Ochrana osobních údajů patří mezi základní osobnostní práva člověka. Zaručuje ji přímo Ústava (ústavní zákon č. 1/1993 Sb.) ve svém čl. 2 odst. 4. Podle tohoto článku „Každý občan může činit, co není zákonem zakázáno, a nikdo nesmí být nucen činit, co zákon neukládá.“

Listina základních práv a svobod (ústavní zákon č. 2/1993 Sb.) jde ve vymezení těchto práv ještě dále a v čl. 10 uvádí, že každý má právo aby byla zachována jeho lidská důstojnost, osobní čest, dobrá pověst a chráněno jeho jméno, na ochranu před neoprávněným zasahováním do soukromého a rodinného života, na ochranu před neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním údajů o své osobě a právo na ochranu osobních údajů, přitom musí být respektováno právo občana na ochranu osobních údajů, která je součástí práva na soukromí a ochranu osobnosti.

Vedle Ústavy a Listiny základních práv a svobod, které jsou ústavněprávním základem práva občana na ochranu osobnosti, musíme vzít v úvahu i další naše předpisy, zejména:

–   nový občanský zákoník č. 89/­2012 Sb.,

–   zákoník práce č. 262/­2006 Sb.,

–   školský zákon č. 561/­2004 Sb.

Ochrana osobních údajů není však jen záležitost našeho práva, je to problematika, která se řeší na úrovni Evropské unie. A právě na této platformě bylo přijato nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (Obecné nařízení o ochraně osobních údajů). Nařízení je anglicky označované General Data Protection Regulation (GDPR) (dále jen nařízení GDPR). Jeho účinnost nastala 25. května 2018. Od tohoto data je tedy základním předpisem i u nás.

Z působnosti nařízení GDPR jsou vyloučeny činnosti fyzické osoby, při kterých jsou zpracovány osobní údaje výlučně pro osobní či domácí činnost. Dále je z působnosti nařízení GDPR vyloučeno zpracování prováděné příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestu, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení.

Tuto oblast upravuje v rámci Evropské unie směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV.

Předmětné ustanovení upravuje standardní úvodní ustanovení podle legislativních pravidel. Přímo použitelným předpisem je nařízení GDPR neboli Obecné nařízení o ochraně osobních údajů. V budoucnosti bude dalším takovým předpisem pravděpodobně nařízení, které nahradí směrnici 2002/58 (ES) o soukromí v elektronických komunikacích.

Zapracovávaným předpisem je směrnice 2016/­680 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování odhalování a stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV (dále jen „směrnice 2016/680“).

Ochrana osobních údajů není samoúčelná, řádné fungování vnitřního trhu vyžaduje, aby volný pohyb osobních údajů v Evropské unii nebyl omezován z důvodů souvisejících s ochranou osobních údajů fyzických osob.

Jednotná úroveň ochrany fyzických osob v celé Evropské unii zamezí rozdílům bránícím volnému pohybu osobních údajů v rámci vnitřního trhu a poskytne hospodářským subjektům, včetně mikropodniků a malých a středních podniků, právní jistotu a transparentnost, které fyzickým osobám ve všech členských státech zajistí stejnou úroveň práv vymahatelných právními prostředky a správcům a zpracovatelům uloží povinnosti a úkoly, prostřednictvím důsledného monitorování zpracování osobních údajů a rovnocenných sankcí ve všech členských státech, jakož i účinné spolupráce mezi dozorovými úřady jednotlivých členských států. Z těchto důvodů bylo přijato nařízení, které je tak přímo použitelným právním předpisem. Platí tak tedy, že zákon nemůže zdvojovat právní úpravu obsaženou v nařízení GDPR, do zákona tak nelze opětovně přepisovat definice (správce, zpracovatel, osobní údaj) či jednotlivá práva subjektu údajů ani jiné prvky nařízení GDPR. Zákon o zpracování osobních údajů tak obsahuje pouze tu právní úpravu, kdy nařízení GDPR předpokládá, že národní legislativa bude přijata (např. k využití výjimek, které jsou v nařízení GDPR obsaženy).

§ 2

Působnost zákona

Tento zákon upravuje

a)  zpracování osobních údajů podle nařízení Evropského parlamentu a Rady (EU) 2016/­67⁹²⁾,

b)  zpracování osobních údajů příslušnými orgány za účelem předcházení, vyhledávání nebo odhalování trestné činnosti, stíhání trestných činů, výkonu trestů a ochranných opatření, zajišťování bezpečnosti České republiky nebo zajišťování veřejného pořádku a vnitřní bezpečnosti, včetně pátrání po osobách a věcech,

c)  zpracování osobních údajů při zajišťování obranných a bezpečnostních zájmů České republiky,

d)  další zpracování osobních údajů, které mají být nebo jsou zařazeny do evidence nebo jejichž zpracování probíhá zcela nebo částečně automatizovaně, nejde-li o zpracování osobních údajů fyzickou osobou v průběhu výlučně osobních nebo domácích činností, a

e)  postavení a pravomoc Úřadu pro ochranu osobních údajů (dále jen „Úřad“).

komentář k § 2

Předmětné ustanovení vymezuje přehledně působnost zákona. Z hlediska působnosti lze rozdělit zákon na 5 části. Pod písm. a) a d) upravuje zákon tzv. „unijní“ zpracování osobních údajů, jde o zpracování, které předpokládá nařízení GDPR. Pod písm. b) zákon upravuje zpracování osobních údajů za účelem jejich zpracování podle směrnice 2016/680. Pod písm. c) dopadá zákon na tzv. „neunijní“ zpracování osobních údajů při zajišťování obranných a bezpečnostních zájmů České republiky. Pod poslední bodem e) dopadá působnost zákona na úpravu struktury a pravomoci Úřadu pro ochranu osobních údajů, která je adaptací českého právního řádu na nařízení GDPR.

Pod písm. d) ustanovení se zdůrazňuje, že se jedná o zpracování osobních údajů, která mají být zařazeny do evidence nebo jejichž zpracování probíhá zcela nebo částečně automatizovaně, kdy nejde o zpracování osobních údajů fyzickou osobou v průběhu výlučně osobních nebo domácích činností. Tím zákon vymezuje svoji působnost shodně s nařízením GDPR, konkrétně s jeho článkem 2(2). Tento článek mimo jiné stanoví, že toto nařízení se vztahuje na zcela nebo částečně automatizované zpracování osobních údajů a na neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny fyzickou osobou v průběhu výlučně osobních či domácích činností. Ustanovení má odstranit pochybnosti, zda např. pravidla pro výběr daní, která nejsou upravena právem EU, podléhají nařízení GDPR nebo pro ně platí jiná pravidla.

Takovým zpracováním osobních údajů je, kromě příkladů uváděných v úvodním ustanovení (recitálu 18), tedy korespondence nebo vedení adresářů nebo využívání sociálních sítí a internetu fyzickou osobou pro osobní účely, také například kamera v bytě nebo rodinném domě nebo kamera zabírající pouze soukromý pozemek patřící osobě nebo členu domácnosti. Tato zpracování se totiž neřídí nařízením GDPR ani tím tímto zákonem.

Důležité

     Z předmětného ustanovení vyplývá v podstatě základní členění ochrany osobních údajů v našem právu do oblasti:

- vnitřní trh a veřejná sféra,

- činnost orgánů v trestním řízení,

- ochrana a národní bezpečnost.

Na první oblast – zpracování osobních údajů v rámci vnitřního trhu a v rámci veřejnoprávní sféry s výjimkou obrany, národní bezpečnosti a bezpečnostních hrozeb, dopadá nařízení GDPR [viz čl. 2 (2) nařízení GDPR].

Oblast zpracování osobních údajů za účelem předcházení a vyhledávání trestné činnosti [písm. b)] je na úrovni EU upravena směrnicí 2016/680. V českém právu pak zákonem č. 141/­1961 Sb., trestní řád, zákonem č. 283/­1991 Sb., o Policii ČR, zákonem č. 300/­2013 Sb., o Vojenské policii, zákonem č. 17/­2012 Sb., o Celní správě České republiky, zákonem č. 269/­1994 Sb., o Rejstříku trestů, zákonem č. 257/­2000 Sb., o Probační a mediační službě, zákonem č. 283/­1993 Sb., o státním zastupitelství a zákonem č. 104/­2013 Sb., o mezinárodní justiční spolupráci ve věcech trestních.

Třetí oblast ochrany osobních údajů v oblasti obrany a národní bezpečnosti není upravena na úrovni EU vůbec. Některá pravidla nalezneme v zákoně č. 153/­1994 Sb., o zpravodajských službách ČR, v zákoně č. 412/­2005 Sb., o ochraně utajovaných skutečností a v zákoně č. 320/­2015 Sb., o hasičském záchranném sboru.

§ 3

Subjekt údajů

Subjektem údajů se rozumí fyzická osoba, k níž se osobní údaje vztahují.

komentář k § 3

Podle nařízení GDPR je subjektem údajů fyzická osoba, jíž se osobní údaje týkají.

Subjekt údajů nemůže být nikdy právnická osoba – viz úvodní ustanovení (recitál 14) „Toto nařízení se nevztahuje na zpracování osobních údajů právnických osob, a zejména podniků vytvořených jako právnické osoby, včetně názvu, právní formy a kontaktních údajů právnické osoby.“ Údaje vztahující se k právnické osobě tak nejsou osobními údaji.

Osobní údaje mohou být pouze ve vztahu k žijící fyzické osobě, jelikož nařízení GDPR vylučuje svoji působnost na údaje o zesnulých osobách – viz úvodní ustanovení (recitál 27) „Toto nařízení se nevztahuje na osobní údaje zesnulých osob.“ Nicméně úmrtím nepozbývá osobnost člověka občanskoprávní ochrany – viz § 82 odst. 2 OZ „Po smrti člověka se může ochrany jeho osobnosti domáhat kterákoli z osob jemu blízkých.“ Někdy mohou údaje o zemřelé osobě vypovídat o osobě žijící.

Je třeba připomenout, že působnost nařízení GDPR se nevztahuje na počaté dítě. Údaje o něm se v praxi překrývají s údaji o matce. Podle § 25 OZ se však na počaté dítě se hledí jako na již narozené, pokud to vyhovuje jeho zájmům a má se za to, že se dítě narodilo živé.

HLAVA II

ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ PODLE PŘÍMO POUŽITELNÉHO PŘEDPISU EVROPSKÉ UNIE

Díl 1

Obecná ustanovení

§ 4

Působnost

(1) Ustanovení této hlavy se použijí při zpracování osobních údajů podle nařízení Evropského parlamentu a Rady (EU) 2016/679.

(2) Ustanovení této hlavy a nařízení Evropského parlamentu a Rady (EU) 2016/679 se použijí i při zpracování osobních údajů, které mají být nebo jsou zařazeny do evidence, a při zpracování osobních údajů, které probíhá zcela nebo částečně automatizovaně, nejde-li o zpracování osobních údajů fyzickou osobou v průběhu výlučně osobních nebo domácích činností,

a)  při výkonu činností, které nespadají do oblasti působnosti práva Evropské unie nebo do působnosti hlavy III nebo IV, nebo

b)  při výkonu činností, které spadají do oblasti působnosti hlavy V kapitoly 2 Smlouvy o Evropské unii.

komentář k § 4

Nadpis hlavy II „Zpracování osobních údajů podle přímo použitelného předpisu Evropské unie“ naznačuje, že upravuje dílčí otázky spojené s adaptací na nařízení GDPR, zejména upravuje výjimky z nařízení GDPR a případy, kdy nařízení GDPR umožňuje vnitrostátní zákonnou úpravu.

Upravuje tedy některé dílčí otázky nezbytné k plné adaptaci na nařízení GDPR a jsou zde obsaženy i některé výjimky a možnosti vnitrostátní úpravy, které nařízení GDPR připouští.

Předmětné ustanovení v odstavci 1 upravuje působnost této hlavy, této části zákona.

Článek 2 nařízení GDPR vymezuje konkrétní situace zpracování osobních údajů. Proto toto ustanovení v odstavci 2 právě v návaznosti na článek 2 nařízení GDPR a za účelem zvýšení právní jistoty vyjmenovává další oblasti zpracování osobních údajů, u kterých by mohly být pochybnosti, zda spadají do působnosti práva Evropské unie nebo ne, nebo na které se ani nařízení GDPR ani směrnice 2016/680 nevztahuje. Příkladem může být ochrana osobních údajů při správě daní, na tu právo Evropské unie nedopadá.

Úprava v odstavci 2 pod písm. a) je výkladově složitá. Jednak do působnosti této hlavy II zákona řadí činnosti, u kterých by bylo možno mít pochybnosti, zda spadají do působnosti práva Evropské unie. Zároveň však stanoví dva okruhy činností, které jsou z působnosti hlavy II vyňaty. Za prvé se jedná o činnosti, které spadají do působnosti směrnice 2016/680 a které jsou upraveny v hlavě III zákona. Dále pak vyjímá z působnosti hlavy II zákona činnosti, které jsou zvláště a výlučně upraveny hlavou IV (zajišťování obranných a bezpečnostních zájmů ČR), neboť článek 4 Smlouvy o Evropské unii stanoví „Unie ctí rovnost členských států před Smlouvami a jejich národní identitu, která spočívá v jejich základních politických a ústavních systémech, včetně místní a regionální samosprávy. Respektuje základní funkce státu, zejména ty, které souvisejí se zajištěním územní celistvosti, udržením veřejného pořádku a ochranou národní bezpečnosti. Zejména národní bezpečnost zůstává výhradní odpovědností každého členského státu.“ Nakonec jsou z působnosti hlavy II zákona vyňaty činnosti, které spadají do působnosti hlavy V kapitoly 2 Smlouvy o Evropské unii. To vše za předpokladu, že se nejedná o zpracování osobních údajů prováděná fyzickými osobami v souvislosti s jejich činnostmi čistě osobní a domácí povahy.

Viz rozsudek SDEU ve věci C-212/13 František Ryneš proti Úřadu pro ochranu osobních údajů nebo rozsudek SDEU ve věci C-101/01 Lidquist proti Švédsku.

§ 5

Oprávnění ke zpracování osobních údajů
při plnění právní povinnosti nebo
výkonu působnosti

Správce je oprávněn zpracovávat osobní údaje, pokud je to nezbytné pro splnění

a)  povinnosti, která je správci uložena právním předpisem, nebo

b)  úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen.

komentář k § 5

Článek 6 (3) nařízení GDPR stanoví, že základ pro zákonné zpracování osobních údajů je nezbytné pro splnění právní povinnosti, která se na správce vztahuje a pro zpracování, které je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce musí být stanoven právem Unie nebo právem členského státu, které se na správce vztahuje.

Tento článek nařízení GDPR je mezi členskými státy EU výkladově nejasný. Fakt, že právní povinnost uvedenou v článku 6 (1) (c) stanoví pouze právní předpis, je nepochybný, nicméně lze se setkat s formalistickým výkladem, že právní předpis má stanovit samo oprávnění zpracovávat osobní údaje. Z toho důvodu písmeno a) poskytuje de facto subsidiární titul pro zpracování, pokud jednoznačně neplyne z platných předpisů. Stejně tak tomu je i se zákonným zakotvením „oprávnění ke zpracování“ ve veřejném zájmu.

Pravomoci správců se oproti předchozímu právnímu stavu nijak nerozšiřují. Pouze se výslovně stanoví, že správce je oprávněn zpracovávat osobní údaje na základě povinnosti, uložené mu zákonem nebo úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci. Jsou-li však v dalších zákonech omezení pro zpracování osobních údajů, nevadí to a zpracování musí být prováděno pouze v těchto zákonných mezích.

K zákonnosti zpracování osobních údajů není nutné výslovné oprávnění ke zpracování osobních údajů v jiném právním předpise, pokud lze z právního řádu tuto povinnost správce dovodit nebo se jedná o výkon veřejné moci. To znamená, že když správce vykonává určitou činnost, jejíž součástí musí být zpracování osobních údajů, ale právní předpis to výslovně nestanoví, pak postačí předmětné ustanovení pod písm. a) – zpracování osobních údajů je nezbytné pro splnění povinnosti, která je uložena právním předpisem.

Obdobně musíme postupovat i v případě písm. b) předmětného ustanovení – shromažďování osobních údajů v rámci plnění úkolů ve veřejném zájmu a při výkonu veřejné moci. V praxi to pomůže u starších předpisů, které nebyly v tomto směru upřesněny.

Pro správce vyplývá z návětí předmětného ustanovení důležitá povinnost – provádět pouze ta zpracování osobních údajů, která jsou nezbytná a zpracovávat pouze takový rozsah osobních údajů, které jsou dané věci přiměřené.

§ 6

Výjimka z povinnosti posuzování slučitelnosti účelů

(1) Nestanoví-li jiný právní předpis jinak, správce není povinen při zajišťování chráněného zájmu posuzovat před zpracováním osobních údajů k jinému účelu, než ke kterému byly shromážděny, slučitelnost těchto účelů, je-li toto zpracování nezbytné a přiměřené pro splnění

a)  povinnosti, která je správci uložena, nebo

b)  úkolu ve veřejném zájmu stanoveného právním předpisem nebo při výkonu veřejné moci, kterým je správce pověřen.

(2) Chráněným zájmem podle odstavce 1 se rozumí

a)  obranné nebo bezpečnostní zájmy České republiky,

b)  veřejný pořádek a vnitřní bezpečnost, předcházení, vyhledávání nebo odhalování trestné činnosti, stíhání trestných činů, výkon trestů a ochranných opatření, zajišťování bezpečnosti České republiky nebo zajišťování veřejného pořádku a vnitřní bezpečnosti, včetně pátrání po osobách a věcech,

c)  jiný důležitý cíl veřejného zájmu Evropské unie nebo členského státu Evropské unie, zejména důležitý hospodářský nebo finanční zájem Evropské unie nebo členského státu Evropské unie, včetně záležitostí měnových, peněžních, rozpočtových, daňových a finančního trhu, veřejného zdraví nebo sociálního zabezpečení,

d)  ochrana nezávislosti soudů a soudců,

e)  předcházení, vyhledávání, odhalování nebo stíhání porušování etických pravidel regulovaných povolání,

f)  dohledové, kontrolní nebo regulační funkce spojené s výkonem veřejné moci v případech uvedených v písmenech a) až e),

g)  ochrana práv a svobod osob, nebo

h)  vymáhání soukromoprávních nároků.

komentář k § 6

Ustanovení stanoví výjimky z povinnosti posuzování slučitelnosti účelů. Tuto možnost dává úvodní ustanovení (recitál 50), článek 6 (4) a článek 23 nařízení GDPR. Připouští se, aby pro zvláště významná zpracování ve veřejném zájmu byla stanovena možnost dalšího zpracování osobních údajů bez přezkoumávání slučitelnosti účelu původního a následného zpracování, které v jiných případech článek 6 (4) a článek 5 (1) (b) vyžadují. Článek 5 (1) (b) totiž stanoví tzv. účelové omezení, kdy osobní údaje mohou být shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný; další zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely. Předmětné ustanovení stanoví i další případy slučitelnosti účelů.

V odstavci 1 se stanoví výjimka z povinností správce. V případě, kdy je povinnost správci uložena právním předpisem (jde o tzv. „chráněný zájem“) nebo jde o úkol ve veřejném zájmu nebo při výkonu veřejné moci, není správce posuzovat před zpracováním osobních údajů k jinému účelu, než ke kterému byly shromážděny.

Povinnost, úkol nebo výkon veřejné moci podle odst. 1 předmětného ustanovení musí být v souladu s čl. 6 odst. 4 nařízení GDPR konkretizována v právním předpisu. Znamená to, že právní předpis upravující zajišťování chráněného zájmu se v takových případech aplikuje přednostně.

Článek 6 (4) nařízení GDPR umožňuje správci neprovádět test slučitelnosti, pokud je zpracování osobních údajů:

- založeno na právu EU či členského státu a

- představuje nezbytné a přiměřené opatření k zajištění cílů dle čl. 23 odst. 2 nařízení GDPR.

Aby správce nemusel provádět test slučitelnosti, musí posoudit, zda:

-  příslušné právní předpisy stanoví právní základ pro zpracování osobních údajů, založené na plnění povinnosti podle čl. 6 odst. 1 písm. c) nařízení GDPR či na základě úkolu ve veřejném zájmu nebo při výkonu veřejné moci podle čl. 6 odst. 1 písm. e) nařízení GDPR,

-  toto zpracování představuje nezbytné a přiměřené opatření k zajištění cílů dle čl. 23 odst. 1 nařízení GDPR.

Pojem „chráněný zájem“ je definován v odstavci 2 taxativním výčtem. Tento výčet odpovídá důvodům pro výjimky podle článku 23 (1) nařízení GDPR a splňuje podmínky relevance podle článku 5 (1) (c) nařízení GDPR. Formulace nebyla přímo z nařízení GDPR převzata, došlo zde k terminologické úpravě českého textu oproti originálu v anglickém znění.

Pod písmenem c) je chráněným zájmem hospodářský nebo finanční cíl veřejného zájmu Evropské unie nebo členského státu EU. Typickým příkladem je vedení centrální evidence účtů Českou národní bankou podle zákona č. 300/­2016 Sb., o centrální evidenci účtů, jakožto prostředku sloužícího k odhalování trestné činnosti, zajištění významných hospodářských a finančních zájmů a bezpečnosti České republiky nebo Evropské unie.

Písmeno c) zahrnuje i záležitosti důležitého cíle veřejného zájmu v oblasti veřejného zdraví, mezi které spadá i systém veřejného zdravotního pojištění.

Výčet uvedený pod písmenem f) cílí k takové činnosti správce, která odpovídá jeho povinnostem, úkolu ve veřejném zájmu nebo pravomoci, jež spočívá ve vynucování etických pravidel regulovaných povolání. Pokud tedy správce zpracovává například osobní údaje zaměstnanců regulovaných povolání za účelem zaměstnání apod., může je využít i ke kontrole plnění etických pravidel těmito zaměstnanci, pokud má takovou právním předpisem stanovenou povinnost nebo úkol, nebo takovou pravomoc.

Na předmětné ustanovení navazují další ustanovení zákona (§ 11, § 12), která využívají výčtu chráněných zájmů podle článku 23 nařízení GDPR. Do budoucna budou příslušné úkoly, povinnosti nebo pravomoci správců, při zajišťování těchto úkolů ukládat i další zákony (např. krizový zákon nebo zákon o kybernetické bezpečnosti). Zpracovatel však nepovažoval za vhodné je uvádět v poznámce pod čarou, jako tomu bylo u § 3 zákona č. 101/­2000 Sb., o ochraně osobních údajů.

§ 7

Způsobilost dítěte pro souhlas se zpracováním osobních údajů

Dítě nabývá způsobilosti k udělení souhlasu se zpracováním osobních údajů v souvislosti s nabídkou služeb informační společnosti přímo jemu dovršením patnáctého roku věku.

komentář k § 7

Ustanovení stanoví způsobilost dítěte pro souhlas se zpracováním osobních údajů. Podle článku 8 nařízení GDPR platí, že v souvislosti s nabídkou služeb informační společnosti přímo dítěti, je zpracování osobních údajů dítěte zákonné, je-li dítě ve věku nejméně 16 let. To je obecná hranice. Dále ale připouští, je-li dítě mladší 16 let, že je takové zpracování zákonné pouze tehdy a do té míry, pokud byl tento souhlas vyjádřen nebo schválen osobou, která vykonává rodičovskou zodpovědnost k dítěti a dává možnost členským státům stanovit právním předpisem nižší věk, ne však nižší než 13 let.

Služba informační technologie je definována v § 2 písm. a) zákona č. 480/­2004 Sb., o některých službách informační společnosti a o změně některých zákonů (zákon o některých službách informační společnosti). Službou informační společnosti se rozumí jakákoliv služba poskytovaná elektronickými prostředky na individuální žádost uživatele podanou elektronickými prostředky, poskytovaná zpravidla za úplatu; služba je poskytnuta elektronickými prostředky, pokud je odeslána prostřednictvím sítě elektronických komunikací a vyzvednuta uživatelem z elektronického zařízení pro ukládání dat. V praxi se jedná zejména o mobilní aplikace, sociální sítě, e mailové servery, online hry apod.

Výše uvedená hranice 16 let vychází z dalších úprav (Child Online Privacy Protection Act v USA stanoví 13 let a návrhu Komise na nařízení nahrazující nařízení 45/­2001 (ES), které stanoví také 13 let).

Česká právní úprava však vychází z nového občanského zákoníku, kdy pro dospělé nezletilé platí § 31 NOZ, podle které se má za to, že každý nezletilý, který nenabyl plné svéprávnosti, je způsobilý k právním jednáním co do povahy přiměřeným rozumové a volní vyspělosti nezletilých jeho věku.

Zpracovatel při stanovení hranice 15 let věku dítěte vycházel především z praxe a bral v úvahu problémy a rizika hrozící mládeži v souvislosti s informačními technologiemi (nelegální obsah, kyberšikana apod.), byť zpracování osobních údajů v rámci služeb informační společnosti není tak rizikovou činností jako některé jiné činnosti. Příkladem budiž souhlas zákonného zástupce s udělením řidičského oprávnění podle § 83 zákona č. 361/­2000 Sb., o silničním provozu, nezletilým ve věku 15, 16 nebo 17 let. Řízení motorových vozidel je činností, kterou řidič vykonává samostatně a bezprostředně a do které nelze z časových ani bezpečnostních důvodů zasáhnout a je tudíž mnohem rizikovější než informační technologie.

Na druhé straně je třeba vzít v úvahu běžný život, kdy nezletilí běžně používají mobilní telefony a zasílají textové zprávy, takže omezování např. e-mailových služeb, sociálních sítí nebo podobných způsobů komunikace by bylo nepřiměřeným zásahem.

Po zvážení všech uvedených důvodů a především s ohledem na nový občanský zákoník nebyla v České republice zvolena hranice ne 13 let, ale hranice 15 let věku dítěte.

Podle článku 7 (3) nařízení GDPR má subjekt údajů právo svůj souhlas kdykoli odvolat a zároveň není nutno jej obnovovat. Také samozřejmě platí (byť nařízení GDPR to výslovně nestanoví), že je-li dítě způsobilé k udělení souhlasu, je způsobilé i k jeho odvolání, případně k uplatnění dalších práv (právo na výmaz, na opravu apod.).

Podle § 31 OZ se má za to, že každý nezletilý, který nenabyl plné svéprávnosti, je způsobilý k právním jednáním co do povahy přiměřeným rozumové a volní vyspělosti nezletilých jeho věku. Nařízení GDPR a tento zákon jsou však veřejnoprávní předpisy a ty se zabývají pouze věkem pro možné udělení souhlasu. Odborná literatura se přiklání k názoru, že dítě, které není k udělení souhlasu způsobilé podle občanského zákoníku, jej nemůže platně udělit ani po dosažení věkové hranice podle předmětného ustanovení.

V praxi však v případě, kdy děti mladší 16 let uzavírají např. placené on line služby, nemusí být zpracování jeho osobních údajů založeno na souhlasu podle tohoto ustanovení, ale přímo na plnění smlouvy a v takovém případě se postupuje podle čl. 6 odst. 1 nařízení GDPR a souhlas rodičů není třeba.

§ 8

Informační povinnost pro zpracování osobních údajů upravená zákonem

Pokud správce provádí zpracování osobních údajů podle § 5 a je povinen subjektu údajů poskytnout informace podle čl. 13 nebo čl. 14 odst. 1, 2 a 4 nařízení Evropského parlamentu a Rady (EU) 2016/679, může tyto informace v rozsahu odpovídajícím jím obvykle prováděnému zpracování osobních údajů poskytnout zveřejněním způsobem umožňujícím dálkový přístup.

komentář k § 8

Článek 13 nařízení GDPR vyjmenovává informace, které poskytuje správce v případě, že osobní údaje jsou získány od subjektu údajů a článek 14 nařízení GDPR vyjmenovává informace poskytované v případě, že osobní údaje nebyly získány od subjektu údajů. Na to navazuje předmětné ustanovení a umožňuje informování subjektů údajů obecně tak, že jsou požadované parametry zpracování popsány a zveřejněny způsobem umožňujícím dálkový přístup.

To také přesně odpovídá článku 6 (2) nařízení GDPR, které stanoví, že členské státy mohou zachovat nebo zavést konkrétnější ustanovení, aby přizpůsobily používání pravidel tohoto nařízení ohledně zpracování tím, že přesněji určí konkrétní požadavky na zpracování a jiná opatření k zajištění zákonného a spravedlivého zpracování, a to i u jiných zvláštních situací, při nichž dochází ke zpracování. Konkrétně se jedná o tituly uvedené v článku 6 (1) (c) a článku 6 (1) (e) nařízení GDPR.

Ani tento zákon ani jiné předpisy blíže nedefinují pojem „dálkový přístup“, byť ho běžně používají. Pouze zákon č. 365/­2000 Sb., o informačních systémech veřejné správy stanoví v § 2 písm. n), že dálkový přístup je přístup prostřednictvím sítě nebo služby elektronických komunikací (např. s využitím internetu).

Ustanovení v neposlední řadě vychází i z úvodního ustanovení (recitálu 42) nařízení GDPR, které mimo jiné stanoví, že pokud je zpracování založeno na souhlasu subjektu údajů, měl by být správce schopen prokázat, že subjekt údajů vyjádřil s danou operací zpracování souhlas. Zejména v případě písemného prohlášení souvisejícího s jinou skutečností by mělo být pomocí záruk zajištěno, že si je subjekt údajů vědom toho, že dává souhlas a v jakém rozsahu. Tento recitál umožňuje informování subjektů údajů o zpracování v oblasti odhalování a potírání trestné činnosti. Nejedná se tedy o postup v Evropské unii neznámý. Orgány, které postupují v některých případech podle nařízení GDPR a v jiných případech podle směrnice 2016/680, budou moci podle této zákonné zásady postupovat tak, že podají popis zpracování údajů (samozřejmě se všemi vyžadovanými parametry) společně pro různé oblasti své činnosti. V praxi se jedná o to, aby zpracování založená na tomto zákonném ustanovení byla popsána a upravena ve veřejně dostupném právním předpise.

Ustanovení ukládá správci povinnost uvést skutečnosti požadované články 13 a 14 nařízení GDPR a dodržet formu podle článku 12 (1) nařízení GDPR.

Viz výklad Úřadu pro ochranu osobních údajů „Zákon č. 89/­2012 Sb., stanovuje v jeho § 559, že každý má právo zvolit si pro právní jednání libovolnou formu, není-li ve volbě formy omezen ujednáním nebo zákonem. GDPR nestanovuje obligatorní písemnou formu souhlasu subjektu údajů, navíc ustanovení § 562 odst. 1 občanského zákoníku stanovuje, že písemná forma je zachována i při právním jednání učiněném elektronickými prostředky nebo jinými technickými prostředky umožňujícími zachycení jeho obsahu a určení jednající osoby. Souhlas se zpracováním osobních údajů tak lze udělit i přes internet, ovšem za podmínky, že bude zpětně prokazatelný, tj. správce bude schopen dostát své povinnosti uvedené v GDPR, která mu stanovuje povinnost doložit udělení souhlasu subjektu údajů se zpracováním jeho osobních údajů.

Souhlasem v oblasti elektronických komunikací upravených zákonem č. 127/­2005 Sb., se rozumí rovněž souhlas učiněný pomocí elektronických prostředků, zejména vyplněním elektronického formuláře na internetu (§ 87).“

§ 9

Oznámení formou změny výchozí
evidence

Je-li správce povinen oznámit příjemci provedenou opravu, omezení zpracování nebo výmaz osobních údajů, může tak učinit změnou osobních údajů v evidenci, pokud příjemci pravidelně zpřístupňuje její platný obsah.

komentář k § 9

Podle článku 19 nařízení GDPR platí, že správce oznamuje jednotlivým příjemcům, jimž byly osobní údaje zpřístupněny, veškeré opravy nebo výmazy osobních údajů nebo omezení zpracování provedené v souladu s článkem 16, čl. 17 odst. 1 a článkem 18, s výjimkou případů, kdy se to ukáže jako nemožné nebo to vyžaduje nepřiměřené úsilí.

Správce informuje subjekt údajů o těchto příjemcích, pokud to subjekt údajů požaduje. Ustanovení reaguje v praxi na časté případy, kdy správce poskytuje příjemci přístup k databázi, takže změna zdrojové databáze povede k žádoucím úpravám i u příjemce.

Pokud příjemce spoléhá na aktuální podobu databáze, přijme bez dalšího aktuální soubor osobních údajů po provedených opravách, blokacích nebo výmazech. Jde pouze o jednu z možností, jak informovat příjemce, správce není povinen ji využít, je však vždy povinen splnit informační povinnost podle výše uvedeného článku 19 nařízení GDPR.

V praxi většina registrů zpřístupněných veřejnosti dálkovým přístupem neobsahuje v zákoně, na jehož základě jsou zpracovány, konkrétní ustanovení o jeho fungování a postup správního orgán při oznamování změn v tomto registru (viz např. zákon č. 2/1991 Sb., o kolektivním vyjednávání a vyhláška č. 16/­1991 Sb., o zprostředkovatelích, rozhodcích a ukládání kolektivních smluv vyššího stupně). Správní orgán (MPSV) tedy musí v praxi u seznamu uvádět i data jeho aktualizace.

§ 10

Výjimka z povinnosti posouzení vlivu
zpracování osobních údajů na ochranu
osobních údajů

Správce nemusí provádět posouzení vlivu zpracování na ochranu osobních údajů před jeho zahájením, pokud mu právní předpis stanoví povinnost takové zpracování osobních údajů provést.

komentář k § 10

Ustanovení stanoví výjimku z povinnosti posouzení vlivu zpracování osobních údajů na ochranu osobních údajů. Podle článku 35 (10) nařízení GDPR totiž platí, že pokud má zpracování podle čl. 6 odst. 1 písm. c) nebo e) právní základ v právu Unie nebo členského státu, které se na správce vztahuje, a toto právo upravuje konkrétní operaci nebo soubor operací zpracování a pokud bylo posouzení vlivu na ochranu osobních údajů již provedeno jakožto součást obecného posouzení dopadů v souvislosti s přijetím uvedeného právního základu, odstavce 1 až 7 se nepoužijí, ledaže by členské státy považovaly provedení tohoto posouzení před činnostmi zpracování za nezbytné.

