Povinnosti správce
v oblasti poskytování transparentních informací, sdělení a postupů pro
výkon práv subjektů údajů jsou detailně upraveny v článcích 12,
13 a 14 GDPR.
Výjimka
z povinnosti poskytnout informaci je přípustná pouze v tom případě,
že subjekt údajů již těmito informacemi disponuje. Správce však musí být
v případě potřeby schopen prokázat, že subjekt údajů byl skutečně
informován o všech požadovaných informacích, tj. že došlo ke splnění informační
povinnosti dle GDPR.
Do poskytovaných
informací subjektu údajů patří:
totožnost a kontaktní údaje správce
a jeho případného zástupce,
kontaktní údaje pověřence pro
ochranu osobních údajů (DPO – Data Protection Officer),
právní důvod pro zpracování osobních
údajů a účely zpracování,
příjemce nebo kategorie příjemců
osobních údajů,
případný úmysl správce předat osobní
údaje do třetí země nebo mezinárodní organizaci.
Správce poskytne
subjektu údajů v okamžiku získání osobních údajů další informace, jsou-li
nezbytné pro zajištění spravedlivého a transparentního zpracování o:
době, po kterou budou osobní údaje
uloženy,
právu požadovat od správce přístup,
opravu nebo výmaz osobních údajů, popřípadě omezení zpracování,
právu vznést námitku proti
zpracování a právu na přenositelnost údajů,
právu odvolat kdykoli souhlas, aniž
je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho
odvoláním,
právu podat stížnost u dozorového
úřadu,
skutečnosti, zda poskytování
osobních údajů je zákonným či smluvním požadavkem, nebo požadavkem, který je
nutné uvést do smlouvy. Zda má subjekt údajů povinnost osobní údaje poskytnout,
a o možných důsledcích neposkytnutí těchto údajů,
skutečnosti, že dochází k
automatizovanému rozhodování včetně profilování.
Pokud správce
hodlá osobní údaje dále zpracovávat pro jiný účel, než je účel, pro který byly
shromážděny, poskytne subjektu údajů ještě před uvedeným dalším zpracováním
informace o tomto jiném účelu.
Správce přijme
vhodná opatření, aby poskytl subjektu údajů stručným, transparentním,
srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých
jazykových prostředků veškeré informace uvedené v článcích 13
a 14 GDPR, a učinil veškerá sdělení podle článků 15
až 22 a 34 GDPR o zpracování,
zejména pokud se jedná o informace určené konkrétně dítěti. Informace poskytne
písemně nebo jinými prostředky, ve vhodných případech v elektronické
formě. Pokud si to subjekt údajů vyžádá, mohou být informace poskytnuty ústně,
a to za předpokladu, že identita subjektu údajů je prokázána jinými způsoby.
Pokud se jedná o
žádost podle článků 15
až 22 GDPR, musí být informace o přijatých opatřeních poskytnuta bez
zbytečného odkladu a v každém případě do jednoho měsíce od obdržení žádosti.
Lhůtu lze ve výjimečných případech prodloužit o dva měsíce, o čemž musí být
subjekt údajů ze strany správce informován, včetně důvodů prodloužení.
Zásadně platí, že
informace podle článků 13
a 14 GDPR a veškerá sdělení a
úkony podle článků 15
až 22 a 34 GDPR se poskytují a činí bezplatně. Pouze v případě,
kdy jsou žádosti podané subjektem údajů zjevně nedůvodné nebo nepřiměřené,
zejména protože se opakují, může správce buď uložit přiměřený poplatek, nebo
odmítnout žádosti vyhovět. Zjevnou nedůvodnost dokládá správce.