Logo Logo

Nový český zákon o zpracování osobních údajů

Poslanecká sněmovna schválila v průběhu prosince 2018 návrh zákona o zpracování osobních údajů[1] (dále jen „Návrh“), který má nahradit dosavadní zákon č. 101/2000 Sb., o ochraně osobních údajů, a mimo jiné blíže specifikovat některá ustanovení nařízení Evropského parlamentu a Rady (EU) 2016/679, ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „GDPR“). Tento článek má za cíl stručně shrnout některé aspekty chystané právní úpravy a připravit čtenáře na možné budoucí změny. Jako vhodné se jeví uvést, že článek reflektuje stav Návrhu po projednání Poslaneckou sněmovnou, včetně přijatých pozměňovacích návrhů.

Definice pojmu veřejný subjekt

V souvislosti s přijetím GDPR bylo v minulosti často diskutováno, které subjekty patří mezi tzv. „veřejné subjekty“. GDPR tento pojem užívá bez jeho bližší definice, přičemž pro veřejné subjekty stanovuje nejen některé výjimky, ale také jim ukládá povinnost mít pověřence pro ochranu osobních údajů[2]. Návrh proto na národní úrovni upravuje zákonný výklad tohoto pojmu, kdy veřejnými subjekty se mají rozumět kromě orgánů veřejné moci také orgány zřízené zákonem, které plní zákonem stanovené úkoly ve veřejném zájmu.[3] Dle důvodové zprávy Návrhu se přitom jedná například o obce a kraje, ministerstva a další ústřední správní orgány či veřejné sbory.

Stanovení věkové hranice

Návrh dále reaguje na článek 8 odst. 1 GDPR, který uvádí, že členské státy mohou stanovit odchylně od úpravy GDPR věkovou hranici, při jejímž dovršení může dítě samostatně (bez souhlasu zákonných zástupců) udělit souhlas se zpracováním svých osobních údajů v souvislosti s nabídkou služeb informační společnosti.[4] Tato hranice je v čl. 8 GDPR stanovena na 16 let, členské státy ji však mohou snížit až na 13 let. Službami informační společnosti jsou přitom takové služby, které jsou poskytovány elektronickými prostředky na individuální žádost jejich uživatele podanou elektronickými prostředky (tj. především na internetu), poskytované zpravidla za úplatu[5]. Výše věkové hranice je v aktuálním znění Návrhu stanovena na 15 let, přičemž Poslanecká sněmovna odmítla pozměňovací návrh, který měl hranici snížit až na 13 let.

Výjimky z informační povinnosti a z povinnosti oznámit příjemci provedené operace

Z praktického hlediska bude pro většinu správců významná navrhovaná výjimka z informační povinnosti při zpracování osobních údajů pro splnění povinnosti uložené správci zákonem, nebo úkolu prováděného správcem ve veřejném zájmu nebo při výkonu veřejné moci. V takovém případě dle Návrhu postačí informovat subjekty zveřejněním informací o obvykle prováděném zpracování osobních údajů způsobem umožňujícím dálkový přístup.

Obdobně, pokud má správce povinnost oznamovat provedení opravy, omezení zpracování či výmaz osobních údajů příjemcům osobních údajů, dává mu Návrh možnost tuto povinnost splnit prostřednictvím změny osobních údajů v evidenci, pokud příjemci pravidelně zpřístupňuje její platný obsah.[6]

Zpracování pro novinářské a umělecké účely

Návrh obsahuje také poměrně podrobnou úpravu zpracování osobních údajů pro účely novinářského, akademického, uměleckého nebo literárního projevu, kdy se věnuje nejen otázce posuzování přiměřenosti zpracování osobních údajů pro stanovené účely, ale také upravuje některé výjimky z práv subjektů údajů. Zpracování osobních údajů pro tyto účely zároveň není podmíněno povolením nebo schválením Úřadu a požívá práva na ochranu zdroje a obsahu informací.

