Which rights do individuals have under the GDPR?
GDPR poskytuje subjektům údajů, tj. fyzickým osobám, jejichž osobní údaje jsou zpracovávány, následující práva:
- Právo být informován
- Právo na přístup
- Právo na opravu
- Právo na výmaz (právo být zapomenut)
- Právo na omezení zpracování
- Právo na přenositelnost údajů
- Právo vznést námitku
- Právo nebýt předmětem rozhodnutí založeného výhradně na automatizovaném zpracování
Vezměte prosím na vědomí, že některá z těchto práv neplatí ve všech situacích, pro více informací si můžete prohlédnout tabulku práv subjektu údajů pro každý druh právního základu.
Správce osobních údajů je povinen reagovat na žádosti subjektů údajů, které uplatňují svá práva, a musí výkon těchto práv usnadnit. Zpracovatel osobních údajů musí být správci údajů při tomto úkolu nápomocen.
Seznam činností v souvislosti s právy subjektů údajů:
- Být připraven: Vyvíjet systémy a postupy pro reakci na žádosti o práva subjektů údajů a školit své zaměstnance, aby začlenili žádosti o práva subjektů údajů do svých interních pracovních postupů.
- Usnadnit výkon práv: Usnadnění subjektům údajů, aby věděly, jaká jsou jejich práva, a jak vás mohou kontaktovat, aby je bylo možné uplatnit.
- Znát své datové toky: Udržování aktuálních registrů pro rychlou identifikaci dat, která jsou zpracovávána, a pro efektivní vyhledávání a získávání informací.
- Být transparentní: Subjekty údajů vždy jasně a srozumitelně informovat o osobních údajích, které jsou o nich zpracovávány. A to před zpracováním (například v zásadách ochrany osobních údajů) a během zpracování (například při vyhovění žádosti subjektu údajů o přístup).
- Odpovědět do 1 měsíce: Odpověď na žádost subjektu údajů vždy poskytnout do jednoho měsíce. Potřebujete-li více času na odpověď nebo nemůžete-li žádosti vyhovět: informovat o tom subjekt údajů ve lhůtě jednoho měsíce.
- Předání: Pokud obdržíte žádost týkající se osobních údajů, které jste předali jiným příjemcům, nezapomeňte v případě potřeby informovat příjemce o výsledku vyřízení žádosti.
- Dokumentace: Mějte přehled o žádostech subjektů údajů a zaznamenávejte své odpovědi a také sledujte své odůvodnění, pokud na žádost neodpovíte.
Jak vyřídit požadavek práva subjektu údajů
Transparentnost je klíčem k ochraně osobních údajů obecně a samozřejmě v souvislosti s právy subjektu údajů.
Správce osobních údajů musí:
- komunikovat se subjekty údajů jasným a srozumitelným jazykem (to je obzvláště důležité v případech, kdy organizace oslovuje děti),
- usnadnit výkon těchto práv, zejména elektronickými prostředky. Na svých webových stránkách můžete například poskytnout online formulář, který mohou subjekty údajů použít ke snadnému uplatnění svých práv na ochranu údajů.
Odpovědět písemně
Obecným pravidlem je, že organizace by měla odpovědět na žádost fyzické osoby o přístup stejným způsobem, jakým byla žádost podána, nebo způsobem, jakým subjekt údajů výslovně požádal o odpověď. Pokud možno byste měli odpovědět písemně, případně i elektronickými prostředky. Odpověď na žádost o právo subjektu údajů může být poskytnuta ústně, ale to se nedoporučuje, protože musíte být schopni prokázat, že jste na žádost odpověděli.
Odpovědět do jednoho měsíce
Odpovědět do jednoho měsíce
Obecné nařízení o ochraně osobních údajů stanoví za jak dlouho musí správce osobních údajů na žádost reagovat, a v jakých případech si může účtovat poplatky.
Pokud subjekty údajů uplatní jedno ze svých práv, musí jim správce osobních údajů odpovědět do jednoho měsíce. Pokud je žádost příliš složitá a na odpověď je zapotřebí více času, může vaše organizace tuto lhůtu prodloužit o další dva měsíce za předpokladu, že subjekt údajů bude o takovém postupu informován do jednoho měsíce od podání žádosti. Pokud vaše organizace může prokázat, že žádost je zjevně neopodstatněná nebo nepřiměřená, zejména z důvodu její opakující se povahy, můžete buď účtovat přiměřený poplatek, nebo odmítnout žádosti vyhovět.
