Nařízení Evropského parlamentu a Rady 2016/679 označované jako GDPR (dále jen „nařízení“) obsahuje ve svých ustanoveních čl. 15 až čl. 22 výčet specifických práv subjektů údajů. Některá z těchto práv známe již ze současné úpravy (kupříkladu právo na přístup k osobním údajům, právo na opravu osobních údajů), avšak některá z nich jsou novinkou (právo na přenositelnost údajů). Z pohledu praktického je nutné uvést, že v současné době jsou existující oprávnění uplatňována subjekty údajů spíše výjimečně. Může být tedy otázkou, zdali se tato praxe změní v návaznosti na novou právní úpravu. Důležitou novinkou však je, že tyto případně požadavky budou muset obchodníci vyřizovat bezúplatně (viz níže).
V souvislosti s regulací práv subjektů nařízení také stanoví, jak má správce či zpracovatel osobních údajů postupovat, pokud některé z těchto práv bude subjektem údajů vůči němu uplatněno. V případě internetových obchodníků se bude nejčastěji jednat o požadavky vznesené jejich zákazníky. Legislativním požadavkům na postup obchodníků při uplatňování práv subjekty údajů bude věnován tento právní oběžník.
Ustanovení čl. 12 odst. 2 nařízení stanoví obecnou zásadu, že „správce usnadňuje výkon práv subjektu údajů.“ Odst. 3 čl. 12 nařízení je již praktičtější, když stanoví lhůty pro vyřizování požadavků subjektů údajů a také způsob jejich vyřizování. Ohledně způsobu vyřizování žádostí správcem je konkrétně stanoveno, že „jestliže subjekt údajů podává žádost v elektronické formě, poskytnou se informace v elektronické formě, je-li to možné, pokud subjekt údajů nepožádá o jiný způsob.“
Ohledně termínu pro vyřízení žádosti je stanoveno, že „správce poskytne subjektu údajů na žádost … informace …, a to bez zbytečného odkladu a v každém případě do jednoho měsíce od obdržení žádosti.“ Konstrukce tohoto ustanovení je tedy podobná jako v případě vyřizování reklamací podle zákona o ochraně spotřebitele. „Tuto lhůtu je možné v případě potřeby a s ohledem na složitost a počet žádostí prodloužit o další dva měsíce. Správce informuje subjekt údajů o jakémkoliv takovém prodloužení do jednoho měsíce od obdržení žádosti spolu s důvody pro tento odklad.“ Ustanovení čl. 12 odst. 4 nařízení pak doplňuje regulaci o situace, kdy žádosti subjektu údajů nebude správcem vyhověno: „pokud správce nepřijme opatření, o něž subjekt údajů požádal, informuje bezodkladně a nejpozději do jednoho měsíce od přijetí žádosti subjekt údajů o důvodech nepřijetí opatření a o možnosti podat stížnost u dozorového úřadu a žádat o soudní ochranu.“
Jak bylo zmiňováno výše, „… veškerá sdělení a veškeré úkony … se poskytují a činí bezplatně.“ Pouze pro případ, kdy jsou „žádosti podané subjektem údajů zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může správce buď: a) uložit přiměřený poplatek zohledňující administrativní náklady spojené s poskytnutím požadovaných informací nebo sdělení nebo s učiněním požadovaných úkonů; nebo b) odmítnout žádosti vyhovět. Zjevnou nedůvodnost nebo nepřiměřenost žádosti dokládá správce.“
Často se objevuje dotaz ohledně identifikace subjektu údajů, který svá práva vůči obchodníku uplatňuje. Tuto problematiku upravuje výslovně ustanovení čl. 12 odst. 6 nařízení, které stanoví, že „pokud má správce důvodné pochybnosti o totožnosti fyzické osoby, která podává žádost …, může požádat o poskytnutí dodatečných informací nezbytných k potvrzení totožnosti subjektu údajů.“ To znamená, že by mělo být považováno za legitimní, pokud správce osobních údajů bude požadovat po subjektu údajů prokázání dalších skutečností sloužících k identifikaci takového subjektu údajů. Pokud může obchodník doložit, že „není schopen identifikovat subjekt údajů, informuje o této skutečnosti subjekt údajů, pokud je to možné.“ V takovýchto případech se práva subjektů údajů neuplatní, „s výjimkou případů, kdy subjekt údajů za účelem výkonu svých práv … poskytne dodatečné informace umožňující jeho identifikaci.“
Josef Aujezdský, advokát
Advokátní kancelář Mašek, Kočí, Aujezdský
www.e-Advokacie.cz – on-line právní poradenství
Tento text byl advokátní kanceláří Mašek, Kočí, Aujezdský původně vyhotoven ve spolupráci se spolkem Asociace pro elektronickou komerci (APEK) jako právní oběžník č. 10/2017 určený členům tohoto spolku.