Z pohledu subjektů údajů i z pohledu praktického fungování médií může být dále významné, že Návrh upravuje informační povinnost správce v případech, kdy osobní údaje nezískal přímo od subjektu údajů. Povinnost poskytnout informace dle čl. 14 a čl. 21 odst. 4 GDPR bude v případě přijetí Návrhu možno splnit taktéž i pouhým uveřejněním informací o obvykle prováděném zpracování osobních údajů způsobem umožňujícím dálkový přístup.[7]

Přestupky a sankce

Návrh také přináší úpravu přestupků v oblasti ochrany osobních údajů, především v souvislosti s implementací směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016, o zpracování osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování a stíhání trestných činů a výkonu trestů. V souvislosti s GDPR pak dochází především k očekávanému snížení horní hranice správních pokut udělovaných orgánům veřejné moci a veřejným subjektům, kterou Návrh stanovil na 10.000.000,- Kč, přičemž pro obce, které nevykonávají přenesenou působnost v rozsahu obecního úřadu obce s rozšířenou působností, dobrovolné svazy takových obcí a jimi zřizované příspěvkové organizace a právnické osoby vykonávající činnost školy nebo školského zařízení jsou sankce stanoveny ještě mírněji.[8] Tuzemský zákonodárce tak využil oprávnění, které mu vyplývá z čl. 83 odst. 7 GDPR.

Další vybrané aspekty

Ohledně povinnosti provést posouzení vlivu zpracování na ochranu osobních údajů[9] upravuje Návrh důležitou výjimku pro zpracování uložená správci právními předpisy, a to včetně zpracování uložených správci na základě právních předpisů přijatých přede dnem účinnosti GDPR[10]. Pokud bude Návrh v tomto znění přijat, odpadne tímto mnohým správcům významná administrativní zátěž.

Dále má dojít k pozitivnímu vymezení osob oprávněných vydávat osvědčení o ochraně osobních údajů dle čl. 42 GDPR, kdy se bude jednat o osoby, které jsou akreditovány osobou pověřenou k výkonu působnosti akreditačního orgánu.[11] Význam osvědčení přitom spočívá v možnosti správců a zpracovatelů osobních údajů prokazovat prostřednictvím nich splnění jejich povinností a soulad jejich postupů s GDPR.[12] Získání takového osvědčení je dobrovolné a může z pohledu subjektu osobních údajů evokovat vyšší stupeň důvěryhodnosti správce či zpracovatele.

Závěr

S ohledem na výše uvedené lze shrnout, že dle aktuálního znění Návrhu nejsou připravované novinky v právní úpravě ochrany osobních údajů nijak zásadního rázu a mají převážně povahu zpřesnění stávající úpravy v tematicky ohraničených oblastech. Návrh nyní zamíří do Senátu. O dalším průběhu legislativního procesu Vás budeme informovat.

[1] Vládní návrh zákona rozeslaný poslancům jako tisk 138/0, dostupný z: http://www.psp.cz/sqw/text/tiskt.sqw?O=8&CT=138&CT1=0, ve znění přijatých pozměňovacích návrhů.

[2] Čl. 37 odst. 1 písm. a) GDPR.

[3] § 14 Návrhu.

[4] § 7 Návrhu.

[5] § 2 písm. a) zákona č. 480/2004 Sb., o některých službách informační společnosti.

[6] § 9 Návrhu

[7] § 19 odst. 1 Návrhu (ve znění přijatých pozměňovacích návrhů).

[8] § 59 Návrhu.

[9] Posouzení zpracování osobních údajů je dle GDPR správce povinen provést pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, bude s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování mít za následek vysoké riziko pro práva a svobody fyzických osob.

[10] § 10 Návrhu.

[11] dle zákona č. 22/1997 Sb., o technických požadavcích na výrobky a o změně a doplnění některých zákonů, ve znění pozdějších předpisů.

[12] Čl. 24 odst. 3 GDPR.

zpět na článek