Oproti původní právní úpravě ochrany osobních údajů, posiluje nyní GDPR práva subjektu údajů, a to například vytvořením nového práva na přenositelnost údajů nebo změnou stávajících práv. Právo na přístup k osobním údajům bylo v minulosti zakotveno v čl. 12 Směrnice 95/46/ES[2] a v § 12 zákona č. 101/2000 Sb. , o ochraně osobních údajů, ve znění pozdějších předpisů (dále jen „ZOOÚ“). Zatímco dříve § 12 ZOOÚ stanovoval, že má správce subjektu údajů poskytnout na základě jeho žádosti určité informace o zpracování osobních údajů, nově čl. 15 GDPR stanovuje, že má požadované informace poskytnout a současně musí poskytnout i přímo konkrétní osobní údaje, tj. např. formou kopie smluv apod. Nová úprava obsažená v GDPR tedy přinesla zejména rozšíření rozsahu informací, které jsou poskytovány a také právo na bezplatné poskytnutí jedné kopie osobních údajů. V čl. 15 GDPR dále najdeme i taxativní výčet informací, které musí být poskytnuty. Seznam zahrnuje zejména informace, které je povinen správce vést v záznamech o zpracování dle čl. 30 GDPR, např. účely zpracování, kategorie osobních údajů, příjemce atd. V zájmu větší informovanosti musí správce subjektu údajů sdělit i dobu, po kterou bude uchovávat osobní údaje, nebo minimálně kritéria, na základě kterých to bude možné určit.[3]

Právo na přístup k osobním údajům zahrnuje právo subjektu údajů na přístup ke všem zpracovávaným osobním údajům, tj. nejen k takovým, které byly poskytnuty subjektem údajů správci.[4] Správce by měl vždy posuzovat zeširoka, zda se osobní údaje subjektu údajů týkají či nikoliv.

Před poskytnutím osobních údajů je nutné, aby správce neměl pochybnosti o totožnosti žadatele. Správce si může dle čl. 12 odst. 6 GDPR při pochybnostech o totožnosti žadatele vyžádat dodatečné informace nezbytné k potvrzení jeho totožnosti (ověřený podpis na žádosti, připojení elektronického podpisu apod.). Poskytnutí osobních údajů subjektu údajů jiné fyzické či právnické osobě by mohlo mít za následek velké riziko pro práva a svobodu fyzické osoby, o které byly osobní údaje poskytnuty, a to se všemi právními důsledky, včetně sankcí.

Právo na přístup k osobním údajům mají také nezletilé děti. Pokud dítě není dostatečně rozumově vyspělé na to, aby právo na přístup k osobním údajům mohlo uplatnit u správce samo, je možné, aby toto právo za něj uplatnil zákonný zástupce. GDPR přitom nevyžaduje, aby ohledně výkonu práv nezletilých subjektů údajů byl informovaný druhý zákonný zástupce, nebo aby k tomu musel udělit souhlas. Jedná se o práva, které náleží dítěti, jako subjektu údajů a zákonný zástupce v takovém případě jedná pouze ve prospěch dítěte, tudíž by tím neměl sledovat své vlastní zájmy, ale pouze zájmy dítěte.  

Reklama

Microsoft Copilot pro Office365 prakticky (online - živé vysílání) - 2.12.2024

2.12.2024 13:003 025 Kč s DPH
2 500 Kč bez DPH

Koupit

Jak je uvedeno výše, na rozdíl od předchozí úpravy musí dle GDPR správce poskytnout informace podle čl. 13 a 14 GDPR a provádět veškerá sdělení a opatření dle čl. 15 až čl. 22 GDPR zásadně bezplatně. Výjimkou z tohoto uvedeného obecného pravidla je možnost vyúčtovat subjektům údajů dle čl. 15 odst. 3 poplatek na administrativní náklady, a to v případě poskytování další kopie zpracovávaných osobních údajů nebo v případě, kdy je žádost zjevně nedůvodná či nepřiměřená. Dříve bylo možné dle § 12 odst. 3 ZOOÚ požadovat přiměřenou úhradu nepřevyšující náklady nezbytné na poskytnutí informace.

Každé další poskytnutí buď po delším časovém úseku, kdy je důvodné očekávat změny v údajích a jejich zpracování, nebo po každé takové změně, by mělo být bezplatné.