Důležité

     V praxi to znamená, že pokud právní předpis ukládá nějakou povinnost, jejíž součástí je zpracování osobních údajů (typicky když zaměstnavatel zpracovává osobní údaje pro účely sociálního nebo zdravotního pojištění), nemusí provádět posouzení vlivu na ochranu osobních údajů, neboť by to bylo nadbytečné a představovalo by to nadměrnou zátěž.

Z ustanovení vyplývá, že povinnost provádět posuzování vlivu se nevztahuje ani na zpracování podle předpisů přijatých před účinností nařízení GDPR, Česká republika zde plně využila možnosti dané výše citovaným článkem 35 (10) nařízení GDPR.

Nicméně od r. 2013 platí nová Legislativní pravidla vlády a posouzení dopadů navrhovaného řešení ve vztahu k ochraně soukromí a osobních údajů je standardní součástí návrhu každého věcného záměru, důvodové zprávy nebo odůvodnění zákona, nařízení vlády či vyhlášky, takže povinnosti stanovené novými předpisy již hodnocením dopadů prošly. V praxi je třeba pouze dát pozor na ustanovení, která zakládají povinnosti a jsou přijata na základě poslaneckých návrhů, kdy se většinou na test slučitelnosti neprovádí.

§ 11

Omezení některých práv a povinností

(1) Nestanoví-li jiný právní předpis jinak, čl. 12 až 22 a v jim odpovídajícím rozsahu též článek 5 nařízení Evropského parlamentu a Rady (EU) 2016/679 se použijí přiměřeně nebo se splnění povinností správce nebo zpracovatele nebo uplatnění práva subjektu údajů stanovených těmito články odloží, je-li to nezbytné a svým rozsahem přiměřené k zajištění chráněného zájmu uvedeného v § 6 odst. 2.

(2) Omezení některých práv nebo povinností podle odstavce 1 správce nebo zpracovatel bez zbytečného odkladu oznámí Úřadu, přitom uvede v přiměřeném rozsahu skutečnosti podle čl. 23 odst. 2 nařízení Evropského parlamentu a Rady (EU) 2016/679; to neplatí pro soudy provádějící zpracování osobních údajů podle čl. 55 odst. 3 nařízení Evropského parlamentu a Rady (EU) 2016/679.

komentář k § 11

Ustanovení upravuje pro celou oblast zpracování osobních údajů podle nařízení GDPR obecnou výjimku. Tuto právní úpravu připouští článek 23 nařízení GDPR. Práva subjektu údajů jsou zde omezena jen v nezbytném rozsahu, podobně jako tomu bylo v § 3 odst. 6 zákona č. 101/­2000 Sb.

     Omezení v nezbytném rozsahu

V odstavci 1 použitá formulace „články 12 až 22 a v jím odpovídajícím rozsahu též čl. 5“ odpovídá možnosti dané článkem 23 (1) nařízení GDPR omezit rozsah práv a povinností uvedený v článcích 12 až 22 a v článku 5.

Ustanovení dodržuje článek 23 nařízení GDPR v tom smyslu, že se jedná o omezení, která respektují podstatu základních práv a svobod a představuje nezbytné a přiměřené opatření v demokratické společnosti.

V článku 23 (2) (d) nařízení GDPR se mimo jiné stanoví, že každé legislativní opatření uvedené v odstavci 1 zejména obsahuje konkrétní ustanovení, alespoň, je-li to relevantní, pokud jde o: záruky proti zneužití údajů nebo protiprávnímu přístupu k nim či jejich protiprávnímu předání. Postup správce lze Úřadu oznámit i obecně, tedy ve vztahu ke všem stejným případům.

Z toho důvodu a zejména k prevenci vážného ohrožení v nejcitlivějších z oblastí, které uvádí článek 23 nařízení GDPR bylo zpracováno toto ustanovení. V podstatě poskytuje v souladu s článkem 23 nařízení GDPR omezenou možnost limitovat práva subjektů údajů stanovená v jeho článcích 12 až 22.

Tento postup se bude vztahovat na každého správce, pokud by postupem podle článků 12 až 22 došlo k vážnému ohrožení v jedné nebo více z uvedených oblastí. Subjekt údajů se také zpravidla dozví, proč bylo jeho právo splněno pouze částečně. Pro zpracování založená na nařízení platí výjimka v § 10. Pro zpracování založená na směrnici 2016/680 jsou rozsah práv a způsoby jejich omezení uvedeny v hlavě III.

V praxi budou konkrétní omezení práv subjektů údajů a odpovídajících povinností správce (či zpracovatele) upravovat v přiměřeném rozsahu primárně předpisy upravující konkrétní oblast zpracování osobních údajů, které zároveň stanoví další upřesnění podle článku 23 nařízení GDPR.

Nařízení GDPR nepřipouští výjimku ze základních principů v čl. 5 jinak než v „odpovídajícím rozsahu“. Proto správce údajů bude muset v praxi posoudit potřebnost výjimky nejen podle článků 12 – 22 nařízení GDPR, ale také podle článku 5.

     Povinnost správce oznamovat Úřadu pro ochranu osobních údajů přijatá opatření v rámci zajištění chráněného zájmu

Zárukou proti nadužívání tohoto ustanovení je oznamování postupu správce Úřadu. Odstavec 2 stanoví, že relevantní parametry tohoto postupu je třeba oznámit Úřadu současně. To neplatí pouze pro soudy v případech, kdy nepodléhají podle článku 55(3) nařízení GDPR dozoru ze strany Úřadu.

Současně se doplňuje ustanovení umožňující omezení práva podle článku 15, které má například zabránit ztrátě efektivity kontrolních a zabezpečovacích opatření zajišťujících plnění povinností či podmínek služby zaměstnanci nebo uživateli.

Článek 23 (2) nařízení GDPR upravuje pod písmeny a) a b) omezení v oblasti národní bezpečnosti a obrany, proto se týkají zajišťování bezpečnosti ČR nebo vnitřní bezpečnosti bez ohledu na povahu hrozby, a vztahují se i na relevantní aktivity v oblasti bezpečnosti komunikačních nebo elektronických sítí.

Článek 23 (2) nařízení GDPR zahrnuje pod písmenem c) různé činnosti související s trestním řízením, zejména činnosti významné pro potírání trestné činnosti. Typickým příkladem je vedení centrální evidence účtů Českou národní bankou podle zákona č. 300/­2016 Sb., o centrální evidenci účtů, jakožto prostředku sloužícího k odhalování trestné činnosti a stíhání pachatelů trestných činů, zajištění významných hospodářských a finančních zájmů a bezpečnosti České republiky nebo Evropské unie.

Článek 23 (2) nařízení GDPR zahrnuje pod písmenem d) i záležitosti důležitého cíle veřejného zájmu v oblasti veřejného zdraví, mezi které spadá i systém veřejného zdravotního pojištění. Jak plyne i z textu písm. d), které přímo zmiňuje rozpočtové záležitosti Evropské unie, zahrnuje toto ustanovení i záležitosti důležitého cíle veřejného zájmu v oblasti správy dotací Evropské unie.

Důležité

     Každé z výše uvedených legislativních opatření musí obsahovat konkrétní ustanovení, alespoň, je-li to relevantní, pokud jde o:

a)  účely zpracování nebo kategorie zpraco­vání;

b)  kategorie osobních údajů;

c)  rozsah zavedených omezení;

d)  záruky proti zneužití údajů nebo protiprávnímu přístupu k nim či jejich protiprávnímu předání;

e)  specifikaci správců nebo kategorie správců;

f) doby uložení a platné záruky s ohledem na povahu, rozsah a účely zpracování nebo kategorie zpracování;

g)  rizika z hlediska práv a svobod subjektů ­údajů; a

h)  právo subjektů údajů být informováni o daném omezení, pokud toto informování nemůže být na újmu účelu omezení.

Pokud jde o „přiměřené použití článků 12–22 nebo odložení splnění povinností správce“, má se tím na mysli, že správce má splnit své povinnosti, resp. umožnit výkon práv subjektu údajů, v tom rozsahu, v jakém nedochází k ohrožení cílů vypočtených v písm. a) až f), nebo splnění povinnosti odložit na dobu, kdy již k takovému ohrožení nedojde.

V odstavci 2 je pak specifikována povinnost správce oznamovat Úřadu pro ochranu osobních údajů přijatá opatření v rámci zajištění chráněného zájmu. Znamená to, že správce či zpracovatel je povine uvést v oznámení Úřad pro ochranu osobních údajů aspoň skutečnosti demonstrativně uvedené v čl. 23 (2) nařízení GDPR. Z povinnosti informovat o přijatých opatřeních jsou vyňaty soudy při výkonu soudní pravomoci, a to na základě čl. 55 (3) nařízení GDPR, jedná se ovšem pouze o výkon soudních pravomocí, ne ostatních úkolů soudů jako orgánů státní správy.

Předmětné ustanovení blíže neukládá Úřad pro ochranu osobních údajů, jak má postupovat po obdržení výše uvedených oznámení. V praxi Úřad pro ochranu osobních údajů postupuje podle čl. 58 nařízení GDPR a v případě, že dojde k závěru, že opatření je porušením nařízení GDPR, oznámí tuto skutečnost správci, případně přijme potřebné nápravné opatření.

§ 12

Výjimka z povinnosti oznámení porušení zabezpečení osobních údajů subjektu údajů

Pokud je správce povinen oznámit porušení zabezpečení osobních údajů subjektu údajů, toto oznámení provede v omezeném rozsahu nebo jej odloží, je-li to nezbytné a svým rozsahem přiměřené k zajištění chráněného zájmu uvedeného v § 6 odst. 2. Pro oznámení takového postupu Úřadu se § 11 odst. 2 použije obdobně.

komentář k § 12

Předmětné ustanovení obsahuje výjimku z povinnosti oznámení porušení zabezpečení osobních údajů subjektu údajů. Ve své podstatě vychází z článku 34 nařízení GDPR, které stanoví, že pokud je pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, oznámí správce toto porušení bez zbytečného odkladu subjektu údajů. V praxi se může jednat např. o ztrátu nosiče osobních údajů.

Článek 34 nařízení GDPR je však třeba vykládat i ve shodě s úvodním ustanovením (recitálem 86) nařízení GDPR, podle kterého by zejména měl správce porušení zabezpečení osobních údajů oznámit subjektu údajů bez zbytečného prodlení, pokud je pravděpodobné, že toto porušení bude mít za následek vysoké riziko pro práva a svobody fyzické osoby, aby mohl učinit nezbytná opatření.

V oznámení by měla být popsána povaha daného případu porušení zabezpečení osobních údajů a obsažena doporučení pro dotčenou fyzickou osobu, jak případné nežádoucí účinky zmírnit.

Úvodní ustanovení (recitál 86) nařízení GDPR však také ukládá, že je nutné tuto skutečnost subjektům údajů neprodleně oznámit. Aby v praxi nedocházelo ke zbytečně tvrdým výkladům, stanoví předmětné ustanovení jednoznačně postup.

Pojem „porušení zabezpečení osobních údajů“ je definován v článku 4 (12) nařízení GDPR. Podle této definice je „porušením zabezpečení osobních údajů“ porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů. Pojmy „oznámení“ a „odložení oznámení“ jsou v praxi známé již ze staré úpravy zákona č. 101/­2000 Sb.

Ustanovení umožňuje takové oznámení odložit a tak předejít různým nežádoucím důsledkům – např. panice, ohrožení veřejného pořádku apod.

Správce zajišťující chráněný zájem podle § 6 (viz výše) má poměrně široké oprávnění omezit oznamovací povinnost, avšak pouze v případě, že je toto omezení nezbytné a přiměřené chráněnému zájmu. Nejedná se však o neomezenou pravomoc, správce nese odpovědnost za specifikaci přijatého opatření jako v případě postupu podle § 11.

§ 13

Osobní údaje s omezeným
zpracováním

Pokud bylo zpracování osobních údajů omezeno podle čl. 18 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2016/679, není tím dotčena povinnost správce nebo zpracovatele tyto osobní údaje předat nebo zpřístupnit, je-li tato povinnost stanovena právním předpisem. Tyto údaje se při předání nebo zpřístupnění označí jako údaje uvedené v čl. 18 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2016/679.

komentář k § 13

Ustanovení upravuje osobní údaje s omezeným zpracováním a tím provádí článek 6 (2) nařízení GDPR, podle kterého členské státy mohou zachovat nebo zavést konkrétnější ustanovení, aby přizpůsobily používání pravidel tohoto nařízení ohledně zpracování ke splnění odst. 1 písm. c) a e) tím, že přesněji určí konkrétní požadavky na zpracování a jiná opatření k zajištění zákonného a spravedlivého zpracování, a to i u jiných zvláštních situací.

Důležité

     Důvod důležitého veřejného zájmu České republiky je třeba vykládat ve smyslu článku 18 (1) nařízení GDPR. Podle tohoto článku má subjekt údajů právo na to, aby správce omezil zpracování, v kterémkoli z těchto případů:

a) subjekt údajů popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby správce mohl přesnost osobních údajů ­ověřit;

b) zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití;

c) správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků;

d) subjekt údajů vznesl námitku proti zpracování podle čl. 21 odst. 1, dokud nebude ověřeno, zda oprávněné důvody správce převažují nad oprávněnými důvody subjektu údajů.

Podle článku 18 (2) nařízení GDPR platí, že pokud bylo zpracování omezeno podle odstavce 1, mohou být tyto osobní údaje, s výjimkou jejich uložení, zpracovány pouze se souhlasem subjektu údajů, nebo z důvodu určení, výkonu nebo obhajoby právních nároků, z důvodu ochrany práv jiné fyzické nebo právnické osoby nebo z důvodů důležitého veřejného zájmu Unie nebo některého členského státu.

Z důvodu posílení ochrany subjektu údajů ustanovení vyžaduje po předávajícím správci, aby předávané údaje označil jako osobní údaje, jejichž správnost subjekt údajů popírá, proti nimž vznesl námitku, nebo jako údaje spadající do ostatních písmen článku 18 (1) nařízení GDPR.

§ 14

Jmenování pověřence pro ochranu
osobních údajů

Povinnost jmenovat pověřence pro ochranu osobních údajů podle čl. 37 odst. 1 písm. a) nařízení Evropského parlamentu a Rady (EU) 2016/679 mají kromě orgánů veřejné moci také orgány zřízené zákonem, které plní zákonem stanovené úkoly ve veřejném zájmu.

komentář k § 14

Ustanovení upravuje jmenování pověřence pro ochranu osobních údajů a provádí článek 37 (1) nařízení GDPR a úvodní ustanovení (recitál 98) nařízení GDPR. Podle článku 37 (1) správce a zpracovatel jmenují pověřence pro ochranu osobních údajů v každém případě, kdy:

a) zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí;

b) hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů; nebo

c) hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů uvedených v článku 9 a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10.

Smyslem tohoto článku není kontrola veřejné moci ze strany veřejnosti, ani kontrola hospodaření s veřejnými prostředky, jako u zákona č. 106/­1999 Sb., o svobodném přístupu k informacím. Smyslem uvedeného článku je naopak lépe chránit osobní údaje v případech, kdy správce údajů má zjevně více oprávnění než subjekt údajů (např. na základě zákona, kterým se správce řídí).

Typickým příkladem je v tomto ohledu situace notářů a exekutorů, neboť jak postup notářů tak i exekutorů je striktně vymezen zákonem. Subjekt údajů tak nemá reálnou možnost ovlivnit, zda a jak budou jeho osobní údaje zpracovávány. Důvod stanovení povinnosti mít pověřence pro ochranu osobních údajů pro notáře a exekutory tak spočívá v tom, že se tak poskytuje dodatečná ochrana subjektu údajů za situace, kdy vzhledem k příslušné procesní úpravě je zpracování osobních údajů subjektu údajů nevyhnutelné.

Příkladem je zákon č. 120/­2001 Sb., o soudních exekutorech a exekuční činnosti (exekuční řád) a o změně dalších zákonů, který v ustanovení § 1 odst. 2 stanoví, že v rámci pověření exekutorským úřadem exekutor provádí nucený výkon exekučních titulů. Zákon č. 358/­1992 Sb., o notářích a jejich činnosti (notářský řád), stanoví v § 2, že výkonem notářství se rozumí sepisování veřejných listin o právních jednáních, osvědčování právně významných skutečností a prohlášení, přijímání listin a peněz do notářské úschovy. Platí proto, že jak notářské tak exekutorské úřady jsou zřizovány zákonem a plní zákonem stanovené úkoly ve veřejném zájmu (např. vedení exekučního řízení, ověřování listin a podpisů atp.) ve smyslu tohoto ustanovení.

Naproti tomu povinnost zřídit pověřence se upřesňuje ve smyslu čl. 6(2) nařízení GDPR tak, aby dopadala na subjekty blížící se svou povahou orgánům veřejné moci. Nad rámec orgánů veřejné moci může jít o Českou národní banku, Nejvyšší kontrolní úřad, Správu hmotných rezerv, veřejného ochránce práv a další instituce, které plní veřejnoprávní funkce státu, aniž nutně autoritativně rozhodují o právech a povinnostech. Mezi veřejné subjekty tak bude patřit i Všeobecná zdravotní pojišťovna. Všeobecná zdravotní pojišťovna je zřízena zákonem a zákon ji ukládá provádět zpracování osobních údajů ve veřejném zájmu, takže na ni dopadá citovaný čl. 37 (1) nařízení GDPR. Navíc všeobecná zdravotní pojišťovna (a i ostatní zdravotní pojišťovny) zpracovává tzv. zvláštní kategorii údajů uvedených v čl. 9 nařízení GDPR – údaje o zdravotním stavu a z tohoto titulu jí též přímo vyplývá povinnost jmenovat pověřence pro ochranu osobních údajů.

Podle stanoviska Úřad pro ochranu osobních údajů ne každá organizace založená subjektem, který musí mít pověřence, musí také mít pověřence. Vždy je nutné zkoumat naplnění podmínek dle čl. 37 (1) nařízení GDPR, tj. zejména zda hlavní činnost organizace zahrnuje rozsáhlé zpracování zvláštních kategorií osobních údajů nebo spočívá v rozsáhlém monitorování subjektů údajů.

Běžná činnost muzea, galerie a knihovny, tj. zpracování nezbytných osobních údajů v souvislosti s oprávněnou činností (včetně osobních údajů zaměstnanců pro pracovněprávní účely nebo ochrana objektu kamerovým systémem), není v režimu článku 37 odst. 1 nařízení GDPR.

Stejně tak se nepovažuje za rozsáhlé zpracování osobních údajů, pokud domov pro seniory či jiné zařízení sociálních služeb zpracovává k poskytování služeb nezbytné údaje o zdravotním stavu svých klientů. O rozsáhlé zpracování osobních údajů nejde ani v případě samostatného lékaře nebo menšího zdravotnického zařízení. Za rozsáhlé zpracování údajů o zdravotním stavu, pro které povinnost jmenovat pověřence vzniká, lze označit až zpracování o řádově tisících až deseti tisících pacientů v informačním systému nemocnice.

Povinnost naopak nedopadá např. na příspěvkové organizace či jiné pomocné instituce, protože v případech, kdy taková instituce provádí zpracování, jež vyžaduje nasazení pověřence, bude pokryta ustanoveními článku 37 (1) (b nebo c) nařízení GDPR (například zdravotnická nebo pečovatelská zařízení, protože provádějí systematický monitoring subjektů údajů nebo rozsáhlé zpracování citlivých údajů). Naopak pokud takové zpracování neprovádí, ani není ve zvláštním vztahu k subjektům údajů, bylo by zavádění pověřenců zbytečnou administrativní zátěží. Příkladem může být, když obec založí s.r.o. na opravu silnic, nemá zřízení pověřence pro ochranu dat v takové s.r.o. žádný význam a představovalo by pouze zvýšenou administrativní zátěž.

Proto také povinnost zřídit pověřence tak nedopadá např. na Národní knihovnu, která je příspěvkovou organizací, u níž funkci zřizovatele vykonává Ministerstvo kultury a není orgánem.

Samotná okolnost, že určitá instituce nejmenuje pověřence podle článku 37 (1) (a) nařízení GDPR, by však neměla snížit efektivní ochranu osobních údajů v případech, kdy činnost instituce spadá fakticky pod písm. b) nebo c) téhož ustanovení.

Zákon vychází z toho, že někteří správci, tradičně řazení spíše do veřejného sektoru, se nevyznačují podobným vztahem se subjekty údajů jako orgány veřejné moci. Pokud však takový správce provádí jako svou hlavní činnost zpracování zahrnující rozsáhlé a systematické monitorování nebo rozsáhlé zpracování citlivých údajů nebo údajů o rozsudcích v trestních věcech a trestných činech, pověřence stejně jmenovat musí podle článku 37 (1) (b nebo c) nařízení GDPR.

K povinným subjektům dle zákona č. 106/­1999 Sb., o svobodném přístupu k informacím rozsudky NSS 8 As 57/­2006-67, NSS 2 As 155/­2015-84, I. ÚS 1262/17.

§ 15

Akreditace subjektů pro vydávání
osvědčení

Osoby oprávněné k vydávání osvědčení o ochraně osobních údajů jsou akreditovány osobou pověřenou k výkonu působnosti akreditačního orgánu podle zákona upravujícího akreditaci subjektů posuzování shody³⁾.

komentář k § 15

Článek 43 (1) nařízení GDPR vyžaduje, aby členské státy určily, zda bude subjekty, které budou certifikovat (osvědčovat) splnění požadavků různých dobrovolných pečetí, známek nebo certifikátů ochrany soukromí, akreditovat dozorový úřad (v ČR tedy Úřad pro ochranu osobních údajů), nebo akreditační orgán určený v souladu s nařízením č. 765/­2008(ES), kterým je v ČR podle § 15 odst. 1 a 4 zákona č. 22/­1997 Sb., o technických požadavcích na výrobky, a navazujícího sdělení Ministerstva průmyslu a obchodu vyhlášeného pod č. 385/­2010 Sb. ustanoven Český institut pro akreditaci, o.p.s. Akreditace je v souladu s článkem 42(3) nařízení GDPR zcela dobrovolná. Na základě jednání v průběhu připomínkového řízení mezi oběma institucemi byla zvolena varianta druhá.

Osoby oprávněné k vydání osvědčení o ochraně osobních údajů budou akreditovány osobou pověřenou k výkonu působnosti akreditačního orgánu podle zákona č. 22/­1997 Sb., o technických požadavcích na výrobky. Úřad pak bude při akreditaci uplatňovat dodatečné požadavky.

Evropský sbor pro ochranu osobních údajů s ohledem na čl. 70 (1) nařízení GDPR přijal dne 4. prosince 2018 „Pokyny 4/2018 týkající se akreditace subjektů pro vydávání osvědčení podle článku 43 obecného nařízení o ochraně osobních údajů (2016/679) – jsou k dispozici na webových stránkách Úřad pro ochranu osobních údajů.

§ 16

Zpracování osobních údajů za účelem
vědeckého nebo historického výzkumu
nebo pro statistické účely

(1) Správce nebo zpracovatel při zpracování osobních údajů za účelem vědeckého nebo historického výzkumu nebo pro statistické účely zajistí dodržování konkrétních opatření k ochraně zájmů subjektu údajů, která odpovídají stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i různě pravděpodobným a závažným rizikům pro práva a svobody fyzických osob. Taková opatření mohou zahrnovat zejména

a)  technická a organizační opatření zaměřená na důsledné uplatnění povinnosti podle čl. 5 odst. 1 písm. c) nařízení Evropského parlamentu a Rady (EU) 2016/679,

b)  pořizování záznamů alespoň o všech operacích shromáždění, vložení, pozměnění a výmazu osobních údajů, které umožní určit a ověřit totožnost osoby provádějící operaci, a uchovávání těchto záznamů nejméně po dobu 2 let od provedení operace,

c)  informování osob zpracovávajících osobní údaje o povinnostech v oblasti ochrany osobních údajů,

d)  jmenování pověřence,

e)  zvláštní omezení přístupu k osobním údajům v rámci správce nebo zpracovatele,

f)  pseudonymizaci osobních údajů,

g)  šifrování osobních údajů,

h)  opatření k zajištění trvalé důvěrnosti, integrity, dostupnosti a odolnosti systémů a služeb zpracování,

i)  opatření umožňující obnovení dostupnosti osobních údajů a včasný přístup k těmto údajům v případě incidentů,

j)  proces pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování,

k)  zvláštní omezení přenosu osobních údajů do třetí země, nebo

l)  zvláštní omezení zpracování osobních údajů pro jiné účely.

(2) Pokud to umožňuje dosáhnout účelu uvedeného v odstavci 1, osobní údaje uvedené v čl. 9 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2016/679 správce nebo zpracovatel dále zpracovává v podobě, která neumožňuje identifikaci subjektu údajů, ledaže tomu brání oprávněné zájmy subjektu údajů.

(3) Nestanoví-li jiný právní předpis jinak, čl. 15, 16, 18 a 21 a v jim odpovídajícím rozsahu též článek 5 nařízení Evropského parlamentu a Rady (EU) 2016/679 se použijí přiměřeně nebo se splnění povinností správce nebo zpracovatele nebo uplatnění práva subjektu údajů stanovených těmito články odloží, je-li to nezbytné a svým rozsahem přiměřené k naplnění účelu zpracování uvedeného v odstavci 1. Článek 15 a v jemu odpovídajícím rozsahu též článek 5 nařízení Evropského parlamentu a Rady (EU) 2016/679 se nepoužije, pokud je zpracování nezbytné pro účely vědeckého výzkumu a poskytnutí informací by vyžadovalo nepřiměřené úsilí.

komentář k § 16

     Zásady zpracování osobních údajů za účelem vědeckého nebo historického výzkumu nebo pro statistické účely

Ustanovení stanoví zásady zpracování osobních údajů za účelem vědeckého nebo historického výzkumu nebo pro statistické účely. Toto ustanovení bylo do vládního návrhu zákona vloženo na základě poslaneckého návrhu s odůvodněním, že návrh zákona dostatečně nevyužívá některé zvláštní výjimky, které umožňuje nařízení GDPR upravit vnitrostátním předpisem. Jde zejména o výjimky pro účely vědeckého a historického výzkumu a pro statistické účely (výjimky pro účely archivace ve veřejném zájmu upravuje novela zákona o archivnictví, která je součástí doprovodného zákona, kterým se mění některé zákony v souvislosti s přijetím zákona o zpracování osobních údajů.

     Tzv. citlivé osobní údaje

Předmětné ustanovení se vztahuje na jakékoli osobní údaje, včetně zvláštních kategorií osobních údajů podle článku 9 a 10 nařízení GDPR, jak je ostatně zřejmé i z odst. 2. Ustanovení odst. 1 a 2 tak představuje právní podklad ke zpracování tzv. citlivých osobních údajů ve smyslu článku 9 odst. 2 písm. j) nařízení GDPR.

Úprava zpracování pro účely vědeckého nebo historického výzkumu nebo pro statistické účely se řídí článkem 89 nařízení GDPR. Jeho odstavec 1 požaduje, aby takové zpracování podléhalo zvláštním zárukám práv a svobod subjektu údajů, které mají zejména zajistit aplikaci principu minimalizace údajů. Jde o ustanovení, které se vztahuje přímo na správce a zpracovatele, a nevytváří povinnost členského státu přijmout zvláštní vnitrostátní úpravu.

Vzhledem k tomu, že nařízení GDPR je velmi abstraktní, jsou pro usnadnění postupu jednotlivých správců příklady odpovídajících opatření uvedeny v ustanovení § 16 odst. 1 písm. a) – l). Nejde o taxativní výčet, nicméně tato příkladmo uvedená opatření se opírají o různá další ustanovení nařízení GDPR, zejm. jeho články. 24, 32 a 37. Při stanovení odpovídajících konkrétních opatření musí správce, příp. zpracovatel, vycházet z povahy, rozsahu, kontextu a dalších charakteristik příslušného zpracování.

V odstavci 2 se reaguje na požadavky článku 9 (2) (j) nařízení GDPR, tedy na poskytnutí vhodných záruk ochrany základních práv a zájmů subjektu údajů. Tato záruka vychází z obecného požadavku článku 89 (1) nařízení GDPR a v souladu s článkem 9 (2) (j) upřesňuje, že před anonymizací je nutno přihlížet nejen ke splnění účelu zpracování (tj. k tomu, zda bude vztah údajů ke konkrétním osobám dále nezbytnou součástí výzkumu nebo statistiky), ale i k širším zájmům subjektu údajů (tj. například k možnosti využít prováděný výzkum k léčbě subjektu údajů, pokud zkoumaná látka nebo léčebný postup nabídne nové možnosti léčby konkrétních osob).

Anonymizace tak může přicházet v úvahu v případě zpracování dat pro statistické účely nebo pro potřeby kvantitativního výzkumu, kde pravděpodobně nebude anonymizací ohroženo dosažení účelu, a nebudou ohroženy oprávněné zájmy subjektů.

     Údaje v nezbytném rozsahu

V odstavci 3 se přiznávají v nezbytném rozsahu (viz „přiměřeně“), který je dán konkrétními požadavky výzkumu nebo statistického zpracování, výjimky a odchylky ze všech těch povinností správce a práv subjektu údajů, ze kterých to umožňuje článku 89 (2) nařízení GDPR. Vzhledem k významu vědeckého výzkumu se navíc přiznává další dílčí výjimka z práva na přístup odůvodněná náročností administrace tohoto práva. Obdobná výjimka ze zásady transparentnosti je stanovena přímo v čl. 15 (2) nařízení GDPR, kdy privilegované zpracování využívá údaje, které nebyly získány od subjektu údajů.

Díl 2

Zpracování osobních údajů ­prováděné
pro novinářské účely nebo pro účely
akademického, uměleckého nebo
literárního projevu

k  nadpisu dílu 2

Nadpis dílu 2 „Zpracování prováděné pro novinářské účely nebo pro účely akademického, uměleckého nebo literárního projevu“ reaguje na článek 85 nařízení GDPR. Podle něj platí, že členské státy uvedou prostřednictvím právních předpisů právo na ochranu osobních údajů podle nařízení GDPR do souladu s právem na svobodu projevu a informací, včetně zpracování pro novinářské účely a pro účely akademického, uměleckého či literárního projevu. Cílem úpravy je v mezích možností zachovat dosavadní stav a standard zejména novinářské práce, nikoliv jej rozšiřovat, ale ani zužovat, prostor svobody tisku.

Podle důvodové zprávy k vládnímu návrhu zákona by nemělo v oblasti novinářské práce dojít k zásadním změnám a posunům oproti dosavadnímu stavu, byť nařízení GDPR stanoví nově četné garance ochrany osobních údajů a subjektů údajů.

Ustanovení § 17 – § 22 zákona tedy využívají možnosti dané článkem 85 (3 a 2) nařízení GDPR, které dává členským státům v případě zpracování pro novinářské účely nebo pro účely akademického, uměleckého či literárního projevu členské státy možnost stanovit odchylky a výjimky z kapitoly II (zásady), kapitoly III (práva subjektu údajů), kapitoly IV (správce a zpracovatel), kapitoly V (předávání osobních údajů do třetí země nebo mezinárodní organizaci), kapitoly VI (nezávislé dozorové úřady), kapitoly VII (spolupráce a jednotnost) a kapitoly IX (zvláštní situace, při nichž dochází ke zpracování osobních údajů).

Vzhledem k tomu, že účelem ustanovení je promítnout ústavně-právní rovnováhu mezi ochranou soukromí, a svobodou projevu a informací, předpokládá se i notifikace některých ustanovení zejména občanského zákoníku, Ústavy a Listiny základních práv a svobod.

§ 17

Zákonnost zpracování

(1) Osobní údaje lze zpracovávat také tehdy, slouží-li to přiměřeným způsobem pro novinářské účely nebo pro účely akademického, uměleckého nebo literárního projevu. Při posouzení přiměřenosti podle věty první se přihlédne také k tomu, jestli zpracování zahrnuje osobní údaje uvedené v čl. 9 odst. 1 nebo čl. 10 nařízení Evropského parlamentu a Rady (EU) 2016/679.

(2) Zpracování osobních údajů pro účely uvedené v odstavci 1 není podmíněno povolením nebo schválením Úřadu a požívá práva na ochranu zdroje a obsahu informací, a to i v případě zpracování osobních údajů způsobem umožňujícím dálkový přístup.

komentář k § 17

Ustanovení o zákonnosti zpracování bylo oproti vládnímu návrhu podstatně změněno. Ustanovení stručně stanoví, že osobní údaje lze zpracovávat také tehdy, slouží-li to přiměřeným způsobem pro novinářské účely nebo pro účely akademického, uměleckého nebo literárního projevu. Při posouzení přiměřenosti se vychází z článku 9 (1) a článku 10 nařízení GDPR.

Důležité

     Podle článku 9 (1) nařízení GDPR se zakazuje zpracování osobních údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.

Podle článku 10 (1) nařízení GDPR se zpracování osobních údajů týkajících se rozsudků v trestních věcech a trestných činů či souvisejících bezpečnostních opatření na základě čl. 6 odst. 1 se může provádět pouze pod dozorem orgánu veřejné moci nebo pokud je oprávněné podle práva Unie nebo členského státu.

Nakonec čl. 85 nařízení GDPR vyžaduje, aby národní legislativa upravila podmínky, za kterých je možné zpracovávat osobní údaje pro novinářské a obdobné účely. Zpracování údajů za těmito účely je pak vzhledem k právu na svobodu projevu a obecné úloze médií v demokratické společnosti obdobné výkonu oprávněných zájmů podle čl. 6 (1) nařízení GDPR.

