřejmé komu žádost přesně adresovat, pošlete žádost na adresu jeho sídla nebo třeba obecnou kontaktní e-mailovou adresu.
Jak žádost o přenos údajů podat?
Dle doporučení by měl správce ideálně umožnit přenos údajů automatizovaně. Ideálně aby si uživatel sám mohl díky přístupu do aplikačního prostředí (API) své údaje stáhnout ze zabezpečené sekce daného systému. Zejména u internetových služeb je tedy dobré začít tím, že zjistíme, jestli takto automatizované stažení dat daný poskytovatel umožňuje.
Další možností je i to, že si nový správce se starým správcem věc vykomunikují sami na základě vámi uděleného zmocnění.
Pokud taková možnost není, pak nezbyde, než se obrátit na správce standardním způsobem a žádost poslat písemně (e-mailem, webovým formulářem, datovou schránkou, dopisem). Variantou tohoto postupu může být i podání žádosti z klientského účtu způsobem, který správce určí.
Co by mělo být v žádosti uvedeno?
Pokud správce umožňuje data stahovat automatizovaně přímo z jeho systémů, tak není vlastně třeba obsah žádosti nějak specifikovat. Pokud ale tato možnost není, pak je dobré vědět, že existují dva způsoby, jak data přenést. Žádat lze jednak o to, aby údaje byly předány přímo subjektu údajů. Vedle toho lze ale žádat i o to, aby stávající správce předal údaje přímo správci novému, pokud je to technicky proveditelné. Je tedy třeba specifikovat, jak chcete data přenést.
Samozřejmě je také nutné se identifikovat tak, aby nebyla možná vaše záměna s někým jiným, obvykle tedy jménem, adresou a případně datem narození, číslem smlouvy, k níž se údaje váží apod. Stejně jako u uplatnění jiných práv může správce žádat dodatečné informace, aby bylo jednoznačně prokázáno, že se zpracovávané údaje skutečně vztahují k vaší osobě. Pokud se nepodaří jednoznačně určit, že se osobní údaje vztahují k žadateli, měl by správce poskytnutí údajů odmítnout.
Jaké jsou lhůty?
Správce musí žádosti vyhovět nejpozději do jednoho měsíce od podání žádosti. Z důvodu složitosti věci může správce tuto lhůtu prodloužit o další dva měsíce. O takovém prodloužení vás musí informovat.
Jsou nějaká omezení tohoto práva?
Právo na přenositelnost údajů se vztahuje pouze na zpracování, které probíhá automatizovaným způsobem na základě souhlasu nebo právního titulu spočívajícího v plnění smlouvy. Naopak se neuplatní na zpracování, které je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen.
Právo na přenositelnost údajů lze dále uplatnit pouze k údajům, které sám subjekt údajů poskytl správci. Právo se tedy nebude vztahovat na údaje, které vznikly například analýzou zpracovanou správcem na základě původně poskytnutých údajů.
Uplatnění práva je dále omezeno v případě, kdy by mohlo ohrozit práva a svobody jiných osob, nebo pokud by to bylo v rozporu s jinými právními předpisy. Správce by se nicméně i zde měl snažit pokud možno maximálně vycházet vstříc a umožnit najít řešení, které nepovede v těchto případech k odepření práva na přenositelnost jako takového. Obecně totiž platí, že správce nemá klást přenositelnosti údajů zbytečné překážky. Správce by tak neměl například být přijímán restriktivní výklad, kdy by byla upírána přenositelnost údajů o bankovních transakcích s uvedením platební protistrany nebo údajů o telefonních kontaktech, kde je uvedeno volané číslo apod.
Správce také může odmítnout vyhovět žádosti z důvodu, že je zjevně nedůvodná nebo nepřiměřená. Toto omezení se bude týkat zejména šikanózních žádostí, které by se například opakovaly každý den, aniž by docházelo k takto časté aktualizaci dat.
Bude mě to něco stát?
Správce má povinnost vyřídit žádost o přenositelnost údajů bezplatně.
Co mám dělat, když správce nereaguje nebo mi nevyhoví?
V takovém případě se lze obrátit na Úřad pro ochranu osobních údajů. Druhou možností je obrátit se na soud a možnosti přenést data se domáhat soudně. Je na vás jakou cestu zvolíte. Můžete také využít obě cesty současně.