Pokud má vaše organizace důvodné pochybnosti o totožnosti osoby, která žádost podává (například žádost je podána s jinou e-mailovou adresou, než kterou obvykle používá váš zákazník, nebo je podána mimo ověřený zákaznický účet), můžete si před zodpovězením vyžádat další informace k potvrzení totožnosti subjektu údajů.
Pokud nemáte v úmyslu konkrétní žádosti subjektu údajů vyhovět, musíte subjekt údajů do jednoho měsíce od obdržení žádosti informovat o důvodech, proč žádosti nevyhovíte (např. proč požadované údaje nevymažete). Kromě toho musíte subjekty údajů informovat o možnosti podat stížnost u jejich vnitrostátního orgánu pro ochranu osobních údajů a případně požádat o soudní ochranu.
Bez poplatku
Vaše organizace nemůže požadovat žádnou platbu od subjektu údajů, který žádá o uplatnění některého ze svých práv. Můžete si však účtovat poplatek, pokud je žádost subjektu údajů zjevně neopodstatněná nebo nepřiměřená, zejména z důvodu jejich opakující se povahy. Při výpočtu poplatku musí být zohledněny administrativní náklady na odpověď na žádost vaší organizace. Jak bylo vysvětleno výše, je rovněž možné odmítnout vyhovět žádosti, která je zjevně neopodstatněná nebo nepřiměřená. V takové situaci musíte být schopni prokázat, že tomu tak je.
V praxi
- Subjekt údajů podává každé dva měsíce žádost o přístup truhláři, který vyrobil jeho stůl. Tesař odpověděl na první žádost úplně. Vzhledem k tomu, že tesař nezpracovává osobní údaje v rámci své hlavní činnosti a neposkytl subjektu údajů více než jednu službu, je nepravděpodobné, že by v souboru údajů týkajícím se subjektu údajů došlo ke změnám. Subjekt údajů objasnil, že nová žádost se týká stejných informací jako poslední žádost. V důsledku toho lze tuto žádost považovat za nepřiměřenou z důvodu její opakující se povahy.
- Pokud se tesař rozhodne poskytnout osobní údaje subjektů údajů, ale za poplatek, je vhodné je o tom předem informovat, a dát jim tak možnost vzít žádost zpět, aby nedošlo k vyúčtování poplatku. Alternativně může tesař informovat subjekt údajů o důvodech, proč na tuto žádost neodpoví, jakož i o možnosti podat stížnost u orgánu pro ochranu osobních údajů a případně požádat i o soudní ochranu.
Právo být informován
Právo být informován umožňuje lidem pochopit, co bude s jejich údaji provedeno, a v důsledku toho činit informovaná rozhodnutí, a mít tak větší kontrolu nad svými osobními údaji. Všechny subjekty údajů mají při zpracování svých údajů právo na informace.
Jako organizace jednající jako správce osobních údajů máte povinnost informovat subjekty údajů.
Jaké informace?
Informace, které mají být poskytnuty, se liší v závislosti na tom, zda jste osobní údaje shromáždili přímo od subjektu údajů (přímé shromažďování, organizované podle článku 13 nařízení GDPR), nebo zda jste je získali z jiného zdroje (nepřímé shromažďování, organizované podle článku 14 nařízení GDPR). Následující tabulky poskytují přehled informací, které musíte subjektu údajů poskytnout:
Kromě toho GDPR vyžaduje, aby vaše organizace poskytla následující informace k zajištění spravedlivého a transparentního zpracování:
Vaše organizace musí znovu poskytnout informace v této druhé tabulce v případě dalšího zpracování pro nový slučitelný účel, který se liší od původního účelu. Tyto informace musí být poskytnuty před tímto dalším zpracováním. V takovém případě musíte subjektu údajů rovněž poskytnout vysvětlení, jak jsou nové a dřívější účely vzájemně slučitelné.
Kdy by měly být informace poskytnuty?
Pokud vaše organizace shromažďuje osobní údaje přímo od subjektu údajů, musí v době shromažďování poskytnout nezbytné informace.
V případě nepřímého shromažďování osobních údajů musí vaše organizace poskytnout informace nejpozději do jednoho měsíce poté, co byly osobní údaje původně získány. Tato maximální doba jednoho měsíce se zkracuje:
- pokud jsou osobní údaje použity pro účely komunikace se subjektem údajů. V takovém případě musíte subjekt údajů informovat nejpozději při prvním sdělení subjektu údajů
- pokud jsou údaje předány jinému příjemci, organizace o tom informuje subjekty údajů nejpozději při předání osobních údajů
Maximální lhůtu jednoho měsíce nelze v žádném případě prodloužit.