Z předmětného ustanovení lze vysledovat reakci na čl. 17 odst. 3 Listiny základních práv a svobod – potvrzuje zákaz omezování svobody tisku.

S ohledem na rozvoj nových technologií se zákaz cenzury a ochrany zdroje neomezuje pouze na tištěná média, ale odstavec 2 předmětného ustanovení přiznává stejnou ochranu i zpracováním umožňujícím dálkový přístup.

Z uvedeného vyplývá, že zpracování osobních údajů pro novinářské účely nebo pro účely akademického, uměleckého nebo literárního projevu není podmíněno povolení Úřadu pro ochranu osobních údajů, ale musí respektovat výše uvedené podmínky článku 9 a 10 nařízení GDPR.

Je třeba připomenout, že předmětné ustanovení a nařízení GDPR upravuje zpracování osobních údajů o identifikované osobě, občanský zákoník v § 84 a násl. OZ upravuje ochranu podoby a soukromí. Ustanovení § 84 OZ poskytuje obecnou ochranu písemnostem osobní povahy, podobiznám, zvukovým a obrazovým záznamům osob, popřípadě projevům osobní povahy. Ustanovení § 89 OZ umožňuje užít podobiznu či zvukový nebo obrazový záznam člověka přiměřeným způsobem pro tiskové, rozhlasové, televizní nebo obdobné zpravodajství, pokud však tím nebudou podle § 90 OZ nepřiměřeně dotčeny oprávněné zájmy dotyčného. Znamená to, že v praxi je třeba zohlednit jak hledisko předmětného ustanovení a nařízení GDPR, tak občanského zákoníku.

Nakonec nelze pominout, že existuje ještě řada dalších tzv. zvláštních předpisů, které omezují podstatným způsobem zpracování osobních dat pro novinářské účely. Jedná se např. o zákon č. 141/­1961 Sb., trestní řád, zákon č. 218/­2003 Sb., o soudnictví ve věcech mládeže, zákon č. 234/­2014 Sb., o státní službě, zákon č. 412/­2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti.

§ 18

Výjimky z poučovací a informační povinnosti správce

(1) Správce může při zpracování osobních údajů pro účely uvedené v § 17 odst. 1 své povinnosti, vyplývající z čl. 12 odst. 1 a 2, čl. 13 odst. 1 až 3 a čl. 21 odst. 4, a v jim odpovídajícím rozsahu též z čl. 5 nařízení Evropského parlamentu a Rady (EU) 2016/679, splnit také jakýmkoliv vhodným informováním subjektu údajů o identitě správce. Informovat o identitě správce lze také vhodným přihlášením se k identitě správce, které může být provedeno grafickým označením, ústně či jiným vhodným způsobem. Informace o identitě správce je dostačující tehdy, je-li poučení správce o právech subjektu údajů a dalších skutečnostech potřebných pro ochranu jeho práv v rozsahu odpovídajícím jím obvykle prováděnému zpracování osobních údajů veřejně dostupné způsobem umožňujícím dálkový přístup.

(2) Informaci o identitě správce není třeba poskytnout v odůvodněných případech, zejména pokud:

a)  to není možné nebo by to vyžadovalo nepřiměřené úsilí,

b)  subjekt údajů může zpracování uvedené v § 17 odst. 1 oprávněně očekávat,

c)  subjekt údajů takové informace má, nebo

d)  by poskytnutí takové informace ohrozilo nebo zmařilo účel zpracování osobních údajů, je-li takový postup nutný k dosažení oprávněného účelu zpracování osobních údajů, zejména v záležitostech veřejného zájmu.

Namísto vyloučení poskytnutí informace o identitě správce může správce poskytnutí této informace odložit.

komentář k § 18

Předmětné ustanovení zakotvuje výjimky z poučovací a informační povinnosti správce při zpracování osobních údajů pro účely akademického, uměleckého nebo literárního projevu. I toto ustanovení bylo oproti původnímu vládnímu návrhu podstatně změněno.

Ustanovení využívá v souladu s čl. 85 nařízení GDPR možnost stanovit odchylky a upravit tak povinnosti v souvislosti se zpracováním údajů za účelem uvedeným v § 17 odst. 1.

Informační povinnost podle čl. 12 až 14 nařízení GDPR je projevem zásady transparentnosti dle nařízení GDPR. Povinností dle čl. 12 je subjekt údajů stručným, transparentním, srozumitelným a snadno dostupným způsobem informovat o zpracování údajů a dalších informací blíže určených v čl. 13 a 14 nařízení GDPR. Podstatou informování je poskytnout subjektu srozumitelné a kompletní informace, tak aby mohl posoudit dopad zpracování na svoji osobnost.

Informační povinnost podle čl. 13 nařízení GDPR je omezena v případě, pokud subjekt údajů již nezbytné informace má. Nicméně správce musí prokázat, že taková podmínka je naplněna. Vedle této situace se v případě informování podle čl. 14 nařízení GDPR uplatní i další výjimky, a to v případě faktické nemožnosti informování, tedy pokud by informování vyžadovalo nepřiměřené úsilí. Zároveň správce není povinen informovat v případě, že je vázán služebním tajemstvím nebo je zpracování stanoveno právním předpisem, který stanoví zároveň opatření k ochraně osobních údajů.

     Praktické problémy při výkonu novinářské a vědecko-výzkumné činnosti

V odstavci 1 se reaguje na praktické problémy při výkonu novinářské, ale třeba i vědecko-výzkumné činnosti, kdy je jen obtížně představitelné, že by před každým telefonátem, rozhovorem, natáčením, anketou apod. bylo nejdřív nutné subjekt údajů podrobně informovat o jeho právech na úseku ochrany osobních údajů.

Proto zcela postačuje vhodný způsob informování o identitě správce (typicky ústně, ale třeba i viditelným symbolem, označením písemné zprávy názvem a logem apod.), pokud si subjekt údajů může potřebné podrobné poučení dohledat typicky na internetových stránkách správce.

     Tzv. odůvodněné případy, v kterých není třeba poskytnout informace o identitě správce

V odstavci 2 se pak přehledně v taxativním výčtu stanoví tzv. odůvodněné případy, v kterých není třeba poskytnout informace o identitě správce. Zároveň se reaguje na potřebu ochrany výkonu svobody tisku ve veřejném zájmu (skrytá kamera, reportáž v utajení či pod falešnou identitou), kdy by identifikace správce vedla ke zmaření takovýchto aktivit. Proto lze informování o příslušnosti ke správci (typicky vydavatel denního tisku, televize, rozhlas) též na nezbytnou dobu odložit.

§ 19

Ochrana zdroje a obsahu informací

(1) Povinnost informovat podle čl. 14 odst. 1 až 4 a čl. 21 odst. 4 a v jim odpovídajícím rozsahu též čl. 5 nařízení Evropského parlamentu a Rady (EU) 2016/679, jakož i o ostatních právech subjektu údajů, lze splnit také uveřejněním těchto informací způsobem umožňujícím dálkový přístup; v takovém případě postačí informovat o správcem obvykle prováděném zpracování osobních údajů.

(2) Právo na přístup k osobním údajům podle čl. 15 a v jemu odpovídajícím rozsahu též podle čl. 5 nařízení Evropského parlamentu a Rady (EU) 2016/679 se nepoužije, pokud se jedná o osobní údaje, které nebyly správcem uveřejněny a jsou zpracovávány pouze za účelem uvedeným v § 17 odst. 1. V ostatních případech může správce přístup k osobním údajům vyloučit v odůvodněných případech, zejména pokud by jinak došlo k ohrožení nebo zmaření oprávněného účelu zpracování osobních údajů nebo by to vyžadovalo nepřiměřené úsilí.

(3) Ustanovení čl. 14 odst. 2 písm. f) a čl. 15 odst. 1 písm. g) a v jim odpovídajícím rozsahu též čl. 5 nařízení Evropského parlamentu a Rady (EU) 2016/679 se na zpracování osobních údajů pro účely uvedené v § 17 odst. 1 nepoužije.

(4) Pokud je správce povinen oznámit porušení zabezpečení osobních údajů podle čl. 33 odst. 1 nebo čl. 34 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2016/679, nemusí oznamovat informace umožňující určení zdroje nebo obsahu osobních údajů, jejichž zabezpečení bylo porušeno.

komentář k § 19

Předmětné ustanovení § 19 zakotvuje pravidla a výjimky potřebné k ochraně zdroje a obsahu informací, které by jinak nařízení GDPR prolamovalo a navazuje na článek 14 (1 – 3) a na článek 15 nařízení GDPR.

     Chránění zdroje informací

V odstavci 1 se zohledňuje potřeba chránit zdroj informací, tradičně chráněný zejména tiskovým právem. Bez této ochrany si ani nelze představit zejména výkon novinářské profese, kdy by odhalování zdroje informací mohlo mařit zejména výkon žurnalistiky ve veřejném zájmu.

Postupem podle nařízení GDPR by se totiž mohly dostat do kolize práva a svobody zdroje informací, novináře, subjektu údajů a zájem veřejnosti na informování. Takový konflikt by musel být poměřen testem proporcionality, přičemž by bylo nezbytné zvážit „zda je v konkrétním případě veřejný zájem na odhalení zdroje novinářovy informace natolik silný, že převáží i ústavní právo na svobodu projevu, jehož derivátem je i právo sdělovacích prostředků na utajení zdroje informace“, jak konstatoval v Nálezu I. ÚS 394/04 Ústavní soud.

V našem právu je utajení zdroje novinářské práce chráněno ještě § 16 zákona č. 46/­2000 Sb., tiskového zákona. Toto ustanovení koncipuje ochranu zdroje informací jako právo odepřít poskytnutí zdroje informace, s jejíž pomocí by mohla být zjištěna totožnost osoby, které uveřejněné informace poskytla. Tento institut je limitován tak, že zůstávají nedotčeny skutkové podstaty některých forem trestné součinnosti uvedených v § 166 až 168 trestního zákona, v návaznosti na příslušná ustanovení trestního řádu. Vzhledem ke specifickým potřebám orgánů finanční správy, je pak institut ochrany zdroje informací prolomen ještě vůči správci daně.

Evropská komise ve své zprávě z 1. 3. 1994 konstatovala, že ochrana zdrojů, z nichž novináři čerpají informace je zásadním prostředkem, který umožňuje tisku informovat veřejnost o záležitostech veřejného zájmu.

Rakousko, Francie, Německo, Švédsko a řada dalších zemí poskytují v tomto smyslu vysokou právní ochranu důvěrnosti zdrojů a informací sděleným novinářům. Obecně je právo novinářů chránit své zdroje v evropských zemích posilováno.

Předmětné ustanovení lze v praxi aplikovat i při vědeckém výzkumu či v rámci umělecké (literární) tvorby, neboť vědecký, literární či zpravodajský žánr se mohou prolínat či překrývat.

     Praktické problémy při zpracování osobních údajů

V odstavci 2 se reaguje na praktické problémy, které by nastaly, pokud by při každém zpracování osobních údajů, pocházejících od třetích stran, bylo nezbytné informovat subjekt údajů o všech skutečnostech a právech souvisejících se zpracováním; ustanovení opět směřuje k zachování dosavadního právního stavu.

Právo subjektu údajů na přístup k osobním údajům podle článku 15 nařízení GDPR se nepoužije, pokud se jedná o osobní údaje, které nebyly správcem uveřejněny a jsou zpracovávány pouze za účelem akademického, uměleckého nebo literárního projevu.

     Osobní údaje pro novinářské účely nebo pro účely akademického, uměleckého nebo literárního projevu

Podle odstavce 3 se na zpracování osobních údajů prováděných pro novinářské účely nebo pro účely akademického, uměleckého nebo literárního projevu se nepoužije článek 14 a 15 nařízení GDPR, který ukládá správci poskytnout subjektu údajů údaj o zdroji, ze kterého osobní údaje pocházejí, a případně informace o tom, zda údaje pocházejí z veřejně dostupných zdrojů.

Ochrana zdroje informací platí i pro případ, že správce je povinen podle článku 34 nebo článku 35 nařízení GDPR oznámit případy porušení zabezpečení osobních údajů subjektu údajů.

Předmětné ustanovení poskytuje zásadní ochranu přípravné a investigativní novinářské práci, zároveň je předmětnou úpravou chráněn zdroj informací, který by v této situaci mohl utrpět újmu.

§ 20

Výjimka z práv na opravu, na výmaz a na omezení zpracování osobních údajů

(1) V případě uplatnění práv na výmaz nebo na opravu osobních údajů, které jsou zpracovávány pro účely uvedené v § 17 odst. 1, se postupuje podle jiných právních předpisů⁴⁾.

(2) Jde-li o zpracování osobních údajů k účelům uvedeným v § 17 odst. 1, má subjekt údajů právo na omezení zpracování osobních údajů podle čl. 18 a v jemu odpovídajícím rozsahu též podle čl. 5 nařízení Evropského parlamentu a Rady (EU) 2016/679 pouze tehdy, pokud správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů tyto údaje požaduje pro určení, výkon nebo obhajobu právních nároků. To neplatí, pokud by to vyžadovalo nepřiměřené úsilí.

komentář k § 20

Výjimka z práv na opravu, na výmaz a na omezení zpracování osobních údajů se týká účelů uvedených v § 17 odst. 1, tedy pro novinářské účely nebo pro účely akademického, uměleckého nebo literárního projevu a navazuje na článek 18 nařízení GDPR.

K problematice zveřejňování osobních údajů existuje několik stanovisek Úřad pro ochranu osobních údajů (např. č. 5/2009 Zveřejňování osobních údajů v médiích).

     Právo na opravu osobních údajů podle civilního práva

V odstavci 1 se vyjasňuje, že v případě uplatňování práva na opravu osobních údajů se postupuje podle civilního práva, a to podle:

-  § 82 zákona č. 89/­2012 Sb., občanský zákoník, podle kterého má každá osoba právo domáhat se upuštění od neoprávněného zásahu do její osobnosti a aby došlo k odstranění následku takového zásahu nebo

-  § 10 a násl. zákona č. 46/­2000 Sb., o právech a povinnostech při vydávání periodického tisku a o změně některých dalších zákonů (tiskový zákon), podle kterého se zejména fyzická osoba, dotčená na cti, důstojnosti nebo soukromí sdělením uveřejněným v periodickém tisku, může na vydavateli domáhat uveřejnění odpovědi, kterou uvede skutečnosti na pravou míru nebo

-  § 35 a násl. zákona č. 231/­2001 Sb., o provozování rozhlasového a televizního vysílání a o změně dalších zákonů, podle kterého se zejména fyzická osoba, dotčená na cti, důstojnosti nebo soukromí sdělením uveřejněným v rozhlasovém nebo televizním vysílání, může na provozovateli vysílání domáhat uveřejnění odpovědi, kterou uvede skutečnosti na pravou míru.

     Případy, kdy subjekt údajů potřebuje údaje, které již správce nadále nepotřebuje

V odstavci 2 se právo na omezení zpracování osobních údajů zužuje pouze na případy, kdy subjekt údajů potřebuje údaje, které však již správce nadále nepotřebuje (a které by třeba mezitím byly smazány) pro vymáhání svých právních nároků, ať už vůči správci nebo vůči třetím osobám. To neplatí pouze v případě, kdy by to vyžadovalo nepřiměřené úsilí.

V této oblasti střetu práva na informace, resp. práva na svobodný projev a práva dotčených osob na ochranu jejich soukromí v souvislosti s novinářskou činností existuje rozsáhlá judikatura Evropského soudu pro lidská práva i našich soudů všech stupňů. Citujme alespoň Nález Ústavního soudu IV. ÚS 154/97: „Při střetu práva na informace a jejich šíření s právem na ochranu osobnosti a soukromého života, tedy základních práv stojících na stejné úrovni, je především věcí obecných soudů, aby s přihlédnutím k okolnostem každého případu zvážily, zda jednomu právu nebyla bezdůvodně dána přednost před právem druhým.“

Nebo Nález Ústavního soudu I. ÚS 156/99: „Ústavní soud dále výslovně judikoval, že „základní právo podle čl. 17 Listiny je zásadně rovno základnímu právu podle čl. 10 Listiny“ (nález sp. zn. II. ÚS 357/96), přičemž „je především věcí obecných soudů, aby s přihlédnutím k okolnostem každého případu zvážily, zda jednomu právu nebyla bezdůvodně dána přednost před právem druhým“ (nález sp. zn. IV. ÚS 154/96).

V konkrétním případě je proto vždy nezbytné zkoumat míru (intenzitu) tvrzeného porušení základního práva na ochranu osobnosti (osobní cti a dobré pověsti), a to právě v kontextu se svobodou projevu a s právem na informace a se zřetelem na požadavek proporcionality uplatňování těchto práv (a jejich ochrany). Zároveň je nutné, aby příslušný zásah bezprostředně souvisel s porušením chráněného základního práva, tj. aby zde existovala příčinná souvislost mezi nimi.“

§ 21

Informování o opravě, výmazu a omezení zpracování

(1) Je-li správce v souvislosti se zpracováním osobních údajů pro účely uvedené v § 17 odst. 1, uskutečňovaným také způsobem umožňujícím dálkový přístup, povinen oznámit příjemcům opravu, výmaz nebo omezení zpracování osobních údajů podle čl. 17 odst. 2 nebo čl. 19 a v jim odpovídajícím rozsahu též podle čl. 5 nařízení Evropského parlamentu a Rady (EU) 2016/679, může tuto povinnost splnit také uvedením údaje o okamžiku poslední aktualizace obsahu, v němž jsou nebo byly osobní údaje uvedeny, nebo jiným vhodným opatřením.

(2) Oprava, výmaz nebo omezení zpracování podle čl. 19 a v jemu odpovídajícím rozsahu též podle čl. 5 nařízení Evropského parlamentu a Rady (EU) 2016/679 se oznamuje tomu, komu správce osobní údaje zpracovávané pro účely uvedené v § 17 odst. 1 předal, je-li to potřebné k ochraně práv nebo oprávněných zájmů subjektu údajů a nevyžaduje-li to nepřiměřené úsilí.

(3) Správce může informovat subjekt údajů pouze o kategoriích příjemců, pokud v souvislosti se zpracováním osobních údajů pro účely uvedené v § 17 odst. 1 vyžaduje informování subjektu údajů o příjemcích podle čl. 19 a v jemu odpovídajícím rozsahu též podle čl. 5 nařízení Evropského parlamentu a Rady (EU) 2016/679 nepřiměřené úsilí, nebo pokud by došlo k ohrožení nebo zmaření oprávněného účelu zpracování.

komentář k § 21

Předmětné ustanovení zakotvuje zužující výjimku z povinnosti informovat o opravě nebo výmazu osobních údajů, jejíž plnění by většinou, zejména v prostředí on-line tisku, nebylo v praxi reálně proveditelné. Svým obsahem navazuje na článek 19 a článek 17 (2) nařízení GDPR.

Podle článku 19 nařízení GDPR platí, že správce oznamuje všem jednotlivým příjemcům, jimž byly osobní údaje zpřístupněny, veškeré opravy nebo výmazy osobních údajů nebo provedená omezení zpracování.

V odstavci 1 a 2 je promítnuta skutečnost, že v případě médií adresovaných blíže neurčenému okruhu příjemců není reálné všechny informovat o opravách či výmazech osobních údajů. V případě informací na internetu je však možné alespoň upozornit na provedení změn, a to údajem o aktualizaci informačního obsahu. Neuvádí se již konkrétní předmět opravy, či které údaje byly opraveny (což by mohlo jít proti smyslu opravy či výmazu), ale ani druh opravy, neboť by to v případě automatizovaných systémů aktualizace vyžadovalo zatěžující nepřetržitou analýzu obsahových změn, jejich vyhodnocování a popisování. Ve zbytku by pak měly postačit tradiční instituty opravy a odpovědi.

Odstavec 3 opět pro novinářské účely nebo pro účely akademického, uměleckého nebo literárního projevu zužuje tuto povinnost správce na informaci o kategoriích příjemců. Správce je oprávněn omezit svou informační povinnost v případě, že by informování o konkrétních příjemcích vyžadovalo nepřiměřené úsilí nebo by ohrozilo či zmařilo účel zpracování.

§ 22

Omezení práva na námitku

(1) Námitku podle čl. 21 a v jemu odpovídajícím rozsahu též podle čl. 5 nařízení Evropského parlamentu a Rady (EU) 2016/679 lze v souvislosti se zpracováním osobních údajů pro účely uvedené v § 17 odst. 1 vznést jen proti konkrétnímu zpřístupnění nebo uveřejnění osobních údajů; přitom subjekt údajů uvede konkrétní důvody nasvědčující, že v daném případě převažuje oprávněný zájem na ochraně jeho práv a svobod nad zájmem na takovém zpřístupnění nebo uveřejnění.

(2) Byla-li podána námitka podle odstavce 1, je správce povinen takové zpřístupnění nebo uveřejnění ukončit, pokud má za to, že subjekt údajů osvědčil, že nad zájmem na tomto uveřejnění v daném případě převažuje oprávněný zájem na ochraně jeho práv a svobod. Správce bez zbytečného odkladu informuje subjekt údajů o tom, zda jeho námitce vyhověl.

komentář k § 22

Předmětné ustanovení zužuje právo na podání námitky proti zpracování osobních údajů, které by zejména ve stadiu před publikováním mohlo efektivně mařit zejména novinářskou práci, neboť do vyřízení námitky by nebylo možné údaje dále zpracovávat a věcně navazuje na článek 21 (1 a 4) nařízení GDPR.

Podle článku 21 (1) nařízení GDPR platí, že subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které se jej týkají, na základě čl. 6 odst. 1 písm. e) nebo f), včetně profilování založeného na těchto ustanoveních. Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.

Předmětné ustanovení využívá možnosti dané výjimkou podle čl. 85 nařízení GDPR a upravuje proces pro vyřízení námitky subjektů údajů, za současného obrácení důkazního břemene. V případě námitky tak musí subjekt zdůvodnit, že jeho práva převažují nad právem svobodného tisku.

Důležité

     Smyslem úpravy je částečné převrácení důkazního břemena v případě, kdy subjekt údajů namítá převahu svých zájmů nad zájmem na zpracování osobních údajů, a to z důvodu, že podávání námitek, tím spíše námitek obecných, by mohlo velmi účinně mařit zpracování informací zejména pro zpravodajské nebo investigativní účely, ač třeba bude převažovat veřejný zájem na zpracování údajů nebo ač jsou námitky proti zpracování neoprávněné či nelegitimní.

Námitka proto musí být dostatečně konkrétní a týkající se konkrétní informace, a převaha osobních zájmů musí být alespoň osvědčena (podobně jako u návrhu na vydání předběžného opatření). Možnost uplatnit námitku se zároveň zužuje pouze na zveřejněné údaje, protože v rámci svobody projevu, resp. svobody tisku, teprve zveřejnění údajů podstatně zasahuje do práv subjektu údajů. Ve fázi přípravy článku či reportáže navíc obvykle není možné odpovědně rozhodnout o tom, zda je možné námitce vyhovět či nikoliv.

V případě postupu podle nařízení GDPR by jinak v důsledku podávání námitek mohlo dojít až k ochromení výkonu svobody tisku, nebo by si vyřizování námitek vyžádalo enormní náklady, což by opět mělo nežádoucí negativní dopad na svobodu tisku.

V odstavci 2 se řeší postup v případě, kdy námitka již byla podána. Pokud subjekt údajů prokáže, že převažuje oprávněný zájem na ochraně jeho práv nad zájmem na tomto uveřejnění, je správce povinen uveřejnění ukončit.

§ 23

Další výjimky pro zvláštní případy

(1) Ustanovení § 18 až 22 a ustanovení čl. 12 až 19, 21, 33 a 34 a v jim odpovídajícím rozsahu též podle čl. 5 nařízení Evropského parlamentu a Rady (EU) 2016/679 se nepoužijí, použijí přiměřeně nebo se splnění povinností správce nebo zpracovatele nebo uplatnění práva subjektu údajů v nich stanovených odloží,

a)  je-li takový postup potřebný ke splnění účelu zpracování uvedeného v § 17 odst. 1, a

b)  nepovede-li takový postup pravděpodobně k vysokému riziku pro oprávněné zájmy subjektu údajů.

(2) Ustanovení kapitoly VII nařízení Evropského parlamentu a Rady (EU) 2016/679 se při zpracování uvedeném v § 17 odst. 1 nepoužijí. Ustanovení čl. 20, 22, 56 a 58 odst. 1 písm. a), b), e) a f) a čl. 58 odst. 2 písm. d), f) a g) a kapitol II, IV, V a IX nařízení Evropského parlamentu a Rady (EU) 2016/679 se nepoužijí, použijí přiměřeně nebo se splnění povinností správce nebo zpracovatele nebo uplatnění práva subjektu údajů stanovených těmito ustanoveními odloží, je-li to nezbytné ke splnění účelu zpracování uvedeného v § 17 odst. 1.

(3) Pokud by vyloučení nebo omezení některých práv nebo povinností podle odstavce 2 vedlo pravděpodobně k vysokému riziku pro oprávněné zájmy subjektu údajů, správce nebo zpracovatel bez zbytečného odkladu přijme a dokumentuje vhodná opatření ke zmírnění takového nebo obdobného rizika.

komentář k § 23

Toto ustanovení stanoví generální výjimku z celého dílu 2 „Zpracování osobních údajů prováděné pro novinářské účely nebo pro účely akademického, uměleckého nebo literárního projevu“ (s výjimkou § 17 zákona – zákonnosti zpracování).

Ustanovení § 18 až § 22 zákona se nepoužijí, použijí přiměřeně nebo se splnění povinností v nich uvedených odloží, pokud je takový postup potřebný pro novinářské účely nebo pro účely akademického, uměleckého nebo literárního projevu a nepovede-li pravděpodobně k vysokému riziku pro oprávněné osoby.

V odstavci 2 se zdůrazňuje, že celá kapitola VII nařízení GDPR nazvaná „Spolupráce a jednotnost“ (články 60 až 76) se pro účely akademického, uměleckého nebo literárního projevu se nepoužije, stejně tak jako články 20, 22, 56 a některé body článku 58 nařízení GDPR.

V odstavci 3 se ukládá správci osobních údajů nebo zpracovateli přijmout vhodná opatření ke zmírnění rizika pro oprávněné zájmy subjektu údajů.

Předmětným ustavením nejsou však dotčeny nároky subjektů podle občanského zákoníku, zákona č. 46/­2000 Sb., tiskového zákona či zákona č. 231/­2001 Sb., o rozhlasovém a televizním vysílání a o změně dalších zákonů.

HLAVA III

OCHRANA OSOBNÍCH ÚDAJŮ PŘI JEJICH ZPRACOVÁNÍ ZA ÚČELEM PŘEDCHÁZENÍ, VYHLEDÁVÁNÍ NEBO ODHALOVÁNÍ TRESTNÉ ČINNOSTI, STÍHÁNÍ TRESTNÝCH ČINŮ, VÝKONU TRESTŮ A OCHRANNÝCH OPATŘENÍ, ZAJIŠŤOVÁNÍ BEZPEČNOSTI ČESKÉ REPUBLIKY NEBO ZAJIŠŤOVÁNÍ VEŘEJNÉHO POŘÁDKU A VNITŘNÍ BEZPEČNOSTI

k  nadpisu hlavy III

V této hlavě nazvané „Ochrana osobních údajů při jejich zpracování za účelem předcházení, vyhledávání nebo odhalování trestné činnosti, stíhání trestných činů, výkonu trestů a ochranných opatření, zajišťování bezpečnosti České republiky nebo zajišťování veřejného pořádku a vnitřní bezpečnosti“ se nacházejí ustanovení, která z části provádějí směrnici 2016/680 o ochraně osobních údajů v trestní soudní a policejní spolupráci. Jde o ustanovení společná několika bezpečnostním sborům a dalším orgánům, která je vhodné soustředit do obecnějšího předpisu.

Při tomto zpracování zákon používá termín „spravující orgány“, aby předešel omylům, zdůraznil, že jde o jiný soubor pravidel, a tím vyloučil případnou nesprávnou aplikaci těchto pravidel jinými subjekty při zpracování, které správně podléhá hlavě II nebo případně hlavě IV zákona.

Pokud tyto orgány zpracovávají údaje i v jiných oblastech (typicky půjde o oblast personální, případně o řízení podléhající předpisům Evropské unie z jiné oblasti, jako je problematika řízení ve věcech o pobytu cizinců nebo ve věcech zbraní a střeliva nebo v celních správních věcech), použijí nařízení GDPR.

Některé zvláštní zákony obsahují i zvláštní úpravu použití osobních údajů v působnosti nařízení GDPR při zajišťování účelů podle § 24 odst. 1 a naopak, případně i další pravidla provádějící předpisy EU o policejní spolupráci, nebo pravidla týkající se zveřejňování osobních údajů nebo zvláštních způsobů jejich shromažďování. Jedná se zejména o zákon č. 141/­1961 Sb., trestní řád, zákon č. 283/­1991 Sb., o Policii ČR, zákon č. 300/­2013 Sb., o Vojenské policii, zákon č. 17/­2012 Sb., o Celní správě České republiky, zákon č. 269/­1994 Sb., o Rejstříku trestů, zákon č. 257/­2000 Sb., o Probační a mediační službě, zákon č. 283/­1993 Sb., o státním zastupitelství a zákon č. 104/­2013 Sb., o mezinárodní justiční spolupráci ve věcech trestních.

§ 24

Obecná ustanovení

(1) Nestanoví-li zákon jinak, ustanovení této hlavy se použijí při zpracování osobních údajů, které je nezbytné pro plnění úkolu a výkon veřejné moci spravujícího orgánu stanovených jinými zákony⁵⁾ za účelem předcházení, vyhledávání a odhalování trestné činnosti, stíhání trestných činů, výkonu trestů a ochranných opatření, zajišťování bezpečnosti České republiky nebo zajišťování veřejného pořádku a vnitřní bezpečnosti, včetně pátrání po osobách a věcech.

(2) Pro účely této hlavy se použije čl. 4 body 1 až 6, 8, 9, 12 až 15 a 26 nařízení Evropského parlamentu a Rady (EU) 2016/679 obdobně.

(3) Spravujícím orgánem se rozumí orgán veřejné moci příslušný k plnění úkolu uvedeného v odstavci 1, který není zpravodajskou službou nebo obecní policií.

(4) Ustanovení této hlavy se použijí na zpracování osobních údajů, které jsou nebo mají být zařazeny do evidence, nebo pokud toto zpracování probíhá zcela nebo částečně automati­zovaně.

komentář k § 24

Předmětné obecné ustanovení upravuje v odstavci 1 a 4 věcnou působnost hlavy III (tedy, v kterých případech se tato část zákona použije) a v odstavci 3 tzv. personální působnost, tedy definici správce osobních údajů podle směrnice 2016/680. Dále přebírá definice z nařízení GDPR, které jsou totožné i pro směrnici 2016/680.

Důležité

     Pro zdůraznění odlišné věcné působnosti jsou orgány, které mohou být správci podle směrnice 2016/680, označovány jako „spravující orgány“, nikoli jako „správci“. Jedná se o orgány, které se specificky zabývají výkonem veřejné moci v oblasti prevence a potírání trestné činnosti. Proto se v odstavci 1 používá spojení „plnění úkolu a výkonu veřejné moci“.

Navíc se v poznámce pod čarou v demonstrativním výčtu uvádějí nejdůležitější právní předpisy vztahující se k této oblasti. Jedná se o: 

-  zákon č. 273/­2008 Sb., o Policii České repub­liky,

-  zákon č. 341/­2011 Sb., o Generální inspekci bezpečnostních sborů a o změně souvisejících zákonů,

-  zákon č. 300/­2013 Sb., o Vojenské policii a o změně některých zákonů,

-  zákon č. 257/­2000 Sb., o Probační a mediační službě a o změně zákona č. 2/1969 Sb., o zřízení ministerstev a jiných ústředních orgánů státní správy České republiky,

-  zákon č. 269/­1994 Sb., o Rejstříku trestů,

-  zákon č. 555/­1992 Sb., o Vězeňské službě a justiční stráži České republiky,

-  zákon č. 141/­1961 Sb., o trestním řízení soudním (trestní řád),

-  zákon č. 104/­2013 Sb., o mezinárodní justiční spolupráci ve věcech trestních a 

-  zákon č. 17/­2012 Sb., o Celní správě České republiky, ve znění pozdějších předpisů.

Tím, jakož i stanovením osobní působnosti v odst. 3, dochází k odlišení spravujících orgánů od orgánů, které se na činnosti veřejné moci v oblasti prevence a potírání kriminality podílejí jen podpůrným způsobem.

Do působnosti této hlavy III tak například nespadá činnost Úřadu pro zastupování státu ve věcech majetkových, přestože hospodaří i s majetkem, který propadl státu podle předpisů trestního práva hmotného nebo procesního.

Dále samozřejmě do působnosti této hlavy III nespadá činnost dalších regulatorních orgánů, přestože tyto orgány plní určité úkoly související s postihem trestné činnosti nebo její prevence, ale jejich celkové zaměření je odlišné od potírání trestné činnosti a prevence bezpečnostních hrozeb. Z tohoto důvodu sem nespadá například činnost České národní banky, přestože plní určité úkoly související nebo preventivní (v oblasti oběhu hotovosti jde o problematiku padělků, dále např. o postih neoprávněně podnikajících osob na finančním trhu), nebo činnost jiných kontrolních nebo regulatorních orgánů.

Z obratu „…zajišťování veřejného pořádku a vnitřní bezpečnosti…“ je třeba dovodit, že sama skutečnost, že nějaký úřad (např. obecní úřad) vede např. řízení o přestupcích s cílem chránit veřejný pořádek, není důvodem pro jeho zahrnutí do této části zákona, resp. do působnosti směrnice 2016/680.

