Domů

Domů > Městský úřad > GDPR > Postup při podání žádosti


Postup při podání žádosti subjektu
údajů o přístup k údajům
 

1. Účel, rozsah, uživatelé. 

Tento postup stanovuje klíčové prvky týkající se zpracování nebo vyřizování žádostí o přístup k osobním údajům ze strany subjektů údajů, jejich zástupců nebo jiných zainteresovaných stran. Tento postup umožní městu Trutnov (dále jen "Organizace") dodržovat zákonné povinnosti, poskytovat lepší péči o občany a další klienty, zvýšit transparentnost, umožnit jednotlivcům ověřit, zda jsou o nich zpracovávané údaje přesné a zvýšit úroveň důvěry a otevřenosti vůči jednotlivcům. 

Tento postup platí obecně u Organizace, ale nemá žádný vliv na státní nebo lokální zákony a předpisy, které by mohly být jinak použitelné.

2. Žádost subjektu údajů o přístup k údajům (DSAR)

Žádost subjektu údajů o přístup k údajům (DSAR) je žádost podaná fyzickou osobou nebo právním zástupcem fyzické osoby o přístup k informacím, které Organizace o této osobě uchovává. Žádost subjektu údajů o přístup k údajům poskytne subjektům údajů právo nahlížet na vlastní osobní údaje, stejně jako požadovat kopie těchto údajů.

Žádost subjektu údajů o přístup k údajům musí být vyhotovena písemně. Obecně platí, že ústní žádosti o informace nejsou platnou žádostí subjektu údajů o přístup k údajům, nejde-li o podání učiněné do protokolu u Organizace.

V případě, že je formálně podána žádost subjektu údajů o přístup k osobním údajům zaměstnance Organizace, je třeba si vyžádat další pokyny od pověřence pro ochranu údajů (DPO), který posoudí a rozhodne, zda schválí žádost subjektu údajů o přístup k osobním údajům zaměstnance Organizace, nebo zda bude rozhodnuto s ohledem na ochranu práv zaměstnance Organizace o odepření přístupu k jeho osobním údajům.

Žádost subjektu údajů o přístup k jeho vlastním údajům lze podat pomocí některé z následujících metod: e-mail, pošta, firemní webové stránky nebo jakoukoli jinou písemnou formou se zaručenou identifikací žadatele. Žádosti subjektů údajů o přístup k údajům podané prostřednictvím online komunikace musí být řešeny stejně jako jakékoli jinak podané žádosti subjektu údajů o přístup k údajům, i když Organizace neposkytne osobní údaje prostřednictvím sociálních medií; žádost nelze podat telefonicky.

3. Práva subjektu údajů

Právo subjektů údajů na přístup k jejich vlastním údajům zahrnuje následující:

  • Ověřit, zda o nich správce uchovává nějaké osobní údaje.
  • Získat popis údajů, které jsou o nich uchovávány, a pokud je to přípustné a praktické, získat kopii údajů.
  • Být informován o účelu (účelech), pro které jsou tyto údaje zpracovávány a od koho byly získány.
  • Být informován, zda byly informace předávány někomu jinému než původnímu příjemci údajů a pokud ano, být seznámen s totožností těchto příjemců.
  • Právo na přenositelnost dat. Subjekty údajů mohou požadovat, aby jejich osobní údaje byly předány jim nebo třetí osobě ve strojově čitelném formátu (Word, PDF atd.). Vyhovět těmto žádostem však lze pouze tehdy, jsou-li dotčené údaje: 1) poskytnuty Organizaci subjektem údajů, 2) zpracování je prováděno automatizovaně a 3) zpracování je prováděno na základě souhlasu nebo na základě plnění smlouvy.
  • Pokud jsou údaje používané k automatizovanému rozhodování o subjektu údajů, má právo být informován o tom, jakou logiku systém využívá při přijímání těchto rozhodnutí a případně požadovat zásah člověka.

Organizace musí poskytnout odezvu subjektům údajů, které požadují přístup k jejich údajům,
do 30 kalendářních dnů od obdržení jejich žádosti.

4. Požadavky na platnou žádost subjektu údajů o přístup k údajům

Aby mohlo být řádně a včas reagováno na žádosti subjektů údajů o přístup k údajům, měl by subjekt údajů:

  • Podat žádost pomocí formuláře žádosti o přístup k údajům subjektu údajů.
  • Poskytnout Organizaci dostatečné informace pro ověření své totožnosti (aby mohla ověřit, že osoba, která o informace požádá, je subjekt údajů nebo jím pověřená osoba nebo zákonný zástupce / rodič).