Dostupné nástroje
Pro usnadnění uplatnění práva na přenositelnost údajů můžete využít online nástroj pro generování žádostí MyDataDoneRight.eu.
Na koho se obrátit?
Omezení zpracování je povinností správce. Jak už bylo řečeno, tak v některých případech k němu má dojít automaticky, v jiných je třeba podání žádosti ze strany subjektu údajů. To se týká situací, kdy by mělo dojít k likvidaci osobních údajů, ale subjekt údajů preferuje jejich zachování s omezeným zpracováním. Žádost se podává správci. Správcem je ten, kdo určil účely a prostředky zpracování osobních údajů nebo kdo má toto zpracování provádět na základě právních předpisů. Správcem může být fyzická osoba, ale častěji ji bude právnická osoba (firma, škola, orgán veřejné moci atd.).
Nejvhodnější způsob podání žádosti uvádí obvykle správci v obecných informacích o zpracování osobních údajů, které najdete zpravidla na jejich webových stránkách.
Orgány veřejné moci i větší zpracovatelé osobních údajů by měli mít tzv. pověřence pro ochranu osobních údajů. Kontakt na něj je uveden obvykle v podmínkách zpracování osobních údajů, které najdete například na webových stránkách správce. Pokud není u správce určen někdo jiný, pak se obraťte s žádostí přímo na pověřence. Pokud nemá správce pověřence a není ani jinak zřejmé komu žádost přesně adresovat, pošlete ji na adresu jeho sídla nebo třeba obecnou kontaktní e-mailovou adresu.
Jak žádost o omezení zpracování podat?
Ideální je komunikovat se správcem písemně (e-mailem, webovým formulářem, datovou schránkou, dopisem). Variantou tohoto postupu může být i podání žádosti z klientského účtu způsobem, který správce určí.
Co by mělo být v žádosti uvedeno?
V žádosti byste měli uvést jaké osoby a jakých jejích osobních údajů se žádost týká. Žádost by měla dále obsahovat zejména důvody, proč by mělo dojít k omezení zpracování.
Samozřejmě je také nutné se identifikovat tak, aby nebyla možná vaše záměna s někým jiným, obvykle tedy jménem, adresou a případně datem narození, číslem smlouvy, k níž se údaje váží apod. Stejně jako u uplatnění jiných práv může správce žádat dodatečné informace, aby bylo jednoznačně prokázáno, že se zpracovávané údaje skutečně vztahují k vaší osobě.
Jaké jsou lhůty?
Správce musí žádost vyřídit bez zbytečného odkladu nejpozději do jednoho měsíce od podání žádosti. Z důvodu složitosti věci může správce tuto lhůtu prodloužit o další dva měsíce. O takovém prodloužení vás musí informovat.
Jak by měl správce postupovat?
Správce bude muset posoudit, jestli je splněna některá z podmínek pro omezení zpracování. Pokud tomu tak je, pak je třeba pamatovat, že kromě prostého uložení lze i v režimu omezení zpracování v některých případech data zpracovávat i jiným způsobem na základě zvláštních důvodů. Samozřejmě správce by měl být schopen prokázat existenci takového důvodu, či lépe řečeno právního titulu k jinému typu zpracování.
Důvodem pro jiné zpracování může být jeden z následujících důvodů:
Správce má rovněž povinnost oznámit omezení zpracování všem příjemcům, kterým data poskytl, pokud to nevyžaduje to nepřiměřeně velké úsilí. Vedle toho také musí informovat subjekt údajů, pokud přistoupí ke zrušení omezení zpracování.
Bude mě to něco stát?
Správce má povinnost vyřídit žádost o omezení zpracování bezplatně.
Co mám dělat, když správce nereaguje nebo mi nevyhoví?
V takovém případě se lze obrátit na Úřad pro ochranu osobních údajů. Druhou možností je obrátit se na soud a omezení zpracování se domáhat soudně. Je na vás jakou cestu zvolíte. Můžete také využít obě cesty současně.
Na koho se obrátit?
Námitku vznášíte vůči správci. Správcem je ten, kdo určil účely a prostředky zpracování osobních údajů nebo kdo má toto zpracování provádět na základě právních předpisů. Správcem může být fyzická osoba, ale častěji ji bude právnická osoba (firma, škola, orgán veřejné moci atd.).