Směrnice 2016/680 se vztahuje výhradně na činnosti související s prevencí a potíráním trestné činnosti s jejich specifickými rysy, vyznačujícími se možností těch nejzávažnějších zásahů do lidských práv a základních svobod (odposlechy, nasazení agentů apod.), což je odůvodněno povahou potírání trestné činnosti jako ultima ratio, nebo na udržování veřejného pořádku s tím související. Rozšíření směrnice na velmi rozličné činnosti související se správním trestáním v různých situacích by vedlo jak k neodůvodněnému snížení ochrany osobních údajů při těchto činnostech, tak k neodůvodněné zátěži správního orgánu, který by například kontrolní činnost prováděl podle nařízení GDPR, ale sankci za přestupky zjištěné touto činností ukládal podle směrnice 2016/680.

Předpisům o ochraně osobních údajů bude (podobně jako za staré právní úpravy) podléhat zpracování i jen z části automatizované (např. ukládané v digitální podobě), jakož i zpracování kartotéční, tj. neautomatické, ale zahrnující evidenci. Naopak prosté orientační náčrtky nebo poznámky na listu papíru, které nebudou řazeny do žádného spisu nebo evidence, těmito pravidly z pochopitelných důvodů (nejde o nijak systematickou činnost) upraveny nejsou.

Z odstavce 2 vyplývá, že ustanovení této hlavy nedopadají na zpravodajskou službu nebo obecní policii. U obecních a městských policií vycházel zákonodárce z toho, že přesahy jejich činnosti do oblasti potírání kriminality a udržování vnitřní bezpečnosti jsou jen dílčí a nelze je srovnat s činností orgánů činných v trestním řízení. Obecní policie se proto řídí, stejně jako další orgány obce, nařízením GDPR a tímto zákonem.

V odstavci 2 se odkazuje na některé definice uvedené v čl. 4 nařízení GDPR (definici osobního údaje, zpracování, omezení zpracování, profilování, pseudonymizace, evidence, zpracovatele, příjemce, třetí strany, souhlasu, porušení zabezpečení osobních údajů, genetického údaje, biometrického údaje, údaje o zdravotním stavu a mezinárodní organizace), zákon je přebírá přímo, aby nedocházelo ke zbytečnému opisování nařízení GDPR do našeho právního řádu.

Z předmětného ustanovení vyplývá, že ustanovením Hlavy III podléhají pouze taková zpracování osobních údajů, která buď jsou, nebo mají být zařazeny do evidence (např. kartotéky), nebo pokud zpracován probíhá zcela nebo i částečně automatizovaně (např. ukládání do počítače).

§ 25

Zásady zpracování osobních údajů

(1) Při zpracování osobních údajů spravující orgán

a)  stanoví konkrétní účel zpracování osobních údajů v souvislosti s plněním úkolu uvedeného v § 24 odst. 1,

b)  přijímá opatření zajišťující, aby osobní údaje byly přesné ve vztahu k povaze a účelu zpracování, a

c)  uchovává osobní údaje v podobě umožňující identifikaci subjektu údajů jen po dobu nezbytnou k dosažení účelu jejich zpracování.

(2) Pro účel nesouvisející s plněním úkolu uvedeného v § 24 odst. 1 lze osobní údaje zpracovávat, pouze pokud je k tomu spravující orgán oprávněn a tento účel není neslučitelný se stanoveným konkrétním účelem jejich zpracování.

komentář k § 25

Ustanovení stanoví základní zásady, které musí spravující orgán při zpracování osobních údajů dodržet a provádí článek 4 směrnice 2016/680.

Spravující orgán je povinen při zpracování osobních údajů stanovit konkrétní účel podle § 24 odst. 1, tedy zda se jedná o předcházení, vyhledávání a odhalování trestné činnosti, stíhání trestných činů, výkonu trestů a ochranných opatření, zajišťování bezpečnosti České republiky nebo zajišťování veřejného pořádku a vnitřní bezpečnosti, včetně pátrání po osobách a věcech.

Zásady zákonnosti a přiměřenosti jsou již provedeny platnými ustanoveními relevantních předpisů (viz např. § 11 zákona o Policii ČR).

V návaznosti na obecné ustanovení § 24 může podle odstavec 1 písm. a) spravující orgán stanovit jen takový účel, který spadá do jeho povinností podle § 24.

Ustanovení odstavce 1 písm. a) zároveň předpokládá přímou souvislost účelů, stanovených v článku 1(1) směrnice 2016/680, která ze směrnice obecně vyplývá. Článek 4(2) směrnice 2016/680 totiž změnu účelů v rámci článku 1(1) nepodmiňuje souvislostí s plněním úkolu, ale pouze zákonným titulem“ pro zpracování a nezbytností, které jsou vyjádřeny v příslušných předpisech (zejména předpisech vyjmenovaných v poznámce pod čarou u ustanovení § 24 zákona).

Zvláštní předpisy pak určují, v jakém rozmezí musí spravující orgán přezkoumávat, zda je stále nezbytné zpracovávat osobní údaje pro shromážděné účely. Například podle § 82 odst. 1 zákona č. 273/­2008 Sb., o Policii ČR platí, že policie nejméně jednou za 3 roky prověří, jsou-li osobní údaje zpracovávané pro účely uvedené v § 79 odst. 1 nadále potřebné pro plnění jejích úkolů v této oblasti.

Platí však zásada, že pokud spravující orgán zpracovává osobní údaje i pro jiný účel, než je účel související s potíráním a vyšetřováním trestné činnosti, je tak oprávněn činit pouze tehdy pokud je k tomu oprávněn zvláštním zákonem a zároveň tento jiný účel nesmí být neslučitelný se stanoveným konkrétním účelem jejich zpracování.

§ 26

Kategorie subjektů údajů a kvalita
osobních údajů

Je-li to možné, spravující orgán

a)  připojí ke zpracovávaným osobním údajům informaci o postavení subjektu údajů v trestním řízení, popřípadě také informaci o pravomocných rozhodnutích orgánů činných v trestním řízení, která se těchto údajů týkají, je-li to odůvodněné účelem jejich zpracování, a

b)  označí nepřesné osobní údaje, popřípadě osobní údaje, které se zakládají na osobních hodnoceních.

komentář k § 26

Předmětné ustanovení o kategoriích subjektů údajů a kvalitě osobních údajů navazuje na článek 6 směrnice 2016/680 nazvaný „Rozlišování mezi různými kategoriemi subjektů údajů“. Podle tohoto ustanovení členské státy stanoví, že správce, v příslušných případech a pokud je to možné, musí jasně rozlišovat mezi osobními údaji různých kategorií subjektů údajů, například:

a) osob, u nichž existují závažné důvody se domnívat, že spáchaly trestný čin nebo se jej chystají spáchat;

b) osob odsouzených za trestný čin;

c) osob, které se staly obětí trestného činu nebo u kterých některé skutečnosti vedou k domněnce, že by obětí trestného činu mohly být, a

d) třetích stran v souvislosti s trestným činem, například osob, které by mohly být předvolány jako svědci při vyšetřování trestného činu nebo při následném trestním řízení nebo které mohou poskytnout informace o trestných činech, nebo kontaktních osob či společníků některé z osob uvedených v písmenech a) a b).

Ustanovení transponuje i článek 7 směrnice 2016/680, který se zabývá kvalitou údajů. Ustanovením zcela obdobného charakteru je § 79 zákona č. 273/­2008 Sb., o Policii ČR.

V zásadě se ovšem vychází z toho, že rozlišování procesního postavení osob je neoddělitelnou součástí a do jisté míry samotnou podstatou trestního řízení. Zároveň pro spravující orgán platí základní zásada, že musí udržovat osobní údaje aktuální a přesné ve vztahu k účelu zpracování.

§ 27

Informace pro subjekt údajů

Spravující orgán zveřejní způsobem umožňujícím dálkový přístup informace o

a)  svém názvu a kontaktních údajích,

b)  kontaktních údajích pověřence pro ochranu osobních údajů (dále jen „pověřenec“),

c)  účelu zpracování osobních údajů,

d)  právu podat stížnost k Úřadu a kontaktních údajích Úřadu a

e)  právu na přístup k osobním údajům, jejich opravu, omezení zpracování nebo výmaz.

komentář k § 27

Úvodní ustanovení (recitál 42) směrnice 2016/680 stanoví, že subjektu údajů by měly být zpřístupněny informace: jako je totožnost správce, existence operací zpracování, účely zpracování, právo podat stížnost a existence práva požadovat od správce přístup k osobním údajům, jejich opravu nebo výmaz nebo omezení zpracování na internetových stránkách příslušného orgánu.

Spravující orgán je povinen tyto informace zveřejnit způsobem umožňujícím dálkový přístup, tedy zejména zpřístupnit je na internetových stránkách. Informace musí být snadno přístupné a srozumitelné, aby každý subjekt věděl, kde může uplatnit svá práva.

Ustanovení transponuje článek 13 (1) směrnice 2016/680, protože odstavce 2 a 3 článku 16 směrnice jsou provedeny již v platném právu (viz § 68 zákona č. 141/­1961 Sb., trestního řádu o odposlechu a záznamu telekomunikačního provozu).

§ 28

Právo na přístup k osobním údajům

(1) Spravující orgán na žádost subjektu údajů sdělí, zda zpracovává osobní údaje vztahující se k jeho osobě. Jestliže takové údaje spravující orgán zpracovává, předá je subjektu údajů a sdělí mu informace o

a)  účelu zpracování osobních údajů,

b)  právních předpisech, na základě kterých tyto údaje převážně zpracovává,

c)  příjemcích, popřípadě kategoriích příjemců,

d)  předpokládané době uchování nebo způsobu jejího určení,

e)  právu požádat o opravu, omezení zpracování nebo výmaz osobních údajů a

f)  zdroji těchto údajů.

(2) Spravující orgán žádosti podle odstavce 1 nevyhoví, popřípadě vyhoví pouze částečně, pokud by vyhověním došlo k ohrožení

a)  plnění úkolu v oblasti předcházení, vyhledávání a odhalování trestné činnosti, stíhání trestných činů, výkonu trestů a ochranných opatření, zajišťování bezpečnosti České republiky nebo zajišťování veřejného pořádku a vnitřní bezpečnosti, včetně pátrání po osobách a věcech,

b)  průběhu řízení o přestupku, kázeňském přestupku nebo jednání, které má znaky přestupku,

c)  ochrany utajovaných informací, nebo

d)  oprávněných zájmů třetí osoby.

(3) Pokud by vyhověním žádosti nebo sdělením o nevyhovění žádosti, včetně odůvodnění, došlo k ohrožení podle odstavce 2, spravující orgán informuje subjekt údajů stejně jako ty žadatele, jejichž osobní údaje nezpracovává.

(4) Spravující orgán vede o důvodech pro postup podle odstavců 2 a 3 dokumentaci, kterou uchovává nejméně 3 roky.

komentář k § 28

Toto ustanovení provádí v odstavci 1 články 14 a 15 směrnice 2016/680 o právu subjektu údajů na přístup k osobním údajům, které jsou o něm zpracovávány, a o omezeních tohoto práva. Stanoví se informace, na které má subjekt údajů nárok.

Z odstavce 1 vyplývá právo subjektu údajů na přístup k osobním údajům, které jsou o něm zpracovávány a zároveň rozsah informací, které mu je spravující orgán povinen poskytnout. Aby nemohlo dojít k porušení zabezpečení osobních údaj nebo k poskytnutí údajů jiné osobě, musí být subjekt údajů přesně identifikovatelný. V praxi tedy musí uvést jméno, příjmení, datum narození, adresu trvalého bydliště, případně další nezbytné údaje. Tyto žádosti se nejčastěji podávají prostřednictvím datové schránky či písemnou žádostí. Zákon nevyžaduje u písemné žádosti úřední ověření podpisu. Spravující orgán však musí následné informace poskytnout subjektu datovou schránkou, doporučeným dopisem do vlastních rukou nebo jiným způsobem, který zaručí, že se informace nedostane k jiné osobě.

Zároveň se v odstavci 2 stanoví v souladu s čl. 15 výše uvedené směrnice důvody, pro které lze přístup poskytnout pouze částečně nebo žádosti nevyhovět vůbec.

Odstavec 3 ukládá spravujícímu orgánu povinnost informovat v případech uvedených v odstavci 2 subjekt údajů o nevyhovění žádosti.

Odstavec 4 stanoví lhůtu 3 let, po kterou se ukládá dokumentace o důvodech pro postup podle odstavce 2 a 3 uvedeného ustanovení. Důvody pro nevyhovění žádosti jsou totiž určeny taxativně, spravující orgán tedy musí při odmítnutí poskytnutí informace subjektu údajů přesně označit příslušnou výjimku, aby mohlo dojít k případnému přezkumu postupu spravujícího orgánu.

§ 29

Právo na opravu, omezení zpracování nebo výmaz osobních údajů

(1) Spravující orgán na žádost subjektu údajů provede opravu nebo doplnění osobních údajů vztahujících se k jeho osobě. Vyžaduje-li to účel zpracování osobních údajů, může spravující orgán namísto opravy osobní údaje doplnit nebo k nim připojit dodatečné prohlášení.

(2) Spravující orgán na žádost subjektu údajů provede výmaz osobních údajů vztahujících se k jeho osobě, pokud spravující orgán porušil zásady zpracování osobních údajů podle § 25 nebo jiného právního předpisu⁵⁾ nebo omezení zpracování některých kategorií osobních údajů, nebo pokud má spravující orgán povinnost tyto údaje vymazat.

(3) Namísto opravy nebo výmazu osobních údajů může spravující orgán omezit zpracování osobních údajů jejich zvláštním označením,

a)  popírá-li subjekt údajů jejich přesnost, přičemž nelze zjistit, zda jsou tyto údaje přesné, nebo

b)  musí-li být tyto údaje uchovány pro účely dokazování.

(4) Je-li zpracování osobních údajů omezeno podle odstavce 3 písm. a), spravující orgán informuje subjekt údajů před zrušením takového omezení; spravující orgán rovněž subjekt údajů informuje, má-li být omezení zrušeno na základě rozhodnutí Úřadu nebo příslušného soudu.

(5) Spravující orgán žádosti podle odstavců 1 až 3 nevyhoví, popřípadě vyhoví pouze částečně, pokud by vyhověním došlo k ohrožení podle § 28 odst. 2. Pokud by sdělením o nevyhovění žádosti, včetně odůvodnění, došlo k ohrožení podle § 28 odst. 2, spravující orgán žadatele informuje tak, aby takovému ohrožení předcházel.

(6) Spravující orgán vede o důvodech pro postup podle odstavce 5 dokumentaci, kterou uchovává nejméně 3 roky.

komentář k § 29

Toto ustanovení provádí článek 16 směrnice 2016/680 o právu a opravu nebo výmaz osobních údajů a omezení zpracování, včetně vzájemného vztahu mezi právem na výmaz, na opravu a na omezení zpracování.

Zároveň se upravují důvody, pro které lze vyhovět žádosti subjektu údajů pouze částečně nebo ji nevyhovět vůbec.

Pokud tak vyžaduje účel zpracování, může spravující orgán místo požadované opravy osobních údajů přistoupit k jejich doplnění či k připojení dodatečného prohlášení, které má uvést na pravou míru tvrzené nepřesnosti u zpracovávaných osobních údajů.

Cílem ustanovení je zabránit znehodnocení svědecké výpovědi, která by mohla obsahovat nepřesné údaje, případně by mohlo dojít ke znehodnocení výpovědi, která má být použita pro účely dokazování, výmazem údajů. Účelem je také, obdobně jako u § 28, umožnit přezkum postupu spravujícího orgánu, resp. přezkum jeho důvodnosti a přiměřenosti.

Předmětné ustanovení také – na rozdíl od § 28 odst. 2 – podrobně nestanoví, jak má spravující orgán odpovědět. V praxi je proto nutné, aby spravující orgán pečlivě vážil formulaci své odpovědi.

§ 30

Společné ustanovení o žádostech subjektu údajů

(1) Spravující orgán vyřídí žádost podle § 28 nebo 29 bez zbytečného odkladu, nejdéle však do 60 dnů ode dne jejího podání.

(2) Pokud spravující orgán doloží, že žádost podle § 28 nebo 29 je zjevně nedůvodná nebo nepřiměřená, zejména proto, že se v krátké době v téže věci opakuje, nemusí žádosti vyhovět.

(3) Spravující orgán v rámci vyřízení žádosti podle § 28 nebo 29 informuje subjekt údajů o možnosti

a)  požádat o ověření zákonnosti zpracování osobních údajů prostřednictvím Úřadu a o kontaktních údajích Úřadu,

b)  podat stížnost Úřadu a

c)  žádat o soudní ochranu.

(4) O vyřízení žádosti podle § 28 nebo 29 spravující orgán subjekt údajů písemně informuje. Informace o vyřízení žádosti obsahuje odůvodnění, s výjimkou případů, kdy se žádosti vyhovuje v plném rozsahu. Je-li subjekt údajů zastoupen, může spravující orgán požadovat, aby byl podpis na písemné plné moci úředně ověřen; úřední ověření není třeba, pokud byla plná moc udělena před spravujícím orgánem.

(5) Ustanovení odstavce 3 písm. a) a b) se nepoužijí, je-li spravujícím orgánem soud nebo státní zastupitelství.

komentář k § 30

Společné ustanovení pro vyřizování žádostí transponuje článek 12 směrnice 2016/680 v rozsahu, ve kterém implementace nevyplývá z jiných ustanovení právního řádu. Například to, že nelze ukládat poplatky za podání žádosti, plyne a contrario ze zákona o správních poplatcích. Obdobně kvalita komunikace se subjektem údajů předepsaná článkem 12(1) této směrnice (stručně, srozumitelně, přístupně, jasně a jednoduše) se již dostatečně odráží v základních zásadách právního řádu a správního řízení, což platí i o ustanovení článku 12(2) směrnice.

Z toho důvodu se v odstavci 1 se provádí odstavec 3 článku 12 této směrnice.

V odstavci 2 se provádí odstavec 4 téhož článku. Zpracování ustanovení předcházela konzultace se všemi věcně odpovědnými resorty, která vyústila v řešení, podle kterého se žádostem odmítá vyhovět. Tím byla odmítnuta možnost stanovit právním předpisem zpoplatnění žádosti. Za standardních okolností se krátkou dobou, ve které se žádost subjektu údajů v téže věci opakuje, rozumí 6 měsíců, a to v souladu s úpravou obsaženou v dřívějším znění zákona č. 273/­2008 Sb., o Policii České republiky, stejně jako v zákoně č. 300/­2013 Sb., o Vojenské policii, a zákoně č. 341/­2011 Sb., o Generální inspekci bezpečnostních sborů. I přesto, že zákon ani samotná směrnice 2016/680 nyní nestanoví konkrétní dobu, kdy lze opakovanou žádost podat, platí obecné pravidlo, že zneužití práva nepožívá ochrany. Posouzení, zda se již jedná o zneužití práva, bude muset učinit spravující orgán při posuzování konkrétní žádosti subjektu údajů, a bude předmětem případného přezkumu Úřad pro ochranu osobních údajů či soudu.

V odstavci 3 se stejně jako podle platné úpravy subjekt údajů být informován o možnostech přezkumu (Úřad pro ochranu osobních údajů) nebo ochrany, čímž se provádějí články 15(3) a 16(4) věta poslední směrnice 2016/680. Zároveň musí být informován o možnosti požádat o soudní ochranu, přičemž předmětné ustanovení neuvádí, jaký typ soudní ochrany by měl subjekt údajů využit.

Odstavec 4 byl převzat z původního § 12 odst. 4 zákona o ochraně osobních údajů. S ohledem na dosavadní praxi zohledňující povinnost přijmout taková opatření, aby nedošlo k neoprávněnému zpracovávání osobních údajů, např. tím, že se dostanou do nepravých rukou, se výslovně doplňuje oprávnění požadovat kvalifikovaný průkaz plné moci zmocněnce subjektu údajů.

Jeho obsah transponuje požadavky na odůvodnění obsažené v článcích 15(3) a 16(4) směrnice 2016/680.

V odstavcích 5 6 se v souladu s § 50 odst. 5 stanoví výjimka pro soudy a státní zastupitelství, která nepodléhají v této oblasti dozorové pravomoci Úřadu pro ochranu osobních údajů.

§ 31

Podnět subjektu údajů o ověření zákonnosti
zpracování osobních údajů

(1) Úřad může na základě podnětu subjektu údajů ověřit zákonnost zpracování osobních údajů.

(2) Úřad nemusí podnětu podle odstavce 1 vyhovět zejména, pokud doloží, že podnět je zjevně nedůvodný nebo nepřiměřený, například proto, že se v krátké době v téže věci opakuje.

(3) Úřad do 4 měsíců ode dne podání podnětu o ověření zákonnosti zpracování osobních údajů informuje subjekt údajů, zda ověřil zákonnost jejich zpracování či nikoliv; pokud tak neučinil, připojí k informaci odůvodnění svého postupu.

(4) Úřad rovněž informuje subjekt údajů o možnosti žádat o soudní ochranu.

komentář k § 31

V tomto koncepčně novém ustanovení se upravuje výkon práv subjektu údajů prostřednictvím Úřadu pro ochranu osobních údajů, resp. možnost (nikoli povinnost, jak plyne z článku 46 (1) (g) směrnice 2016/680) Úřadu pro ochranu osobních údajů prověřit na základě takového podnětu zákonnost nejméně těch zpracování, u kterých mohlo dojít k omezení práv subjektu údajů.

Z recitálu 48 směrnice 2016/680 plyne, že subjekt údajů má právo na ověření zákonnosti v případech, kdy mu jeho práva spravující orgán odepírá a z textu čl. 17 směrnice 2016/680 je zřejmé, že Úřad pro ochranu osobních údajů má zajistit ochranu všech jeho dotčených práv. Z toho důvodu předmětné ustanovení nestanoví žádná konkrétní omezení Úřadu pro ochranu osobních údajů co do rozsahu přezkumu. Úřad pro ochranu osobních práv jako orgán správního dohledu může využít veškerá svá zákonná oprávnění k nápravě protiprávního stavu.

Odstavec 2 stanoví některé situace, ve kterých Úřad pro ochranu osobních údajů nemusí podnětu vyhovět.

Odstavec 3 vyžaduje, aby Úřad pro ochranu osobních údajů svůj postup odůvodnil, pokud ověření zákonnosti neprovedl (například protože je ověření zákonností napadeného zpracování obsaženo v kontrolním plánu Úřadu na příští rok a proto by ověřování jednotlivé stížnosti bylo neúčelné).

Úřad pro ochranu osobních údajů je rovněž povinen informovat subjekt údajů o možnosti domáhat se soudní ochrany. Subjekt údajů tedy může v případě, že je nespokojen s vyřízením svého podnětu. Domáhat se ochrany u správního soudu. Ustanovení se je promítnutím požadavku na možnost každého domáhat s účinného prostředku nápravy.

Odstavec 4 upravuje informační povinnost Úřadu pro ochranu osobních údajů.

§ 32

Obecné povinnosti spravujícího orgánu a záměrná ochrana osobních údajů

(1) Spravující orgán s přihlédnutím k povaze, rozsahu, okolnostem, účelům a rizikům zpracování osobních údajů přijme taková technická a organizační opatření, aby zajistil a doložil splnění svých povinností při ochraně osobních údajů.

(2) Spravující orgán s přihlédnutím k povaze, rozsahu, okolnostem, účelům a rizikům zpracování osobních údajů, vývoji techniky a nákladům přijímá technická a organizační opatření s cílem

a)  co nejúčinněji chránit osobní údaje,

b)  omezovat nepřiměřené zpracování osobních údajů,

c)  omezovat zpracování osobních údajů, které není nezbytné kvůli svému rozsahu, množství údajů, době jejich uložení nebo jejich dostupnosti,

d)  poskytovat nezbytné záruky práv subjektu údajů a

e)  předcházet automatickému zveřejňování osobních údajů.

(3) Spravující orgán vede o opatřeních přijatých podle odstavců 1 a 2 dokumentaci, kterou uchovává po dobu zpracování osobních údajů.

(4) Spravující orgán vede písemné přehledy o všech typových činnostech zpracování osobních údajů, které obsahují

a)  název a kontaktní údaje spravujícího orgánu a pověřence,

b)  účel zpracování osobních údajů,

c)  kategorie příjemců nebo budoucích ­příjemců,

d)  kategorie subjektů údajů a kategorie osobních údajů,

e)  informaci, zda a jak je použito profilování,

f)  kategorie přenosů do třetích zemí nebo mezinárodních organizací,

g)  právní základ pro operace zpracování, pro něž jsou osobní údaje určeny,

h)  lhůty pro výmaz nebo přezkum potřebnosti kategorií osobních údajů a

i)  obecný popis zabezpečení osobních údajů.

(5) Dojde-li k nesprávnému předání nebo k předání nepřesných osobních údajů, spravující orgán o tom bez zbytečného odkladu informuje příjemce těchto údajů a orgán příslušný pro plnění účelu uvedeného v § 24 odst. 1, který je jejich původcem. Pokud spravující orgán provedl opravu, doplnění, omezení zpracování nebo výmaz osobních údajů, vyrozumí o nutnosti takového postupu rovněž příjemce těchto údajů.

komentář k § 32

V tomto ustanovení se stanoví obecné povinnosti spravujícího orgánu při ochraně osobních údajů, včetně přijetí technickoorganizačních opatření pro zajištění ochrany osobních údajů.

Spravující orgán je povinen již při přípravě zpracování, tedy např. při pořizování nebo nastavení techniky, počítačového systému nebo jiného technického nástroje pro zpracování informací, usilovat o co nejmenší zásady do ochrany osobních údajů záměrná a standardní ochrana osobních údajů. Zákonodárce vypočetl cíle záměrné a standardní ochrany z čl. 20 odst. 1 a 2 směrnice 2016/680. V praxi se za vhodné technické a organizační opatření považuje zejména pseudonymizace osobních údajů, šifrování či další technická ochrana dat.

     Základní povinnosti spravujícího orgánu

Odstavec 1 provádí článek 19 směrnice 2016/680, který stanoví základní povinnosti spravujícího orgánu, včetně přijetí technickoorganizačních opatření pro zajištění ochrany osobních údajů. Vzhledem k tomu, že povinnosti podle směrnice budou plnit převážně orgány policejní povahy, nepočítá se přímo s „koncepcemi“ ochrany osobních údajů, spravující orgány v této oblasti nicméně standardně přijímají vnitřní předpisy (např. pokyny policejního prezidenta) upravující zpracování a ochranu informací v rámci určitého informačního systému.

     Povinnosti pro záměrnou a standardní ochranu osobních údajů

Odstavec 2 provádí článek 20 téže směrnice, který stanoví povinnosti pro záměrnou a standardní ochranu osobních údajů. Jde o to, aby spravující orgán již při přípravě zpracování (například při pořizování vhodné techniky) usiloval o co nejmenší nezbytné zásahy do ochrany osobních údajů. Pro větší přehlednost jsou cíle záměrné a standardní ochrany osobních údajů vypočteny.

     Dokumentační povinnost správce

Odstavec 3 doplňuje dokumentační povinnost správce, která plyne z relevantních ustanovení výše uvedené směrnice.

     Obsah záznamů

Odstavec 4 provádí článek 24 co do povinností spravujícího orgánu, tj. jeho odstavce 1 a 3. Záznamy o činnostech zpracování je nutno odlišovat od tzv. logů, které směrnice 2016/680 upravuje v článku 25. Nejde o záznamy o nějaké (nebo každé) operaci zpracování, tj. o každém úkonu, který lze s osobním údajem provést, ale o souhrnné záznamy o tom, jak probíhají určité typy zpracování, například jak probíhá ztotožňování osob podle otisků prstů nebo jak probíhá dotaz do evidence odcizených vozidel. Účelem těchto záznamů je poskytnou správci, pověřenci i dozorovému úřadu dostatečný přehled o typech zpracování, která u správce probíhají, na obecné úrovni.

Důležité

     Záznamy musí mít tyto náležitosti:

1. název a kontaktní údaje spravujícího orgánu a jeho pověřence, tedy zejména jeho jméno, příjmení, telefonní číslo, e-mail, poštovní adresu, případně identifikaci jeho datové schránky,

2. účel zpracování osobních údajů, neboť ze záznamu by mělo být zřejmé, k jakému konkrétnímu účelu spravující orgán osobní údaje zpracovává,

3. kategorie příjemců nebo budoucích příjemců, přičemž postačuje obecné vymezení jednotlivých skupin příjemců (např. vyšetřovací orgány třetích zemí, vnitrostátní orgány činné v trestním řízení),

4. kategorie subjektů údajů a kategorie osobních údajů, tedy informace o tom, jakých subjektů údajů (např. vazební stíhání, odsouzení ve výkonu trestu, poškození trestním činem) a kterých kategorií údajů (např. identifikační údaje, biometrické údaje, údaje o zdravotním stavu, údaje o trestné činnosti) se informace týkají,

5. informaci, zda jak je použito profilování,

6. kategorii přenosů do třetích zemí nebo mezinárodních organizací, přičemž by tyto třetí země a mezinárodní organizace měly být konkretizovány,

7. právní základ pro operaci zpracování, pro něž jsou osobní údaje určeny, a to s ohledem na § 24,

8. lhůty pro výmaz nebo přezkum potřebnosti kategorií osobních údajů, přičemž, je-li to možné, je vhodné uvést konkrétní lhůtu nebo pravidlo pro přezkum potřebnosti údajů,

9. obecný popis zabezpečení osobních údajů, v jehož rámci není nutné uvádět podrobný technický popis, který by prozrazoval technické detaily, jejichž vyzrazení by ohrozilo zabezpečení zpracovávaných údajů.

     Nepřesné údaje, nesprávné předávání, zpětné opravy nepřesností

Odstavec 5 provádí související články 7(3), 16(5) a (6) směrnice 2016/680, které se týkají předávání nepřesných údajů, nesprávného předávání, a zpětné opravy nepřesností, resp. navazující opravy, výmazu nebo omezení zpracování předaných osobních údajů.

§ 33

Společně spravující orgány

Stanoví-li více spravujících orgánů účely a prostředky zpracování osobních údajů společně, uzavřou písemnou dohodu, ve které mezi sebou upraví způsob plnění povinností podle této části a kontaktní místo pro příjem žádostí subjektů údajů, nestanoví-li zákon jinak.

komentář k § 33

Ustanovení provádí článek 21 směrnice 2016/680 o dělbě odpovědnosti společných spravujících orgánů. V české praxi v oblasti prevence a potírání trestné činnosti půjde o výjimečné situace. Písemnou dohodou se rozumí veřejnoprávní smlouva uzavřená podle § 160 odst. 3 zákona č. 500/­2004 Sb., správního řádu.

Vnitrostátní předpisy však dosud společné správcovství v této oblasti nezavedly, proto zákon zatím netransponoval čl. 21 odst. 2 směrnice 2016/680, o tom, že subjekt údajů může vykonávat svá práva vůči každému ze správců.

§ 34

Zpracovatel

(1) Spravující orgán pověří zpracováním osobních údajů pouze zpracovatele, který je schopen přijetím opatření podle § 32 odst. 1 účinně zajistit plnění povinností při ochraně osobních údajů.

(2) Pokud pověření zpracovatele nevyplývá z právního předpisu, spravující orgán se zpracovatelem uzavře písemnou smlouvu o zpracování osobních údajů. Nevyplývá-li to přímo z právního předpisu, smlouva především určí

a)  předmět a dobu trvání zpracování osobních údajů,

b)  povahu a účel zpracování osobních údajů,

c)  typ osobních údajů, které budou zpracovávány,

d)  kategorie subjektů údajů a

e)  práva a povinnosti spravujícího orgánu.

(3) Smlouva o zpracování osobních údajů dále určí, nevyplývá-li to přímo z právního předpisu, že zpracovatel

a)  jedná pouze podle pokynů spravujícího ­orgánu,

b)  zajistí, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti,

c)  pomáhá spravujícímu orgánu v plnění povinností podle této hlavy,

d)  na základě pokynu spravujícího orgánu po ukončení své činnosti osobní údaje předá spravujícímu orgánu nebo je vymaže, ledaže zákon ukládá jiný postup, a

e)  poskytne spravujícímu orgánu informace nezbytné pro doložení splnění povinností podle písmen a) až d) a odstavců 1 a 2.

(4) Zpracovatel vede písemné přehledy o všech typových činnostech zpracování osobních údajů, které obsahují

a)  název a kontaktní údaje spravujícího orgánu, zpracovatele a pověřence,

b)  kategorie zpracování osobních údajů pro jednotlivé spravující orgány,

c)  informace o předání osobních údajů do konkrétních třetích zemí nebo mezinárodních organizací a

d)  obecný popis zabezpečení osobních údajů.

(5) Zpracovatel bez zbytečného odkladu oznámí spravujícímu orgánu porušení zabezpečení osobních údajů.

(6) Zpracovatel může pověřit dalšího zpracovatele jen s předchozím písemným souhlasem spravujícího orgánu. Je-li souhlas spravujícího orgánu udělen obecně pro blíže neurčeného dalšího zpracovatele, zpracovatel, se kterým spravující orgán uzavřel smlouvu o zpracování osobních údajů, informuje předem spravující orgán o všech připravovaných pověřeních dalších zpracovatelů. Na vztah mezi zpracovatelem, se kterým spravující orgán uzavřel smlouvu o zpracování osobních údajů, a dalším zpracovatelem se použijí odstavce 1 až 3 obdobně.

komentář k § 34

Ustanovení ukládá spravujícímu orgánu povinnost pověřit zpracováním osobních údajů tzv. zpracovatel, který splňuje stanovené podmínky. Odstavce 1 – 3 provádějí článek 22 směrnice 2016/680 včetně požadavků kladených na zpracovatele i na právní akt, kterým je ke zpracování spravující orgán zmocněn.

Je třeba důsledně odlišovat zpracovatele od správce. Zpracovatelem se v souladu s definicí tohoto pojmu v článku 4 (8) nařízení GDPR rozumí fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce. Směrnice 2016/680 v čl. 22 (5) stanoví, že pokud zpracovatel poruší tuto směrnicí tím, že určí účely a prostředky zpracování, považuje se ve vztahu k takovému zpracování za správce. To znamená, že by zpracovatel byl v postavení spravujícího orgánu podle § 24 odst. 3 tohoto zákona.

