Nový český zákon o zpracování osobních údajů

Nový český zákon o zpracování osobních údajů z roku 2019

Adaptační český zákon k evropskému nařízení GDPR č. 110/2019 Sb. účinný od 24.4.2019



 
Počínaje dnem 24.4.2019 je v České republice platný a účinný nový adaptační zákon č. 110/2019 Sb., o zpracování osobních údajů („Zákon o zpracování osobních údajů“), který zpřesňuje a dále upravuje podmínky zpracování osobních údajů v souladu s evropskou směrnicí o ochraně osobních údajů GDPR („GDPR“). Projednávání tohoto zákona trvalo přes jeden rok a celý proces včetně důvodové zprávy a jednotlivých pozměňovacích návrhů se nachází na stránkách Poslanecké sněmovny pod sněmovním tiskem 138, vl.n.z. o zpracování osobních údajů - EU. Nový Zákon o zpracování osobních údajů zcela ruší dosavadní zákon o ochraně osobních údajů č. 101/2000 Sb., který zůstával v platnosti i přes to, že mnohá jeho ustanovení byla v rozporu s GDPR. Nový adaptační zákon o zpracování osobních údajů v zásadě nepřináší žádné převratné změny a zejména zpřesňuje práva a povinnosti správců osobních údajů v oblastech, kde GDPR neposkytuje komplexní právní úpravu, nebo upřesňuje právní úpravu tam, kde GDPR zůstalo dispozitivní a do určité míry ji i zjednodušuje a upravuje některé specifické výjimky. Níže přinášíme souhrn hlavních změn, které Zákon o zpracování osobních údajů přináší do české právní úpravy.
 

Odlišné stanovení věkové hranice pro udělení souhlasu se zpracováním osobních údajů

 
Dítě je způsobilé podle GDPR v souvislosti s nabídkou služeb informační společnosti (typicky v rámci nákupu přes e-shop, či při poskytování jiných on-line služeb za úplatu i zdarma, např. i v rámci sociálních sítí) udělit svůj souhlas bez jakékoli součinnosti zákonných zástupců dovršením 16 roku věku s tím, že členské státy mohou tuto hranici snížit až na 13 let.
 
Český zákonodárce snížil věkovou hranici samostatného souhlasu dítěte v § 7 Zákona o zpracování osobních údajů na 15 let. Tento souhlas opravňuje správce zpracovávat osobní údaje dítěte v souvislosti s poskytováním a nabídkou služeb informačních technologií v nutném rozsahu, za použití všech relevantních ustanovení GDPR pro daný typ zpracování, přičemž úprava kopíruje v České republice zažitou hranici 15 let, která je stanovena jak pro občanskoprávní, tak pro trestněprávní odpovědnost dítěte.
 

Definice pojmu veřejný subjekt

 
GDPR obecně stanoví v čl. 37 odst. 1 písm. a) povinnost veřejných subjektů jmenovat pověřence pro ochranu osobních údajů, ale definici veřejného subjektu už neobsahuje. Zákon o zpracování osobních údajů v § 14 stanoví, že veřejným subjektem je kromě orgánu veřejné moci také orgán zřízený zákonem, který plní zákonem stanovené úkoly ve veřejném zájmu. V této oblasti tudíž došlo k vyjasnění pojmů diskutovaných už od přijetí GDPR a k upřesnění právní úpravy pro aplikaci GDPR v české legislativě.
 

Pravomoc Úřadu pro ochranu osobních údajů

 
Celá hlava V. Zákona o zpracování osobních údajů je věnována právnímu zakotvení Úřadu pro ochranu osobních údajů („ÚOOÚ“), jeho organizační struktury a kompetencí, a ÚOOÚ se tak i podle nové právní úpravy stává ústředním správním úřadem pro oblast ochrany osobních údajů. Dosud nemohl ÚOOÚ rozhodovat o přestupcích v oblasti ochrany osobních údajů podle GDPR, protože taková jeho působnost nebyla nikde zakotvena a musel si vystačit s omezeným spektrem přestupků, které vymezoval původní zákon č. 101/2000 Sb., o ochraně osobních údajů (zrušen k 23.4.2019).
 
Zákon o zpracování osobních údajů dále zavádí nové skutkové podstaty přestupků, spočívající v porušení povinností stanovených samotným Zákonem o zpracování osobních údajů a stanovuje za ně rovněž sankce. Reflektuje i případy, kdy by došlo k porušení zákazu zveřejnění osobních údajů, stanoveného jiným právním předpisem, který je součástí českého právního řádu. Za takové porušení lze podle Zákona o zpracování osobních údajů uložit pokutu až do 1.000.000 Kč, nebo 5.000.000,- Kč, půjde-li o přestupek spáchaný tiskem, filmem, rozhlasem, televizí, veřejně přístupnou počítačovou sítí nebo jiným obdobně účinným způsobem.
 