Orgány veřejné moci i větší zpracovatelé osobních údajů by měli mít tzv. pověřence pro ochranu osobních údajů. Kontakt na něj je uveden obvykle v podmínkách zpracování osobních údajů, které najdete například na webových stránkách správce. Pokud není u správce určen někdo jiný, pak se obraťte s žádostí přímo na pověřence. Pokud nemá správce pověřence a není ani jinak zřejmé komu žádost přesně adresovat, pošlete ji na adresu jeho sídla nebo třeba obecnou kontaktní e-mailovou adresu.
Jak námitku podat?
Ideální je komunikovat se správcem písemně (e-mailem, webovým formulářem, datovou schránkou, dopisem). Variantou tohoto postupu může být i podání námitky z klientského účtu způsobem, který správce určí.
Co by mělo být v námitce uvedeno?
V námitce byste měli uvést jaké osoby a jakých jejích osobních údajů se žádost týká. Současně by mělo být z námitky zřejmé, jaké konkrétní zpracování osobních údajů vám vadí. Nemusí jít totiž nutně o jakékoli zpracování osobních údajů, ale problém můžete vidět v nějakém konkrétním způsobu zpracování (např. předávání údajů konkrétním osobám, zveřejnění údajů, zpracování pouze některých osobních údajů atd.)
Samozřejmě je také nutné se identifikovat tak, aby nebyla možná vaše záměna s někým jiným, obvykle tedy jménem, adresou a případně datem narození, číslem smlouvy, k níž se údaje váží apod. Stejně jako u uplatnění jiných práv může správce žádat dodatečné informace, aby bylo jednoznačně prokázáno, že se zpracovávané údaje skutečně vztahují k vaší osobě.
Jaké jsou lhůty?
Správce musí námitky vyřídit bez zbytečného odkladu nejpozději do jednoho měsíce od podání žádosti. Z důvodu složitosti věci může správce tuto lhůtu prodloužit o další dva měsíce. O takovém prodloužení vás musí informovat.
Jak by měl správce postupovat?
Správce by měl důkladně posoudit důvody, které k podání námitek vedly a porovnat je s oprávněnými zájmy, na nichž stojí zpracování osobních údajů. Do rozhodnutí by pak mělo dojít k omezení zpracování (k tomu více Právo na omezení zpracování).
Bude mě to něco stát?
Správce má povinnost vyřídit žádost o omezení zpracování bezplatně.
Co mám dělat, když správce nereaguje nebo mi nevyhoví?
V takovém případě se lze obrátit na Úřad pro ochranu osobních údajů. Druhou možností je obrátit se na soud a omezení zpracování se domáhat soudně. Je na vás, jakou cestu zvolíte. Můžete také využít obě cesty současně.
Na koho se obrátit?
Námitku vznášíte vůči správci. Správcem je ten, kdo určil účely a prostředky zpracování osobních údajů nebo kdo má toto zpracování provádět na základě právních předpisů. Správcem může být fyzická osoba, ale častěji ji bude právnická osoba. S ohledem na to, že se jedná o marketing, tak půjde zejména o podnikatele.
Větší zpracovatelé osobních údajů by měli mít tzv. pověřence pro ochranu osobních údajů. Kontakt na něj je uveden obvykle v podmínkách zpracování osobních údajů, které najdete například na webových stránkách správce. Pokud není u správce určen někdo jiný, pak se obraťte s žádostí přímo na pověřence. Pokud nemá správce pověřence a není ani jinak zřejmé komu žádost přesně adresovat, pošlete ji na adresu jeho sídla nebo třeba obecnou kontaktní e-mailovou adresu.
Jak námitku podat?
Ideální je komunikovat se správcem písemně (e-mailem, webovým formulářem, datovou schránkou, dopisem). Variantou tohoto postupu může být i podání námitky z klientského účtu způsobem, který správce určí. Nařízení obecně preferuje možnost vznesení námitky obdobnou cestou, jakou lze uplatnit odhlášení ze zasílání obchodních sdělení podle § 7 zákona o některých službách informační společnosti.
Pozornost je vhodné věnovat i nastavení prohlížečů, kterými lze již dopředu deklarovat, že nechcete, aby ke shromažďování údajů za účelem přímého marketingu docházelo.
Co by mělo být v námitce uvedeno?
