Nový český zákon o zpracování osobních údajů
Dne 24. 4. 2019 nabyl účinnosti zákon č. 110/2019 Sb., o zpracování osobních údajů[1] (dále jen „Zákon“), který nahrazuje dosavadní zákon č. 101/2000 Sb., o ochraně osobních údajů, a mimo jiné blíže specifikuje některá ustanovení nařízení Evropského parlamentu a Rady (EU) 2016/679, ze dne 27. 4. 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „GDPR“). Tento článek má za cíl stručně shrnout některé aspekty nové právní úpravy a připravit čtenáře na změny v oblasti ochrany osobních údajů.
Definice pojmu veřejný subjekt
V souvislosti s přijetím GDPR bylo v minulosti často diskutováno, které subjekty patří mezi tzv. „veřejné subjekty“. GDPR tento pojem užívá bez jeho bližší definice, přičemž pro veřejné subjekty stanovuje nejen některé výjimky, ale také jim ukládá povinnost mít pověřence pro ochranu osobních údajů[2]. Zákon proto na národní úrovni, v souvislosti s povinností veřejných subjektů jmenovat pověřence pro ochranu osobních údajů, upravuje zákonný výklad tohoto pojmu, kdy veřejnými subjekty se mají rozumět kromě orgánů veřejné moci také orgány zřízené zákonem, které plní zákonem stanovené úkoly ve veřejném zájmu.[3] Dle důvodové zprávy Zákona se přitom jedná například o obce a kraje, ministerstva a další ústřední správní orgány či veřejné sbory.
Stanovení věkové hranice
Zákon dále navazuje na článek 8 odst. 1 GDPR, který uvádí, že členské státy mohou stanovit odchylně od úpravy GDPR věkovou hranici, při jejímž dovršení může dítě samostatně (bez souhlasu zákonných zástupců) udělit souhlas se zpracováním svých osobních údajů v souvislosti s nabídkou služeb informační společnosti. Tato hranice je v čl. 8 GDPR stanovena na 16 let, členské státy ji však mohou snížit až na 13 let. Službami informační společnosti jsou přitom takové služby, které jsou poskytovány elektronickými prostředky na individuální žádost jejich uživatele podanou elektronickými prostředky (tj. především na internetu), poskytované zpravidla za úplatu.[4] Výše věkové hranice se v konečném znění Zákona ustálila na 15 letech, přičemž Poslanecká sněmovna odmítla pozměňovací návrh, který měl hranici snížit na 13 let.
Výjimky z informační povinnosti a z povinnosti oznámit příjemci provedené operace
Z praktického hlediska bude pro většinu správců významná navrhovaná výjimka z informační povinnosti při zpracování osobních údajů pro splnění povinnosti uložené správci zákonem, nebo úkolu prováděného správcem ve veřejném zájmu nebo při výkonu veřejné moci. V takovém případě dle Zákona postačí informovat subjekty zveřejněním informací o obvykle prováděném zpracování osobních údajů způsobem umožňujícím dálkový přístup.[5]
Obdobně, pokud má správce povinnost oznamovat provedení opravy, omezení zpracování či výmaz osobních údajů příjemcům osobních údajů, dává mu Zákon možnost tuto povinnost splnit prostřednictvím změny osobních údajů v evidenci, pokud příjemci pravidelně zpřístupňuje její platný obsah.[6]
Zpracování pro novinářské a umělecké účely
Zákon obsahuje také poměrně podrobnou úpravu zpracování osobních údajů pro účely novinářského, akademického, uměleckého nebo literárního projevu, kdy se věnuje nejen otázce posuzování přiměřenosti zpracování osobních údajů pro stanovené účely, ale také upravuje některé výjimky z práv subjektů údajů. Zpracování osobních údajů pro tyto účely zároveň není podmíněno povolením nebo schválením Úřadu a požívá práva na ochranu zdroje a obsahu informací.