Nově může ÚOOÚ plně využít prostředky, které mu na poli ochrany osobních údajů GDPR svěřuje, což se projeví zejména v oprávnění udělovat sankce za skutkové podstaty přestupků podle GDPR. Je ovšem nutné zmínit, že ve věcech přestupkového řízení bude ÚOOÚ postupovat zcela podle české právní úpravy, tj. zejména podle zákona č. 250/2016 Sb., o odpovědnosti za přestupky a řízení o nich, a výše pokut se bude odvíjet od úpravy, kterou přináší nový Zákon o zpracování osobních údajů, které byly proti GDPR sníženy (viz. níže).
 

Nové skutkové podstaty přestupků a snížení pokut

 
Nový Zákon o zpracování osobních údajů dále omezuje výši pokuty, která může být uložena v souvislosti s porušením některých povinností v rámci ochrany osobních údajů právnickou osobou, zejména ve vztahu ke zpracování osobních údajů za účelem předcházení, vyhledávání nebo odhalování trestné činnosti, stíhání trestných činů, výkonu trestů a ochranných opatření, zajišťování bezpečnosti České republiky nebo zajišťování veřejného pořádku a vnitřní bezpečnosti, na 10.000.000,- Kč, přičemž původní úprava v GDPR počítala s možností uložení pouty až do výše 20.000.000 EUR. Na všechny případy sankcionování přestupků podle GDPR, případně podle Zákona o zpracování osobních údajů se samozřejmě vztahuje česká právní úprava zásad správního trestání, která vyžaduje zejména přiměřenost a individualizaci trestu, s přihlédnutím k povaze subjektu, kterému je trest udělován a rovněž k závažnosti přestupku.
 
Zákon o zpracování osobních údajů dále zavádí nové skutkové podstaty přestupků, spočívající v porušení povinností stanovených samotným Zákonem o zpracování osobních údajů a stanovuje za ně rovněž sankce. Reflektuje i případy, kdy by došlo k porušení zákazu zveřejnění osobních údajů, stanoveného jiným právním předpisem, který je součástí českého právního řádu. Za takové porušení lze podle Zákona o zpracování osobních údajů uložit pokutu až do 1.000.000 Kč, nebo 5.000.000,- Kč, půjde-li o přestupek spáchaný tiskem, filmem, rozhlasem, televizí, veřejně přístupnou počítačovou sítí nebo jiným obdobně účinným způsobem.
 
Nově může ÚOOÚ plně využít prostředky, které mu na poli ochrany osobních údajů GDPR svěřuje, což se projeví zejména v oprávnění udělovat sankce podle GDPR, a to v souladu s tímto evropským předpisem až do výše 10.000.000 Kč. Na všechny případy sankcionování přestupků podle GDPR, případně podle Zákona o zpracování osobních údajů se samozřejmě vztahuje česká právní úprava zásad správního trestání, která vyžaduje zejména přiměřenost a individualizaci trestu, s přihlédnutím k povaze subjektu, kterému je trest udělován a rovněž k závažnosti přestupku.
 

Výjimka z ukládání sankcí pro veřejné instituce a veřejné subjekty

 
Zákon o zpracování osobních údajů dále plně využívá možnosti zakotvené v čl. 83 odst. 7 GDPR o národní úpravě ukládání správních sankcí orgánům veřejné moci a veřejným subjektům za nedodržení pravidel ochrany osobních údajů podle GDPR, případně podle prováděcího národního předpisu. Těmto subjektům lze nyní za přestupky sice uložit pokutu do 10.000.000 Kč, pokud je však takový subjekt obcí, která nevykonává přenesenou působnost v rozsahu obecního úřadu obce s rozšířenou působností, dobrovolným svazkem takových obcí, příspěvkovou organizací takové obce nebo právnickou osobou vykonávající činnost školy nebo školského zařízení zřizovanou obcí nebo dobrovolným svazkem obcí, pak lze uložit pokutu pouze do výše 5.000 Kč.
 
Vedle zmírnění pokut ukládaných některým subjektům však Zákon o zpracování osobních údajů umožňuje uložit subjektům, u nichž bylo zjištěno porušení právních předpisů na úseku ochrany osobních údajů, rovněž opatření k odstranění nedostatků – v souladu s českou právní terminologií tzv napomenutí a uložení přiměřených opatření, při jejichž uložení lze navíc od správního trestu, tj. od uložení pokuty upustit.
 

