|
Práva subjektů údajů
Subjekt údajů neboli fyzická osoba má v souvislosti s GDPR:
právo přístupu ke všem svým údajům - subjektu údajů musí být umožněno získat potvrzení, zda jsou či nejsou udaje zpracovány, k jakému účelu jsou data zpracovávány, má právo vědět o jaké kategorie údajů se jedná, komu budou zpřístupněny a plánovanou dobu, po kterou budou údaje uloženy. Subjekt údajů má rovněž možnost podat stížnost u příslušných dozorčích orgánů.
Upozornění
Právem na přístup nesmí být dotčena práva ostatních osob např. obchodní tajemství.
•právo na opravu údajů - subjekt údajů může kdykoliv požádat o opravu poskytnutých údajů. Správce dat musí data bez odkladu opravit či doplnit.
•právo na omezení zpracování - subjekt údajů má právo na omezení zpracování dat například když je zpracování protiprávní nebo když správce již osobní údaje nepotřebuje.
•právo na přenositelnost údajů - subjekt údajů má právo kdykoliv získat údaje poskytnuté správci údajů a tyto předat jinému správci.
•právo vznést námitku - subjekt údajů má právo vznést námitku ke zpracování osobních údajů a přimět tak správce daně k omezenému zpracování dat.
•právo na výmaz údajů (právo být zapomenut) - subjekt údajů má za určitých podmínek stanovených v nařízení, právo vznést požadavek na výmaz údajů. Správce dat má povinnost tyto údaje bez odkladu vymazat s ohledem na zákonné povinnosti evidence.
Povinnosti správce dat (institucí a firem) vůči GDPR
Správce dat musí zavést vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je v souladu s nařízením. Zároveň dohlídne na to, aby zpracovával pouze ty osobní údaje, jež jsou pro daný účel nezbytně nutné.
Nejvýznamnější technická opatření, která bude nutno realizovat jsou zejména následující:
•zpracování osobních dat pouze k oprávněným účelům a jen po nezbytně nutnou dobu,
•logování udělených souhlasů se zpracováním osobních údajů,
•anonymizace OÚ - anonymizované údaje jsou takové údaje, pomocí kterých nelze identifikovat subjekt údajů,
•pseudonymizace OÚ – zpracování osobních údajů takovým způsobem, aby nemohly být přiřazeny konkrétní osobě bez použití dalších informací,
•"Inteligentní" vyhledávání a mazání vybraných osobních údajů (právo být zapomenut),
•nastavování přístupových oprávnění k OÚ,
•obnova dostupnosti osobních údajů a přístupu k nim včas v případě fyzických či technických incidentů (řízení zálohování a plány obnovy dat po havárii IS/IT),
•pravidelné testování, posuzování a hodnocení minimalizace zpracovávaných OÚ,
•zajištění integrity, přesnosti OÚ,
•ohlašování porušení zabezpečení OÚ ("incident management") - správce dat má nově povinnost oznámit porušení ochrany dat do 72 hodin příslušnému ÚOOÚ (Úřad pro ochranu osobních údajů) a rovněž dotčené fyzické osobě,
•přístup k OÚ a jejich přenositelnost (poskytnout subjektům právo na výpis, výmaz a přenos).
..
|