Práva dotknutých osôb pri spracúvaní osobných údajov
Dotknutá osoba má, bez ohľadu na právny základ spracúvania osobných údajov, právo na prístup k osobným údajom, právo na ich opravu, právo na ich vymazanie, právo na obmedzenie spracúvania, právo na prenosnosť údajov, právo namietať proti spracúvaniu osobných údajov, právo aby sa na ňu nevzťahovalo rozhodnutie založené výlučne na automatizovanom spracúvaní vrátane profilovania, právo podať sťažnosť dozornému orgánu (Úrad na ochranu osobných údajov SR) a právo na odvolanie súhlasu so spracovaním osobných údajov, ak sa osobné údaje spracúvajú na základe súhlasu.
- Právo dotknutej osoby na prístup k údajom (čl. 15 Nariadenia; § 21 Zákona)
Dotknutá osoba má právo získať od prevádzkovateľa potvrdenie o tom, či spracúva osobné údaje, ktoré sa jej týkajú, a ak tomu tak je, má právo získať prístup k týmto osobným údajom a tieto informácie: účely spracúvania; kategórie osobných údajov; príjemcovia alebo kategórie príjemcov, ktorým boli alebo budú osobné údaje poskytnuté, najmä príjemcovia v tretích krajinách alebo medzinárodné organizácie; ak je to možné, predpokladaná doba uchovávania osobných údajov, ak to nie je možné, kritériá na jej určenie; existencia práva požadovať opravu osobných údajov týkajúcich sa dotknutej osoby alebo ich vymazanie alebo obmedzenie spracúvania alebo práva namietať proti takémuto spracúvaniu; právo podať sťažnosť dozornému orgánu (Úrad na ochranu osobných údajov SR); ak sa osobné údaje nezískali od dotknutej osoby, akékoľvek dostupné informácie, pokiaľ ide o ich zdroj; existencia automatizovaného rozhodovania vrátane profilovania a informácie o použitom postupe, ako aj význame a predpokladaných dôsledkoch takéhoto spracúvania pre dotknutú osobu; pri prenose osobných údajov do tretej krajiny alebo medzinárodnej organizácií, informácie o primeraných zárukách týkajúcich sa prenosu. Prevádzkovateľ poskytne kópiu osobných údajov, ktoré sa spracúvajú. Za akékoľvek ďalšie kópie, o ktoré dotknutá osoba požiada, môže prevádzkovateľ účtovať primeraný poplatok zodpovedajúci administratívnym nákladom. Ak dotknutá osoba podala žiadosť elektronickými prostriedkami, informácie sa poskytnú v bežne používanej elektronickej podobe, pokiaľ dotknutá osoba nepožiadala o iný spôsob. Právo získať kópiu osobných údajov, ktoré sa spracúvajú nesmie mať nepriaznivé dôsledky na práva a slobody iných.
- Právo na opravu (čl. 16 Nariadenia; § 22 Zákona)
Dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu opravil nesprávne osobné údaje, ktoré sa jej týkajú. So zreteľom na účely spracúvania má dotknutá osoba právo na doplnenie neúplných osobných údajov, a to aj prostredníctvom poskytnutia doplnkového vyhlásenia.
- Právo na vymazanie (právo na “zabudnutie”, čl. 17 Nariadenia; § 23 Zákona)
Dotknutá osoba má právo na vymazanie osobných údajov, ktoré sa jej týkajú bez zbytočného odkladu, ak je splnený niektorý z týchto dôvodov: osobné údaje už nie sú potrebné na účely, na ktoré sa získavali alebo inak spracúvali; dotknutá osoba odvolá súhlas, na základe ktorého sa spracúva ak neexistuje iný právny základ pre spracúvanie; dotknutá osoba namieta voči spracúvaniu, ktoré sa vykonáva na právnom základe verejného záujmu alebo oprávneného záujmu a neprevažujú žiadne oprávnené dôvody na spracúvanie alebo dotknutá osoba namieta voči spracúvaniu na účely priameho marketingu; osobné údaje sa spracúvali nezákonne; osobné údaje musia byť vymazané, aby sa splnila zákonná povinnosť podľa práva Európskej únie alebo práva Slovenskej republiky; osobné údaje sa získavali v súvislosti s ponukou služieb informačnej spoločnosti (na základe súhlasu dieťaťa mladšieho ako 16 rokov). Práva dotknutých osôb Ak prevádzkovateľ zverejnil osobné údaje a je povinný ich vymazať, so zreteľom na dostupnú technológiu a náklady na vykonanie opatrení, podnikne primerané opatrenia vrátane technologických, aby informoval prevádzkovateľov, ktorý vykonávajú spracúvanie osobných údajov, že dotknutá osoba ich žiada, aby vymazali všetky odkazy na tieto osobné údaje, ich kópie alebo repliky. Právo na vymazanie sa neuplatňuje, pokiaľ je spracúvanie potrebné: na slnenie zákonnej povinnosti, ktoré si vyžaduje spracúvanie podľa práva Európskej únie alebo práva Slovenskej republiky, alebo na plnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi; z dôvodov verejného záujmu v oblasti verejného zdravia; na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely, pokiaľ je pravdepodobné, že právo na vymazanie znemožní alebo závažným spôsobom sťaží dosiahnutie cieľov takéhoto spracúvania; na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.