Na rozdíl od pojmu „zvláštní kategorie osobních údajů“, který používá ve smyslu většiny tzv. „citlivých osobních údajů“ nařízení GDPR v článku 9, nestanoví předpisy práva Evropské unie definici pojmů „typ osobních údajů“ nebo „kategorie subjektů údajů“.

     Pojem „kategorie subjektů údajů“

je tak nutno vykládat ve vztahu k okolnostem, které by zakládaly zvláštní povinnosti spravujícího orgánu nebo zpracovatele. V kontextu směrnice pak jde zejména o vymezení skupin osob, jejichž osobní údaje pro správce zpracovává zpracovatel (tj. o vymezení, že údaje jiných skupin osob nezpracovává), ale může jít i například o zdůraznění skupin osob, s jejichž zpracováním se vážou zvláštní povinnosti, např. povinnost informovat a poučovat děti přiměřeně jejich věku apod.

     Podstatné náležitosti zpracovatelské smlouvy

V odstavci 2 se upravují podstatné náležitosti zpracovatelské smlouvy. Pokud se týká předmětu a doby trvání zpracování osobních údajů je třeba přesně stanovit, jaké zpracování údajů bude na základě smlouvy provedeno, obecná konstatace nestačí. Smlouvu lze uzavřít na dobu určitou i neurčitou, zákon v tomto směru nemá žádná omezení. Povaha a účel zpracování musí být též přesně vymezen, obecně platí, že může být užší než původní účel, nikdy však nemůže být širší. Pojem „typ osobních údajů“ pak v kontextu směrnice opět zejména vymezuje údaje, které pro správce zpracovává zpracovatel (např. jméno a příjmení, příslušnost ke sdružením a spolkům, fotografie způsobilé pro biometrické porovnávání, tělesné znaky, profil DNA apod.). Kategorie subjektů představuje skupiny osob, jejichž osobní údaje zpracovatel zpracovává. V praxi je třeba věnovat pozornost skupinám osob, s jejichž zpracováním osobních údajů se vážou zvláštní povinnosti – např. povinnost informovat a poučovat děti apod. Práva a povinnosti spravujícího orgánu jsou dána na volné úvaze spravujícího orgánu. Ten si může např. stanovit lhůtu, kdy převezme od zpracovatele osobní údaje nebo v souladu s čl. 32 (1) nařízení GDPR stanovit „vhodná technická a organizační opatření, aby zajistil úroveň zabezpečení odpovídající danému riziku.“

V odstavci 3 je zcela transponován čl. 22 (3) směrnice 2016/680. Jedná se o další náležitosti zpracovatelské smlouvy.

     Písemné přehledy

Odstavec 4 provádí článek 24 v rozsahu, ve kterém se použije na zpracovatele, tj. jeho odstavce 2 a 3.

     Další zpracovatel

Možnost daná v odstavci 6, aby zpracovatel pověřil zpracováním osobních údajů pro konkrétní spravující orgán dalšího zpracovatele je opět povinnou důslednou transposicí čl. 22 směrnice 2016/680. V praxi se tyto případy zatím nevyskytují.

§ 35

Závaznost pokynů spravujícího
orgánu

Zpracovatel nebo fyzická osoba, která jedná z pověření spravujícího orgánu nebo zpracovatele, může osobní údaje zpracovávat pouze podle pokynů spravujícího orgánu, nestanoví-li zákon jinak.

komentář k § 35

Podle článku 23 směrnice 2016/680 platí, že zpracovatel a kdokoli, kdo jedná z pověření správce nebo zpracovatele a má přístup k osobním údajům, může tyto osobní údaje zpracovat pouze podle pokynů správce, ledaže mu jejich zpracování ukládá právo Unie nebo členského státu.

Toto ustanovení o závaznosti pokynu spravujícího orgánu provádí článek 23 směrnice 2016/680, tedy základní pravidlo odlišující (kromě volby účelů a prostředků zpracování) spravující orgán od zpracovatele – zpracovatel (a jeho zaměstnanci) nakládá se svěřenými osobními údaji jen dle pokynu správce.

Podle tohoto článku platí, že členské státy stanoví, že zpracovatel a kdokoli, kdo jedná z pověření správce nebo zpracovatele a má přístup k osobním údajům, může tyto osobní údaje zpracovat pouze podle pokynů správce, ledaže mu jejich zpracování ukládá právo Unie nebo členského státu.

V praxi českých orgánů působících při prevenci a potírání kriminality a hrozeb veřejnému pořádku se ovšem vztah správce a zpracovatele předpokládá pouze výjimečně.

§ 36

Automatizované pořizování
záznamů

(1) Provádí-li spravující orgán automatizované zpracování osobních údajů, pořizuje záznamy alespoň o operacích shromáždění, vložení, pozměnění, kombinování, nahlédnutí, předání, sdělení a výmazu osobních údajů.

(2) Záznamy o operacích shromáždění, vložení, nahlédnutí nebo sdělení podle odstavce 1 umožňují určit a ověřit důvod a čas těchto operací, totožnost osoby provádějící operaci a totožnost příjemce, ledaže zjištění totožnosti těchto osob není z technických důvodů možné.

(3) Záznamy podle odstavce 1 lze využít pouze pro účely trestního řízení, ověření zákonnosti zpracování osobních údajů, zajištění neporušenosti zabezpečení osobních údajů a zajištění plnění úkolů spravujícího orgánu nebo zpracovatele a povinností osob, kterým se poskytuje přístup k osobním údajům.

(4) Záznamy podle odstavce 1 jsou uchovávány po dobu 3 let od výmazu osobních údajů, ke kterým se vztahují.

(5) Povinnosti spravujícího orgánu stanovené v odstavcích 1 až 4 platí pro zpracovatele obdobně.

komentář k § 36

Toto ustanovení provádí článek 25 směrnice 2016/680 a věnuje se pořizování automatických záznamů o konkrétních jednotlivých operacích (úkonech) zpracování, tj. o ukládání a využívání logů. Tyto záznamy nelze zaměňovat se záznamy o činnostech zpracování podle článku 24 téže směrnice.

V odstavci 3 se provádí článek 25(2) směrnice, který omezuje využití logů, přičemž je rozveden ve směrnici použitý obecný pojem „vlastní kontroly“.

Pro účely právní jistoty se v odstavci 4 stanoví maximální doba uchování těchto údajů, která se odvozuje od okamžiku likvidace osobních údajů, k nimž se záznamy vztahují. Vzhledem k tomu, že uchování záznamů je významným opatřením na straně správce z hlediska zajištění korektního zpracování osobních údajů, není nutno regulovat minimální dobu uchování.

Odstavec 5 v souladu se směrnicí 2016/680 stanoví, že stejné povinnosti dopadají na zpracovatele obdobně.

Logy musí spravující orgán zpřístupnit Úřadu pro ochranu osobních údajů pro účely jeho kontrolní a dozorové činnosti podle § 54 odst. 2 písm. a) a § 58 odst. 1 zákona.

§ 37

Posouzení vlivu na ochranu osobních
údajů

Je-li pravděpodobné, že určitý druh připravovaného zpracování osobních údajů povede vzhledem k jeho povaze, rozsahu, okolnostem nebo účelu k vysokému riziku neoprávněného zásahu do práv a svobod subjektů údajů, vypracuje spravující orgán posouzení vlivu takového zpracování na ochranu osobních údajů, které obsahuje alespoň

a)  obecný popis připravovaného zpracování osobních údajů a jeho operací,

b)  posouzení rizika neoprávněného zásahu do práv a svobod subjektů údajů a

c)  plánovaná opatření a vhodné záruky ke zmenšení rizika podle písmene b) a splnění povinností podle této hlavy.

komentář k § 37

Ustanovení o posouzení vlivu na ochranu osobních údajů provádí článek 27 směrnice 2016/680 o posouzení dopadů zpracování na ochranu osobních údajů v případě, že zpracování vede k vysokému riziku.

Podle tohoto článku platí, že pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, bude s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování mít za následek vysoké riziko pro práva a svobody fyzických osob, členské státy stanoví, že správce před zpracováním provede posouzení vlivu zamýšlených operací zpracování na ochranu osobních údajů.

Každé posouzení obsahuje alespoň obecný popis zamýšlených operací zpracování, posouzení rizik z hlediska práv a svobod subjektů údajů, plánovaná opatření k řešení těchto rizik, záruky, bezpečnostní opatření a mechanismy k zajištění ochrany osobních údajů a k doložení souladu s touto směrnicí, s přihlédnutím k právům a oprávněným zájmům subjektů údajů a dalších dotčených osob.

Podle recitálu 51 směrnice 2016/680 se rizikem pro práva a svobody subjektu údajů rozumí možnost vzniku újmy, např. diskriminace, zneužití totožnosti, finanční ztráta, poškození pověsti, neoprávněné odstranění pseudonymizace nebo jiné významné znevýhodnění.

Spravující orgán by v praxi měl před každým novým pracováním osobních údajů zvážit, zda by ze zpracování mohla vyplynout nějaká rizika neoprávněného zásahu do práv a svobod subjektu údajů. Tato rizika se musí jednoznačně identifikovat, posoudit míru jejich závažnosti (s ohledem na pravděpodobnost jeho výskytu a závažnost dopadu) a navrhnout řešení pro každé jednotlivé riziko (snížení rizika).

§ 38

Projednání s Úřadem

(1) Má-li připravovaným zpracováním osobních údajů vzniknout nová evidence, spravující orgán podá Úřadu žádost o projednání takového zpracování, pokud

a)  z posouzení podle § 37 vyplývá vysoké riziko neoprávněného zásahu do práv a svobod subjektů údajů, nebo

b)  druh zpracování osobních údajů, s přihlédnutím k využití nových technologií nebo postupů, vede k vysokému riziku zásahu do práv a svobod subjektů údajů.

(2) Součástí žádosti podle odstavce 1 je posouzení vlivu podle § 37; na vyžádání Úřadu spravující orgán poskytne i jiné související informace.

(3) Úřad může vydat seznam zpracování osobních údajů, která je spravující orgán povinen projednat s Úřadem. O takových zpracováních Úřad spravující orgán informuje.

(4) Má-li Úřad za to, že by připravované zpracování osobních údajů porušilo ustanovení této hlavy nebo ustanovení jiného právního předpisu upravujícího zpracování osobních údajů, upozorní na to spravující orgán do 6 týdnů ode dne podání žádosti podle odstavce 1, popřípadě uplatní další své pravomoci. Tuto lhůtu může Úřad s ohledem na složitost věci prodloužit o 1 měsíc; o prodloužení lhůty Úřad informuje spravující orgán do 1 měsíce ode dne podání žádosti.

komentář k § 38

Podle článku 28 směrnice 2016/680 platí, že členské státy stanoví, že správce nebo zpracovatel konzultuje s dozorovým úřadem před zpracováním osobních údajů, které budou součástí nové evidence, jež má být vytvořena, pokud:

a) z posouzení vlivu na ochranu osobních údajů podle článku 27 vyplývá, že by dané zpracování mělo za následek vysoké riziko v případě, že by správce nepřijal opatření ke zmírnění tohoto rizika; nebo

b) druh zpracování, zejména při využití nových technologií, mechanismů nebo postupů, s sebou nese vysoké riziko pro práva a svobody subjektů údajů.

Toto ustanovení transponuje tento článek do našeho práva a zavádí konzultace s Úřadem pro ochranu osobních údajů v případech, kdy vysoké riziko způsobuje nová technologie (například rozeznávání osob podle záznamu jejich chůze) nebo kdy jsou např. pochybnosti, že je vysoké riziko kompenzováno plánovanými opatřeními správce.

Evropský sbor pro ochranu osobních údajů přijal „Pokyny pro posouzení vlivu na ochranu údajů a stanovení, zda „je pravděpodobné, že zpracování údajů bude mít za následek vysoké riziko“ pro účely nařízení 2016/679“ (WP 248/17), k disposici na webových stránkách Úřadu pro ochranu osobních údajů.

Posouzení vlivu na ochranu osobních údajů je jedním z hlavních nástrojů pro zajištění souladu s nařízením v případech, kdy je plánováno nebo se počítá s vysoce rizikovým zpracováním údajů. To znamená, že správci údajů by měli stanovit, zda má být posouzení vlivu na ochranu osobních údajů provedeno, či nikoli, a to za pomoci kritérií stanovených v tomto dokumentu. Správce údajů by měl rozšířit tento seznam prostřednictvím interních zásad o další požadavky doplňující právní požadavky obecného nařízení o ochraně osobních údajů. To by mělo posílit důvěru a jistotu subjektů údajů i dalších správců údajů.

Důležité

     Pokud se počítá s pravděpodobným vysokým rizikem zpracování, správce údajů musí:

- zvolit metodiku posouzení vlivu na ochranu osobních údajů (příklady jsou uvedeny v příloze 1 Pokynů), která splňuje kritéria uvedená v příloze 2 Pokynů, nebo stanovit a zavést postup systematického posouzení vlivu na ochranu osobních údajů, který:

-   splňuje kritéria uvedená v příloze 2 Pokynů,

-   je začleněn do stávajících postupů návrhu, vývoje, změn, rizik a operačního přezkumu, a to v souladu s vnitřními postupy, kontextem a kulturou,

-   zahrnuje příslušné zúčastněné strany a jednoznačně vymezuje jejich odpovědnosti (správce, pověřenec pro ochranu osobních údajů, subjekty údajů nebo jejich zástupci, podniky, technické služby, zpracovatelé, pověřenec pro bezpečnost informačních systémů atd.),

- předkládat zprávu o posouzení vlivu na ochranu osobních údajů příslušnému dozorovému úřadu, pokud je mu tato povinnost uložena,

- konzultovat dozorový úřad, pokud se nepodařilo stanovit dostatečná opatření na snížení vysokého rizika,

- pravidelně provádět přezkum posouzení vlivu na ochranu osobních údajů a zpracování, které posuzuje, alespoň pokud existuje určitá pravděpodobnost, že zpracování operace bude spojeno s určitým rizikem,

- zdokumentovat přijatá rozhodnutí.

§ 39

Zásah na základě automatizovaného zpracování

Spravující orgán může na základě výhradně automatizovaného zpracování osobních údajů zasáhnout do práv a právem chráněných zájmů subjektu údajů nebo způsobit jiný obdobně závažný následek pro subjekt údajů, jen pokud to výslovně stanoví jiný zákon.

komentář k § 39

Článek 11 směrnice 2016/680 ukládá členským státům povinnost stanovit, že rozhodování založené výhradně na automatizovaném zpracování včetně profilování, které má pro subjekt údajů nepříznivé právní účinky nebo se ho významně dotýká, je zakázáno, není-li povoleno právem Unie nebo členského státu, kterému správce podléhá a jež poskytuje vhodné záruky práv a svobod subjektu údajů, alespoň práva na lidský zásah ze strany správce.

Toto ustanovení transponuje tento článek do našeho práva. Vzhledem k tomu, že v rámci činností podléhajících směrnici (tj. prevence a potírání trestné činnosti a hrozeb veřejné bezpečnosti a souvisejících) se zásadně zásahy do práv neprovádí automaticky (tj. nepřijímá se opatření ovlivňující právní postavení nebo podobně závažné jiné opatření pouze na základě počítačového profilování nebo podobné automatické techniky), je stanoveno, že takové rozhodování bude možné, pouze pokud jej (budoucí) zákon výslovně povolí. Toto ustanovení nevylučuje automatizovanou fázi analýzy rizika, například při tipování podezřelých osob nastupujících do letadla; podmínkou však je, že před jakýmkoli zásahem dojde k posouzení situace člověkem.

§ 40

Zabezpečení zpracování osobních
údajů

(1) Spravující orgán přijme taková organizační a technická opatření, aby zajistil úroveň zabezpečení osobních údajů odpovídající povaze, rozsahu, okolnostem, účelu a riziku jejich zpracování.

(2) Jsou-li osobní údaje zpracovávány automatizovaně, spravující orgán přijme nezbytná opatření, aby

a)  tyto osobní údaje zabezpečil před neoprávněným přístupem, přenosem, změnou, zničením, ztrátou, odcizením, zneužitím nebo jiným neoprávněným zpracováním,

b)  zajistil obnovitelnost těchto osobních údajů,

c)  zajistil možnost určit a ověřit osobu, která tyto osobní údaje vložila nebo které byly prostřednictvím zařízení pro přenos údajů předány nebo zpřístupněny,

d)  zajistil bezpečnost a spolehlivost informačního systému, který tyto osobní údaje obsahuje, včetně hlášení výskytu chyb, a

e)  zabránil v neoprávněném přístupu k nosiči těchto osobních údajů nebo zařízení užívanému k jejich zpracování.

(3) Povinnosti spravujícího orgánu stanovené v odstavcích 1 a 2 platí pro zpracovatele ob­dobně.

komentář k § 40

Článek 29 směrnice 2016/680 ukládá členským státům především povinnost stanovit, že správce a zpracovatel, s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provedou vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku, zejména pokud jde o zpracování zvláštních kategorií osobních údajů uvedených v článku 10.

Toto ustanovení tento článek transponuje od našeho právního řádu. V odstavci 1 se stanoví obecná povinnost zpracování, odstavec 2 shrnuje jednotlivé formy zabezpečení automatizovaného zpracování obdobně, jako to činí odstavec 2 článku 29 směrnice 2016/680.

Je třeba zdůraznit, že zabezpečení osobních údajů není jednorázovým aktem, ale procesem, při kterém by měl spravující orgán s ohledem na měnící se technologie, zjištěná rizika či měnící se okolnosti přizpůsobovat technická a organizační opatření tak, aby údaje byly vždy zabezpečeny odpovídajícím způsobem. Spravující orgán v praxi vydává k zabezpečení osobních údajů různé interní akty, které upravují nakládání s osobními údaji jednotlivými zaměstnanci.

§ 41

Ohlašování porušení zabezpečení osobních údajů Úřadu

(1) Spravující orgán ohlásí bez zbytečného odkladu porušení zabezpečení osobních údajů Úřadu, ledaže je riziko neoprávněného zásahu do práv a svobod subjektu údajů nízké.

(2) Pokud spravující orgán provede ohlášení po více než 72 hodinách od okamžiku, kdy se o něm dozvěděl, připojí k němu odůvodnění tohoto prodlení.

(3) V ohlášení podle odstavce 1 spravující orgán uvede, pokud jsou mu tyto údaje známy, alespoň

a)  popis povahy porušení zabezpečení osobních údajů,

b)  kategorie a přibližný počet subjektů údajů a záznamů osobních údajů, kterých se porušení zabezpečení týká,

c)  jméno a kontaktní údaje pověřence nebo jiného pracoviště, které poskytne bližší informace k porušení zabezpečení osobních údajů,

d)  popis pravděpodobných důsledků porušení zabezpečení osobních údajů a

e)  popis opatření přijatých nebo navržených spravujícím orgánem k nápravě nebo zmírnění újmy způsobené porušením zabezpečení osobních údajů.

(4) Skutečnosti podle odstavce 3, které mu nebyly v době ohlášení známy, spravující orgán doplní bez zbytečného odkladu poté, co se o nich dozví.

(5) Skutečnosti podle odstavce 3 sdělí spravující orgán též osobě nebo orgánu jiného členského státu Evropské unie, který osobní údaje poskytl nebo obdržel.

(6) Spravující orgán vede o každém porušení zabezpečení osobních údajů, jeho důsledcích a přijatých nápravných opatřeních dokumentaci, kterou uchovává nejméně 3 roky.

komentář k § 41

Pojem porušení zabezpečení osobních údajů je v zákoně definován pomocí § 24 odst. 2, tj. odkazem na čl. 12 (4) nařízení GDPR, které obsahuje shodnou definici jako čl. 3 (11) směrnice 2016/680. Porušením zabezpečení se rozumí „ porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně či neoprávněnému poskytnutí nebo zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů“.

Článek 30 směrnice 2016/680 ukládá členským státům povinnost stanovit, že správce jakékoli porušení zabezpečení osobních údajů ohlásí dozorovému úřadu bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob. Pokud není ohlášení dozorovému úřadu učiněno do 72 hodin, musí být současně s ním uvedeny důvody tohoto zpoždění.

Toto ustanovení tento článek transponuje do našeho právního řádu a stanoví zásady ohlašování „technického“ porušení zabezpečení údajů, například ztrátu nosiče dat, ztrátu zařízení, které může přistupovat k údajům uloženým v evidenci, nebo např. odhalené případy kybernetických útoků na relevantní databáze nebo informační systémy.

Ustanovení se nevztahuje na celý veřejný sektor, ale na ty složky, které jsou nejlépe schopné zajistit integritu svých databází a vyšetřit případné úniky a narušení bezpečnosti. Jde naopak o motivaci správce zajistit adekvátní ochranu osobních údajů preventivně, tj. snížit riziko plynoucí z úniku nejen organizačními a technickými bezpečnostními opatřeními, ale také minimalizací dat, jejich pseudonymizace, šifrováním apod.

Důrazně se doporučuje, aby spravující orgán vedl záznamy o každém porušení zabezpečení osobních údajů, včetně interního vyhodnocení, přijatých opatřeních k zabránění opakování nežádoucího stavu v budoucnosti a další případnou dokumentaci vztahující se k porušení zabezpečení, a to po dobu 3 let od daného bezpečnostního incidentu. Uchovávat je tak nezbytné informace nejen o porušení zabezpečení s vysokým a středním rizikem, ale každé porušení zabezpečení.

§ 42

Oznamování porušení zabezpečení osobních údajů subjektu údajů

(1) Spravující orgán oznámí bez zbytečného odkladu porušení zabezpečení osobních údajů subjektu údajů, pokud je riziko neoprávněného zásahu do práv a svobod subjektu údajů plynoucí z tohoto porušení vysoké.

(2) V oznámení spravující orgán uvede alespoň údaje uvedené v § 41 odst. 3 písm. a) a c) až e).

(3) Pokud by oznámení subjektu údajů podle odstavce 1 vyžadovalo nepřiměřené úsilí, spravující orgán oznámení vhodným způsobem zveřejní.

(4) Spravující orgán není povinen porušení zabezpečení osobních údajů oznámit, pokud

a)  provedená technická a organizační opatření zajišťují, že dotčené osobní údaje nelze zneužít, nebo

b)  následná opatření spravujícího orgánu významně snížila riziko neoprávněného zásahu do práv a svobod subjektu údajů.

(5) O existenci vysokého rizika neoprávněného zásahu do práv a svobod subjektu údajů nebo o splnění podmínek podle odstavce 4 může rozhodnout také Úřad.

(6) Spravující orgán porušení zabezpečení osobních údajů neoznámí, popřípadě oznámí pouze částečně, pokud by oznámením došlo k ohrožení podle § 28 odst. 2.

komentář k § 42

Podle článku 31 směrnice 2016/680 musí členské státy stanovit, že správce oznámí případy porušení zabezpečení osobních údajů bez zbytečného odkladu subjektu údajů, pokud je pravděpodobné, že toto porušení bude mít za následek vysoké riziko pro práva a svobody fyzických osob.

Podle tohoto ustanovení se ty případy narušení, jež upravuje předchozí článek, a které znamenají velké riziko pro subjekt údajů, sdělují subjektům údajů.

V odstavci 4 se upravují výjimky, případy, kdy spravující orgán není povinen porušení zabezpečení osobních údajů oznámit.

Podle odstavce 5 je Úřad pro ochranu osobních údajů oprávněn rozhodnout, že daný případ porušení zabezpečení představuje pro subjekt údajů vysoké riziko a že je spravující orgán povinen je o incidentu vyrozumět. Zároveň však Úřad pro ochranu osobních údajů musí posoudit i okolnosti zakládající možnost subjekt údajů o porušení neinformovat, a to z důvodů uvedených v odstavci 4.

Poslední výjimkou, kdy spravující orgán porušení zabezpečení neoznámí, případně oznámí pouze částečně, za stejných podmínek, jako v případě nevyhovění žádosti subjektu údajů o přístup k osobním údajům podle § 28 odst. 2 zákona, tedy zejména v případech, kdy by oznámením došlo k ohrožení prevence, odhalování, vyšetřování či stíhání trestných činů nebo výkonu trestu, přestupkového řízení, ohrožení utajovaných informací či oprávněných zájmů třetích osob.

HLAVA IV

OCHRANA OSOBNÍCH ÚDAJŮ PŘI ZAJIŠŤOVÁNÍ OBRANNÝCH A BEZPEČNOSTNÍCH ZÁJMŮ ČESKÉ REPUBLIKY

k  nadpisu hlavy IV

Ustanovení této hlavy, konkrétně § 43 až § 49 zákona se týkají ochrany osobních údajů při zajišťování obranných a bezpečnostních zájmů České republiky.

Reforma ochrany osobních údajů, kterou přineslo nařízení GDPR a směrnice 2016/680, přenesla existující hmotněprávní ustanovení, která jsou provedením směrnice 95/46(ES), do přímo použitelného nařízení GDPR. Pokud jde o směrnici 2016/680, jsou tato ustanovení významně upravena a nově provedena dílem v hlavě III. zákona, dílem ve zvláštních zákonech (např. zákon o Policii ČR, zákon o Vojenské policii, zákon o Celní správě ČR).

Z toho důvodu platí, že se reforma ochrany osobních údajů zásadně nevztahuje na zpracování osobních údajů například zpravodajskými službami, protože Evropská unie nemá působnost v oblasti národní bezpečnosti a právo Evropské unie se na tuto oblast nevztahuje.

Zásadně platí, že Úřad pro ochranu osobních údajů nevykonává dozor nad zpracováním osobních údajů zpravodajskými službami.

Kromě zpracování prováděného zpravodajskými službami spadají do působnosti této hlavy další zpracování, u kterých je to odůvodněné jejich předmětem nebo účelem (např. povolávání branců, resp. obrana státu) nebo podmínkami, ve kterých probíhají (např. zpracování za krizového stavu, při požáru apod.). V souvislosti s řešením mimořádné události v časové tísni se často zpracovávají i osobní údaje, byť jde o mnohdy nesystémové (incidenční) zpracování, např. tísňový hovor linky 112, zásah na místě a hlášení na krajská operační a informační střediska Hasičského záchranného sboru ČR z místa zásahu, zpracování zprávy o zásahu. Zpravidla nejsou tyto informace (i osobní údaje) ukládány ve strukturované podobě (jsou např. jen v textové položce) nebo nejsou ucelené a někdy mohou být i mylné nebo neověřené. Zpracování ve strukturované podobě často není možné z časových důvodů. Také tato zpracování se řídí ustanovením hlavy IV, což odpovídá platné úpravě podle zákona 101/­2000 Sb.

Do budoucna je ovšem nutno uvést, že vzhledem k pracím na modernizaci výše uvedené Úmluvy o ochraně osob se zřetelem na automatizované zpracování osobních dat, které by měly být v dohledné době v rámci Rady Evropy dokončeny, bude nejen vhodné, ale také nutné, přistoupit k důkladné revizi ustanovení o ochraně osobních údajů v této oblasti. Vzhledem k tomu, že modernizace dosud dokončena není, ani není znám finální rozsah dopadů na zpracování prováděné k ochraně bezpečnostních a obranných zájmů ČR, a protože je nezbytné přijmout transpoziční a adaptační úpravu, bylo navrženo tuto oblast řešit pozdější změnou zákona a pro, jak zpracovatel předpokládá, relativně krátké období do dokončení modernizace výše uvedené Úmluvy, ponechat stávající znění.

Úřad pro ochranu osobních údajů nevykonává dozor nad zpracováním osobních údajů zpravodajských služeb, jak konečně vyplývá z § 54 odst. 4 zákona. Obecně dozor nad zpravodajskými službami je upraven v § 12 odst. 1 zákona č. 153/­1994 Sb., o zpravodajských službách České republiky, z něhož vyplývá, že činnost zpravodajských služeb podléhá kontrole vlády, Poslanecké sněmovny a Orgánu nezávislé kontroly zpravodajských služeb ČR.

§ 43

(1) Ustanovení této hlavy se použijí při zpracování osobních údajů k zajišťování obranných a bezpečnostních zájmů České republiky, pokud jiný právní předpis⁶⁾ nestanoví jinak.

(2) Pro účely této hlavy se použije čl. 4 body 1, 2, 6 až 8, 9 a 11 nařízení Evropského parlamentu a Rady (EU) 2016/679 obdobně.

(3) Správce může zpracovávat osobní údaje pouze se souhlasem subjektu údajů. Bez tohoto souhlasu může správce osobní údaje zpracovávat, jestliže

a)  provádí zpracování nezbytné pro dodržení povinnosti správce,

b)  je zpracování nezbytné pro plnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro jednání o uzavření nebo změně smlouvy uskutečněné na návrh subjektu údajů,

c)  je zpracování nezbytné k ochraně životně důležitých zájmů subjektu údajů; v tomto případě je třeba bez zbytečného odkladu získat jeho souhlas, jinak musí správce toto zpracování ukončit a údaje vymazat,

d)  se jedná o oprávněně zveřejněné osobní údaje,

e)  je zpracování nezbytné pro ochranu práv nebo právem chráněných zájmů správce, příjemce nebo jiné dotčené osoby; takové zpracování osobních údajů však nesmí být v rozporu s právem subjektu údajů na ochranu jeho soukromého a osobního života,

f)  poskytuje osobní údaje o veřejně činné osobě, funkcionáři nebo zaměstnanci orgánu veřejné správy, které vypovídají o jeho veřejné nebo úřední činnosti nebo funkčním nebo pracovním zařazení, nebo

g)  se jedná o zpracování výlučně pro účely archivnictví.

(4) Subjekt údajů musí být před udělením souhlasu informován o tom, pro jaký účel zpracování osobních údajů a k jakým osobním údajům je souhlas dáván, jakému správci a na jaké období. Souhlas subjektu údajů se zpracováním osobních údajů musí být správce schopen prokázat po celou dobu jejich zpracování.

(5) Povinnosti stanovené v odstavcích 3 a 4 platí pro zpracovatele obdobně.

komentář k § 43

Podle úvodního ustanovení (recitálu 14) směrnice 2016/680 se tato směrnice nevztahuje na zpracování osobních údajů prováděné při výkonu činností, které nespadají do oblasti působnosti práva Unie, neměly by být za činnosti spadající do oblasti působnosti této směrnice považovány činnosti týkající se národní bezpečnosti, činnosti agentur nebo jednotek zabývajících se otázkami národní bezpečnosti ani zpracování osobních údajů členskými státy při výkonu činností spadajících do oblasti působnosti hlavy V kapitoly 2 Smlouvy o Evropské unii.

Předmětné ustanovení je souladné s ustanovením § 24 zákona. Do výlučné působnosti hlavy IV zákona zahrnuje veškeré zpracování osobních údajů zpravodajskými službami podle:

–   zákona č. 153/­1994 Sb., o zpravodajských službách České republiky

–   zákona č. 154/­1994 Sb., o Bezpečnostní informační službě,

–   zákona č. 219/­1999 Sb., o ozbrojených silách České republiky,

–   zákona č. 221/­1999 Sb., o vojácích z povo­lání,

–   zákona č. 222/­1999 Sb., o zajišťování obrany České republiky,

–   zákona č. 240/­2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon),

–   zákona č. 241/­2000 Sb., o hospodářských opatřeních pro krizové stavy a o změně některých souvisejících zákonů,

–   zákona č. 585/­2004 Sb., o branné povinnosti a jejím zajišťování (branný zákon),

–   zákona č. 289/­2005 Sb., o Vojenském zpravodajství,

–   zákona č. 412/­2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti

–   zákona č. 320/­2015 Sb., o Hasičském záchranném sboru České republiky a o změně některých zákonů (zákon o hasičském záchranném sboru), a

–   zákona č. 45/­2016 Sb., o službě vojáků v záloze.

V tomto ustanovení se stanoví obecné povinnosti spravujícího orgánu.

Kromě zpracování prováděného zpravodajskými službami spadají do působnosti hlavy IV další zpracování, u kterých je to odůvodněno jejich předmětem nebo účelem (např. povolávání branců, resp. obrana státu) nebo podmínkami ohrožení, ve kterých probíhají (např. zpracování za krizového stavu, při požáru apod.). V praxi se jedná zejména o zpracování osobních údajů při mimořádné události (tak např. tísňové hovory na lince 112 nebo hlášení z místa zásahu na krajská operační a informační střediska Hasičského záchranného sboru).

Z hlediska povahy správců osobních údajů podle hlavy IV bude souhlas se zpracováním osobních údajů pouze zřídka právním důvodem pro zpracování. V převážné většině případů dochází ke zpracování osobních údajů na základě zákonného zmocnění. Tak např. Národní bezpečnostní úřad zpracovává osobní údaje na základě § 138 odst. 1 písm. a) zákona č. 412/­2015 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti. Zákon č. 153/­1994 Sb., o zpravodajských službách České republiky stanoví, že: „Používání specifických prostředků získávání informací a vedení evidencí obsahujících údaje o osobách Bezpečnostní informační službou a Vojenským zpravodajstvím, jakož i postavení příslušníků zpravodajských služeb a jejich služební poměry upravují zvláštní zákony“, přičemž odkazuje na zákon č. 289/­2005 Sb., o Vojenském zpravodajství, zákon č. 154/­1994 Sb., o Bezpečnostní informační službě a na zákon č. 361/­2003 Sb., o služebním poměru příslušníků bezpečnostních sborů. Například zákon č 154/­1994 Sb., o Bezpečnostní informační službě obsahuje několik ustanovení vztahujících se ke zpracování osobních údajů, o oprávnění k využívání zpravodajské techniky a o využívání krycích dokladů (jejich ukládá, uchovávání).

Ve všech případech je právní úprava hlavy IV zákona „Ochrana osobních údajů při zajišťování obranných a bezpečnostních zájmů České republiky“ subsidiární vůči speciálně úpravě obsažené ve výše uvedených speciálních zákonech.

V odstavci 2 se odkazuje na definice pojmu „osobní údaje“, „zpracování“, evidence“, „správce“, „zpracovatel“, „příjemce“ a „souhlas“, jak jsou definovány v článku 4 nařízení GDPR.