Zpracování osobních údajů pro účely vědeckého a historického výzkumu, či pro statistické účely a zpracování osobních údajů pro novinářské účely nebo pro účely akademického, uměleckého nebo literárního projevu

 
V těchto případech zákon nově reflektuje specifičnost takového zpracování osobních údajů, a omezuje povinnosti správce, případně zpracovatele, a zároveň omezuje práva subjektů osobních údajů, zejména právo subjektu údajů na přístup k osobním údajům dle GDPR, a to s ohledem na ochranu zdroje a obsahu informací. Zákon o zpracování osobních údajů tak do jisté míry vyjasňuje situace, kdy jsou novináři, umělci apod. povinni sdělovat subjektům údajů informace ohledně zpracování jejich osobních údajů.
 
Zákon o zpracování osobních údajů stanoví základní standard, s jakým by měli tyto kategorie správců přistupovat ke zpracování osobních údajů, a požaduje mimo jiné i jejich uchovávání v anonymizované podobě, tj. tak, aby nemohla být informace přiřazena ke konkrétnímu subjektu údajů, kdykoli je to s ohledem na jejich činnost možné. Toto ustanovení míří proto zejména na zpracování informací pro statistické účely, či pro účely výzkumu.
 

Nový zákon jako dokončení první vlny adaptace českého právního řádu České republiky na GDPR

 
Nově přijatý zákon dokončuje proces první vlny adaptace právního řádu České republiky na GDPR. V budoucnu lze očekávat další změny právní úpravy, zejména ve vztahu k některým službám informační společnosti a on-line reklamy (obchodní sdělení, cookies, big data…) a pracovnímu právu.
 
Zákon o zpracování osobních údajů vytvořil právní rámec pro ÚOOÚ, aby mohl efektivně vykonávat svoji dozorovou a kontrolní činnost v oblasti ochrany osobních údajů, která byla dosud omezena zejména z důvodu absence právní úpravy provádějící GDPR.
 
Pro běžného podnikatele je z nového Zákona o zpracování osobních údajů použitelných zejména prvních 23 paragrafů, které upravují zpracování osobních údajů běžným správce, tj. právnickou či fyzickou osobou, zaměstnavatelem, obchodníkem a podobných, přičemž zbytek zákona se soustředí zejména na veřejné subjekty a subjekty veřejné moci. Významná část Zákona o zpracování osobních údajů je také zaměřena na zpracování osobních údajů za účelem předcházení, vyhledávání nebo odhalování trestné činnosti, stíhání trestných činů, výkonu trestů a ochranných opatření, zajišťování bezpečnosti České republiky nebo zajišťování veřejného pořádku a vnitřní bezpečnosti a ochraně osobních údajů při zajišťování obranných a bezpečnostních zájmů České republiky.
 
Pro více informací nás kontaktujte na:
 
JUDr. Mojmír Ježek, Ph.D.
 
ECOVIS ježek, advokátní kancelář s.r.o.
Betlémské nám. 6
110 00 Praha 1
e-mail: mojmir.jezek@ecovislegal.cz
www.ecovislegal.cz
 
About ECOVIS ježek, advokátní kancelář s.r.o.

Česká advokátní kancelář ECOVIS ježek se ve své praxi soustřeďuje především na obchodní právo, nemovitostní právo, vedení sporů, ale i financování a bankovní právo a poskytuje plnohodnotné poradenství ve všech oblastech, a tvoří tak alternativu pro klienty mezinárodních kanceláří. Mezinárodní rozměr poskytovaných služeb je zajištěn dosavadními zkušenostmi a prostřednictvím spolupráce s předními advokátními kancelářemi ve většině evropských zemí, USA a dalších jurisdikcích v rámci sítě ECOVIS působící v 75 zemích celého světa. Členové týmu advokátní kanceláře ECOVIS ježek mají dlouholeté zkušenosti z předních mezinárodních advokátních a daňových firem v poskytování právního poradenství nadnárodním korporacím, velkým českým společnostem, ale i středním firmám a individuálním klientům. Více informací na www.ecovislegal.cz.

Informace obsažené na této webové stránce jsou právnickou reklamou. Nepovažujte nic na této webové stránce za právní poradenství a nic na této webové stránce nepředstavuje vztah advokát-klient. Předtím, než začnete jednat o čemkoliv, o čem si na těchto stránkách přečtete, domluvte si právní konzultaci s námi. Dosavadní výsledky nejsou zárukou budoucích výsledků a předchozí výsledky neznamenají ani nepředpovídají budoucí výsledky. Každý případ je jiný a musí být posuzován podle vlastních okolností.

Comments are closed.