- Právo na obmedzenie spracúvania (čl. 18 Nariadenia; § 24 Zákona)
Dotknutá osoba má právo na to, aby prevádzkovateľ obmedzil spracovanie, pokiaľ ide o jeden z týchto prípadov: dotknutá osoba napadne správnosť osobných údajov, a to počas obdobia umožňujúceho prevádzkovateľovi overiť správnosť osobných údajov; spracúvanie je protizákonné a dotknutá osoba namieta proti vymazaniu osobných údajov a žiada namiesto toho obmedzenie ich použitia; prevádzkovateľ už nepotrebuje osobné údaje na účely spracúvania, alebo potrebuje ich dotknutá osoba na preukázanie, uplatňovanie alebo obhajovanie právnych nárokov; dotknutá osoba namietala voči spracúvaniu na právnom základe verejného záujmu alebo oprávneného záujmu, a to až do overenia, či oprávnené dôvody na strane prevádzkovateľa prevažujú nad oprávnenými dôvodmi dotknutej osoby. Ak sa spracúvanie obmedzilo, takéto osobné údaje sa s výnimkou uchovávania spracúvajú len so súhlasom dotknutej osoby alebo na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov, alebo na ochranu práv inej fyzickej alebo právnickej osoby, alebo z dôvodov dôležitého vereného záujmu Európskej únie alebo Slovenskej republiky. Prevádzkovateľ informuje dotknutú osobu, ktorá dosiahla obmedzenie spracúvania, pred tým, ako bude obmedzenie spracúvania zrušené.
- Oznamovacia povinnosť v súvislosti s opravou alebo vymazaním osobných údajov alebo obmedzením spracúvania (čl. 19 Nariadenia; § 25 Zákona)
Prevádzkovateľ oznámi každému príjemcovi, ktorému boli osobné údaje poskytnuté, každú opravu alebo vymazanie osobných údajov alebo obmedzenie spracúvania, pokiaľ sa to neukáže ako nemožné alebo si to nevyžaduje neprimerané úsilie. Prevádzkovateľ o týchto príjemcoch informuje dotknutú osobu, ak to dotknutá osoba požaduje.
- Právo na prenosnosť údajov (čl. 20 Nariadenia; § 26 Zákona)
Dotknutá osoba má právo získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla prevádzkovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a má právo preniesť tieto údaje ďalšiemu prevádzkovateľovi bez toho, aby jej prevádzkovateľ, ktorému sa tieto osobné údaje poskytli, bránil, ak: sa spracúvanie zakladá na súhlase dotknutej osoby alebo na základe zmluvy; ak sa spracúvanie vykonáva automatizovanými prostriedkami. Dotknutá osoba má pri uplatňovaní práva na prenosnosť údajov právo na prenos osobných údajov priamo od jedného prevádzkovateľa druhému prevádzkovateľovi, pokiaľ je to technicky možné. Uvedené právo sa nevzťahuje na spracúvanie nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi. Právo na prenosnosť údajov nesmie mať nepriaznivé dôsledky na práva a slobody iných.
- Právo namietať (čl. 21 Nariadenia; § 27 Zákona)
V prípade, ak právny záujem spracúvania osobných údajov je splnenie úlohy vo verejnom záujme alebo pri výkone verejnej moci zverený prevádzkovateľovi alebo oprávnený záujem, má dotknutá osoba právo namietať proti spracúvaniu osobných údajov, ktoré sa jej týka, vrátane namietania proti profilovaniu. Prevádzkovateľ nesmie ďalej spracúvať osobné údaje, pokiaľ nepreukáže nevyhnutné oprávnené dôvody na spracúvanie, ktoré prevažujú nad záujmami, právami a slobodami dotknutej osoby, alebo dôvody na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov. Ak sa osobné údaje spracúvajú na účely priameho marketingu, dotknutá osoba má právo kedykoľvek namietať proti spracúvaniu osobných údajov, ktoré sa jej týka, na účely takéhoto marketingu, vrátane profilovania v rozsahu, v akom súvisí s takýmto priamym marketingom. Ak dotknutá osoba namieta voči spracúvaniu na účely priameho marketingu, osobné údaje sa už na také účely nesmú spracúvať. Ak sa osobné údaje spracúvajú na účely vedeckého alebo historického výskumu či na štatistické účely, dotknutá osoba má právo namietať proti spracúvania osobných údajov, ktoré sa jej týka, s výnimkou prípadov, keď je spracúvanie nevyhnutné na plnenie úlohy z dôvodov verejného záujmu.
