Práva subjektů údajů

Přehled práv subjektů údajů a jak je implementovat.

---

Přehled práv

Článek	Právo	Popis
Art. 13/14	PRÁVO NA INFORMACE	Při sběru dat: kdo, proč, jak dlouho
Art. 15	PRÁVO NA PŘÍSTUP	Kopie všech osobních údajů
Art. 16	PRÁVO NA OPRAVU	Oprava nepřesných údajů
Art. 17	PRÁVO NA VÝMAZ (“right to be forgotten”)	Smazání osobních údajů
Art. 18	PRÁVO NA OMEZENÍ	Pozastavení zpracování
Art. 20	PRÁVO NA PŘENOSITELNOST	Export dat ve strojově čitelném formátu
Art. 21	PRÁVO NA NÁMITKU	Námitka proti zpracování
Art. 22	PRÁVO NEBÝT PŘEDMĚTEM AUTOMATIZOVANÉHO ROZHODOVÁNÍ	Human review u AI rozhodnutí

---

Detailní přehled práv

Art. 15 - Právo na přístup

Aspekt	Detail
Co	Kopie všech osobních údajů + metadata
Kdy	Na žádost subjektu
SLA	30 dní (prodloužení max +2 měsíce)
Formát	Elektronicky pokud žádost elektronicky
Poplatek	Zdarma (první kopie), další za náklady

Co musíte poskytnout:

• Kategorie zpracovávaných dat
• Účely zpracování
• Příjemci dat
• Doba uchování
• Práva subjektu
• Zdroj dat (pokud ne od subjektu)
• Automatizované rozhodování (pokud používáte)

Art. 16 - Právo na opravu

Aspekt	Detail
Co	Oprava nepřesných nebo neúplných údajů
SLA	30 dní
Důkaz	Subjekt by měl poskytnout správné údaje
Propagace	Informovat příjemce o opravě

Art. 17 - Právo na výmaz

Aspekt	Detail
Co	Smazání osobních údajů
SLA	30 dní (“bez zbytečného odkladu”)
Scope	Všechny systémy včetně backupů
Propagace	Informovat příjemce o smazání

Kdy NELZE vymazat:

• Zákonná povinnost uchování (účetnictví, daně)
• Obhajoba právních nároků
• Archivace ve veřejném zájmu
• Vědecký/historický výzkum
• Výkon svobody projevu

Art. 18 - Právo na omezení

Aspekt	Detail
Co	Pozastavení zpracování (data zůstávají)
Kdy	Při ověřování přesnosti, při námitce
SLA	30 dní
Co lze	Pouze uložení, ne zpracování

Art. 20 - Právo na přenositelnost

Aspekt	Detail
Co	Export dat ve strojově čitelném formátu
Kdy	Pokud právní základ = souhlas nebo smlouva
SLA	30 dní
Formát	JSON, XML, CSV
Direct transfer	Pokud technicky proveditelné

Art. 21 - Právo na námitku

Aspekt	Detail
Co	Námitka proti zpracování
Kdy	Při oprávněném zájmu nebo veřejném zájmu
SLA	Okamžitě (direct marketing), jinak 30 dní
Následek	Musíte přestat, pokud nemáte závažné důvody

Art. 22 - Automatizované rozhodování

Aspekt	Detail
Co	Právo nebýt předmětem čistě automatizovaného rozhodnutí
Kdy	Pokud má právní nebo obdobný významný dopad
Práva	Lidský přezkum, vyjádření, napadení rozhodnutí
Výjimky	Smlouva, zákon, explicitní souhlas

---

DSAR Workflow

Proces zpracování žádosti

---

Implementace

Technické požadavky

Systém	Požadavek
Production DB	Export uživatelských dat
CRM	Export customer data, delete capability
Marketing	Unsubscribe, delete, export
Analytics	Anonymization nebo delete
Logs	Retention policy, pseudonymization
Backups	Deletion po retention period
Third-party	DPA, cooperation agreement

Data Subject Portal (doporučeno)

Self-service portál pro subjekty:

DATA SUBJECT PORTAL

Přihlaste se pro správu svých údajů

Akce	Popis
STÁHNOUT MÁ DATA	Export všech osobních údajů
UPRAVIT MÁ DATA	Oprava nepřesných údajů
SMAZAT MŮJ ÚČET	Právo na výmaz
SPRAVOVAT SOUHLASY	Správa udělených souhlasů
KONTAKT DPO	Kontakt na pověřence pro ochranu dat

---

Response Templates

Access Request (Art. 15)

Předmět: Odpověď na žádost o přístup k osobním údajům [DSAR-XXXX]

Vážený/á [JMÉNO],

v příloze naleznete kopii vašich osobních údajů:

1. KATEGORIE ÚDAJŮ
   - Identifikační: [seznam]
   - Kontaktní: [seznam]
   - Transakční: [seznam]

2. ÚČELY ZPRACOVÁNÍ
   [seznam účelů]

3. PŘÍJEMCI ÚDAJŮ
   [seznam příjemců]

4. DOBA UCHOVÁNÍ
   [retention periods]

5. VAŠE PRÁVA
   Máte právo na opravu, výmaz, omezení zpracování a přenositelnost.
   Máte právo podat stížnost u ÚOOÚ.

Příloha: [soubor.zip]
Heslo bylo zasláno separátně.

S pozdravem,
[DPO]

Erasure Confirmation (Art. 17)

Předmět: Potvrzení výmazu osobních údajů [DSAR-XXXX]

Vážený/á [JMÉNO],

potvrzujeme smazání vašich osobních údajů:

SMAZANÉ ÚDAJE:
- Účet a profil
- Transakční historie
- Komunikace

PONECHANÉ ÚDAJE (zákonná povinnost):
- Účetní záznamy (10 let dle zákona)

DATA SMAZÁNA Z:
- Produkční databáze: [DATUM]
- Zálohy: do [DATUM]
- Third-party: [seznam]

S pozdravem,
[DPO]

---

Výjimky a odmítnutí

Kdy lze odmítnout

Důvod	Příklad
Nelze ověřit identitu	Subjekt neposkytl dostatečné důkazy
Zjevně neopodstatněná	Šikanózní opakované žádosti
Nadměrná žádost	Příliš často, příliš rozsáhlé
Zákonné omezení	Právní nároky, vyšetřování

Povinnosti při odmítnutí

1. Informovat subjekt o důvodech
2. Informovat o právu stížnosti k ÚOOÚ
3. Informovat o právu soudní ochrany
4. Dokumentovat rozhodnutí

---

DSAR Register

DSAR ID	Datum přijetí	Subjekt	Typ	Status	Deadline	Odpověď
DSAR-2026-001			Access
DSAR-2026-002			Erasure

---

KPIs

Metrika	Target
Průměrná doba odpovědi	<20 dní
Compliance rate (do 30 dní)	100%
Rejection rate	<5%
Customer satisfaction	>80%

---

Další kroky

1. ✅ Práva subjektů pochopena
2. → Compliance checklist
3. → Implementace DSAR workflow
4. → DSAR šablona

---

Upozornění

Tento obsah má informační charakter a nepředstavuje právní poradenství. Pro konkrétní situaci vaší organizace doporučujeme konzultaci s kvalifikovaným právníkem.

Co dál?

Potřebujete pomoc s implementací?

Nabízíme bezplatnou 15minutovou konzultaci. Bez závazku, bez prodejního tlaku.

Domluvit hovor (15 min) → Otestovat připravenost (5 min) →