V případě jakýchkoli následných změn zpracování (např. noví příjemci, slučitelný účel, přenos mimo EHP atd.) musí vaše organizace subjekt údajů v každém případě informovat před tím, než změna nabude účinnosti, a měli byste tak učinit s dostatečným předstihem. Čím je změna významnější, tím dříve by vaše organizace měla informovat subjekt údajů, aby měl subjekt údajů přiměřenou dobu na posouzení dopadu této změny a na uplatnění svých práv.
Kdy není vaše organizace povinna sdělovat informace?
Vaše organizace není povinna informovat subjekt údajů, pokud tato osoba již obdržela nezbytné informace.
V případě nepřímého shromažďování osobních údajů platí další výjimky. V tomto případě není poskytnutí informací nutné, pokud:
- poskytnutí těchto informací se ukáže jako nemožné nebo by vyžadovalo nepřiměřené úsilí. Zásada pro tuto výjimku je však nastavena velmi vysoko, což znamená, že správce může toto kritérium uplatnit pouze výjimečně
- získání nebo zpřístupnění údajů je výslovně stanoveno zákonem
- osobní údaje musí být považovány za důvěrné na základě zákonné povinnosti zachovávat profesní tajemství
V praxi
- V některých zemích EU mohou vnitrostátní právní předpisy ukládat daňovým orgánům povinnost vyžádat si od zaměstnavatelů určité informace o zaměstnancích. Správce daně nemusí zaměstnance v takovém případě informovat. V rámci své informační povinnosti však zaměstnavatel informuje zaměstnance, že správce daně je jedním z příjemců osobních údajů.
Jak by měly být informace subjektu údajů poskytnuty?
Dobrým způsobem poskytování informací je práce s různými vrstvami informací. Tím se zabrání tomu, aby bylo současně poskytováno nadměrné množství informací, což může poškodit transparentnost a zahltit subjekt údajů informacemi. Použití vrstveného přístupu se řídí jak požadavkem na stručnost, tak požadavkem na poskytnutí všech nezbytných informací. To nejen zjednodušuje úkol správce osobních údajů, ale také umožňuje subjektu údajů rychle a efektivně pochopit základní informace. Informace by mohly být prezentovány např. takto:
- První vrstva základních informací
- Co se děje? Organizace poskytuje souhrn základních informací, které subjekt údajů potřebuje k posouzení dopadu a rozsahu zpracování (tj. totožnost správce, účely zpracování, kategorie příjemců, zdroj údajů, práva subjektu údajů, ...).
- Jak se to dělá? Například ve formátu tabulky, na jasně viditelném místě s názvem „Základní informace o ochraně údajů“ nebo prostřednictvím vyskakovacích oken, která vysvětlují, kdy jsou osobní údaje shromažďovány. Pokud je zpracování založeno na souhlasu, je vhodnější uvést tuto informaci v místě, kde musí subjekt údajů udělit souhlas (v blízkosti tlačítka „souhlas“).
- Druhá vrstva doplňujících a podrobnějších informací
- Co se děje? Tato část představuje srozumitelným a komplexním způsobem zbývající informace, které je organizace povinna poskytnout podle článků 13 a 14 obecného nařízení o ochraně osobních údajů.
- Jak se to dělá? Další informace lze poskytnout několika způsoby, například prostřednictvím hypertextových odkazů obsažených v základních informacích nebo možností stažení dokumentu. Poskytnutí těchto dodatečných informací by mělo zajistit rovnováhu mezi stručností na jedné straně a úplností a přesností na straně druhé. Informace by měly být strukturovány tak, aby byly snadno čitelné. Nezapomeňte přizpůsobit informace cílové skupině (například: pokud se vaše služba zaměřuje na děti, napište informace tak, aby jim rozuměly).
Právo na přístup
Při výkonu svého práva na přístup mohou subjekty údajů ověřit zákonnost každé činnosti zpracování, která se jich týká.
