Práva fyzických osôb v súvislosti so spracúvaním ich osobných údajov

Povinnosti spracovateľa / prevádzkovateľa pri spracúvaní osobných údajov fyzických osôb

V Mostoch inklúzie č. 4 v minulom roku sme publikovali rozsiahly článok, v ktorom sme rozobrali základné princípy a pravidlá, ktoré je nutné dodržiavať pri spracúvaní osobných údajov fyzických osôb s prihliadnutím na spracúvanie osobných údajov v rámci činnosti občianskych združení.

V tomto článku prinášame informácie o právach fyzických osôb v súvislosti so spracúvaním ich osobných údajov.

Spracovateľ osobných údajov, resp. prevádzkovateľ informačných systémov, v ktorých sa osobné údaje spracovávajú (ďalej tiež „spracovateľ“ alebo „prevádzkovateľ“) je povinný informovať fyzickú osobu, ktorej osobné údaje mieni spracovávať, o jej právach, čím si plní informačnú povinnosť vyplývajúcu pre spracovateľa osobných údajov z platnej legislatívy.

Je tiež povinný poskytnúť informácie o zabezpečení spracúvaných osobných údajov zabraňujúcich neoprávnenému nakladaniu s nimi a informácie o povinnostiach spracovateľa osobných údajov.

Práva fyzických osôb v súvislosti so spracúvaním ich osobných údajov

Fyzická osoba v súvislosti so spracúvaním jej osobných údajov má právo:

  • byť informovaná o tom, ako sú používané jej spracovávané osobné údaje,
  • požadovať od spracovateľa prístup k osobným údajom týkajúcich sa jej osoby,
  • na opravu osobných údajov,
  • na vymazanie osobných údajov,
  • na obmedzenie spracúvania osobných údajov,
  • na prenosnosť osobných údajov,
  • namietať spracúvanie osobných údajov,
  • kedykoľvek odvolať súhlas so spracúvaním osobných údajov, ak právnym základom pre spracúvanie osobných údajov bol jej súhlas,
  • byť informovaná o tom, či poskytovanie osobných údajov je zákonnou požiadavkou,
  • byť informovaná o tom, či poskytovanie osobných údajov je zmluvnou požiadavkou alebo požiadavkou, ktorá je potrebná na uzavretie zmluvy,
  • byť informovaná o tom, či je povinná poskytnúť osobné údaje,
  • byť informovaná o možných následkoch neposkytnutia osobných údajov,
  • podať sťažnosť na Úrade na ochranu osobných údajov v prípade porušenia jej práv pri spracúvaní osobných údajov.

O týchto právach je spracovateľ osobných údajov povinný informovať fyzickú osobu vždy, keď získava jej osobné údaje, ktoré bude spracovávať v informačnom systéme.

Podrobnosti k jednotlivým právam fyzických osôb

Informácie o spracovávaných osobných údajoch

Fyzická osoba má právo bezplatne získať svoje osobné údaje, s výnimkou nasledujúcich prípadov, kedy si môže spracovateľ účtovať primeraný poplatok na pokrytie administratívnych nákladov spojených s poskytnutím osobných údajov:

  • zjavne neopodstatnené alebo neprimerané /opakované žiadosti, alebo
  • ďalšie kópie rovnakých údajov.

Takéto žiadosti má spracovateľ osobných údajov právo odmietnuť.

Vo všeobecnosti má spracovateľ osobných údajov povinnosť odpovedať bezodkladne, najneskôr do jedného mesiaca od prijatia žiadosti a úspešnej identifikácie žiadateľa. Ak bude vybavenie žiadosti trvať dlhšie, je spracovateľ povinný žiadateľa o tom informovať.

Prístup k osobným údajom

Fyzická osoba má právo na:

  • potvrdenie, že sú spracúvané jej osobné údaje,
  • prístup k jej osobným údajom, a
  • ďalšie informácie o spracúvaní osobných údajov, najmä účel spracúvania, druhy spracúvaných osobných údajov, príjemcov osobných údajov, predpokladaná doba spracúvania osobných údajov.

Fyzická osoba si môže vyžiadať kópie listinných alebo elektronických záznamov, ktoré o nej spracovateľ spracúva, zdieľa alebo používa.

Aby spracovateľ mohol žiadosti vyhovieť, môže žiadateľa požiadať o preukázanie jeho totožnosti a o údaje, ktoré pomôžu spracovateľovi nájsť osobné údaje, o ktoré žiada.

Žiadateľovi môže spracovateľ poskytnúť iba jeho osobné údaje, spracovateľ nemôže poskytovať osobné údaje iných osôb. V žiadosti o prístup je potrebné zrozumiteľne označiť tie osobné údaje, ku ktorým sa žiada prístup.

