Právo na přístup (Kapitola III, čl. 15) – je právem na ověření zákonnosti zpracování osobních údajů fyzických osob (Subjektů údajů). Každý subjekt údajů tedy bude mít právo vědět a být informován o:
•Účelech zpracování;
•Kategorii dotčených osobních údajů;
•Příjemcích nebo kategorii příjemců, kterým osobní údaje byly nebo budou zpřístupněny;
•Plánované době, po kterou budou osobní údaje uloženy;
•Existenci práva požadovat od správce opravu nebo výmaz osobních údajů, právo vznést námitku;
•Právu podat stížnost u dozorového úřadu;
•Veškerých dostupných informacích o zdroji osobních údajů, pokud nejsou získány od Subjektu údajů;
•Skutečnosti, že dochází k automatizovanému rozhodování, včetně profilování.
Přenositelnost údajů (Kapitola III, čl. 20) – je rozšířeným právem přístupu a může být uplatněno za splnění dvou podmínek, které musí nastat současně:
•Zpracování je založeno na souhlasu Subjektu údajů nebo na smlouvě.
•Je prováděno automatizovaně.
V případě automatizovaného zpracování osobních údajů, které je založeno na uděleném souhlasu nebo na uzavřené smlouvě, má osoba právo na tzv. přenositelnost těchto údajů. To spočívá v povinnosti správce předat nositeli údajů všechny o něm zpracovávané informace ve strukturovaném, běžně používaném, strojově čitelném formátu. Uplatněním tohoto práva získává osoba větší kontrolu nad svými osobními údaji a má rovněž možnost je v takto získané podobě předat jinému správci.
Právo na opravu (Kapitola III, čl. 16) – znamená, že v případě, kdy Subjekt údajů má podezření na nesprávnost jeho údajů a to subjektivní nebo objektivní povahy, může požádat daného správce o nápravu. S přihlédnutím k účelům zpracování má Subjekt údajů právo na doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení. Správce by měl zajistit podmínky pro to, aby žádosti na opravu mohly být podávány online, zejména v případě zpracování osobních údajů elektronickými prostředky.
Právo na výmaz (Kapitola III, čl. 17) – je právem, které ukládá správci osobních údajů povinnost bez zbytečného odkladu vymazat osobní údaje Subjektu údajů, pokud je dán jeden z těchto důvodů:
•Osobní údaje již nejsou potřebné pro účel, pro který byly shromažďovány nebo zpracovávány.
•Subjekt údajů odvolá souhlas, pokud je zpracování založeno na souhlasu, a neexistuje žádný další právní důvod pro zpracování.
•Subjekt údajů vznese námitku proti zpracování z důvodu oprávněných zájmů správce osobních údajů, jako je např. vedení záznamů o zaměstnancích.
•Osobní údaje byly zpracovány protiprávně.
•Pokud není dán rodičovský souhlas se zpracováním osobních údajů dětí.
•Právní povinnost stanovená právem Unie nebo členským státem.
Právo být zapomenut (Kapitola III, čl. 17) – je rozšířeným právem na výmaz. Spočívá v provedení přiměřených kroků, včetně technických opatření, k vymazání veškerých odkazů na osobní údaje žadatele/subjektu údajů a jejich kopie. GDPR uvádí řadu výjimek, zejména v případech, kdy jsou osobní údaje zpracovávány státními institucemi. Aby měl správce povinnost zlikvidovat osobní údaje, musí být splněna alespoň jedna z těchto podmínek:
•Osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány;
•Subjekt údajů odvolá souhlas a neexistuje žádný další právní důvod pro zpracování;
•Subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování;
•Osobní údaje byly zpracovány protiprávně;
•Osobní údaje musí být vymazány ke splnění právní povinnosti;
•Osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti podle článku 8 odst. 1 Obecného nařízení.
Právo vznést námitku proti zpracování – znamená, že pokud konkrétní Subjekt údajů nebude mít možnost uplatnit právo na výmaz, tak potom mu GDPR umožňuje uplatnit alespoň právo vznést námitku a tím donutit správce k omezenému zpracování těch údajů, které jsou předmětem uplatněné námitky. Na možnost vznést námitku musí být ze strany správce fyzická osoba/Subjekt údajů výslovně upozorněna. Námitku lze vznést i proti zpracování osobních údajů pro účely přímého marketingu nebo profilování. Pokud Subjekt údajů vznese námitku proti zpracování pro účely přímého marketingu, nebudou již osobní údaje pro tyto účely zpracovávány.
Ve vztahu k těmto požadovaným
právům byly v aplikaci identifikovány všechny zpracovávané osobní údaje.
Zavedl se detailní monitoring náhledu na osobní údaje, byla vytvořena nová role
pro Pověřence GDPR. Uživatel s touto rolí (GDPR) má dostupné reporty, které
informují
o osobních údajích a přístupu k nim. Pro realizaci práva být
zapomenut je vytvořen nástroj Anonymizace osobních údajů.
Veškerá činnost uživatelů aplikace, zejména ve vztahu k náhledu a editaci osobních údajů subjektů údajů je monitorována a zaznamenávána v Historii aplikace. Záznamy v historii obsahují informace o přístupu všech uživatelů aplikace včetně administrátora firmy a technické podpory k osobním údajům.
Součástí aplikace jsou bezpečnostní opatření, vztahující se k uživatelským heslům (parametry na silné heslo, každoroční expirace hesla…).