Při výkonu svého práva na přístup by subjekty údajů měly získat od správce potvrzení o tom, zda jsou jejich osobní údaje zpracovávány či nikoli. V takovém případě mají subjekty údajů přístup ke svým osobním údajům a k následujícím informacím:
- účely zpracování;
- kategorie dotčených osobních údajů;
- příjemci (nebo kategorie příjemců) osobních údajů;
- dobu uchovávání osobních údajů nebo kritéria použitá ke stanovení této doby;
- existence práva požadovat od správce opravu nebo výmaz osobních údajů týkajících se subjektu údajů nebo omezení jejich zpracování nebo vznést námitku proti tomuto zpracování;
- existence práva podat stížnost u orgánu pro ochranu osobních údajů;
- zdroj údajů (pokud osobní údaje nejsou shromažďovány přímo od subjektu údajů);
- existence automatizovaného rozhodování, včetně profilování, smysluplných informací o použité logice, jakož i významu a předpokládaných důsledcích takového zpracování pro subjekt údajů;
- při předávání osobních údajů mimo Evropskou unii byly zavedeny veškeré vhodné záruky (podle článku 46 obecného nařízení o ochraně osobních údajů týkající se předávání údajů).
Kromě toho má tato osoba právo obdržet (bezplatně) kopii osobních údajů, které se jí týkají a které vaše organizace zpracovává. Pokud dotyčná osoba požádá o další kopie, může se vaše organizace rozhodnout účtovat přiměřený poplatek, který se vypočítá na základě administrativních nákladů na pořízení kopií. Upozorňujeme, že ve většině případů nelze od jednotlivců vyžadovat, aby za přístup ke svým osobním údajům platili poplatek.
Pokud je žádost podána elektronicky, měla by vaše organizace poskytnout požadované informace v běžně používaném elektronickém formátu, pokud jednotliví uživatelé nepožadují jinak.
Důležitá poznámka
Předtím, než poskytnete kopii osobních údajů, musíte zkontrolovat, zda tím nebudou dotčena práva a svobody jiných osob (např. pokud jsou ve stejném souboru zpracovávány informace týkající se více než jedné osoby nebo informace týkající se obchodního tajemství a duševního vlastnictví).
Právo na opravu
Subjekt údajů má právo požadovat od správce opravu nepřesných údajů a doplnění neúplných údajů. Pokud vaše organizace předala osobní údaje třetím stranám, musíte je o opravě informovat, ledaže se to ukáže jako nemožné nebo to vyžaduje nepřiměřené úsilí.
V Praxi
- Zákazník informuje vaši organizaci, že se přestěhoval do jiného města. Musíte změnit jejich adresu ve své zákaznické databázi.
Právo na výmaz - právo být zapomenut
Subjekt údajů může požádat, aby organizace vymazala osobní údaje, které se ho týkají, v těchto situacích:
- osobní údaje už nejsou potřebné pro účel, pro který byly shromážděny
- organizace zpracovává osobní údaje protiprávně
- organizace musí osobní údaje vymazat z důvodu právní povinnosti
- subjekt údajů odvolá souhlas a zpracování nemá žádný jiný právní základ
- subjekt údajů úspěšně uplatnil právo vznést námitku
- nezletilé osoby, které udělily souhlas s používáním on-line služby, mohou vždy požádat o vymazání těchto osobních údajů (bez ohledu na jejich současný věk)
Pokud byly osobní údaje, které mají být vymazány, už dříve předány jiným organizacím, musíte tyto příjemce informovat o tom, že subjekt údajů požádal o výmaz, ledaže by se to ukázalo jako nemožné nebo by to vyžadovalo nepřiměřené úsilí.
Pokud je vaše organizace povinna vymazat osobní údaje, které zveřejnila, musí přijmout veškerá přiměřená opatření, aby informovala ostatní správce, kteří tyto údaje zpracovávají, že subjekt údajů požádal o vymazání veškerých odkazů na tyto osobní údaje, jejich kopií nebo replikací.
Vaše organizace může odmítnout výmaz osobních údajů pouze v omezeném počtu případů, jako jsou:
- výkon práva na svobodu projevu a informací
- určení, výkon nebo obhajobu právních nároků
- dodržování právní povinnosti, které organizace podléhá, nebo plnění úkolu ve veřejném zájmu nebo při výkonu veřejné moci, kterým je organizace pověřena
- důvody veřejného zájmu v oblasti veřejného zdraví
- účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely (za zvláštních podmínek)
V praxi
- Zaměstnanec z vaší organizace byl propuštěn. Zaměstnanec žádá, aby byly jeho osobní údaje vymazány z jeho osobního spisu. Pracovní právo však vyžaduje, abyste po určitou dobu uchovávali několik personálních dokumentů (rejstřík zaměstnanců, kopie výplatních pásek apod.). U těchto dokumentů musíte žádost o výmaz údajů odmítnout.