Oprava osobných údajov

Fyzická osoba má právo na to, aby spracovateľ osobných údajov bez zbytočného odkladu opravil nesprávne osobné údaje, ktoré sa jej týkajú.

Fyzická osoba má právo na doplnenie neúplných osobných údajov, vrátane poskytnutia prostredníctvom doplnkového vyhlásenia.

Vymazanie osobných údajov

Fyzická osoba má právo na vymazanie jej osobných údajov bez zbytočného odkladu a zabránenie ich ďalšiemu spracúvaniu, a to v prípadoch, keď:

  • osobné údaje už nie sú viac potrebné pre účely, na ktoré boli pôvodne získané/spracúvané;
  • fyzická osoba odvolá svoj súhlas so spracúvaním jej osobných údajov, ak právnym základom pre spracúvanie osobných údajov bol súhlas fyzickej osoby;
  • fyzická osoba podá námietku voči spracúvaniu osobných údajov, ktoré spracovateľ spracúva na základe oprávnených záujmov spracovateľa a oprávnený záujem spracovateľa osobných údajov týkajúci sa možnosti ďalej spracúvať jej osobné údaje nebude mať prednosť pred oprávnenými záujmami fyzickej osoby;
  • spracovateľ osobných údajov spracúva osobné údaje fyzickej osoby v rozpore s právnymi predpismi o ochrane osobných údajov;
  • osobné údaje musia byť vymazané, aby sa splnila zákonná povinnosť.

Právo na vymazanie osobných údajov sa nevzťahuje na tie prípady, keď sú údaje spracúvané na určité konkrétne účely, vrátane uplatnenia oprávnených záujmov spracovateľa alebo obhajoby právnych nárokov alebo osobné údaje sú spracúvané za účelom splnenia zákonnej povinnosti spracovateľa.

Právo na vymazanie osobných údajov sa nevzťahuje tiež na prípady, ak osobné údaje sú spracúvané a uchovávané na účely archivácie, na účely vedeckého alebo historického výskumu či na štatistické účely.

Obmedzenie spracúvania osobných údajov

Fyzická osoba má právo na obmedzenie spracúvania jej osobných údajov, spočívajúce v označení uchovávaných osobných údajov s cieľom obmedziť ich spracúvanie v budúcnosti:

  • ak nesúhlasí so správnosťou osobných údajov. Spracúvanie musí spracovateľ následne obmedziť, pokiaľ si spracovateľ neoverí správnosť daných údajov;
  • ak je spracúvanie osobných údajov protizákonné a fyzická osoba má výhrady voči ich vymazaniu a namiesto toho žiada o obmedzenie ich spracúvania;
  • ak spracovateľ už nepotrebuje osobné údaje spracovávať, ale potrebuje ich fyzická osoba na preukázanie, uplatňovanie alebo obhajovanie jej právnych nárokov;
  • ak fyzická osoba namietala voči spracúvaniu jej osobných údajov, ku ktorému dochádza na účely oprávnených záujmov spracovateľa. Spracúvanie musí spracovateľ následne obmedziť, pokiaľ si spracovateľ neoverí, že jeho oprávnený záujem na spracúvaní osobných údajov má prednosť pred záujmami fyzickej osoby;

Ak sa spracúvanie osobných údajov obmedzilo, takéto osobné údaje sa s výnimkou uchovávania spracúvajú len so súhlasom fyzickej osoby alebo na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.

Ak spracovateľ poskytol príslušné osobné údaje fyzickej osoby tretím stranám, je povinný ich o obmedzení informovať, aby osobné údaje ďalej nespracúvali.

Ak sa spracúvateľ rozhodne obmedzenie spracúvania osobných údajov fyzickej osoby zrušiť, oznámi jej to.

Prenosnosť osobných údajov

Fyzická osoba má právo získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla spracovateľovi a má právo preniesť tieto údaje ďalšiemu spracovateľovi bez toho, aby jej spracovateľ, ktorému fyzická osoba tieto osobné údaje poskytla, bránil, ak:

  • sa spracúvanie zakladá na súhlase fyzickej osoby alebo osobné údaje boli poskytnuté na účel plnenia zmluvy, a
  • ak sa spracúvanie vykonáva automatizovanými prostriedkami.

Žiadosť o prenos údajov môže spracovateľ zamietnuť, ak ich spracúvanie v danom prípade nespĺňa hore uvedené kritériá.

Namietanie spracúvania osobných údajov

Fyzická osoba má právo kedykoľvek namietať z dôvodov týkajúcich sa jej konkrétnej situácie proti spracúvaniu osobných údajov, ktoré sa jej týka, ak účelom spracúvania osobných údajov sú oprávnené záujmy spracovateľa.