V námitce byste měli uvést jaké osoby a jakých jejích osobních údajů se žádost týká. Samozřejmě je také nutné se identifikovat tak, aby nebyla možná vaše záměna s někým jiným, obvykle tedy jménem, adresou a případně datem narození, číslem smlouvy, k níž se údaje váží apod. Stejně jako u uplatnění jiných práv může správce žádat dodatečné informace, aby bylo jednoznačně prokázáno, že se zpracovávané údaje skutečně vztahují k vaší osobě.
Jaké jsou lhůty?
Správce musí námitky vyřídit bez zbytečného odkladu nejpozději do jednoho měsíce od podání žádosti. Z důvodu složitosti věci může správce tuto lhůtu prodloužit o další dva měsíce. Toto je ovšem obecná úprava vyřizování žádostí subjektu údajů. Vzhledem k tomu, že u této námitky nenásleduje žádné zvažování oprávněných zájmů správce, tak není důvod k jakýmkoli prodlením a likvidace údajů by měla být provedena hned. Měsíční lhůta, natož lhůta prodlužovaná by byly neopodstatněné.
Jak by měl správce postupovat?
Správce na rozdíl od jiných námitek zde nic nezvažuje a měl by pouze údaje zlikvidovat.
Bude mě to něco stát?
Správce má povinnost vyřídit žádost o omezení zpracování bezplatně.
Co mám dělat, když správce nereaguje nebo mi nevyhoví?
V takovém případě se lze obrátit na Úřad pro ochranu osobních údajů. Druhou možností je obrátit se na soud a omezení zpracování se domáhat soudně. Je na vás, jakou cestu zvolíte. Můžete také využít obě cesty současně.
Dostupné nástroje
Pro usnadnění uplatnění práva na likvidaci údajů můžete využít online nástroj pro generování žádostí DataRequests.org.
Stížnost na správce nebo zpracovatele podávaná na ÚOOÚ
Nad dodržováním povinností správců a zpracovatelů podle GDPR či zákona o zpracování osobních údajů dohlíží Úřad pro ochranu osobních údajů (ÚOOÚ). Ten jednak kontroluje dle kontrolního plánu schvalovaného na každý rok určité konkrétní subjekty a zpracování osobních údajů, případně řeší větší kauzy, o nichž se dozví například z médií. Vedle toho ale řeší i konkrétní stížnosti.
Jak lze podat stížnost?
Stížnost na ÚOOÚ lze podat písemně nebo elektronicky. Lze tedy využít jak klasickou poštu, tak datovou schránku nebo e-mail. Stížnost lze ale podat i osobně do protokolu, k takovému podání, které může být i asistované za pomoci úředníka je ale vhodné se dopředu objednat. Kontakty na ÚOOÚ jsou uvedeny na webu úřadu.
Ve stížnosti uveďte své identifikační údaje, popis problému a důvody, proč se domníváte, že došlo k porušení GDPR nebo dalších právních předpisů, nad jejichž dodržováním ÚOOÚ dohlíží (např. zákona o zpracování osobních údajů). Vhodné je také připojit základní dokumentaci dokládající porušení práva (např. komunikaci se správcem či zpracovatelem), ale nezahlcujte úřad příliš mnoha písemnostmi, pokud nejsou relevantní pro základní pochopení problému. Další písemnosti lze doplnit i následně. Nezapomeňte připsat, že žádáte o informaci, jak bude s vaší stížností naloženo.
Využít lze i elektronický formulář pro podání stížnosti dostupný na webu ÚOOÚ.
Před podáním stížnosti je třeba vědět, že pravidla dle GDPR se nevztahují na nahodilé zpracování osobních údajů, které není systematické. Rovněž se na úřad neobracejte s případy, kdy ke zpracování osobních údajů nedochází, ale jde o jiné zásahy do osobnostních práv – např. šíření pomluv, narušování listovního tajemství nebo soukromí, které není spojeno s následným zpracováním osobních údajů. V těchto případech se bude věc řídit pravidly o ochraně osobnosti v občanském zákoníku a nápravy se lze domáhat soudně, případně prostřednictvím oznámení na policii či obecní úřad, pokud by došlo k naplnění skutkových podstat přestupků nebo trestných činů.
Jak ÚOOÚ postupuje po podání stížnosti?
ÚOOÚ může provést kontrolu správce či zpracovatele a prověřit oznámení uvedené v žádosti. Pokud dojde k závěru, že skutečně došlo k porušení právních předpisů, zahájí správní řízení, jehož výsledkem pak může být uložení nápravných opatření, která mají vést k nápravě, nebo pokut, případně obojího zároveň.