V odstavci 3 se v taxativním výčtu uvádí, v kterých konkrétních případech mohou správci zpracovávat údaje. Vzhledem k závazkům ČR plynoucím z Úmluvy o ochraně osob se zřetelem na automatizované zpracování osobních dat, vyhlášené pod č. 115/­2001 Sb. m. s. a Dodatkového protokolu k ní vyhlášeného pod č. 29/­2005 Sb. m. s., které mají širší působnost, je však namístě ponechat relevantní ustanovení nadále v platnosti pro tuto oblast. Přitom se zásadně vychází z platného právního stavu, zejména z výjimek, které stanovil § 3 odst. 6 zákona č. 101/­2000 Sb., o ochraně osobních údajů, jakož i z povahy věci (neupravují se kupříkladu zpracování za účelem nabízení služeb nebo registrace zpracování, která se obecně ruší) a částečně i ze vztahu speciality. Z toho důvodu se zvlášť neupravuje možnost zpravodajských služeb zpracovávat citlivé osobní údaje, protože zpravodajské služby mají podle jiných zákonů oprávnění zpracovávat jakékoli osobní údaje bez rozdílu.

Odstavec 4 obsahuje základní povinnost informování subjektu o účelu zpracování osobních údajů.

Odstavec 5 vztahuje povinnosti uvedené v odstavcích 3 a 4 i na zpracovatele, tedy fyzickou nebo právnickou osobu, orgán veřejné moci, agenturu nebo jiný subjekt, který zpracovává osobní údaje pro správce.

§ 44

Pokud pověření nevyplývá z jiného právního předpisu, musí správce se zpracovatelem uzavřít smlouvu o zpracování osobních údajů. Smlouva musí mít písemnou formu. Musí v ní být zejména výslovně uvedeno, v jakém rozsahu, za jakým účelem a na jakou dobu se uzavírá, a musí obsahovat záruky zpracovatele o přijetí a dodržování technických a organizačních opatření k zajištění bezpečnosti a ochrany osobních údajů.

komentář k § 44

V zájmu právní jistoty nejen správce a zpracovatele, ale i subjektů údajů a dalších osob je stanoveno, aby pověření podle zákona nebo pověření podle jiného předpisu mělo písemnou podobu. Kromě obvyklých náležitostí se výslovně stanoví, jaký má být jeho obsah. Smlouva musí obsahovat výslovný rozsah a účel zpracování, na jakou dobu a z jakého důvodu se smlouva uzavírá, dále musí být zajištěno zabezpečení osobních údajů, tedy zpracovatel musí přijmout vhodné záruky a podniknout kroky k zabezpečení dat.

Ustanovení věcně přebírá obsah § 6 zákona č. 101/­2000 Sb., o ochraně osobních údajů.

V praxi české zpravodajské služby je praktická aplikace tohoto ustanovení výjimečnou záležitostí.

§ 45

Jestliže zpracovatel zjistí, že správce porušuje povinnosti stanovené tímto zákonem nebo jiným právním předpisem⁶⁾, je povinen jej na to neprodleně upozornit a ukončit zpracování osobních údajů. Pokud tak neučiní, odpovídá za škodu společně a nerozdílně se správcem.

komentář k § 45

Pod pojmem „správce“ se rozumí fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely a prostředky tohoto zpracování určeny právem Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení a pod pojmem „zpracovatel“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce;

Ustanovení řeší jejich společnou odpovědnost za škodu vzniklou porušením povinnosti stanovené tímto zákonem nebo zvláštními zákony (viz komentář k ustanovení § 43) při zpracování osobních údajů.

V ustanovení se odkazuje na tuto hlavu nebo jiný zákon, přičemž odpovídající § 21 zákona č. 101/­2000 Sb., o ochraně osobních údajů odkazoval pouze na zákon. Myšleny jsou zejména zákony o zpravodajských službách, případně jiné zákony, upravující zpracování za účelem ochrany národní bezpečnosti.

V odborné literatuře se diskutuje otázka, zda má jít o úplné ukončení zpracování, o ukončení „aktivního“ nakládání s osobními údaji, nebo pouze o ukončení operací, které představují porušení povinnosti stanovené zákonem o zpracování osobních údajů nebo jiným předpisem a operací bezprostředně souvisejících. Bylo by asi nepřiměřené, a často i v rozporu se zájmy subjektů údajů, kdyby zpracovatel kvůli dílčímu porušení povinnosti osobní údaje např. zlikvidoval a provedl ukončení veškerých operací zpracování.

Předmětné ustanovení je převzato z § 8 zákona č. 101/­2000 Sb., o ochraně osobních údajů. Důvodová zpráva tehdy k němu požadovala, aby zpracovatel „přestal nakládat s údaji“, čímž by posílena ochrana subjektů.

Povinnosti osob při zabezpečení osobních údajů

§ 46

(1) Správce je povinen přijmout taková technická a organizační opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení, ztrátě, neoprávněnému přenosu nebo jinému neoprávněnému zpracování nebo zneužití. Tato povinnost platí i po ukončení zpracování osobních údajů.

(2) Správce je povinen přijmout technická a organizační opatření k zajištění ochrany osobních údajů v souladu se zákonem a jinými právními předpisy. Správce vede o přijatých technických a organizačních opatřeních dokumentaci, kterou uchovává po dobu zpracování osobních údajů.

(3) V rámci opatření podle odstavce 1 správce posuzuje rizika týkající se oblastí

a)  plnění pokynů pro zpracování osobních údajů osobami, které mají bezprostřední přístup k osobním údajům,

b)  zabránění neoprávněným osobám přistupovat k osobním údajům a k prostředkům pro jejich zpracování,

c)  zabránění neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě nebo vymazání záznamů obsahujících osobní údaje a

d)  opatření, která umožní určit a ověřit, komu byly osobní údaje předány.

(4) Při automatizovaném zpracování osobních údajů je správce v rámci opatření podle odstavce 1 dále povinen

a)  zajistit, aby systém pro automatizované zpracování osobních údajů používala pouze oprávněná fyzická osoba,

b)  zajistit, aby oprávněná fyzická osoba měla přístup pouze k osobním údajům odpovídajícím jejímu oprávnění, a to na základě zvláštního uživatelského oprávnění zřízeného výlučně pro tuto osobu,

c)  pořizovat elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány, a

d)  zabránit neoprávněnému přístupu k datovým nosičům.

(5) Povinnosti stanovené v odstavcích 1 až 4 platí pro zpracovatele obdobně.

komentář k § 46

Zajištění bezpečnosti osobních údajů formou přijetí technických a organizačních opatření je jedním ze základních principů ochrany osobních údajů a tato základní zásada je promítnuta i po povinností správce řídícího se hlavou IV.

Správce i zpracovatel jsou při zajišťování zabezpečení povinni přijmout zejména vhodná technická a organizační opatření, které zajistí, že s osobními údaji bude nakládáno dle zákona. O přijatých opatřeních je správce povinen vést příslušnou dokumentaci. Dokumentace bude sloužit především k tomu, aby v případě kontroly či pochybení bylo možné dokumentovat, jaké kroky a proč byly pro zabezpečení údajů učiněny.

Musí být zajištěno jednak zabezpečení osobních údajů ze strany osob, které k nim přistupují, např. přijetím vhodných interních aktů, kde jsou jasně vymezeny pravomoci jednotlivých osob a zároveň jejich povinnosti (např. zákaz pořizovat kopie). Tyto povinnosti v praxi spočívají v nutnosti dodržovat stanovené prvky zabezpečení jako je uzamčený PC i při krátkodobé nepřítomnosti v kanceláři, zamčená kancelář apod.

Z hlediska specifik správců, kteří se řídí hlavou IV. se jedná o standardní situace. Zpravodajské služby často pracují s utajovanými informacemi a zde jde o režimová pracoviště se silným zabezpečením, kde opatření k zajištění ochrany osobních údajů jsou nedílnou součástí zajištění obecně.

Obecné ustanovení o povinnostech správce a zpracovatele při zabezpečení osobních údajů odpovídá právní úpravě obsažené v zákoně č. 101/­2000 Sb., o ochraně osobních údajů.

Z ustanovení § 6 zákona č. 101/­2000 Sb., o ochraně osobních údajů byl do odstavce 1 a 2 převzat obrat „technická a organizační opatření“, protože tento pojem vystihuje podstatu věci.

Odstavec 2 ukládá správci a zpracovateli povinnost vést dokumentaci o přijatých technických a organizačních opatření.

Odstavec 3 v taxativním výčtu vyjmenovává, která rizika musí správce a zpracovatel v rámci technických a organizačních opatření identifikovat, posuzovat.

Odstavec 4 se týká speciálně automatizovaného zpracování osobních údajů a stanoví další povinnosti nad rámec odstavce 1.

Odstavec 5 vztahuje obsah ustanovení na zpracovatele.

§ 47

Zaměstnanci správce nebo zpracovatele, jiné osoby, které zpracovávají osobní údaje na základě smlouvy se správcem nebo zpracovatelem, nebo osoby, které v rámci plnění zákonem stanovených oprávnění a povinností přicházejí do styku s osobními údaji u správce nebo zpracovatele, jsou povinni zachovávat mlčenlivost o osobních údajích a o organizačních a technických opatřeních, jejichž zveřejnění by ohrozilo bezpečnost osobních údajů. Povinnost mlčenlivosti trvá i po skončení zaměstnání nebo příslušných prací.

komentář k § 47

Důležité

     Ustanovení zakládá povinnost mlčenlivosti všem zaměstnancům správce a zpracovatele, které zpracovávají osobní údaje a osobám, které v rámci plnění zákonem stanovených povinností přicházejí u nich do styku s osobními údaji.

Navíc příslušníci působící ve služebním poměru jsou v souladu s § 45 odst. 1 písm. c) zákona č. 361/­2003 Sb., o služebním poměru příslušníků bezpečnostních sborů vázáni obecnou zásadou zachovávat mlčenlivost o skutečnostech, o nichž se dozvěděli při výkonu služby; to neplatí pouze tehdy, byli-li této povinnosti zproštěni služebním funkcionářem, nebo pokud jiný zákon nestanoví jinak.

Povinnost mlčenlivosti trvá pro zaměstnance i po skončení zaměstnání, jedná se tedy o speciální ustanovení ve vztahu k zákoníku práce.

Je třeba zdůraznit, že vzhledem k zařazení předmětného ustanovení do hlavy IV. dopadá povinnost mlčenlivosti pouze na malé množství správců. Podle důvodové zprávy se zákonem o zpracování osobních údajů nestanoví další povinnosti nad rámec nařízení GDPR. Samo nařízení GDPR tuto povinnost nestanoví, proto je v praxi třeba vycházet ze zvláštních zákonů a tam, kde zpracovatelé nemohou spoléhat na zákonem stanovenou povinnost mlčenlivosti, musí ji zajistit smluvně nebo vnitřními předpisy.

§ 48

Výmaz osobních údajů

Správce nebo na základě jeho pokynu zpracovatel je povinen provést výmaz osobních údajů, jakmile pomine účel, pro který byly osobní údaje zpracovány, nebo na základě žádosti subjektu údajů podle § 49.

komentář k § 48

Ustanovení transponuje do našeho právního řádu článek 16 „Právo na opravu nebo výmaz osobních údajů a omezení zpracování“ směrnice 2016/680. Stanoví povinnost správci a zpracovateli provést výmaz osobních údajů, jakmile pomine účel, pro který byly zpracovány, nebo na základě žádosti podle § 49 zákona.

Výmaz zahrnuje jak fyzickou likvidaci (skartaci papírového dokumentu), tak výmaz z automatizovaných systémů. Mezi obvyklé způsoby, jak vyloučit zpracování již nepotřebných osobních údajů, patří stanovení dob výmazu pro jasné a přesně definované kategorie dat, stanovení skartačních lhůt pro jednotlivé spisy nebo stanovení termínu, v kterém bude potřebnost dalšího zpracování dat opět posouzena.

§ 49

Ochrana práv subjektu údajů

(1) Každý subjekt údajů, který má za to, že správce nebo zpracovatel provádí zpracování jeho osobních údajů, které je v rozporu s ochranou soukromého a osobního života subjektu údajů nebo s touto hlavou, zejména jsou-li osobní údaje nepřesné s ohledem na účel jejich zpracování, může

a)  požádat správce nebo zpracovatele o vysvětlení, nebo

b)  požadovat, aby správce nebo zpracovatel odstranil takto vzniklý stav, zejména provedením opravy, doplněním nebo výmazem osobních údajů.

(2) Je-li žádost subjektu údajů podle odstavce 1 písm. b) shledána oprávněnou, správce nebo zpracovatel bez zbytečného odkladu odstraní závadný stav.

(3) Došlo-li při zpracování osobních údajů k porušení povinností uložených zákonem u správce nebo u zpracovatele, odpovídají za újmu společně a nerozdílně.

(4) Správce je povinen bez zbytečného odkladu informovat příjemce o žádosti subjektu údajů podle odstavce 1 a o opravě, doplnění nebo výmazu osobních údajů. To se nepoužije, je-li informování příjemce nemožné nebo by vyžadovalo neúměrné úsilí.

komentář k § 49

I toto ustanovení (stejně jako ustanovení § 48 zákona) transponuje článek 16 směrnice 2016/680. Navíc bylo převzato z § 21 zákona č. 101/­2000 Sb., o ochraně osobních údajů.

V odstavci 1 stanoví právo subjektu údajů požadovat po správci nebo zpracovateli, aby bez zbytečného odkladu vymazal osobní údaje, které se ho týkají, jestliže zpracování je v rozporu s ochranou soukromého a osobního života, resp. porušuje předpisy nebo požádat správce nebo zpracovatele o vysvětlení. Ustanovení navazuje na pojetí ochrany soukromého a osobního života v novém občanském zákoníku.

V odstavci 2 se ukládá v případě důvodné žádosti povinnost odstranění závadného stavu.

V odstavci 3 – obdobně jak v ustanovení § 45 zákona – se stanoví společná a nerozdílná povinnost k náhradě škody v případě porušení povinností při zpracování osobních údajů.

V odstavci 4 se stanoví povinnost správce informovat příjemce o žádosti subjektu údajů a o opravě nebo výmazu osobních údajů.

Znovu je třeba připomenout, že na zpracování osobních údajů se u správců podle hlavy IV vztahují i zvláštní předpisy upravující jejich činnost, což se v praxi projevuje i v možnostech uplatnění práv subjektu údajů.

HLAVA V

ÚŘAD

k  nadpisu hlavy V

Důležité

     Hlava V, konkrétně ustanovení § 50 až 60 zákona upravují postavení a pravomoci Úřadu pro ochranu osobních údajů. Úřad pro ochranu osobních údajů je nezávislým kontrolním úřadem, jehož úkolem je právě kontrola ochrany osobních údajů. Zákon tak řeší zásadní otázku, kterou je, zejména v souvislosti s adaptací na nařízení GDPR, nutno řešit, a to je model dozoru nad zpracováním osobních údajů a s tím související kapacity Úřadu pro ochranu osobních údajů pro výkon úkolů a pravomocí podle čl. 57 a 58 nařízení GDPR.

Okruh dosud úřadem vykonávaných činností je nařízením GDPR rozšiřován a měněn tak, aby dozor nad ochranou osobních údajů mohl být účinně vykonáván i v nových podmínkách, vůči novým technologiím ochrany údajů a procesními postupy obstál v prostředí globální internetové ekonomiky i jednotného hospodářského prostoru Evropské unie.

Z dosavadní právní úpravy je proto převzat monokratický model řízení Úřadu pro ochranu osobních údajů kontrolní mechanismus, přičemž je rozšiřován model vedení úřadu (předseda a místopředsedové). Nemění se však zásadně řídící role předsedy, který je druhou instancí v kontrolních, nápravných i sankčních rozhodováních Úřadu pro ochranu osobních údajů.

Již jádro původního systému dozoru nad ochranou osobních údajů podle zákona č. 101/­2000 Sb., o ochraně osobních údajů spočívalo v provádění kontrol procesně podle kontrolního řádu, věcně podle kontrolního plánu a na základě vyhodnocení nápadu stížností a dotazů.

Regulace je založena na registraci oznámení o zpracování údajů, která správci podávají Úřadu pro ochranu osobních údajů. Prvek registrace, který byl dosud klíčový, je nařízením GDPR bez náhrady zrušen. V praxi jsou kontrolní případy, tj. podněty, u nichž je shledáno důvodné podezření z porušení zákona, mj. i na základě registrační činnosti, nebo agendy zpracování údajů zařazené do ročního plánu kontrol na základě vyhledávácí činnosti Úřadu pro ochranu osobních údajů, která zahrnuje i poznatky z mezinárodní spolupráce na úrovni Evropské unie, přidělovány jednomu ze sedmi inspektorů Úřadu pro ochranu osobních údajů.

§ 50

(1) Úřad je ústředním správním úřadem pro oblast ochrany osobních údajů v rozsahu stanoveném tímto zákonem, jinými právními předpisy⁵⁾, mezinárodními smlouvami, které jsou součástí právního řádu, a přímo použitelnými předpisy Evropské unie.

(2) Sídlem Úřadu je Praha.

komentář k § 50

Předmětné ustanovení institucionalizuje postavení Úřadu pro ochranu osobních údajů a svěřuje mu kompetence ve smyslu čl. 51 nařízení GDPR. Úřad pro ochranu osobních údajů byl jako dozorový úřad pro ochranu osobních údajů zřízen již v roce 2000 zákonem č. 101/­2000 Sb., o ochraně osobních údajů a na tomto se nic nezměnilo.

Úřad pro ochranu osobních údajů je dozorovým orgánem pro všechny oblasti zpracování osobních údajů, tedy pro soukromý sektor i veřejný sektor včetně oblasti zpracování osobních údajů v trestněprávní oblasti. Jedinými výjimkami tak jsou činnosti soudů při zpracování osobních údajů při výkonu soudní činnosti ve smyslu čl. 55 (3) nařízení GDPR a zpracování prováděné zpravodajskými službami podle hlavy IV zákona.

Česká republika nebude zřizovat zvláštní dozorový úřad např. pro oblast bezpečnostních sborů nebo státní správy.

Orgán dohlížející nad dodržováním pravidel pro ochranu osobních údajů je „nezávislý“ podle článku 8(3) Listiny základních práv Evropské unie, a podle článku 52 odst. 1 nařízení GDPR „zcela nezávislý“.

Úřad pro ochranu osobních údajů je nadále ústředním správním úřadem, což je běžně užívaná kategorie, se kterou souvisí další aspekty institucionálního postavení (např. povinnost vedoucího takového úřadu dostavit se na schůzi výboru podle § 39 odst. 2 zákona 90/­1995 Sb., o jednacím řádu Poslanecké sněmovny).

Kompetence Úřadu pro ochranu osobních údajů jsou z velké většiny založeny zákonem o zpracování osobních údajů, některé další předpisy však upravují kompetence Úřadu pro ochranu osobních údajů i v jiných oblastech. Tak např. podle § 10 až § 12 zákona č. 480/­2004 Sb., o některých službách informační společnosti a o změně některých zákonů je Úřad pro ochranu osobních údajů orgánem příslušným k výkonu dozoru v oblasti základních registrů a elektronického marketingu, podle § 23 až § 25 zákona č. 159/­2006 Sb., o střetu zájmů v oblasti střetu zájmů a podle § 16a až § 16c zákona č. 328/­1999 Sb., o občanských průkazech a podle § 34a až § 34c zákona č. 329/­1999 Sb., o cestovních průkazech v oblasti nakládání s identifikačními doklady. Nakonec Úřad pro ochranu osobních údajů vykonává kompetence i na základě mezinárodních dokumentů, konkrétně na základě Dodatkového protokolu k Úmluvě o ochraně osob se zřetelem na automatizované zpracování osobních dat o orgánech dozoru a toku dat přes hranice (vyhlášené pod č. 29/­2005 Sb. m. s.).

Mezi přímo použitelné předpisy Evropské unie, které upravují kompetence Úřadu pro ochranu osobních dat, se jedná o dozor v oblasti zpracování dat, např. v rámci Schengenského informačního systému se jedná o nařízení Evropského parlamentu a Rady 1987/­2006/ES o zřízení a provozu a využívání Schengenského informačního systému druhé generace (SIS II) nebo o nařízení Evropského parlamentu a Rady 767/­2008/ES o Vízovém informačním systému (VIS) a o výměně údajů o krátkodobých vízech mezi členskými státy.

Nepřímou novelou zákona o zpracování osobních údajů je § 16b zákona č. 106/­1999 Sb., o svobodném přístupu k informacím, který zavádí nové kompetence Úřadu pro ochranu osobních údajů, pokud se týká mimořádného přezkumu vyřízení žádosti o informace, ochrany proti nečinnosti při vyřizování žádostí o informace a při souvisejícím vydávání tzv. informačního příkazu.

§ 51

(1) Do činnosti Úřadu lze zasahovat jen na základě zákona. Při výkonu své působnosti v oblasti ochrany osobních údajů Úřad postupuje nezávisle a řídí se pouze právními předpisy a přímo použitelnými předpisy Evropské unie.

(2) Činnost Úřadu je hrazena ze samostatné kapitoly státního rozpočtu České republiky.

(3) Náměstek ministra vnitra pro státní službu není nadřízeným služebním orgánem vůči předsedovi Úřadu. Proti rozhodnutí předsedy Úřadu ve věci státní služby a proti rozhodnutí kárné komise prvního stupně zřízené v Úřadu není odvolání přípustné.

komentář k § 51

Předmětné ustanovení upravuje postavení Úřadu pro ochranu osobních údajů a v rámci hierarchie ústředních orgánů státní správy České republiky. V odstavci 1 se vyjasňuje, že při výkonu působnosti podle tohoto zákona a nařízení GDPR postupuje Úřad pro ochranu osobních údajů zcela nezávisle (do tohoto výkonu nelze zasahovat např. usneseními vlády). Tím se také odstraňuje určitý rozpor mezi článkem 52(1) nařízení GDPR a § 20 zákona č. 2/1969 Sb., o zřízení ministerstev a jiných ústředních orgánů státní správy České republiky (kompetenčního zákona). Ten totiž rozšířením legislativní zkratky „ministerstvo“ vztáhl povinnost řídit se usneseními vlády i na Úřad pro ochranu osobních údajů, což je neslučitelné s jeho nezávislostí, jak judikoval zejména Soudní dvůr Evropské unie ve věcech Komise proti Německu, Rakousku a Maďarsku C-518/07, C-614/10 a C-288/12).

Odstavec 2 přebírá obdobné ustanovení z platného zákona 101/­2000 Sb.

Odstavec 3 provádí čl. 52 odst. 5 nařízení GDPR, a zajišťuje, že rozhodnutí ve věcech služby státních zaměstnanců v Úřadu pro ochranu osobních údajů nepodléhá druhé instanci v rámci Ministerstva vnitra. Podle důvodové zprávy k zákonu nelze ve světle rozhodovací praxe Soudního dvora očekávat restriktivní interpretaci čl. 52 odst. 5 nařízení GDPR v tom, že pokud dozorový úřad např. propustí nebo kázeňsky postihne zaměstnance, výkonná moc to v nadřízené instanci bude moci změnit. Proti prvoinstančnímu rozhodnutí Úřad pro ochranu osobních údajů se samozřejmě státní zaměstnanec může dovolávat soudní ochrany. Toto řešení je vyvoláno mimořádnými požadavky Soudního dvora Evropské unie na „úplnou“ nezávislost právě dozorového orgánu pro ochranu osobních údajů a proto bylo zapracováno do toho předpisu, který postavení dozorového orgánu v České republice upravuje.

Nezávislost správních úřadů má obecně tři složky:

- funkční nezávislost,

- materiální nezávislost a 

- personální nezávislost.

Funkční nezávislost znamená, že se Úřad pro ochranu osobních údajů při své činnosti řídí pouze vnitrostátními právními předpisy (zákony) a přímo použitelnými předpisy Evropské unie. Úřad pro ochranu osobních údajů je ústřední správní úřad, který není podřízen jinému orgánu ani vládě.

Materiální nezávislost znamená, že rozpočet Úřadu pro ochranu osobních údajů tvoří samostatnou kapitolu státního rozpočtu.

Personální nezávislost znamená, že personální otázky jsou plně v pravomoci Úřadu pro ochranu osobních údajů. Předseda Úřadu pro ochranu osobních údajů je ten, kdo rozhoduje o přijetí zaměstnanců úřadu do služebního či obdobného poměru, resp. o jeho ukončení. Podle staré právní úpravy byla velká část pracovníků Úřadu pro ochranu osobních údajů v režimu zákona o státní službě, což znamenalo, že náměstek ministra vnitra pro státní službu byl tím, kdo případně ve druhé instanci mohl pravomocně rozhodnout o důležitých věcech služebního poměru, jako např. o přijetí do služebního poměru, zařazení na služební místo, rozhodnutí o kárné odpovědnosti či skončení služebního poměru. Z toho důvodu odstavec 3 výslovně stanoví, že Úřad pro ochranu osobních údajů nepatří do kompetence náměstka vnitra pro státní službu a že proti rozhodnutí předsedy Úřadu pro ochranu osobních údajů jako služebního orgánu není odvolání přípustné. Zákonodárce vycházel z rozsudku SDEU ve věci C-518/07 Evropská komise proti Německu, C-614/10 Evropská komise proti Rakousku a C-288/10 Evropská komise proti Maďarsku, které se týkaly střetu zájmů a i pochybností o případném střetu zájmů při výkonu dozoru vůči Ministerstvu vnitra.

Předseda a místopředseda Úřadu

§ 52

(1) Úřad řídí předseda Úřadu, kterého jmenuje a odvolává prezident republiky na návrh Senátu. Předseda Úřadu se považuje za člena dozorového úřadu podle čl. 53 nařízení Evropského parlamentu a Rady (EU) 2016/679. Předseda Úřadu může pověřit místopředsedu Úřadu trvalým plněním některých svých úkolů. Předseda Úřadu se považuje za služební orgán podle zákona o státní službě a je oprávněn dávat státnímu zaměstnanci příkazy k výkonu státní služby.

(2) Funkční období předsedy Úřadu je 5 let. Předseda Úřadu může být jmenován nejvýše na 2 po sobě jdoucí funkční období.

(3) Předsedou Úřadu může být jmenován pouze občan České republiky, který

a)  je plně svéprávný,

b)  dosáhl věku 40 let,

c)  je bezúhonný, splňuje podmínky stanovené jiným právním předpisem⁷⁾ a jeho znalosti, zkušenosti a morální vlastnosti jsou předpokladem, že bude svoji funkci řádně zastávat, a

d)  získal vysokoškolské vzdělání absolvováním magisterského studijního programu zaměřeného na právo nebo informatiku, má potřebnou úroveň znalostí anglického, německého nebo francouzského jazyka a nejméně 5 let praxe v oblasti ochrany osobních údajů nebo lidských práv a základních svobod; přípustné je i jiné zaměření studijního programu, má-li takovou praxi delší než 10 let.

(4) Za bezúhonnou se pro účel tohoto zákona považuje fyzická osoba, která nebyla pravomocně odsouzena pro úmyslný trestný čin nebo trestný čin spáchaný z nedbalosti v souvislosti se zpracováním osobních údajů.

(5) S výkonem funkce předsedy Úřadu je neslučitelná funkce poslance nebo senátora, soudce, státního zástupce, jakákoliv funkce ve veřejné správě a členství v politické straně nebo politickém hnutí.

(6) Předseda Úřadu nesmí zastávat jinou placenou funkci, být v dalším pracovním poměru ani vykonávat výdělečnou činnost s výjimkou správy vlastního majetku a činnosti vědecké, pedagogické, literární, publicistické a umělecké, pokud tato činnost nenarušuje důstojnost nebo neohrožuje důvěru v nezávislost a nestrannost Úřadu.

(7) Z funkce může být předseda Úřadu odvolán, přestal-li splňovat některou z podmínek pro jeho jmenování.

komentář k § 52

Ustanovení v zásadě přebírá způsob jmenování a postavení předsedy Úřadu pro ochranu osobních údajů, který vyhovuje článku 53(1) nařízení GDPR ve spojení s recitálem 121 věta první téhož nařízení.

Nařízení GDPR zavádí nový pojem člen dozorového orgánu. Členem se rozumí osoba, která stojí v čele dozorového orgánu nebo je součástí jeho nejvyššího vedení. Z předmětného ustanovení a z § 53 vyplývá, že v podmínkách Úřadu pro ochranu osobních údajů se jedná o předsedu a místopředsedy.

Kvůli jednoznačnosti a jasnější návaznosti na nařízení GDPR se stanoví, že předseda je „členem“ ve smyslu článku 53 tohoto nařízení.

Ustanovení stanoví nezbytné předpoklady pro výkon funkce předsedy úřadu, zejména morální (bezúhonnost) a kvalifikační (vzdělání v oboru právo nebo informatika), doložitelná praxe v oblasti ochrany osobních údajů nebo lidských práv a základních svobod, neboť ochrana osobních údajů je sice součástí základních lidských práv, ale součástí vyznačující se ucelenou, rozsáhlou a komplexní správní regulací.

Z toho plyne, že ochranou lidských práv a základních svobod se může zabývat např. soudce, naproti tomu ochranou osobních údajů se může zabývat např. pověřenec se vzděláním v oblasti informatiky. Kvalifikaci pověřence nelze přitom považovat za méně relevantní.

Pokud by měl kandidát na předsedu Úřadu pro ochranu osobních práv vysokoškolské vzdělání magisterského studijního programu s jiným zaměřením než právo nebo informatika, musí toto formální vzdělání nahradit praxí v oblasti ochrany dat či ochrany základních lidských práv v délce nad 10 let.

Dále se stanoví nezbytné jazykové znalosti, a to anglického, německého nebo francouzského jazyka, neboť předseda úřadu se bude muset podílet na fungování Evropského sboru pro ochranu osobních údajů, přičemž znalost alespoň jednoho z těchto jazyků je nezbytnou podmínkou pro účinné prosazování stanovisek Úřadu pro ochranu osobních údajů v rámci Sboru nejen kvůli dorozumění se bez nutnosti přítomnosti tlumočníka, ale také kvůli navrhování a posuzování kompromisních návrhů apod.).

Délka praxe se stanoví na 5 let. Tříletá praxe justičního čekatele je totiž zakončena zkouškou. Ve svém souhrnu tak představují kvalifikační požadavky vyvážený celek.

Předseda je volen na pětileté volební období a může být zvolen nejvýše na dvě po sobě jdoucí období.

Předsedou může být pouze plně svéprávná osoba starší 40 let.

S funkcí předsedy Úřadu pro ochranu osobních údajů je neslučitelné zastávání některých funkcí vyjmenovaných v odstavci 5 a 6 předmětného ustanovení.

Pokud předseda Úřadu pro ochranu osobních údajů přestane splňovat některou z podmínek uvedených v odstavci 3 předmětného ustanovení, může být odvolán. Ustanovení odstavce 7 používá obratu „může být odvolán“, a to jen proto, aby s ohledem na právo EU na nezávislost dozorových orgánu, zdůraznilo, že z jiných důvodů odvolat nelze. Jediný odpovědný za případné odvolání nebo neodvolání předsedy Úřadu pro ochranu osobních údajů je Senát. Ten by musel návrh na odvolání projednat a navrhnout prezidentovi, aby dotyčného odvolal.

Uvedené podmínky výkonu funkce platí podle § 53odst. 3 i pro místopředsedy.

Předseda Úřadu pro ochranu osobních údajů je zároveň služebním orgánem podle zákona č. 234/­2014 Sb., o státní službě. Nová právní úprava posílila postavení předsedy Úřadu pro ochranu osobních údajů, který jediný bude moci navrhnout své zástupce. Předseda Úřadu pro ochranu osobních údajů je volen Senátem a jmenován prezidentem republiky.

§ 53

(1) Úřad má 2 místopředsedy, které na návrh předsedy Úřadu volí a odvolává Senát. Místopředseda Úřadu je ředitelem sekce. Místopředseda Úřadu se považuje za člena dozorového úřadu podle čl. 53 nařízení Evropského parlamentu a Rady (EU) 2016/679.

(2) Místopředseda Úřadu zastupuje předsedu Úřadu v jeho nepřítomnosti; pořadí zastupování se řídí pořadím, ve kterém byli místopředsedové Úřadu zvoleni, včetně případného bezprostředně předcházejícího funkčního období.

(3) Ustanovení § 52 odst. 2 až 7 se použijí obdobně.

komentář k § 53

Předmětné ustanovení na rozdíl oproti zákonu č. 101/­2000 Sb., o ochraně osobních údajů nově zavádí dva místopředsedy Úřadu pro ochranu osobních údajů, kteří jsou také „členem“ ve smyslu nařízení GDPR a na rozdíl od dosavadních inspektorů budou předsedu zastupovat, čímž je zajištěna plná funkčnost úřadu za všech předvídatelných okolností.

Na rozdíl od dosavadních inspektorů i předsedy je odlišně upraven způsob jmenování místopředsedů, ovšem též v souladu s nařízením GDPR.

Jejich postavení a kvalifikační požadavky jsou do velké míry shodné s předsedou.

Institut inspektorů se do nového zákona nepřebírá, protože z pohledu požadavků unijního práva nelze funkčnost úřadu a jeho schopnost přeshraniční spolupráce omezit tím, že maximálně sedm osob v celém úřadu řídí kontrolní týmy, a protože ve shodě s jinými kontrolními orgány bude tuto činnost nadále provádět větší množství kvalifikovaných osob, které budou přijímány výběrovým řízením podle zákona č. 234/­2014 Sb., o státní službě.

Postavení místopředsedy je však v porovnání s inspektorem posíleno, protože zastupuje předsedu Úřadu pro ochranu osobních údajů v době jeho nepřítomnosti a předseda Úřadu pro ochranu osobních údajů na něj může přenést trvalý výkon některých pravomocí. Účelem této úpravy bylo zajistit fungování Úřadu pro ochranu osobních údajů, i když předseda svoji funkci nevykonává.