Spracovateľ nesmie ďalej spracúvať osobné údaje, pokiaľ nepreukáže nevyhnutné oprávnené záujmy či dôvody na spracúvanie, ktoré prevažujú nad záujmami, právami a slobodami fyzickej osoby, alebo nepreukáže dôvody na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.

Ak sa osobné údaje spracúvajú na účely priameho marketingu, fyzická osoba má právo kedykoľvek namietať proti spracúvaniu osobných údajov, ktoré sa jej týka, na účely takéhoto marketingu. Ak fyzická osoba namieta voči spracúvaniu na účely priameho marketingu, osobné údaje sa už na také účely nesmú spracúvať.

Spracovateľ osobných údajov je povinný fyzickú osobu výslovne upozorniť na práva uvedené vyššie najneskôr pri prvej komunikácii s ňou, pričom sa toto právo prezentuje jasne a oddelene od akýchkoľvek iných informácií.

Ak sa osobné údaje spracúvajú na účely vedeckého alebo historického výskumu či na štatistické účely, fyzická osoba má právo namietať z dôvodov týkajúcich sa jej konkrétnej situácie proti spracúvaniu osobných údajov, ktoré sa jej týka, s výnimkou prípadov, keď je spracúvanie nevyhnutné na plnenie úlohy z dôvodov verejného záujmu.

Poskytovanie informácií pri získavaní osobných údajov

Ak sa od fyzickej osoby získavajú osobné údaje, ktoré sa jej týkajú, je spracovateľ povinný poskytnúť fyzickej osobe pri ich získavaní nasledovné informácie:

  • identifikačné údaje a kontaktné údaje spracovateľa v rozsahu názov organizácie, typ organizácie, IČO, adresa (sídlo) organizácie, tel. kontakt, E-mail a adresu web stránky,
  • druh (zoznam) spracovávaných osobných údajov,
  • účel spracúvania osobných údajov, na ktorý sú osobné údaje získavané,
  • právny základ spracúvania osobných údajov,
  • oprávnený záujem prevádzkovateľa, ak sa osobné údaje spracúvajú na tomto právnom základe,
  • dobu uchovávania osobných údajov,
  • identifikáciu príjemcu, ak sa budú osobné údaje poskytovať iným subjektom,
  • informáciu o tom, že prevádzkovateľ zamýšľa preniesť osobné údaje do tretej krajiny alebo medzinárodnej organizácii, identifikáciu tretej krajiny alebo medzinárodnej organizácie.

Spracovateľ je povinný poskytnúť fyzickej osobe pred ďalším spracúvaním osobných údajov informácie o inom účele a ďalšie relevantné informácie, ak má v úmysle ďalej spracúvať osobné údaje na iný účel ako ten, na ktorý boli získané.

Uvedené informácie sa fyzickej osobe poskytujú pred získavaním jej osobných údajov a sú súčasťou dokladu (písomného alebo elektronického), na ktorom fyzická osoba poskytuje svoje osobné údaje spracovateľovi.

Ochrana a bezpečnosť spracúvaných osobných údajov

Spracovateľ osobných údajov poskytne fyzickej osobe, ktorej osobné údaje bude spracovávať, informácie o zavedených technických, administratívnych, personálnych a fyzických ochranných opatreniach, ktoré:

  • chránia osobné údaje pred neoprávneným prístupom a zneužitím;
  • zabezpečujú IT systémy a chránia informácie v nich.

Sťažnosť na Úrade na ochranu osobných údajov

Fyzická osoba má právo podať sťažnosť na Úrade na ochranu osobných údajov, ak spracovateľ neprijal potrebné požadované opatrenia na ochranu jej osobných údajov:

  • ak sa domnieva, že dochádza k porušeniu jej práv pri spracúvaní osobných údajov,
  • ak neboli dodržané pravidlá nakladania s osobnými údajmi alebo osobné údaje boli spracovávané na iný účel,
  • ak spracovateľ neprijal opatrenia na základe žiadosti fyzickej osoby.

Úrad tiež poskytuje informácie a poradenstvo týkajúce sa ochrany osobných údajov.

Kontakt:

Úrad na ochranu osobných údajov SR,
Hraničná 12, 820 07 Bratislava,
tel. č.: 02 / 3231 3214 (sekretariát úradu),
tel. č.: 02 / 3231 3220 (poskytovanie konzultácií),
e-mail: statny.dozor@pdp.gov.sk
www.dataprotection.gov.sk

Legislatíva:

Nariadenie Európskeho parlamentu a Rady (EU) 2016/679 zo dňa 27.apríla 2016 o ochrane fyzických osôb v súvislosti so spracovaním osobných údajov a o voľnom pohybe týchto údajov (nariadenie GDPR)

Zákon č. 18/2018 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov

Legislatíva týkajúca sa ochrany osobných údajov.

Milan Měchura