- Bývalý zákazník si již nepřeje dostávat marketingové e-maily od vaší organizace a požaduje, abyste vymazali jeho kontaktní údaje. Vzhledem k tomu, že neexistují žádné přesvědčivé důvody pro další zpracování kontaktních údajů, musíte je vymazat.
Právo na omezení zpracování
Za určitých okolností mohou subjekty údajů požádat o omezení zpracování svých údajů. V důsledku toho může vaše organizace stále uchovávat osobní údaje, ale musí ukončit všechny ostatní činnosti zpracování.
Subjekt údajů má právo na to, aby správce omezil zpracování jeho osobních údajů, pokud:
- subjekt údajů popírá přesnost osobních údajů
- zpracování je protiprávní: namísto výmazu údajů může subjekt údajů místo toho požádat o omezení použití osobních údajů
- organizace už osobní údaje nepotřebuje, ale údaje jsou stále nezbytné k tomu, aby subjekt údajů mohl uplatnit právní nárok
- subjekt údajů uplatnil právo vznést námitku. Omezení platí po dobu nezbytnou k ověření, zda oprávněné důvody sledované organizací převažují nad oprávněnými důvody subjektu údajů.
Pokud subjekt údajů úspěšně uplatní své právo na omezení zpracování, může vaše organizace použít údaje pouze za určitých konkrétních okolností, například se souhlasem subjektu údajů nebo pro obhajobu právních nároků. Předali jste již dříve „omezené“ údaje jiným příjemcům? Poté musíte tyto příjemce informovat o omezení zpracování, pokud se to neukáže jako nemožné nebo to nevyžaduje nepřiměřené úsilí.
Před zrušením omezení zpracování osobních údajů nezapomeňte informovat subjekt údajů o svém záměru tak učinit.
Právo na přenositelnost údajů
Právo na přenositelnost údajů umožňuje subjektům údajů získat jejich osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu. Tímto způsobem mohou údaje snadno znovu použít, a pokud si to přejí, předat své údaje jinému správci osobních údajů. Právo na přenositelnost údajů lze uplatnit pouze tehdy, jsou-li současně splněny tyto tři podmínky:
- zpracování je založeno na souhlasu nebo smlouvě
- zpracování je automatizované (tj. žádné papírové dokumenty)
- subjekty údajů poskytly údaje samy. To zahrnuje také veškeré údaje, které vaše organizace zaznamenala na základě chování subjektu údajů (např. s připojeným příslušenstvím).
Toto právo se tedy netýká údajů, které organizace sama vytváří na základě výše uvedených údajů.
Subjekty údajů mají konkrétně právo:
- získat své osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu. Formát musí subjektu údajů umožňovat opakované použití osobních údajů pro jinou službu.
Příklad: XML, JSON a CSV jsou běžné formáty, které splňují toto kritérium. Musí být rovněž poskytnuta metadata, aby mohly být údaje použity na jiné platformě. Formát PDF nestačí. - nechat své osobní údaje přímo předat jinému správci údajů. Vaše organizace by tak měla učinit pouze v případě, že je takový přímý převod technicky možný.
V praxi
- Vaše organizace poskytuje služby online streamování hudby. Vaši zákazníci mohou požádat o přenos svých seznamů skladeb do jiné služby streamování hudby.
- Jste malý nebo střední podnik, který nabízí službu webové pošty. Pokud o to váš zákazník, který má e-mailový účet pro čistě osobní nebo domácí potřeby, požádá, musíte jeho seznam adres a jeho e-maily převést na jinou službu webové pošty za předpokladu, že je to technicky proveditelné. Pokud to není možné, musíte zákazníkovi poskytnout seznam adres a e-maily v opakovaně použitelném digitálním formátu.
Právo vznést námitku
Subjekty údajů mohou vznést námitku proti zpracování osobních údajů, které se jich týkají, "z důvodů souvisejících s jejich konkrétní situací". Právo vznést námitku lze uplatnit pouze tehdy, pokud je zpracování založeno na jednom z následujících právních základů:
- oprávněný zájem organizace nebo třetí strany
nebo - plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci.
V jiných situacích nemůže subjekt údajů uplatnit právo vznést námitku, protože pro ostatní právní základy existují alternativy k dosažení stejného účelu: v případě souhlasu může subjekt údajů souhlas jednoduše odvolat. Subjekt údajů nemůže vznést námitku proti zpracování uloženému zákonem.