Pokud by subjekt údajů toto právo zneužíval (například prostřednictvím opakovaných žádostí uplatňovaných krátce po sobě) je možné takovým žádostem nevyhovět, případně za ně požadovat přiměřený poplatek za vynaložené administrativní náklady. Při stanovování přiměřeného poplatku za poskytnutí informací či učinění požadovaných úkonů dle GDPR lze analogicky použít sazebník stanovený pro účely zákona č. 106/1999 Sb. , o svobodném přístupu k informacím, ve znění pozdějších předpisů (dále jen „zákon o svobodném přístupu k informacím“), nicméně lze jistě doporučit stanovení sazebníku úhrad nákladů v souvislosti se zpracováním žádosti subjektu údajů o uplatnění práva subjektu údajů podle nařízení GDPR, a to zejména pro správce, kteří sazebník dle zákona o  svobodném přístupu k informacím nemají.

Podle čl. 12 odst. 1 GDPR se kopie osobních údajů poskytují písemně nebo jinými prostředky, ve vhodných případech i v elektronické formě. Vhodným případem pro použití elektronické formy je v souladu s odst. 4 tohoto článku situace, kdy subjekt údajů žádá v elektronické formě a zároveň nepožádá o to, aby ho správce informoval jiným způsobem. Vyhovuje-li správce žádosti elektronickou formou, využívá formát, který se běžně užívá, a není tedy povinen převádět informace do neobvyklých formátů dle požadavků subjektu údajů, zejména pokud je elektronický systém, do kterého subjekt údajů požaduje přístup nepřístupný neoprávněným osobám a není možné mu oprávnění poskytnout v jím žádaném rozsahu bez ohrožení práv třetích osob..

Při poskytování kopií dokumentů musí být vždy dbáno na ochranu práv třetích osob. Dle bodu 63 odůvodnění GDPR jde zejména o ochranu autorského práva, obchodního tajemství či duševního vlastnictví, tj. tedy informací, které mohou tvořit know-how správce. Dále je také třeba chránit práva dalších subjektu údajů, avšak při ochraně práv třetích osob nesmí být odepřen přístup ke všem osobním údajům žádajícího subjektu údajů, ale může být poskytnut užší rozsah údajů.[5]

Pokud správce zpracovává velké množství osobních údajů žadatele, např. u zaměstnance územně samosprávného celku a současně občana, může správce před poskytnutím informací požádat subjekt údajů, aby uvedl, jaké konkrétní informace požaduje. Po subjektu údajů obecně nelze požadovat, aby zúžil rozsah své žádosti o přístup k osobním údajům. Právo na přístup však nemůže být omezeno ani odepřeno, a pokud by tedy subjekt údajů blíže nespecifikoval svou žádost, je nezbytné mu vyhovět v plném rozsahu.

Nicméně při posuzování žádosti lze jako nedůvodnou či nepřiměřenou vyhodnotit jen část žádosti, např. žádost lze považovat za nedůvodnou a nepřiměřenou v rozsahu, ve kterém subjekt údajů (bývalý zaměstnanec) požaduje sdělení osobních údajů z emailové korespondence, protože je zřejmé, že se může jednat o nespočetné množství emailů, které navíc pocházejí z výkonu zaměstnání, tj. informace v nich obsažené jsou subjektu údajů, jako zaměstnanci s ohledem na výkon jeho zaměstnání pravděpodobně známé.  Takovou žádost lze v této části dle čl. 12 odst. 5 písm. b) odmítnout.

O zpracování osobních údajů ve smyslu čl. 2 odst. 1 GDPR se dále nejedná, pokud je v emailové korespondenci, nebo i v jiných obdobných dokumentech, uvedeno pouze jméno fyzické osoby, která není odesílatelem ani adresátem dané korespondence. Takové údaje tedy nemusí být poskytnuty podle čl. 15 GDPR. 