S výhradou výjimek uvedených v tomto dokumentu Organizace poskytne informace subjektům údajů, jejichž žádosti jsou písemné a jejichž totožnost byla Organizací ověřena.

Organizace však neposkytne údaje tehdy, pokud by zdroje potřebné k jejich identifikaci a získání byly příliš významné nebo by byl tento proces časově náročný. Pravděpodobně budou úspěšné žádosti, které budou specifické a zaměřené na konkrétní informace.

Faktory, které mohou pomoci při zúžení rozsahu vyhledávání, zahrnují identifikaci pravděpodobného držitele informací (např. odkazem na konkrétní oddělení), časové období, ve kterém byla informace generována nebo zpracována (čím užší časový rámec, tím více pravděpodobné, že požadavek uspěje) a konkretizace povahy požadovaných údajů (např. kopie konkrétního formuláře nebo e-mailových záznamů v rámci konkrétního oddělení).

5. Proces vyřízení žádosti subjektu údajů o přístup k údajům (DSAR)

a. Žádost
Po přijetí žádosti subjektu údajů o přístup k údajům (DSAR) bude žádost potvrzena v oddělení informační recepce Odboru Kancelář Městského úřadu Trutnov. Žadatel může být požádán, aby vyplnil formulář žádosti o přístup subjektu údajů k údajům, aby usnadnil Organizaci vyhledání příslušné informace.

b. Ověření totožnosti
Informační recepce ve vestibulu Městského úřadu Trutnov, popř. příslušný odborný zaměstnanec, musí ověřit totožnost každého žadatele o přístup k údajům, aby bylo zajištěno, že informace budou poskytnuty pouze oprávněné osobě. Nebyla-li totožnost žadatele o přístup k údajům již ověřena, je žadatel vyzván k identifikaci.
Pokud žadatel není subjektem údajů, je vyžadováno písemné potvrzení (úředně ověřená plná moc), že žadatel je oprávněn jednat jménem subjektu údajů.

c. Informace na žádosti subjektu údajů o přístup k údajům
Po obdržení požadovaných dokumentů jsou žádost a další veškeré relevantní informace postoupeny pověřenci pro ochranu osobních údajů (DPO). Pověřenec pro ochranu osobních údajů (DPO) po posouzení předložených informací a žádostí oznámí žadateli, že na jeho žádost bude odpovězeno ve lhůtě do 30 kalendářních dnů. Lhůta začíná běžet ode dne obdržení žádosti od identifikovaného žadatele o přístup k údajům. Pokud je zřejmé, že dojde k nesplnění / odchylce od 30denního časového limitu pro poskytnutí, žadatel bude pověřencem pro ochranu osobních údajů (DPO) písemně informován o prodloužení termínu spolu s odůvodněním.

d. Přezkoumání informací
Pověřenec pro ochranu osobních údajů (DPO) po ověření, že je žádost podána oprávněnou a identifikovanou osobou, se obrátí a požádá příslušný odbor Organizace o informace požadované v žádosti (DSAR). V případě potřeby může být také inicializována počáteční schůzka s příslušným pracovištěm Organizace, na které je žádost projednána. Pracoviště, které údaje zpracovává / uchovává, musí předat požadované informace do lhůty stanovené pověřencem pro ochranu osobních údajů (DPO) a / nebo je s ním dohodnuto další jednání s cílem přezkoumání informací. Pověřenec pro ochranu osobních údajů (DPO) určí, zda se jedná o informace, které mohou podléhat výjimce a / nebo je-li pro jejich poskytnutí vyžadován souhlas třetí strany.