- Automatizované individuálne rozhodovanie vrátane profilovania (čl. 22 Nariadenia; § 28 Zákona)
Dotknutá osoba má právo na to, aby sa na ňu nevzťahovalo rozhodnutie, ktoré je založené výlučne na automatizovanom spracúvaní, vrátane profilovania, a ktoré má právne účinky, ktoré sa jej týkajú alebo ju podobne významne ovplyvňujú. Toto právo sa neuplatňuje, ak je rozhodnutie: nevyhnutné na uzavretie alebo plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom; povolené právom Európskej Únie alebo právom Slovenskej republiky a ktorým sa zároveň stanovujú aj vhodné opatrenia zaručujúce ochranu práv a slobôd a oprávnených záujmov dotknutej osoby; založené na výslovnom súhlase dotknutej osoby.
- Právo na odvolanie súhlasu (čl. 7 Nariadenia; § 14 ods. 3 Zákona)
Ak je spracúvanie osobných údajov založené na súhlase dotknutej osoby, má dotknutá osoba právo kedykoľvek odvolať svoj súhlas. Súhlas možno odvolať rovnakým spôsobom ako bol súhlas udelený. Zároveň môže dotknutá osoba odvolať svoj súhlas aj nasledovnými spôsobmi:
- e-mailovom správou na adresu: info@lexxus.sk
- zaslaním písomnej žiadosti na adresu sídla prevádzkovateľa.
- Právo podať návrh na začatie konania o ochrane osobných údajov (čl. 77 a 79 nariadenia; § 100 zákona)
Ak sa dotknutá osoba domnieva, že spracúvanie jej osobných údajov je v rozpore s Nariadením a Zákonom, má právo podať Úradu na ochranu osobných údajov, so sídlom Hraničná 12, 820 07 Bratislava, Slovenská republika, IČO: 36 064 220 (ďalej len „Úrad“) alebo inému príslušnému orgánu najmä v členskom štáte svojho obvyklého pobytu, mieste výkonu práce alebo v mieste údajného porušenia, návrh na začatie konania o ochrane osobných údajov. Návrh na začatie konania (ďalej len „návrh“) musí obsahovať: meno, priezvisko, korešpondenčnú adresu a podpis navrhovateľa, označenie toho, proti komu návrh smeruje s uvedením mena, priezviska, trvalého pobytu alebo názvu, sídla a identifikačného čísla, ak bolo pridelené, predmet návrhu s označením práv, ktoré mali byť pri spracúvaní osobných údajov porušené, dôkazy na podporu tvrdení uvedených v návrhu, kópiu listiny alebo iný dôkaz preukazujúci uplatnenie práva podľa druhej časti druhej hlavy tohto zákona alebo nariadenia, ak si takéto právo dotknutá osoba uplatnila, alebo uvedenie dôvodov hodných osobitného zreteľa o neuplatnení predmetného práva, ak návrh podala dotknutá osoba. Vzor návrhu na začatie konania pred Úradom je zverejnený na webovom sídle Úradu.
- Oznámenie porušenia ochrany osobných údajov dotknutej osobe (čl. 34 Nariadenia; § 40 Zákona)
V prípade porušenia ochrany osobných údajov, ktoré pravdepodobne povedie k vysokému riziku pre práva a slobody fyzických osôb, prevádzkovateľ bez zbytočného odkladu oznámi porušenie ochrany osobných údajov dotknutej osobe. Oznámenie dotknutej osobe obsahuje jasne a jednoducho formulovaný opis povahy porušenia ochrany osobných údajov, meno a kontaktné údaje zodpovednej osoby alebo iného kontaktného miesta, kde možno získať viac informácií, opis pravdepodobných následkov porušenia ochrany osobných údajov, opis opatrení prijatých alebo navrhovaných prevádzkovateľom s cieľom napraviť porušenie ochrany osobných údajov vrátane, podľa potreby, opatrení na zmiernenie jeho potenciálnych nepriaznivých dôsledkov. Oznámenie dotknutej osobe sa nevyžaduje, ak je splnená ktorákoľvek z týchto podmienok: prevádzkovateľ prijal primerané technické a organizačné ochranné opatrenia a tieto opatrenia uplatnil na osobné údaje, ktorých sa porušenie ochrany osobných údajov týka, a to najmä tie opatrenia, na základe ktorých sú osobné údaje nečitateľné pre všetky osoby, ktoré nie sú oprávnené mať k nim prístup, ako je napríklad šifrovanie; prevádzkovateľ prijal následné opatrenia, ktorými sa zabezpečí, že vysoké riziko pre práva a slobody dotknutých osôb pravdepodobne už nebude mať dôsledky; by to vyžadovalo neprimerané úsilie. V takom prípade dôjde namiesto toho k informovaniu verejnosti alebo sa prijme podobné opatrenie, čím sa zaručí, že dotknuté osoby budú informované rovnako efektívnym spôsobom.