Z pohledu subjektů údajů i z pohledu praktického fungování médií může být dále významné, že Zákon upravuje informační povinnost správce v případech, kdy osobní údaje nezískal přímo od subjektu údajů. Povinnost poskytnout informace dle čl. 14 a čl. 21 odst. 4 GDPR je nově možné splnit pouhým uveřejněním informací o obvykle prováděném zpracování osobních údajů způsobem umožňujícím dálkový přístup.[7]
Přestupky a sankce
Zákon také přináší úpravu přestupků v oblasti ochrany osobních údajů, především v souvislosti s implementací směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016, o zpracování osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování a stíhání trestných činů a výkonu trestů. V souvislosti s GDPR pak došlo především ke zmírnění podmínek pro ukládání správních pokut za porušení GDPR. Zatímco původní vládní verze návrhu Zákona pouze limitovala horní hranici pokut udělovaných orgánům veřejné moci a veřejným subjektům na 10.000.000,- Kč[8], přijaté znění Zákona zcela vylučuje možnost Úřadu pro ochranu osobních údajů ukládat veřejným subjektům a orgánům veřejné moci správní tresty. Počínaje účinností Zákona tedy není možné pokutovat např. obce či kraje.[9] Tuzemský zákonodárce tak využil oprávnění, které mu vyplývá z čl. 83 odst. 7 GDPR. Veřejné subjekty a orgány veřejné moci také nebude možné sankcionovat ani za porušení zákazu zveřejnění osobních údajů stanoveného jinými právními předpisy. I v tomto případě zákon zakotvuje výjimku z možnosti udělit správní trest za spáchání přestupku nedovoleného zveřejnění osobních údajů, jestliže jej spáchal veřejný subjekt či orgán veřejné moci.
Další vybrané aspekty
Ohledně povinnosti provést posouzení vlivu zpracování na ochranu osobních údajů[10] upravuje Zákon důležitou výjimku pro zpracování uložená správci právními předpisy[11]. Přijetím zákona tak mnohým správcům odpadla významná administrativní zátěž.
Dále došlo k pozitivnímu vymezení osob oprávněných vydávat osvědčení o ochraně osobních údajů ve smyslu čl. 42 GDPR, kdy se má jednat o osoby, které jsou akreditovány osobou pověřenou k výkonu působnosti akreditačního orgánu.[12] Význam osvědčení přitom spočívá v možnosti správců a zpracovatelů osobních údajů prokazovat jejich prostřednictvím splnění povinností a soulad postupů s GDPR.[13] Získání takového osvědčení je dobrovolné a může z pohledu subjektu osobních údajů evokovat vyšší stupeň důvěryhodnosti správce či zpracovatele.
Závěr
S ohledem na výše uvedené lze shrnout, že přijaté novinky v právní úpravě ochrany osobních údajů nejsou nijak zásadního rázu a mají převážně povahu zpřesnění stávající úpravy v tematicky ohraničených oblastech. Z pohledu veřejných subjektů a orgánů veřejné moci však Zákon přináší významné úlevy, zejména z hlediska omezení možností správního trestání.
[2] Čl. 37 odst. 1 písm. a) GDPR.
[3] § 14 Zákona.
[4] § 2 písm. a) zákona č. 480/2004 Sb., o některých službách informační společnosti.
[5] § 8 Zákona
[6] § 9 Zákona.
[7] § 19 odst. 1 Zákona.
[8] Přičemž pro obce, které nevykonávají přenesenou působnost v rozsahu obecního úřadu obce s rozšířenou působností, dobrovolné svazy takových obcí a jimi zřizované příspěvkové organizace a právnické osoby vykonávající činnost školy nebo školského zařízení byla horní sazba pokuty navržena ještě mírněji, a to na 5.000,- Kč.
[9] A to bez rozdílu, zda vykonávají přenesenou působnost v rozsahu obecního úřadu obce s rozšířenou působností či nikoliv.
[10] Posouzení zpracování osobních údajů je dle GDPR správce povinen provést pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, bude s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování mít za následek vysoké riziko pro práva a svobody fyzických osob.
[11] § 10 Zákona.
[12] Dle zákona č. 22/1997 Sb., o technických požadavcích na výrobky a o změně a doplnění některých zákonů, ve znění pozdějších předpisů.
[13] Čl. 24 odst. 3 GDPR.