Pověřenec pro ochranu osobních údajů (DPO) musí zajistit, aby informace byly přezkoumány / obdrženy ve stanovené lhůtě, aby nedošlo k porušení časového rámce 30 kalendářních dnů. Pověřenec pro ochranu osobních údajů (DPO) požádá příslušný odbor, aby v přiměřené lhůtě vyplnil "formulář pro oznámení údajů".

e. Odpověď na žádost
Pověřenec pro ochranu osobních údajů (DPO) poskytne finalizovanou odpověď společně se získanými informacemi, nebo s prohlášením, že Organizace nemá požadované informace, nebo že je na jejich poskytnutí uplatněna výjimka. Pověřenec pro ochranu osobních údajů (DPO) zajistí, aby byla žadateli zaslána písemná odpověď. Odpověď bude zaslána do datové schránky, v případě nemožnosti poštou. Organizace poskytne informace pouze prostřednictvím zabezpečených kanálů. V případě zasílání tištěných kopií informací budou tyto bezpečně zapečetěny a zaslány jako doporučená/rekomando zásilka pouze do vlastních rukou adresáta s vyloučením náhradního doručení.

f. Archivace
Po odevzdání odpovědi žadateli je DSAR považován za uzavřený a archivován pověřencem pro ochranu osobních údajů (DPO). Celý postup je prezentován v podobě procesního diagramu v příloze tohoto dokumentu.

6. Výjimky

Žadatel nemá právo na přístup k údajům zaznamenaným o jiné osobě, s výjimkou případů, kdy je jejím oprávněným zástupcem, zmocněncem nebo k ní má rodičovskou zodpovědnost do doby dosažení zletilosti (18 let věku).

Organizace není povinna reagovat na žádosti o informace, pokud nejsou poskytnuty dostatečné podrobnosti, které by umožnily identifikaci umístění údajů, a pokud nebylo možno náležitě ověřit totožnost subjektu údajů, který žádost podal. V takovém případě Organizace žadatele přiměřeně o svém postupu vyrozumí.

Organizace zpravidla nezveřejní následující typy informací v reakci na žádost o přístup k údajům subjektu údajů:

  • Informace o jiných osobách – Žádost o přístup subjektu údajů k údajům může obsahovat informace, které se vztahují k jiné osobě nebo osobám, než je subjekt údajů. Přístup k těmto údajům nebude udělen, ledaže se zúčastněné osoby dohodnou na zveřejnění jejich osobních údajů.
  • Opakované žádosti – Pokud byla podobná nebo totožná žádost ve vztahu k témuž subjektu údajů dříve vyřízena v přiměřené lhůtě a pokud nedošlo k významné změně v osobních údajích ve vztahu k tomuto subjektu údajů, bude taková žádost podaná do šesti měsíců od původní žádosti považována za opakovanou žádost a Organizace nebude zpravidla poskytovat další kopii stejných údajů.
  • Veřejně dostupné informace – Organizace není povinna poskytovat kopie dokumentů, které jsou již veřejné.
  • Informace důvěrné, týkající se obchodního tajemství nebo chráněné autorským právem – Organizace nemusí zveřejňovat osobní údaje, které jsou ve vztahu k subjektu údajů předmětem obchodního tajemství nebo duševního vlastnictví, zejména autorského práva.
  • Privilegované dokumenty – Žádné privilegované informace Organizace nesmějí být v reakci na DSAR zveřejněny. Obecně platí, že privilegované informace zahrnují jakýkoli dokument, který je důvěrný (např. přímá komunikace mezi klientem a jeho právníkem) a je vytvořen za účelem získání nebo poskytování právního poradenství.

7. Odmítnutí žádosti subjektu údajů o přístup k údajům

Existují situace, kdy osoby nemají právo nahlížet informace, které se jich týkají. Například:

  • Pokud jsou informace uchovávány pouze za účelem statistiky nebo výzkumu a výsledky statistické práce nebo výzkumu nejsou k dispozici ve formě, která identifikuje jakoukoli zúčastněnou osobu.
  • Mohou být zamítnuty žádosti, které slouží k jiným účelům, než je ochrana osobních údajů.

Pokud odpovědná osoba odmítne jménem Organizace žádost o přístup k údajům subjektu údajů, musí být důvody pro zamítnutí uvedeny jasně a písemně. Každá osoba nespokojená s výsledkem žádosti o přístup k údajům subjektu údajů je oprávněna požádat pověřence pro ochranu údajů (DPO) o přezkoumání.

8. Odpovědnosti

Celková odpovědnost za zajištění souladu s DSAR spočívá na pověřenci pro ochranu osobních údajů (DPO).

Pokud Organizace jedná jako správce údajů subjektu údajů, který žádost podal, bude DSAR zpracován dle výše uvedených postupů.

Pokud Organizace jedná jako zpracovatel údajů, pověřenec pro ochranu údajů (DPO) zašle žádost příslušnému správci údajů, jehož jménem Organizace zpracovává osobní údaje subjektu údajů, který žádost podal.