Jmenování místopředsedů se rovněž s porovnáním jmenování inspektorů změnilo. Podle předchozí právní úpravy sedm inspektorů, stejně jako předsedu Úřadu pro ochranu osobních údajů, volil Senát a jmenoval prezident republiky, a to na 10 let. Podle nové úpravy místopředsedy navrhuje výhradně předseda Úřadu pro ochranu osobních údajů, a Senát tak může pouze takto navržené kandidáty potvrdit či naopak nezvolit. Pravomoc prezidenta republiky, který může na základě vlastní úvahy a posouzení podmínek pro výkon funkce místopředsedu jmenovat nebo nejmenovat, či naopak na návrh Senátu odvolat nebo neodvolat, se však novou úpravou nezměnila.

Obdobně je to v případě odvolání místopředsedy Úřadu pro ochranu osobních údajů. Z odstavce 1 předmětného ustanovení vyplývá, že návrh na odvolání místopředsedy nemůže být v Senátu projednán bez návrhu předsedy Úřadu pro ochranu osobních údajů.

Vzhledem k tomu, že předseda Úřadu pro ochranu osobních údajů je služebním orgánem podle zákona č. 234/­2014 Sb., o státní službě, místopředseda je pak ředitelem sekce Úřadu pro ochranu osobních údajů ve smyslu zákona o státní službě a tak druhým nejvyšším služebním představeným po předsedovi.

§ 54

Činnosti Úřadu

(1) Ve vztahu ke zpracování osobních údajů podle hlavy II Úřad

a)  při provádění auditu podle čl. 58 odst. 1 písm. b) nařízení Evropského parlamentu a Rady (EU) 2016/679 postupuje podle kontrolního řádu,

b)  při postupu podle čl. 58 odst. 1 písm. d) nařízení Evropského parlamentu a Rady (EU) 2016/679 může správce vyzvat k vyjasnění nebo nápravě,

c)  sdělením upozorňuje správce nebo zpracovatele, že zamýšleným zpracováním osobních údajů zřejmě poruší své povinnosti,

d)  může stanovit vyhláškou kritéria nebo požadavky podle čl. 41 odst. 3, čl. 42 odst. 5 nebo čl. 43 odst. 1 písm. b) nařízení Evropského parlamentu a Rady (EU) 2016/679,

e)  může nařídit subjektu pro vydávání osvědčení, aby odebral osvědčení, které tento subjekt vydal podle čl. 42 a 43 nařízení Evropského parlamentu a Rady (EU) 2016/679,

f)  schvaluje kodexy chování; je-li kodex chování v rozporu s nařízením Evropského parlamentu a Rady (EU) 2016/679, Úřad jeho schválení zamítne, a

g)  zveřejňuje způsobem umožňujícím dálkový přístup standardní smluvní doložky přijaté podle čl. 28 odst. 8 nebo čl. 46 odst. 2 písm. d) nařízení Evropského parlamentu a Rady (EU) 2016/679.

(2) Ve vztahu ke zpracování osobních údajů podle hlavy III, nejde-li o zpracování osobních údajů prováděné soudy a státními zastupitelstvími, Úřad

a)  provádí dozor nad dodržováním povinností stanovených zákonem při zpracování osobních údajů,

b)  ověřuje zákonnost zpracování osobních údajů na podnět subjektu údajů podle § 31,

c)  přijímá podněty a stížnosti na porušení povinností stanovených zákonem při zpracování osobních údajů a informuje o jejich vyřízení,

d)  projednává přestupky a ukládá pokuty,

e)  poskytuje konzultace v oblasti ochrany osobních údajů,

f)  informuje veřejnost o rizicích, pravidlech, zárukách a právech v souvislosti se zpracováním osobních údajů,

g)  informuje správce a zpracovatele o jejich povinnostech v oblasti ochrany osobních údajů a

h)  vykonává další působnost stanovenou mu zákonem.

(3) Úřad dále

a)  zpracovává a veřejnosti zpřístupňuje výroční zprávu o své činnosti,

b)  zajišťuje plnění požadavků vyplývajících z mezinárodních smluv, jimiž je Česká republika vázána, a z přímo použitelných předpisů Evropské unie,

c)  i bez žádosti poskytuje Parlamentu vyjádření k návrhu právního předpisu, který upravuje zpracování osobních údajů,

d)  podílí se na činnosti Evropského sboru pro ochranu osobních údajů, spolupracuje s obdobnými úřady jiných států, s orgány Evropské unie a s orgány mezinárodních organizací působícími v oblasti ochrany osobních údajů.

(4) Dozor nad zpracováním osobních údajů, které provádějí soudy nebo státní zastupitelství podle hlavy III tohoto zákona nebo zpravodajské služby, stanoví jiný právní předpis⁸⁾.

komentář k § 54

Toto ustanovení upravuje činnost Úřadu pro ochranu osobních údajů ve vztahu k předchozím částem zákona, konkrétně v odstavcích 1, 3, 4 ve vztahu k Hlavě II zákona a nařízení GDPR, a v odstavcích 2 a 4 ve vztahu k úpravě hlavy III. a směrnice 2016/680.

     Postupy při pochybnostech podle jakých vnitrostátních procesních norem úřad postupuje

V odstavci 1 se upřesňuje, že tam, kde by o tom mohly být pochybnosti, podle jakých vnitrostátních procesních norem úřad postupuje pří výkonu svých pravomocí zejména podle článku 58 nařízení GDPR. Při tom je nutno uvést, že koncepční rozdělení pravomocí v tomto článku je věcí evropského práva a nelze jej bez dalšího automaticky přenášet do práva vnitrostátního [např. sankce považuje čl. 58 odst. 2 písm. i) za nápravné opatření]. Tento zákon a předmětné ustanovení se naopak drží smyslu jednotlivých pravomocí a jejich právnímu ukotvení ve vnitrostátních předpisech, jakož i dosavadní praxe úřadu s využitím institutů stávajícího zákona [např. písm. b)].

Úřad pro ochranu osobních údajů bude typicky postupovat a rozhodovat podle zákona č. 500/­2004 Sb., správního řádu, což je u většiny pravomocí zmíněných článkem 58 nařízení GDPR jasné a není nutno to uvádět při adaptaci.

Kompetence uvedená v odstavci 1 písm. b) se uplatní v případě, kdy Úřad pro ochranu osobních údajů obdrží podnět nebo z vlastní činnosti získá informace o tom, že konkrétní správce či zpracovatel zřejmě porušuje své povinnosti při zpracování osobních údajů. V takovém případě vyzve daný subjekt k vyjasnění sporné situace či k nápravě stavu.

Naopak správním rozhodnutím, tedy aktem, kterým Úřad pro ochranu osobních údajů konstatuje, že někomu určité právo svědčí nebo nesvědčí, je činnost podle odstavce 1 písm. e) a f), tedy především oblast certifikace. Podle § 15 je akreditačním orgánem Český institut pro akreditaci, o. p. s., který při akreditaci vydává osvědčení. Úřad pro ochranu osobních údajů má však zvláštní pravomoc podle písm. e) nařídit, aby konkrétní certifikaci zase odebral. Jedná se o kompetenci založenou na čl. 58 (2) (h) nařízení GDPR.

Zcela novou pravomocí je vydávání vyhlášky pod písm. d). Nařízení GDPR počítá s tím, že určité specifické činnosti v této oblasti může kromě dozorového orgánu vykonávat další subjekt.

     Oprávnění Úřadu pro ochranu osobních údajů

V odstavci. 2 se upravuje postup Úřadu pro ochranu osobních údajů při dozoru nad zpracováním podle Hlavy III, a způsobem obvyklým a částečně převzatým ze zákona č. 101/­2000 Sb., o ochraně osobních údajů transponuje odpovídající požadavky směrnice 2016/680.

Důležité

     Úřad pro ochranu osobních údajů je tak oprávněn:

- vykonávat dozor, tzn. vést kontrolní a správní řízení s orgány zpracovávajícími osobní údaje za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů,

- ověřovat zákonnost zpracování osobních údajů na podnět subjektu údajů podle § 31,

- vyřizovat podněty a stížnosti osob, jejichž osobní údaje jsou uvedenými orgány zpracovávány,

- poskytovat konzultace týkající se zpracování osobních údajů v této oblasti,

- informovat veřejnost o rizicích, pravidlech, právech a povinnostech při zpracování osobních údajů příslušnými orgány za výše uvedeným účelem,

- vykonávat další kompetence podle některého ze zákonů upravujících činnost příslušných orgánů – např. dle § 47 odst. 3 zákona č. 341/­2011 Sb., o Generální inspekci bezpečnostních sborů a o změně souvisejících zákonů.

     Další činnosti úřadu

Odstavec 3 shrnujícím způsobem stanoví další činnosti úřadu související jak se směrnicí 2016/680, tak s nařízením GDPR. V písm. c) částečně implementuje požadavek čl. 36 odst. 4 nařízení GDPR o vnitrostátních konzultacích s úřadem v případech, na které nedopadá postup podle Legislativních pravidel vlády, způsobem nezasahujícím do jednacích řádů komor Parlamentu.

Nad rámec těchto kompetencí zakládá odstavec kompetenci Úřadu pro ochranu osobních údajů vyjadřovat se pro Parlament i bez žádosti k návrhům zákonů, které upravují zpracování osobních údajů. Úřad pro ochranu osobních údajů je povinným připomínkovým místem při standardním meziresortním připomínkovém řízení. Pokud však návrh předpisu nebo jeho změna dotýkající se zpracování osobních údajů je poslaneckou iniciativou, pak Úřad pro ochranu osobních údajů nemá možnost se k němu vyjádřit, přestože čl. 36 (4) nařízení GDPR to vyžaduje.

     Dozor nad zpracováním osobních údajů

Odstavec 4 zdůrazňuje, že vzhledem k tomu, že zpracování osobních údajů zpravodajskými službami má zvláštní povahu a nepodléhá právu Evropské unie, ponechává se stávající vyloučení těchto orgánů z pravomoci Úřadu pro ochranu osobních údajů.

V návaznosti na článek 45 odst. 2 směrnice 2016/680 se plní legislativní povinnost spočívající ve vyloučení dozoru Úřadu pro ochranu osobních údajů nad soudy, pokud provádějí zpracování v rámci svých soudních pravomocí. Důvodem tohoto vyloučení je, stejně jako u pověřenců podle článku 32(1) směrnice 2016/680, ochrana nezávislosti justice.

Podle článku. 45 odst. 2 směrnice (EU) 2016/680 platí, že členské státy mohou stanovit, že dozorové úřady nejsou příslušné k dozoru nad operacemi zpracování, které provádějí jiné nezávislé justiční orgány v rámci svých justičních pravomocí. Zákon tedy vedle stanovení výjimky pro soudy stanoví výjimku i na státní zastupitelství, neboť podle převažujících názorů lze činnost státního zastupitelství charakterizovat jako činnost justiční povahy, která je determinována charakterem státního zastupitelství jako orgánu veřejné moci, ačkoliv systematicky ústava řadí státní zastupitelství do moci výkonné.

Podle právní doktríny má státní zastupitelství charakter orgánu justičního, který nevykonává soudní moc, ale jeho justiční úkony mají povahu obdobnou výkonu soudní pravomoci. Pravomoc provádět úkony justiční povahy činí ze státního zastupitelství též předstupeň (zejména v oblasti trestní) nezbytný pro výkon soudní moci. Tímto je zvýrazněna souvislost činnosti státního zastupitelství s činností soudu, která je v oblasti trestní závislá na uskutečňování výhradní pravomoci státního zastupitelství.

Postavení státního zastupitelství jako nezávislého justičního orgánu lze dovozovat též z § 2 písm. a) zákona č. 104/­2013 Sb., o mezinárodní justiční spolupráci ve věcech trestních, nebo z usnesení Ústavního soudu IV. ÚS 1953/16.

Tuto výjimku je nutno vykládat tak, že nepostihuje ostatní činnosti justičních orgánů, tedy zejména činnosti administrativní povahy, v jejichž rámci dochází ke zpracování osobních údajů, ať již k plnění zákonem stanovené povinnosti, nebo z rozhodnutí justičního orgánu samotného Úřadu pro ochranu osobních údajů tedy je dozorovým úřadem pro zpracování osobních údajů zaměstnanců a osobních údajů zpracovávaných v souvislosti s fyzickým zabezpečením prostor justičních orgánů.

Na základě poslanecké iniciativy byly Úřadu pro ochranu osobních údajů svěřeny zcela nové kompetence v oblasti práva na přístup k informacím. Změnový poslanecký návrh vkládal kompetence Úřadu pro ochranu osobních údajů do tohoto zákona i do zákona č. 106/­1999 Sb., o svobodném přístupu k informacím. V Senátu však byla předmětná změna tohoto zákona vypuštěna, v zákoně o svobodném přístupu k informacím však zůstala. Ve svém důsledku to znamená, že Úřadu pro ochranu osobních údajů jsou svěřeny významné nové kompetence, nicméně ustanovení zákona o zpracování osobních údajů tuto změnu neobsahují, byť by šlo o důležitou kompetenci pro Úřad pro ochranu osobních údajů.

§ 55

Využívání údajů z informačních systémů veřejné správy

(1) Úřad využívá při výkonu působnosti podle tohoto zákona nebo jiného právního předpisu ze základního registru obyvatel údaje v rozsahu

a)  příjmení,

b)  jméno, popřípadě jména,

c)  adresa místa pobytu a

d)  datum narození.

(2) Úřad využívá při výkonu působnosti podle tohoto zákona nebo jiného právního předpisu z informačního systému evidence obyvatel údaje v rozsahu

a)  jméno, popřípadě jména, příjmení, popřípadě rodné příjmení,

b)  datum narození,

c)  adresa místa trvalého pobytu, včetně předchozích adres místa trvalého pobytu,

d)  počátek trvalého pobytu, popřípadě datum zrušení trvalého pobytu nebo datum ukončení trvalého pobytu na území České republiky, a

e)  rodné číslo.

(3) Úřad využívá při výkonu působnosti podle tohoto zákona nebo jiného právního předpisu z informačního systému cizinců údaje v rozsahu

a)  jméno, popřípadě jména, příjmení, popřípadě rodné příjmení,

b)  datum narození,

c)  druh a adresa místa pobytu,

d)  číslo a platnost oprávnění k pobytu a

e)  počátek pobytu, popřípadě datum ukončení pobytu.

(4) Údaje, které jsou vedeny jako referenční údaje v základním registru obyvatel, se využijí z informačního systému evidence obyvatel nebo informačního systému cizinců, pouze pokud jsou ve tvaru předcházejícím současný stav.

(5) Z poskytovaných údajů lze v konkrétním případě využít vždy jen takové údaje, které jsou nezbytné ke splnění daného úkolu.

komentář k § 55

V ustanovení o přebírání údajů z informačních systémů veřejné správy se využívá osvědčené praxe a přebírá právní úpravu ze stávajícího zákona č. 101/­2000 Sb., o ochraně osobních údajů. Jedná se o referenční údaje ze základního registru obyvatel, údaje z informačního systému evidence obyvatel a údaje z informačního systému cizinců.

Z důvodu praxe se údaje z příslušných registrů doplňují o rodná čísla. Naproti tomu ustanovení neuvádí jmenovitě povinné subjekty, které mají Úřadu pro ochranu osobních údajů tyto údaje poskytovat.

Úřad pro ochranu osobních údajů má při výkonu své kompetence na prvém místě přístup k informacím ze základního registru obyvatel, jehož správcem je Ministerstvo vnitra. Odstavec 5 přitom představuje omezení Úřadu pro ochranu osobních údajů v tom smyslu, že z poskytovaných údajů může v konkrétním případě využit jen ty, které jsou zcela nezbytné. Jedná se o aplikaci zásady minimalizace údaje ve smyslu čl. 5 (1) nařízení GDPR.

§ 56

Mezinárodní spolupráce

(1) Úřad poskytuje v oblasti ochrany osobních údajů podle hlavy III pomoc, včetně provedení šetření, kontrol nebo poskytnutí informací, dozorovým úřadům jiných členských států Evropské unie a států, které uplatňují předpisy k provedení směrnice Evropského parlamentu a Rady (EU) 2016/680.

(2) Žádost dozorového úřadu jiného členského státu Evropské unie nebo státu, který uplatňuje právní předpisy k provedení směrnice Evropského parlamentu a Rady (EU) 2016/680, podle odstavce 1 Úřad vyřídí bez zbytečného odkladu, nejpozději do 1 měsíce ode dne jejího podání, ledaže k poskytnutí pomoci není Úřad oprávněn nebo by jím došlo k porušení zákona.

(3) O vyřízení žádosti podle odstavce 2 nebo důvodech jejího nevyřízení Úřad informuje žádající dozorový úřad.

(4) Pomoc podle odstavce 1 se poskytuje na náklady Úřadu; pokud vyřízení žádosti vyžaduje vynaložení neúměrných nákladů, Úřad vyřízení žádosti odloží, dokud nedojde k dosažení dohody se žádajícím dozorovým úřadem o způsobu úhrady takových nákladů.

(5) Pokud vyřízení žádosti Úřadu v cizině vyžaduje vynaložení neúměrných nákladů, může být s jeho souhlasem žádost vyřízena na jeho náklady.

komentář k § 56

Toto ustanovení transponuje požadavky směrnice 2016/680 na mezinárodní spolupráci dozorových orgánů členských států Evropské unie a dalších států, které (z titulu schengenského acquis) budou tuto směrnici též provádět. Velmi podobnou přímo použitelnou úpravu obsahuje čl. 61 nařízení GDPR.

Pravidla pro mezinárodní spolupráci a pomoc dozorových úřadů, včetně společného výkonu dozoru a role a kompetencí Evropského sboru pro ochranu osobních údajů, jsou pro zpracování dat v režimu nařízení GDPR upraveny v čl. 60 až 67, při zpracování údajů v trestněprávní oblasti je příslušná část směrnice 2016/680 značně užší. Důvodem je, že obecně zajišťování bezpečnosti a veřejného pořádku je primárně upraveno vnitrostátním právem jako pravomoc nebo výkon působnosti orgánu státní moci.

Odstavec 1 vymezuje kompetenci Úřadu pro ochranu osobních údajů v mezinárodní spolupráci při dozoru nad zpracováním osobních údajů dle směrnice 2016/680. Úřad pro ochranu osobních údajů je na základě tohoto ustanovení povinen tuto pomoc poskytovat, a to zejména provedením konkrétního šetření či kontroly.

Odstavec 2 obsahuje lhůtu, ve které je Úřad pro ochranu osobních údajů povinen takovou žádost vyřídit (bezodkladně, nejpozději do 1 měsíce). Zároveň dává možnost takovou součinnost neposkytnout, zejména pokud by tím došlo k porušení zákona.

Odstavec 3 pak upravuje povinnost Úřadu pro ochranu osobních údajů o vyřízení žádosti či o důvodu pro její nevyřízení informovat dozorující úřad. Pokud Úřad pro ochranu osobních údajů žádost nevyřídí, je věc z jeho pohledu uzavřena, protože Evropský sbor pro ochranu osobních údajů není oprávněn jeho postup přezkoumávat.

Odstavce 4 a 5 upravují náklady, které mohou Úřadu pro ochranu osobních údajů vzniknout při mezinárodní spolupráci. Úřad je nese ze svého rozpočtu, ledaže by byly neúměrné. Jedná se o transpozici směrnice 2016/680, takže se jedná o vztahy s dalšími státy vázanými touto směrnicí. Podle § 54 odst. 3 písm. d) je sice Úřad pro ochranu osobních údajů oprávněn spolupracovat i s obdobnými úřady jiných států, zákon však nic podrobnějšího k tomu nestanoví. Podrobnosti o spolupráci pak mohou obsahovat různé mezinárodní dohody.

§ 57

Výroční zpráva

(1) Výroční zpráva Úřadu obsahuje zejména informace o provedené kontrolní činnosti a její zhodnocení, informace o stavu v oblasti zpracování a ochrany osobních údajů v České republice a jeho zhodnocení a zhodnocení ostatní činnosti Úřadu, včetně dozoru nad zpracováním osobních údajů podle hlavy II tohoto zákona.

(2) Výroční zprávu předkládá předseda Úřadu Parlamentu a vládě do 3 měsíců od skončení rozpočtového roku.

komentář k § 57

Jedná se o ustanovení společné pro dozorové činnosti úřadu podle Hlavy II i Hlavy III zákona. Ustanovení určuje, komu a kdy předseda Úřadu pro ochranu osobních údajů předkládá výroční zprávu. Zveřejnění zprávy pro veřejnost (i Komisi) je již upraveno článkem 59 nařízení GDPR i směrnicí 2016/680.

Oba evropské předpisy velmi podrobně uvádějí, že výroční zpráva může kromě další činnosti dozorového úřadu, obsahovat i seznam druhů ohlášených porušení zabezpečení osobních údajů a druhů opatření či uložených sankcí. Předmětné ustanovení upřesňuje, že výroční zpráva zejména obsahuje informace o stavu v oblasti zpracování a ochrany osobních údajů v ˇVeské republice, a to jak pro zpracování v režimu nařízení GDPR, tak pro zpracování v režimu transponované směrnice 2016/680, informace o provedených kontrolách a jejich zhodnocení a hodnocení dalších činností Úřadu pro ochranu osobních údajů.

Jak je patrno ze zpráv, zveřejněných na webových stránkách Úřadu pro ochranu osobních údajů, tyto zprávy již požadované údaje obsahují.

§ 58

Oprávnění Úřadu na přístup
k informacím

(1) Úřad je oprávněn seznamovat se se všemi informacemi nezbytnými pro plnění konkrétního úkolu. To platí i pro informace chráněné povinností mlčenlivosti podle jiného právního předpisu, nestanoví-li jiný právní předpis⁹⁾ pro přístup Úřadu k takovým údajům jiné podmínky.

(2) S informacemi chráněnými povinností mlčenlivosti podle zákona o advokacii je Úřad oprávněn se seznamovat pouze za přítomnosti a se souhlasem zástupce České advokátní komory (dále jen „komora“), kterého ustanoví předseda komory z řad jejích zaměstnanců nebo z řad advokátů. Odmítne-li zástupce komory souhlas udělit, bezodkladně zajistí na písemnou žádost Úřadu důvěrnost a neporušenost informací podle věty první a bezodkladně předá kontrolní radě komory písemnou žádost Úřadu o nahrazení souhlasu zástupce komory rozhodnutím kontrolní rady komory. Nerozhodne-li kontrolní rada komory o žádosti Úřadu tak, že nahrazuje souhlas zástupce komory, ve lhůtě 30 dnů ode dne doručení žádosti zástupcem komory, lze souhlas zástupce komory nahradit na návrh Úřadu rozhodnutím soudu podle zákona o zvláštních řízeních soudních.

(3) S informacemi chráněnými povinností mlčenlivosti podle zákona o daňovém poradenství a Komoře daňových poradců České republiky je Úřad oprávněn se seznamovat pouze za přítomnosti a se souhlasem zástupce Komory daňových poradců České republiky, kterého ustanoví prezident Komory daňových poradců České republiky z řad jejích zaměstnanců nebo z řad daňových poradců. Odmítne-li zástupce Komory daňových poradců České republiky souhlas udělit, bezodkladně zajistí na písemnou žádost Úřadu důvěrnost a neporušenost informací podle věty první a bezodkladně předá dozorčí komisi Komory daňových poradců České republiky písemnou žádost Úřadu o nahrazení souhlasu zástupce Komory daňových poradců České republiky rozhodnutím dozorčí komise Komory daňových poradců České republiky. Nerozhodne-li dozorčí komise Komory daňových poradců České republiky o žádosti Úřadu tak, že nahrazuje souhlas zástupce Komory daňových poradců České republiky, ve lhůtě 30 dnů ode dne doručení žádosti zástupcem Komory daňových poradců České republiky, lze souhlas zástupce Komory daňových poradců České republiky nahradit na návrh Úřadu rozhodnutím soudu podle zákona o zvláštních řízeních soudních.

(4) Úřad vyloučí z nahlížení do spisu informace, které jsou obchodním, bankovním nebo jiným obdobným zákonem chráněným tajemstvím, informace, které požívají autorskoprávní ochrany, a informace podle odstavce 1 věty druhé nebo odstavce 2, pokud do spisu umožní nahlédnout osobě odlišné od osoby, od níž byly tyto informace získány. V řízení o uložení povinnosti Úřad zpřístupní účastníkovi řízení informace vyloučené podle věty první, pokud jimi byl nebo bude proveden důkaz. Před zpřístupněním informace musí být účastník řízení nebo jeho zástupce poučen o ochraně, kterou informace požívá; o poučení se sepíše protokol. Právo na přístup k takovým informacím nezahrnuje právo činit si výpisy nebo právo na pořízení kopií informací.

(5) Odstavcem 1 není dotčena povinnost kontrolujícího prokázat oprávnění k přístupu k utajované informaci.

komentář k § 58

Ustanovení o oprávnění Úřadu pro ochranu osobních údajů na přístup k informacím transponuje požadavky směrnice 2016/680 a stanové, jaká jsou oprávnění Úřadu pro ochranu osobních údajů při získávání informací v rámci plnění svých úkolů (typicky kontrol, správních řízení o udělení pokuty apod.)

Odkaz na § 16 zákona č. 89/­1995 Sb., o státní statistické službě uvedený v poznámce pod čarou umožňuje seznámit se s údaji chráněnými mlčenlivostí podle tohoto zákona po složení příslušného slibu. V tomto směru se jedná o osvědčenou praxi.

     Informace bez specifické právní ochrany

Odstavec 1 upravuje informace bez specifické právní ochrany. K těm má Úřad pro ochranu osobních údajů přístup na základě odstavce 1 předmětného ustanovení ve spojení s § 8 písm. c) zákona č. 255/­2012 Sb., kontrolní řád. Informace chráněné specifickou povinností mlčenlivosti podle zvláštního předpisu jsou např. informace podle § 22b zákona č. 561/­2004 Sb., školského zákona.

     Přístup k informacím chráněných povinností mlčenlivosti podle zákona o advokacii

Odstavec 2 obsahuje úpravu přístupu k informacím chráněným povinností mlčenlivosti podle zákona č. 85/­1996 Sb., o advokacii, která je speciální k úpravě obsažené ve druhé větě odstavce 1. Úprava byla po dohodě mezi Českou advokátní komorou a Úřadem pro ochranu osobních údajů provedena obdobně jako úprava přístupu orgánů činných v trestním řízení nebo přístupu správce daně, ale se specifickým novým prvkem v podobě vnitřního přezkumu, který zákon svěřuje kontrolní radě České advokátní komory.

     Přístup k informacím chráněných povinností mlčenlivosti podle zákona o daňovém poradenství a Komoře daňových poradců České republiky

Odstavec 3 byl do zákona vložen na základě pozměňovacího návrhu Senátu. Jedná se o úpravu přístupu k informacím chráněným povinností mlčenlivosti podle zákona č. 523/­1992 Sb., o daňovém poradenství a Komoře daňových poradců České republiky. Jedná se o postup obdobný postupu v odstavci 2, obdobný úpravě přístupu k informacím podle zákona o advokacii. Zde se jedná o souhlas Komory daňových poradců České republiky.

Úřad pro ochranu osobních údajů je dle § 17 zákona č. 500/­2004 Sb., správní řád povinen vést o každém řízení spis, přičemž do spisu může nahlížet jak účastník daného řízení, tak i další osoby, prokáží-li dostatečný právní zájem.

     Institut (bezplatné) stížnosti

Odstavec 4 reaguje na obavy, aby v praxi nedocházelo k zneužívání institutu (bezplatné) stížnosti k Úřadu pro ochranu osobních údajů s cílem získat chráněné informace (např. algoritmy zpracování, obchodní tajemství, autorskoprávní ochrana atd.). Pokud tedy spis obsahuje informace chráněné zvláštním zákonem, jako je obchodní či bankovní tajemství nebo informace podléhající autorskoprávní ochraně, Úřad pro ochranu osobních údajů je poskytne při nahlížení do spisu jen tomu, od koho je získal a v ostatních případech usnesením dle § 38 odst. 5 zákona č. 500/­2004 Sb., správního řádu nahlížení o spisu odepře.

Ustanovení nenahrazuje zákony o poskytování informací, ale pouze jednoznačně stanoví, že další informace se neposkytují. Tím se mimo jiné reaguje i na dosavadní problémy v praxi Úřadu pro ochranu osobních údajů týkající se dotazů na výsledky kontrol apod.

     Informace utajované podle jiného zákona

Odstavec 5 vyjasňuje, že se přebírá dosavadní právní stav, tj. pokud jsou informace utajované podle jiného zákona, musí mít kontrolující oprávnění se s informacemi v požadovaném stupni utajení seznamovat.

§ 59

Mlčenlivost zaměstnanců Úřadu

(1) Místopředseda a zaměstnanci Úřadu jsou povinni zachovávat mlčenlivost o osobních údajích, o informacích podle § 58 odst. 4, jakož i o organizačních a technických opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů, se kterými se seznámili při výkonu působnosti Úřadu nebo v souvislosti s ní. Tato povinnost trvá i po skončení služebního nebo pracovního poměru.

(2) Povinnosti zachovávat mlčenlivost podle odstavce 1 se nelze dovolávat vůči Úřadu. Povinnosti mlčenlivosti podle odstavce 1 se lze dovolávat vůči orgánu činnému v trestním řízení nebo soudu pouze tehdy, pokud by se povinnosti mlčenlivosti vůči orgánu činnému v trestním řízení nebo soudu mohl dovolávat ten, jemuž byla zákonem uložena a od něhož informace chráněná povinností mlčenlivosti pochází. Subjektu údajů lze osobní údaje sdělit, pouze pokud tímto sdělením nedojde k ohrožení chráněného zájmu uvedeného v § 6 odst. 2.

(3) Povinnosti zachovávat mlčenlivost může místopředsedu Úřadu a zaměstnance zprostit předseda Úřadu nebo jím pověřená osoba.

komentář k § 59

Předmětné ustanovení stanoví obvyklým způsobem mlčenlivost zaměstnanců v Úřadu pro ochranu osobních údajů, jakož i případy, ve kterých se jí nelze dovolávat, a její zprošťování.

Povinnost mlčenlivosti je uložena jak místopředsedům Úřadu pro ochranu osobních údajů, tedy členům dozorového orgánu ve smyslu čl. 53 nařízení GDPR, a dále všem pracovníkům Úřadu pro ochranu osobních údajů, ať už v režimu zákona č. 234/­2014 Sb., o státní službě nebo zákona č. 262/­2006 Sb., zákoníku práce, ale nikoli předsedovi Úřadu pro ochranu osobních údajů, který je rovněž členem dozorového úřadu. To je dáno požadavkem práva Evropské unie na úplnou nezávislost Úřadu pro ochranu osobních údajů. Předsedu Úřadu pro ochranu osobních údajů by totiž uložené mlčenlivosti musel zprošťovat jiný orgán, čímž by došlo k částečnému zásahu do nezávislosti dozorového úřadu jeho nejvyššího představitele.

Odstavec 2 rozpracovává ochranu některých informací, které získal dozorový orgán při výkonu své činnosti, a které jsou, u původního správce, chráněny mlčenlivostí i vůči soudu nebo orgánům činným v trestním řízení. V takovém případě se může zaměstnanec Úřadu pro ochranu osobních údajů mlčenlivosti dovolávat za stejných podmínek. Tj. pokud např. soud v trestním řízení prolomí nějakou mlčenlivost nebo tajemství, nemůže se vůči takovým informacím získaným od subjektu povinného takovou mlčenlivost nebo tajemství dovolávat ani zaměstnanec Úřadu pro ochranu osobních údajů. Pokud ale podmínky prolomení mlčenlivosti nebo tajemství u povinného subjektu splněny nejsou, zaměstnanec Úřadu pro ochranu osobních údajů se mlčenlivosti dovolá.

Odstavec 3 stanoví, že zprostit mlčenlivosti může místopředsedu a zaměstnance Úřadu pro ochranu osobních údajů pouze předseda Úřadu pro ochranu osobních údajů.

§ 60

Opatření k odstranění nedostatků

Dojde-li k porušení povinnosti stanovené zákonem nebo uložené na jeho základě při zpracování osobních údajů podle hlavy II nebo III nebo podle nařízení Evropského parlamentu a Rady (EU) 2016/679, může Úřad uložit opatření k odstranění zjištěných nedostatků a stanovit přiměřenou lhůtu pro jejich odstranění.

komentář k § 60

Ustanovení převzalo původní úpravu ze zákona č. 101/­2000 Sb., o ochraně osobních údajů, protože se v praxi osvědčila.

Úřad pro ochranu osobních údajů může při zjištěném porušení povinností vyplývajících z tohoto zákona, ať již při zpracování v režimu nařízení GDPR (v hlavě II zákona) nebo při zpracování podle směrnice 2016/680 (hlava III zákona), může příslušnému správci nebo zpracovateli osobních údajů, u kterého porušení zjistí, uložit opatření k odstranění nedostatků včetně lhůty.

Toto opatření je ukládáno standardním správním rozhodnutím postupem podle zákona č. 500/­2004 Sb., správního řádu. Účastník řízení se proti němu může bránit především rozkladem k předsedovi Úřadu pro ochranu osobních údajů, a pokud mu tento nevyhoví, pak správní žalobou podle § 4 odst. 1 písm. a) zákona č. 150/­2002 Sb., soudního řádu správního, popřípadě i žádostí o přiznání odkladného účinku ve smyslu § 38 téhož zákona.

HLAVA VI

PŘESTUPKY

k  nadpisu hlavy VI

Hlava VI. zákona nazvaná Přestupky řeší v ustanoveních § 61 až § 65 ukládání přestupků a v podstatě navazuje na právní úpravu obsaženou v ustanovení § 44 až § 46 zákona č. 101/­2000 Sb., o ochraně osobních údajů.

§ 61

(1) Fyzická osoba, právnická osoba nebo podnikající fyzická osoba se dopustí přestupku tím, že poruší zákaz zveřejnění osobních údajů stanovený jiným právním předpisem¹⁰⁾.

