GDPR obdobně jako zákon č. 101 / 2000 Sb., o ochraně osobních údajů přiznává subjektům údajů práva. Ta jsou základem systému řízení ochrany osobních údajů. Jejich účelem je vyrovnat vztah mezi správcem a subjektem údajů. GDPR tato práva aktualizuje, doplňuje a přichází i s novými právy jako je například právo na přenositelnost.
Subjekt údajů má právo být informován o všech zpracováních svých osobních údajů, a to zejména o účelu zpracování, totožnosti správce, o oprávněnosti zpracování, o případných dalších příjemcích, kterým jsou osobní údaje předávány. Úplný výčet informací, které má správce poskytnout, lze nalézt v článcích 13 a 14 GDPR. Jedná se o pasivní právo, jelikož aktivitu v informování subjektu údajů musí vyvinout správce (například zaměstnavatel by měl informovat své zaměstnance, jakým způsobem jsou jejich osobní údaje zpracovávány, po jakou dobu bude ke zpracování docházet, zda jsou údaje někomu předávány – třeba externí účetní atd.).
Do práva být informován patří také povinnost správce oznámit subjektům údajů porušení zabezpečení osobních údajů, které může mít za následek vysoké riziko pro práva a svobody dotčených osob (může jít o únik údajů, krádež, zneužití, ztrátu dokumentace apod.). Porušení zabezpečení je rovněž nutno ohlásit dozorovému orgánu, a to do 72 od zjištění události. V České republice vykonává dozorovou činnost Úřad pro ochranu osobních údajů. Hlášení provádí pověřenec. Pokud není nutné pověřence povinně jmenovat, doporučujeme alespoň stanovit osobu, která bude mít náležitosti kolem GDPR na starost. Zpracovatel je povinen informovat správce o případném incidentu, a to předem dohodnutým způsobem. Jednotlivé incidenty je nezbytné posuzovat v širším kontextu – o jaký typ údajů šlo, kterých osob se týká, povaha uniklých dat, pravděpodobnost vzniku rizika pro práva a svobody dotčených osob.
Mezi práva, která jsou založena na aktivitě subjektu údajů (obvykle formou žádosti), patří:
- právo na přístup;
- právo na opravu;
- právo na výmaz;
- právo být zapomenut;
- právo vznést námitku;
- právo na omezení zpracování;
- právo na přenositelnost údajů.
Na podanou žádost subjektu údajů je správce povinen reagovat bez zbytečného odkladu, nejpozději do jednoho měsíce od obdržení žádosti. Ve výjimečných případech lze lhůtu prodloužit o dva měsíce, o čemž musí být subjekt údajů ze strany správce informován, a to včetně důvodu pro prodloužení lhůty. Výkon vyřízení žádosti nesmí být správcem údajů zpoplatněn. Pouze v případě, kdy jsou žádosti podané subjektem údajů nedůvodné nebo nepřiměřené, opakující se, může správce buď uložit přiměřený poplatek, nebo odmítnout žádosti vyhovět. Nedůvodnost však musí být správce schopen doložit.
Právo na přístup uplatňuje subjekt údajů na základě aktivní žádosti u správce. Subjekt údajů je oprávněn získat informace, zda jsou jeho osobní údaje zpracovávány či nikoliv a pokud ano, má právo být informován o:
- účelu zpracování;
- kategorii osobních údajů;
- příjemcích, kterým byly údaje zpřístupněny;
- době, po kterou budou údaje zpracovávány;
- skutečnosti zda dochází k automatizovanému rozhodování či profilování;
- existenci práva požadovat od správce opravu údajů, výmaz, vznesení námitky a práva podat stížnost u dozorového úřadu.
Jsou-li osobní údaje subjektu údajů nepřesné nebo neúplné, má subjekt údajů právo požadovat jejich opravu či doplnění. Pokud subjekt údajů tuto skutečnost oznámí nebo o ni požádá, je povinností správce se touto žádostí zabývat a o přijatých opatřeních subjekt údajů informovat.
GDPR stanoví povinnost správce bez zbytečného odkladu vymazat osobní údaje subjektu údajů, a to v případech kdy:
- subjekt údajů žádá o uplatnění práva na výmaz a správcem shromážděné osobní údaje mohou být vymazány (kdy neexistuje jiný právní důvod pro jejich ponechání);
- osobní údaje již nejsou potřebné pro účel, pro který byly shromažďovány a zpracovávány;
- subjekt údajů vznesl námitky proti zpracování a neexistuje žádný další právní důvod pro zpracování;
- subjekt údajů odvolal svůj předchozí souhlas se zpracováním osobních údajů a již neexistuje žádný další právní důvod pro jejich zpracování;
- osobní údaje byly zpracovány protiprávně;
- pokud není udělen souhlas zákonného zástupce se zpracováním osobních údajů dítěte.
Právo být zapomenut je rozšířením práva na výmaz. Spočívá v provedení přiměřených kroků a technických opatření vedoucích k vymazání veškerých odkazů na osobní údaje subjektu údajů a jejich kopie. Rovněž jako u práva na výmaz nelze provést tam, kde má správce údajů povinnost osobní údaje uchovávat (například z důvodu smluvního plnění, povinné archivace, atd.).
Nelze-li uplatnit právo na výmaz, může subjekt údajů požadovat alespoň právo na omezení zpracování. Právo se použije v případech, kdy osobní údaje nejsou zapotřebí pro původní účel, ale ještě je nelze z právních důvodů odstranit. (Například když opouštíte bankovní ústav, účty jsou zrušeny, ale banka musí osobní údaje ještě několik let uchovávat. Chcete-li si být jisti, že Vaše osobní údaje nebudou pro jiný účel použity, uplatníte právo na omezení zpracování.)
Subjekt údajů může vznést námitku proti zpracování osobních údajů. Správce pak pro toto zpracování osobní údaje dále nezpracovává, neprokáže-li pro to oprávněné důvody. Toto právo lze použít například v případě přímého marketingu.
GDPR zavádí zcela nové právo subjektů údajů a tím je právo na přenositelnost údajů. Jeho podstatou je získat od správce osobní údaje, které mu byly poskytnuty, ve strukturovaném, běžně používaném a strojově čitelném formátu a tyto údaje předat jinému správci, aniž by tomu původní správce bránil. Právo lze aplikovat, jedná-li se o zpracování založeném na souhlasu či smlouvě a provádí-li se zpracování automatizovaně.