Pokud subjekty údajů uplatní své právo vznést námitku, musí vaše organizace vyvážit zájmy obou stran. Ukončí veškeré zpracování těchto osobních údajů, pokud neprokáže závažné oprávněné důvody, které převažují nad právy a svobodami subjektu údajů (např. podniká právní kroky). Vaše organizace musí tyto důvody zdokumentovat a sdělit subjektu údajů.
Důležitá poznámka
Pokud jsou údaje zpracovávány pro marketingové účely, má subjekt údajů právo vznést námitku proti tomuto zpracování bez uvedení důvodů. V tomto případě nejsou důvody, proč vaše organizace tyto údaje zpracovává, relevantní, místo toho musí námitka vést k okamžitému ukončení zpracování za tímto účelem.
V praxi
- Jste malá společnost zabývající se event marketingem. Pokud si určitá osoba zakoupí vstupenku na koncert skupiny on-line, obdrží reklamu na další podobné koncerty. Pokud si osoba přeje přestat dostávat tyto reklamy a objekty, organizace musí zastavit přímý marketing.
- Jste malým a středním podnikem působícím v odvětví pojišťovnictví. V tomto odvětví jsou osobní údaje v určitých situacích vyžadovány pro boj proti praktikám praní peněz. Jako pojišťovací makléř můžete odmítnout přijmout opatření v návaznosti na právo vznést námitku, protože vaše vnitrostátní právní předpisy proti praní peněz vás zavazují ke zpracování údajů.
Přečtěte si více
Právo nebýt předmětem rozhodnutí založeného výhradně na automatizovaném zpracování
Osoba má právo nebýt předmětem plně automatického rozhodnutí (tj. bez lidského zásahu do rozhodovacího procesu), které má právní účinky nebo se významně dotýká dotyčné osoby.
Automatizované rozhodování jde často ruku v ruce s profilováním, které je v obecném nařízení o ochraně osobních údajů definováno jako „jakákoli forma automatizovaného zpracování osobních údajů spočívající v použití osobních údajů k hodnocení určitých osobních aspektů týkajících se fyzické osoby, zejména k analýze nebo předvídání aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdraví, osobních preferencí, zájmů, spolehlivosti, chování, umístění nebo pohybu“ (čl. 4 odst. 4 obecného nařízení o ochraně osobních údajů).
Pro uplatnění tohoto práva musí automatizované zpracování zahrnovat:
- rozhodnutí, které je založeno výhradně na automatizovaném zpracování bez lidského zásahu. To znamená, že žádná fyzická osoba nemá nad rozhodnutím významnou kontrolu a nemůže například rozhodnutí změnit nebo zvrátit
- rozhodnutí, které má pro subjekty údajů právní účinky nebo se jich významně dotýká
V praxi
- Příkladem právních účinků by mohlo být automatické ukončení telefonní smlouvy, protože zákazník nezaplatil měsíční účet.
- Rozhodnutí, které se osoby významně dotýká, lze nalézt v následujících příkladech (při posuzování, zda je dopad na subjekt údajů významný, je však samozřejmě vždy třeba vzít v úvahu kontext):
- rozhodnutí, která mají vliv na finanční situaci lidí, jako je jejich způsobilost k čerpání úvěru
- automatické zamítnutí žadatelů, kteří podali žádost prostřednictvím online platformy;
- cenové rozlišení na základě historie prohlížení internetových stránek a nákupních zvyklostí spotřebitele
- rozhodnutí, která ovlivňují přístup někoho ke vzdělání, například přijetí na vysokou školu
There are three situations in which an automated individual decisionExistují tři situace, kdy lze ještě učinit automatizované individuální rozhodnutí:
- pokud to umožňuje zákon (např. předcházení podvodům nebo daňovým únikům)
- je-li rozhodnutí založeno na výslovném souhlasu subjektu údajů
nebo - je-li to nezbytné pro uzavření nebo plnění smlouvy. Uvědomte si však, že v této poslední situaci to vždy závisí na posouzení každého jednotlivého případu. Jakmile existují méně invazivní metody pro uzavření nebo plnění smlouvy, automatizované rozhodnutí se už nepovažuje za „nezbytné“.
Pokud se jedná o citlivé údaje (údaje zvláštní kategorie), je automatizované rozhodování možné pouze na základě výslovného souhlasu nebo významného veřejného zájmu, a to podle práva Unie nebo vnitrostátního práva.
Práva subjektů údajů pro každý právní základ