Důležitou otázkou při vyřizování žádosti o informace ve veřejné správě je použití či nepoužití zákona č. 500/2004 Sb. , správní řád, ve znění pozdějších předpisů (dále jen „správní řád“). K tomuto vydalo Ministerstvo vnitra ČR stanovisko, ve kterém uvedlo, že zákon č. 110/2019 Sb. o zpracování osobních údajů, ve znění pozdějších předpisů, výslovně vztah ke správnímu řádu neupravuje. Existují ovšem výjimky, kdy se správní řád použije, a to při uplatnění práva na námitku nebo jiného prostředku ochrany proti zpracování osobních údajů, kdy se použijí obdobně ustanovení správního řádu o stížnosti.  Předmětná úprava se však vztahuje k ochraně proti zpracování osobních údajů, nikoliv k právnímu režimu přístupu k informacím podle čl. 15 GDPR (byť získání těchto informací nepochybně může mít význam pro ověření zákonnosti zpracování osobních údajů a pro úsudek subjektu údajů o případném využití navazujících prostředků ochrany zejména podle čl. 21 GDPR).[6]

Podobné informační právo subjektu údajů jako v GDPR bylo obsaženo rovněž v § 12 ZOOÚ.  Tento zákon rovněž výslovně neřešil vztah ke správnímu řádu.

K předmětné úpravě v zákoně č. 101/2000 Sb. se nicméně vyjádřil několikrát zvláštní senát mj. v usnesení ze dne 14. 6. 2012 č. j. Konf 10/2012 – 6 a v usnesení ze dne 6. 11. 2014 č. j. Konf 7/2014 – 12, kde šlo o spor o poskytnutí informace o všech osobních údajích, které jsou o žalobci zpracovávány finančním úřadem. V obou dovodil zvláštní senát příslušnost soudu rozhodujícího v občanském soudním řízení. Na základě závěrů soudní judikatury má MVČR za to, že „předmětné postupy nepředstavují výkon veřejné moci, a to ani v případě, že k samotnému shromažďování osobních údajů dochází při výkonu veřejné moci – např. v souvislosti s vedením správních řízení. Domníváme se, že při vyřizování žádostí o informace podle čl. 15 GDPR se nepostupuje podle správního řádu, neboť se nejedná o výkon působnosti v oblasti veřejné správy ve smyslu § 1 odst. 1.“[7]

Vzhledem k zažitému institutu žádosti o informace dle zákona o svobodném přístupu k informacím, můžou subjekty údajů chybně podat žádost o osobní údaje dle zákona o svobodném přístupu k informacím. Na to pamatuje § 2 odst. 3 zákona o svobodném přístupu k informacím, který uvádí, že se nevztahuje na poskytování informací, pokud zvláštní zákon upravuje jejich poskytování, zejména vyřízení žádosti včetně náležitostí a způsobu podání žádosti, lhůt, opravných prostředků a způsobu poskytnutí informací, tj. že se tento obecný předpis neuplatní tam, kde existuje komplexní speciální právní úprava.

Pokud bude tedy obsahově žádost podaná chybně na základě zákona o svobodném přístupu k informacím (tj. je označena jako žádost dle zákona o svobodném přístupu k informacím), vyhodnocena jako žádost dle čl. 15 GDPR, bude žádost vyřizovat správce v rámci režimu stanoveném GDPR, a to včetně delší lhůty k vyřízení. Správce ale bude muset nejdříve žádost odmítnout v režimu zákona o svobodném přístupu k informacím, a to dle § 15 odst. 1 (s odkazem na ustanovení § 2 odst. 3) a následně bude požadavek řešit podle ustanovení GDPR. Povinnost vydat i v těchto případech rozhodnutí o odmítnutí podle ustanovení § 15 odst. 1 zákona o svobodném přístupu k informacím vychází z judikatury.[8]

Aby nebyla správcem zbytečně prodlužována doba pro poskytnutí informací, stanovuje GDPR v čl. 12 odst. 3, že správce poskytne subjektu údajů na jeho žádost bez zbytečného odkladu a v každém případě do 1 měsíce od obdržení žádosti. Lhůtu je možno prodloužit, a to s ohledem na složitost a počet žádostí, a to maximálně o dva měsíce. Do jednoho měsíce od obdržení žádosti, ale musí správce subjekt údajů vyrozumět o tom, že bude lhůta prodloužena a současně s tím správce uvede důvody takového prodloužení.

V případě nesplnění dotčených povinností správcem má subjekt údajů možnost podat stížnost u dozorového úřadu a žádat o soudní ochranu dle čl. 12 odst. 4 GDPR.

Závěrem lze tedy říct, že nová úprava posílila práva subjektu údajů a přinesla trochu více povinností pro správce osobních údajů, zvýšila administrativu při vyřizování žádostí o přístup k osobním údajům a znemožnila správcům si vyúčtovat vzniklé náklady, což v případě veřejného subjektu má za následek menší hospodárnost při vynakládání finančních prostředků.

Mgr. Lenka Feberová, LL.M.