(2) Za přestupek podle odstavce 1 lze uložit pokutu do

a)  1 000 000 Kč, nebo

b)  5 000 000 Kč, jde-li o přestupek spáchaný tiskem, filmem, rozhlasem, televizí, veřejně přístupnou počítačovou sítí nebo jiným obdobně účinným způsobem.

(3) Úřad upustí od uložení správního trestu také tehdy, jde-li o subjekty uvedené v čl. 83 odst. 7 nařízení Evropského parlamentu a Rady (EU) 2016/679.

komentář k § 61

Předmětné ustanovení dopadá na široký okruh subjektů (fyzické osoby, právnické osoby, podnikající fyzické osoby) a dohlíží nad dodržováním zákazů stanovených v dalších národních právních předpisech nad rámec nařízení GDPR. Ustanovení přebírá platnou právní úpravu ze zákona č. 101/­2000 Sb., o ochraně osobních údajů, která vynucuje zákazy zveřejňování stanovené např. § 8a až 8d trestního řádu nebo § 52 až § 54 zákona č. 218/­2003 Sb., o soudnictví ve věcech mládeže vůči fyzickým osobám.

Za přestupek spočívající ve zveřejnění osobních údajů v rozporu se zvláštními předpisy upravuje zákon vlastní výši pokut bez ohledu na nařízení GDPR. Při projednávání přestupků se postupuje podle zákona č. 250/­2016 Sb., o odpovědnosti za přestupky a řízení o nich.

V odstavci 3 je stanovena povinnost Úřadu pro ochranu osobních údajů upustit od správního potrestání, pokud uvedenou povinnost poruší orgán veřejné moci nebo veřejný subjekt usazený v České republice nebo zastupitelský úřad v zahraničí. Ustanovení odkazuje na čl. 83 (7) nařízení GDPR, které stanoví možnost ukládat pokuty orgánům veřejné moci a veřejným subjektům usazeným v členském státě, nikoli jako povinnost.

Je třeba zdůraznit (viz důvodová zpráva), že kategorie veřejných subjektů, které jsou povinny jmenovat pověřence pro ochranu osobních údajů (viz § 14 zákona) neodpovídá kategorii veřejných subjektů, u nichž Úřad pro ochranu osobních údajů upouští od uložení sankce dle tohoto předmětného ustanovení.

Ve vztahu k ukládání trestů důvodová zpráva připomíná pojem „veřejná instituce“ podle zákona č. 106/­1999 Sb., o svobodném přístupu k informacím. Vychází z toho, že veřejné subjekty závislé zcela nebo z velké části na financování z veřejných zdrojů nemá smysl podrobovat pokutám, což by vedlo jen k přesunům prostředků mezi veřejnými rozpočty. Ani tento zákon, ani důvodová zpráva však nevedou k výkladu, že pojmy „veřejné subjekty“ a „veřejné instituce“ se mají chápat totožně. V rámci zákona č. 106/­1999 Sb. dochází spíše k extenzivnímu výkladu tohoto pojmu, zatímco v rámci předmětného ustanovení se jedná spíše o výjimku, kterou je třeba vykládat restriktivně.

V každém ohledu je třeba vyčkat na judikaturu soudů.

§ 62

(1) Správce nebo zpracovatel podle hlavy II se dopustí přestupku tím, že

a)  poruší některou z povinností podle čl. 8, 11, 25 až 39, 42 až 49 nařízení Evropského parlamentu a Rady (EU) 2016/679 nebo hlavy II,

b)  poruší některou ze základních zásad pro zpracování osobních údajů podle čl. 5 až 7 nebo 9 nařízení Evropského parlamentu a Rady (EU) 2016/679,

c)  poruší některé z práv subjektu údajů podle čl. 12 až 22 nařízení Evropského parlamentu a Rady (EU) 2016/679 nebo hlavy II,

d)  nesplní příkaz nebo poruší omezení zpracování osobních údajů nebo nedodrží přerušení toků údajů uložené Úřadem podle čl. 58 odst. 2 nařízení Evropského parlamentu a Rady (EU) 2016/679, nebo

e)  neposkytne Úřadu přístup k údajům, informacím a prostorám podle čl. 58 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2016/679.

(2) Subjekt pro vydávání osvědčení se dopustí přestupku tím, že poruší některou z povinností podle čl. 42 a 43 nařízení Evropského parlamentu a Rady (EU) 2016/679 nebo hlavy II.

(3) Subjekt pro monitorování souladu se dopustí přestupku tím, že poruší některou z povinností podle čl. 41 odst. 4 nařízení Evropského parlamentu a Rady (EU) 2016/679.

(4) Úřad může upustit od uložení správního trestu také tehdy, pokud uloží opatření podle § 54 odst. 1 písm. e) nebo § 60.

(5) Úřad upustí od uložení správního trestu také tehdy, jde-li o správce a zpracovatele uvedené v čl. 83 odst. 7 nařízení Evropského parlamentu a Rady (EU) 2016/679.

komentář k § 62

Nařízení GDPR ve svém článku 83 ukládá povinnost, aby každý dozorový úřad zajistil, aby ukládání správních pokut v souladu s tímto článkem ohledně porušení tohoto nařízení bylo v každém jednotlivém případě účinné, přiměřené a odrazující a stanoví obecné podmínky pro ukládání správních pokut.

Ustanovení se vtahuje na správce a zpracovatele provádějící zpracování podle Hlavy II tohoto zákona, tedy zpracování osobních údajů podle nařízení GDPR, ale také další zpracování mimo působnost práva Evropské unie, pokud není upraveno Hlavami III a IV tohoto zákona. Současně toto ustanovení upravuje odpovědnost subjektů pro vydávání osvědčení o monitorování souladu, což jsou činnosti upravené nařízením GDPR.

Vzhledem k právní formě nařízení GDPR nelze přepisovat skutkové podstaty ani sankce stanovené nařízením GDPR. Smyslem předmětného ustanovení je, aby se na projednání a ukládání sankcí stanovených článkem 83 nařízení GDPR použily předpisy o správním trestání.

V odstavcích 2 a 3 jsou pak vymezeny přestupky, kterých se mohou dopustit pouze určité speciální subjekty, např. v případě vydávání certifikací.

Odstavec 4 vyjasňuje čl. 58 (2) (i) a čl. 83 2) nařízení GDPR v tom, že umožňuje Úřadu pro ochranu osobních údajů v rámci správního řízení upustit od uložení správního trestu v případech, kdy uloží opatření spočívající v nařízení odebrání osvědčení [§ 54 odst. 1 písm. e) zákona] nebo opatření k odstranění nedostatků (§ 60 zákona).

Důležité

     V odstavci 5 se na základě článku 83 odst. 7 nařízení GDPR omezuje horní hranice správní pokuty pro veřejnoprávní správce a zpracovatele osobních údajů shodně s původní úpravou podle zákona č. 101/­2000 Sb., o ochraně osobních údajů. Důvodem tohoto omezení (jehož horní limit ještě nebyl v praxi využit) je snaha smířit odrazující a sankční povahu pokuty s faktem, že finanční prostředky těchto pokutovaných institucí zpravidla plynou z veřejných rozpočtů.

V těchto případech nemá smysl stanovit horní hranici ve výši 20 mil. euro, jako to činí pro podnikatelské subjekty nařízení GDPR. Zejména v případě institucí s menším rozpočtem by v zásadě šlo o pouhé formální přesuny finančních prostředků v rámci státního rozpočtu, neboť takové instituce by musely o finanční prostředky na úhradu pokuty dodatečně žádat.

Zároveň nedochází k využití možnosti vyloučit sankce pro veřejnoprávní správce a zpracovatele zcela, neboť stávající stav nebyl v praxi zpochybněn a i v rámci jiných typů řízení je možné při porušení zákona sankce veřejnoprávním entitám ukládat.

Důležité

     Omezení horní hranice správní pokuty na 10 mil. Kč a zachování tak stávající nejvyšší možné výši správní pokuty se tak jeví jako vyhovující. Zároveň lze zdůraznit, že platí obecná pravidla při ukládání správních pokut, kdy by správní pokuta mimo jiné neměla být likvidační.

Článek 83 odst. 7 nařízení GDPR umožňuje členským státům stanovit, zda a do jaké míry je možno ukládat správní pokuty orgánům veřejné moci a veřejným subjektům. Tyto sankce jsou podle úvodního ustanovení (recitálu 150) a podle čl. 83(2) nařízení GDPR jen jedním z prostředků, jak mají dozorové orgány zajistit dodržování povinností stanovených nařízením. Podle recitálu 150 je na úvaze členského státu, zda správní pokuty vůči orgánům veřejné moci a veřejným subjektům umožní.

Původní návrh zákona zachovával pro tyto subjekty horní hranici pokuty 10 mil. Kč. Pozměňovací návrh Senátu využil výše uvedeného čl. 83(2) nařízení GDPR a stanovil pro tyto subjekty možnost upuštění od uložení správního trestu.

§ 63

(1) Právnická osoba se dopustí přestupku tím, že při zpracování osobních údajů

a)  v rozporu s § 25 odst. 1 písm. a) nestanoví účel zpracování osobních údajů nebo stanoveným účelem zpracování osobních údajů poruší povinnost nebo překročí oprávnění vyplývající z jiného zákona,

b)  v rozporu s § 25 odst. 1 písm. b) nepřijme opatření zajišťující, aby osobní údaje byly přesné ve vztahu k povaze a účelu jejich zpracování,

c)  v rozporu s § 25 odst. 1 písm. c) uchovává osobní údaje po dobu delší než nezbytnou k dosažení účelu jejich zpracování,

d)  v rozporu s § 27 neposkytne subjektu údajů informace v rozsahu nebo zákonem stanoveným způsobem,

e)  v rozporu s § 28 odst. 2 nevyhoví žádosti subjektu údajů uvedené v § 28 odst. 1,

f)  v rozporu s § 29 odst. 5 nevyhoví žádosti subjektu údajů uvedené v § 29 odst. 1 nebo 2,

g)  v rozporu s § 32 odst. 1 až 3 nepřijme technická a organizační opatření nebo nevede jejich dokumentaci,

h)  v rozporu s § 32 odst. 4 nevede písemné přehledy o všech typových činnostech zpracování osobních údajů,

i)  v rozporu s § 36 odst. 1 nepořizuje záznamy,

j)  v rozporu s § 36 odst. 3 využije záznamy k jinému účelu,

k)  v rozporu s § 37 neprovede posouzení vlivu na ochranu osobních údajů,

l)  v rozporu s § 38 odst. 1 nepožádá Úřad o projednání připravovaného zpracování osobních údajů,

m) v rozporu s § 39 zasáhne do práv a právem chráněných zájmů subjektu údajů nebo způsobí jiný obdobně závažný následek pro subjekt údajů,

n)  v rozporu s § 40 odst. 1 nepřijme organizační a technická opatření k zajištění odpovídající úrovně zabezpečení osobních údajů,

o)  v rozporu s § 40 odst. 2 nepřijme nezbytná opatření,

p)  v rozporu s § 41 odst. 1 neohlásí porušení zabezpečení osobních údajů Úřadu,

q)  v rozporu s § 42 odst. 1 neoznámí porušení zabezpečení osobních údajů subjektu údajů,

r)  neprovede uložené opatření k nápravě ve lhůtě stanovené Úřadem,

s)  poruší omezení zpracování zvláštních kategorií osobních údajů podle jiného právního předpisu⁵⁾,

t)  poruší povinnost jmenovat pověřence podle jiného právního předpisu⁵⁾,

u)  poruší povinnost informovat o nesprávném předání nebo o předání nepřesných osobních údajů podle § 32 odst. 5 nebo podle jiného právního předpisu⁵⁾,

v)  poruší některou z podmínek podle jiného právního předpisu⁵⁾ pro předání osobních údajů do mezinárodní organizace nebo státu, který neuplatňuje právní předpisy k provedení směrnice Evropského parlamentu a Rady (EU) 2016/680, nebo

w) poruší povinnost prověřovat potřebnost dalšího zpracování nebo vymazat osobní údaje podle jiného právního předpisu⁵⁾.

(2) Přestupku se dopustí ten, kdo při zpracování osobních údajů

a)  v rozporu s § 34 odst. 4 nevede přehledy o všech typových činnostech zpracování osobních údajů,

b)  v rozporu s § 34 odst. 5 neoznámí spravujícímu orgánu porušení zabezpečení osobních údajů,

c)  v rozporu s § 35 nezpracovává osobní údaje pouze podle pokynů spravujícího orgánu nebo podle zákona,

d)  v rozporu s § 36 odst. 1 nepořizuje záznamy,

e)  v rozporu s § 36 odst. 3 využije záznamy k jinému účelu,

f)  v rozporu s § 40 odst. 1 nepřijme organizační a technická opatření k zajištění odpovídající úrovně zabezpečení osobních údajů,

g)  v rozporu s § 40 odst. 2 nepřijme nezbytná opatření,

h)  neprovede uložené opatření k nápravě ve lhůtě stanovené Úřadem,

i)  poruší omezení zpracování zvláštních kategorií osobních údajů podle jiného právního předpisu⁵⁾,

j)  poruší povinnost jmenovat pověřence podle jiného právního předpisu⁵⁾,

k)  poruší povinnost informovat o nesprávném předání nebo o předání nepřesných osobních údajů podle § 32 odst. 5 nebo podle jiného právního předpisu⁵⁾,

l)  poruší některou z podmínek podle jiného právního předpisu⁵⁾ pro předání osobních údajů do mezinárodní organizace nebo státu, který neuplatňuje právní předpisy k provedení směrnice Evropského parlamentu a Rady (EU) 2016/680, nebo

m) poruší povinnost prověřovat potřebnost dalšího zpracování nebo vymazat osobní údaje podle jiného právního předpisu⁵⁾.

(3) Za přestupek podle odstavců 1 a 2 lze uložit pokutu do 10 000 000 Kč.

komentář k § 63

Důvodem a smyslem předmětného ustanovení je skutečnost, že do působnosti nařízení GDPR nespadá zpracování prováděné příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost.

Ustanovení vyjmenovává přestupky odpovídající povinnostem spravujícího orgánu podle čl. 57 směrnice 2016/680. Část povinností vyplývajících z této směrnice je současně transponována zvláštními předpisy, na které je v odstavci 1 odkazováno.

Jsou to zejména tyto předpisy:

-  zákon č. 273/­2008 Sb., o Policii ČR,

-  zákon č. 341/­2011 Sb., o Generální inspekci bezpečnostních sborů,

-  zákon č. 300/­2013 Sb., o Vojenské policii,

-  zákon č. 257/­2000 Sb., o Probační a mediační službě, zákon č. 269/­1994 Sb., o Rejstříku ­trestů,

-  zákon č. 555/­1992 Sb., o Vězeňské službě a justiční stráži ČR,

-  zákon č. 141/­1961 Sb., trestní řád,

-  zákon č. 104/­2013 Sb., o mezinárodní justiční spolupráci ve věcech trestních,

-  zákon č. 17/­2012 Sb., o Celní správě České republiky.

Přebírá se dosavadní horní hranice správní pokuty.

Vzhledem k tomu, že správci a zpracovatelé budou mít část povinností (zřízení pověřence, zákonnost zpracování, zpracování citlivých údajů, předávání údajů včetně předávání do třetích zemí) stanovenu jinými zákony, obsahuje sankční ustanovení i odkaz na porušení takových povinností.

Je třeba zdůraznit, že zákonodárce vzhledem k povinnosti vynucovat ustanovení směrnice 2016/680 sankcemi podle jejího čl. 57 nestanovil upuštění od správních trestů pro orgány veřejné moci, takže při zpracování podle Hlavy III jsou sankce ukládány i subjektům, které se zpracování podle Hlavy II těší výjimce, např. Celní správa nebo Policie ČR.

§ 64

(1) Přestupky podle tohoto zákona projednává Úřad.

(2) Pokutu vybírá Úřad.

komentář k § 64

Předmětné ustanovení o postupu při projednávání přestupků a o vybírání pokut přebírá osvědčenou praxi podle zákona č. 101/­2000 Sb., o ochraně veřejných subjektů. Současně svěřuje Úřadu pro ochranu osobních údajů výběr pokut za spáchání přestupků dle tohoto zákona, tím navazuje na § 29 odst. 1, resp. § 46 tohoto zákona.

Pokud účastník řízení neuhradí pravomocně uloženou pokutu, vymáhají její zaplacení tzv. obecný správce daně ve smyslu § 106 odst. 1 zákona č. 500/­2004 Sb., správního řádu. Tímto obecným správcem daně je podle § 8 odst. 2 zákona č. 17/­2012 Sb., o Celní správě ČR, právě celní úřad.

§ 65

Zvláštní ustanovení o odložení věci

Aniž řízení o přestupku podle tohoto zákona a porušení nařízení Evropského parlamentu a Rady (EU) 2016/679 zahájí, může Úřad věc usnesením odložit též, jestliže je vzhledem k významu a míře porušení nebo ohrožení chráněného zájmu, který byl činem dotčen, způsobu provedení činu, jeho následku, okolnostem, za nichž byl čin spáchán, nebo vzhledem k chování podezřelého po spáchání činu zřejmé, že účelu, jehož by bylo možno dosáhnout provedením řízení o přestupku, bylo dosaženo nebo jej lze dosáhnout jinak. Usnesení o odložení věci podle věty první se pouze poznamená do spisu; ustanovení zákona upravujícího odpovědnost za přestupky a řízení o nich týkající se vyrozumění o odložené věci se v takovém případě nepoužije.

komentář k § 65

Zvláštní ustanovení o odložení věci, obdobné § 46e zákona č. 6/1993 Sb., o České národní bance, vychází z povahy zpracování osobních údajů, které prolíná všemi odvětvími života společnosti, a záměrně preferuje co nejjednodušší a co nejméně formální způsoby řešení přestupků proti povinnostem správce nebo zpracovatele.

Dle čl. 83 nařízení GDPR mají členské státy zajistit, aby bylo ukládání pokut v každém jednotlivém případě účinné, přiměřené a odrazující, přičemž pokuty mají být ukládány dle okolností každého jednotlivého případu. Podle čl. 58 (2) (i) a čl. 83 (2) nařízení GDPR lze nápravná opatření a pokuty uložit současně nebo alternativně.

Obecná úprava odložení věci bez zahájení přestupkového řízení je obsažena v § 76 zákona č. 250/­2016 Sb., o odpovědnosti za přestupky a řízení o nich a uplatní se zejména v případech, kdy se o přestupek vůbec nejedná, zpravidla nejsou splněny formální či materiální znaky.

Předmětné ustanovení tímto provádí zásadu subsidiarity represe správního trestání v případech, kdy lze postupovat účelněji jinými způsoby. Zásada ultima ratio správní represe stanovuje, že je nutno správní trestání omezit toliko na případy, kdy je to odůvodněno závažností, resp. společenskou škodlivostí jednání, kdy jiné prostředky – především civilněprávní odpovědnost škůdce – nejsou způsobilé škodlivé následky napravit.

ČÁST DRUHÁ

PŘECHODNÁ, ZRUŠOVACÍ A ZÁVĚREČNÁ USTANOVENÍ

§ 66

Přechodná ustanovení

(1) Ode dne nabytí účinnosti tohoto zákona do 31. prosince 2020 má Úřad pouze 1 místopředsedu Úřadu. Druhého místopředsedu Úřadu lze zvolit s účinností nejdříve od 1. ledna 2021.

(2) Předseda Úřadu, který je ve funkci ke dni nabytí účinnosti tohoto zákona, dokončí své funkční období podle dosavadních právních předpisů.

(3) Inspektor Úřadu, který je ve funkci ke dni nabytí účinnosti tohoto zákona, dokončí své funkční období podle dosavadních právních předpisů. Ode dne nabytí účinnosti tohoto zákona do konce svého funkčního období je inspektor zaměstnancem Úřadu pověřeným řízením a prováděním kontrolní činnosti v pracovním poměru na dobu určitou. Nárok inspektora Úřadu na plat, náhradu výdajů a naturální plnění se řídí dosavadními právními předpisy.

(4) Informace zpracovávané přede dnem nabytí účinnosti tohoto zákona v registru zpracování osobních údajů podle zákona č. 101/­2000 Sb., o ochraně osobních údajů a o změně některých zákonů, jsou veřejně přístupné po dobu 18 měsíců ode dne nabytí účinnosti tohoto zákona.

(5) Řízení zahájená podle zákona č. 101/­2000 Sb., která nebyla pravomocně skončena přede dnem nabytí účinnosti tohoto zákona, se dokončí podle zákona č. 101/­2000 Sb.

(6) Kde se v dosavadních právních předpisech používá pojem citlivý údaj nebo citlivý osobní údaj, rozumí se tím ode dne nabytí účinnosti tohoto zákona osobní údaj, který vypovídá o rasovém nebo etnickém původu, politických názorech, náboženském vyznání nebo filosofickém přesvědčení nebo členství v odborové organizaci, genetický údaj, biometrický údaj zpracovávaný za účelem jedinečné identifikace fyzické osoby, údaj o zdravotním stavu, o sexuálním chování, o sexuální orientaci a údaj týkající se rozsudků v trestních věcech a trestných činů nebo souvisejících bezpečnostních opatření.

(7) Souhlas subjektu údajů udělený podle zákona č. 101/­2000 Sb. se považuje za souhlas podle nařízení Evropského parlamentu a Rady (EU) 2016/679, ledaže způsob jeho udělení nebyl v souladu s tímto nařízením.

komentář k § 66

     K bodu 1

Ustanovení stanoví, že do r. 2021 bude mít Úřad pro ochranu osobních údajů pouze 1 místopředsedu. Chce zajistit, aby bylo zastupování místopředsedy efektivní, takže se určuje, že nebude jejich funkční období začínat ve stejnou dobu a že se budou de facto střídat, aby se zachovala účinná kontinuita plného fungování Úřadu i v období, kdy končí funkční obdobní předsedy a jednoho místopředsedy. Zároveň se rozložením nominací v čase zajišťuje větší důraz na odbornou stránku nominací a zvyšuje se stabilita a nezávislost Úřadu. Různou délku funkčních období při prvním jmenování vedení dozorového úřadu výslovně dovoluje čl. 54 odst. 1 písm. d) nařízení GDPR.

Navíc zřízení nové funkce 2 místopředsedů, nebude takovým způsobem zatěžovat státní rozpočet. Vzhledem k tomu, že funkční období prvních inspektorů skončí až v roce 2020, uvolní se dodatečné prostředky na druhého místopředsedu až po tomto roce.

     K bodu 2 a 3

Bod 2 a 3 přechodného ustanovení stanoví, že již jmenovaní inspektoři dokončí svá funkční období podle dosavadních předpisů. Tito inspektoři budou nadále řídit kontroly, ovšem kromě nich tak budou moci učinit i příslušně kvalifikovaní státní zaměstnanci v Úřadu pro ochranu osobních údajů, čímž se odstraní neodůvodněné riziko snížené akceschopnosti Úřadu pro ochranu osobních údajů. Práva a povinnosti inspektora se nebudou oproti dosavadním předpisům měnit. Jde zejména o řízení kontroly podle § 33 a o práva inspektorů podle § 30 zákona č. 101/­2000 Sb., zákona o ochraně osobních údajů.

     K bodu 4

Bod 4 přechodného ustanovení stanoví v zájmu právní jistoty a informovanosti subjektů údajů osmnácti měsíční dobu pokračujícího zveřejnění dosud vedeného registru zpracování. Tento registr byl zrušením směrnice 95/46 opuštěn a dále se nepovede. Doba 18 měsíců byla zvolena s ohledem na zkušenosti z praxe ohledně období, v jakém bývají registrovaná zpracování aktualizována.

     K bodu 5

Obvyklé přechodné ustanovení, které stanoví, že řízení zahájena podle zrušeného zákona č. 101/­2000 Sb., o ochraně osobních údajů se dokončí také podle tohoto zákona.

     K bodu 6

Ustanovení obsahuje definici pojmu „citlivý údaj“ a „citlivý osobní údaj“, které jsou často v právních předpisech používány již z minulosti. Definice pojmu „citlivý údaj“, pro všechny dosavadní právní předpisy, které tento pojem obsahují. Tato definice se velmi blíží dosavadnímu § 4 písm. b) zákona č. 101/­2000 Sb., o ochraně osobních údajů, ale svým obsahem odpovídá zvláštním kategoriím osobních údajů podle čl. 9 a 10 nařízení GDPR.

     K bodu 7

Toto ustanovení zachovává platnost souhlasů se zpracováním osobních údajů po přechodu na novou právní úpravu.

§ 67

Zrušovací ustanovení

Zrušují se:

1. Zákon č. 101/­2000 Sb., o ochraně osobních údajů a o změně některých zákonů.

2. Zákon č. 177/­2001 Sb., kterým se mění zákon č. 101/­2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění zákona č. 227/­2000 Sb., a zákon č. 65/­1965 Sb., zákoník práce, ve znění pozdějších předpisů.

3. Část šestá zákona č. 450/­2001 Sb., kterým se mění zákon č. 128/­2000 Sb., o obcích (obecní zřízení), ve znění pozdějších předpisů, zákon č. 129/­2000 Sb., o krajích (krajské zřízení), ve znění pozdějších předpisů, zákon č. 131/­2000 Sb., o hlavním městě Praze, ve znění pozdějších předpisů, zákon č. 250/­2000 Sb., o rozpočtových pravidlech územních rozpočtů, ve znění zákona č. 320/­2001 Sb., zákon č. 218/­2000 Sb., o rozpočtových pravidlech a o změně některých souvisejících zákonů (rozpočtová pravidla), ve znění pozdějších předpisů, a zákon č. 101/­2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů.

4. Část čtvrtá zákona č. 107/­2002 Sb., kterým se mění zákon č. 140/­1996 Sb., o zpřístupnění svazků vzniklých činností bývalé Státní bezpečnosti, a některé další zákony.

5. Část druhá zákona č. 310/­2002 Sb., kterým se mění zákon č. 148/­1998 Sb., o ochraně utajovaných skutečností a o změně některých zákonů, ve znění pozdějších předpisů, zákon č. 101/­2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů, zákon č. 18/­1997 Sb., o mírovém využití jaderné energie a ionizujícího záření (atomový zákon) a o změně a doplnění některých zákonů, ve znění pozdějších předpisů, zákon č. 38/­1994 Sb., o zahraničním obchodu s vojenským materiálem a o doplnění zákona č. 455/­1991 Sb., o živnostenském podnikání (živnostenský zákon), ve znění pozdějších předpisů, a zákona č. 140/­1961 Sb., trestní zákon, ve znění pozdějších předpisů, zákon č. 283/­1993 Sb., o státním zastupitelství, ve znění pozdějších předpisů, a zákon č. 42/­1992 Sb., o úpravě majetkových vztahů a vypořádání majetkových nároků v družstvech, ve znění pozdějších předpisů.

6. Část devátá zákona č. 517/­2002 Sb., kterým se provádějí některá opatření v soustavě ústředních orgánů státní správy a mění některé zákony.

7. Část první zákona č. 439/­2004 Sb., kterým se mění zákon č. 101/­2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů.

8. Část čtvrtá zákona č. 480/­2004 Sb., o některých službách informační společnosti a o změně některých zákonů (zákon o některých službách informační společnosti).

9. Část šestá zákona č. 626/­2004 Sb., o změně některých zákonů v návaznosti na realizaci reformy veřejných financí v oblasti odměňování.

10. Část čtyřicátá zákona č. 413/­2005 Sb., o změně zákonů v souvislosti s přijetím zákona o ochraně utajovaných informací a o bezpečnostní způsobilosti.

11. Část jedenáctá zákona č. 109/­2006 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o sociálních službách.

12. Část dvacátá zákona č. 264/­2006 Sb., kterým se mění některé zákony v souvislosti s přijetím zákoníku práce.

13. Část třicátá šestá zákona č. 342/­2006 Sb., kterým se mění některé zákony související s oblastí evidence obyvatel a některé další zákony.

14. Část třináctá zákona č. 170/­2007 Sb., kterým se mění některé zákony v souvislosti se vstupem České republiky do schengenského prostoru.

15. Část šedesátá pátá zákona č. 41/­2009 Sb., o změně některých zákonů v souvislosti s přijetím trestního zákoníku.

16. Část třetí zákona č. 52/­2009 Sb., kterým se mění zákon č. 141/­1961 Sb., o trestním řízení soudním (trestní řád), ve znění pozdějších předpisů, a některé další zákony.

17. Část osmdesátá osmá zákona č. 227/­2009 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o základních registrech.

18. Část šedesátá pátá zákona č. 281/­2009 Sb., kterým se mění některé zákony v souvislosti s přijetím daňového řádu.

19. Část čtyřicátá šestá zákona č. 375/­2011 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o zdravotních službách, zákona o specifických zdravotních službách a zákona o zdravotnické záchranné službě.

20. Část čtvrtá zákona č. 468/­2011 Sb., kterým se mění zákon č. 127/­2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění pozdějších předpisů, a některé další zákony.

21. Část dvacátá devátá zákona č. 64/­2014 Sb., kterým se mění některé zákony v souvislosti s přijetím kontrolního řádu.

22. Část dvacátá devátá zákona č. 250/­2014 Sb., o změně zákonů souvisejících s přijetím zákona o státní službě.

23. Část šestá zákona č. 301/­2016 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o centrální evidenci účtů.

24. Část osmdesátá druhá zákona č. 183/­2017 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o odpovědnosti za přestupky a řízení o nich a zákona o některých přestupcích.

25. Nařízení vlády č. 277/­2011 Sb., o stanovení vzoru průkazu kontrolujícího Úřadu pro ochranu osobních údajů.

komentář k § 67

Jedná se o obvyklé zrušovací ustanovení.

§ 68

Účinnost

Tento zákon nabývá účinnosti dnem jeho vyhlášení.

komentář k § 68

Den účinnosti zákona se stanoví dnem jeho vyhlášení ve Sbírce zákonů, tedy 24. dubna 2019.

1)  Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV.

2)  Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).

3)  Zákon č. 22/­1997 Sb., o technických požadavcích na výrobky a o změně a doplnění některých zákonů, ve znění pozdějších předpisů.

4)  § 82 zákona č. 89/­2012 Sb., občanský zákoník, ve znění pozdějších předpisů.

      § 10 a násl. zákona č. 46/­2000 Sb., o právech a povinnostech při vydávání periodického tisku a o změně některých dalších zákonů (tiskový zákon), ve znění pozdějších předpisů.

      § 35 a násl. zákona č. 231/­2001 Sb., o provozování rozhlasového a televizního vysílání a o změně dalších zákonů, ve znění pozdějších předpisů.

5)  Například zákon č. 273/­2008 Sb., o Policii České republiky, ve znění pozdějších předpisů, zákon č. 341/­2011 Sb., o Generální inspekci bezpečnostních sborů a o změně souvisejících zákonů, ve znění pozdějších předpisů, zákon č. 300/­2013 Sb., o Vojenské policii a o změně některých zákonů, ve znění pozdějších předpisů, zákon č. 257/­2000 Sb., o Probační a mediační službě a o změně zákona č. 2/1969 Sb., o zřízení ministerstev a jiných ústředních orgánů státní správy České republiky, ve znění pozdějších předpisů, zákon č. 269/­1994 Sb., o Rejstříku trestů, ve znění pozdějších předpisů, zákon č. 555/­1992 Sb., o Vězeňské službě a justiční stráži České republiky, ve znění pozdějších předpisů, zákon č. 141/­1961 Sb., o trestním řízení soudním (trestní řád), ve znění pozdějších předpisů, zákon č. 104/­2013 Sb., o mezinárodní justiční spolupráci ve věcech trestních, ve znění pozdějších předpisů, a zákon č. 17/­2012 Sb., o Celní správě České republiky, ve znění pozdějších předpisů.

6)  Například zákon č. 153/­1994 Sb., o zpravodajských službách České republiky, ve znění pozdějších předpisů, zákon č. 154/­1994 Sb., o Bezpečnostní informační službě, ve znění pozdějších předpisů, zákon č. 219/­1999 Sb., o ozbrojených silách České republiky, ve znění pozdějších předpisů, zákon č. 221/­1999 Sb., o vojácích z povolání, ve znění pozdějších předpisů, zákon č. 222/­1999 Sb., o zajišťování obrany České republiky, ve znění pozdějších předpisů, zákon č. 240/­2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon), ve znění pozdějších předpisů, zákon č. 241/­2000 Sb., o hospodářských opatřeních pro krizové stavy a o změně některých souvisejících zákonů, ve znění pozdějších předpisů, zákon č. 585/­2004 Sb., o branné povinnosti a jejím zajišťování (branný zákon), ve znění pozdějších předpisů, zákon č. 289/­2005 Sb., o Vojenském zpravodajství, ve znění pozdějších předpisů, zákon č. 412/­2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů, zákon č. 320/­2015 Sb., o Hasičském záchranném sboru České republiky a o změně některých zákonů (zákon o hasičském záchranném sboru), ve znění pozdějších předpisů, a zákon č. 45/­2016 Sb., o službě vojáků v záloze, ve znění pozdějších předpisů.

7)  Zákon č. 451/­1991 Sb., kterým se stanoví některé další předpoklady pro výkon některých funkcí ve státních orgánech a organizacích České a Slovenské Federativní Republiky, České republiky a Slovenské republiky, ve znění pozdějších předpisů.

8)  Například zákon č. 6/2002 Sb., o soudech a soudcích, ve znění pozdějších předpisů, zákon č. 283/­1993 Sb., o státním zastupitelství, ve znění pozdějších předpisů, zákon č. 153/­1994 Sb., o zpravodajských službách České republiky, ve znění pozdějších předpisů.

9)  Například § 16 zákona č. 89/­1995 Sb., o státní statistické službě, ve znění pozdějších předpisů.

10) Například § 8a, § 8b odst. 1 až 4 a § 8c zákona č. 141/­1961 Sb., § 52 až 54 zákona č. 218/­2003 Sb., o soudnictví ve věcech mládeže, ve znění pozdějších předpisů.