O GDPR

31.5.2019

ZÁKON O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Obecné nařízení o ochraně osobních údajů je přímo použitelným právním předpisem (práva a povinnosti plynou přímo z nařízení). Nehledě na to si však jeho správné fungování z řady důvodů žádá odpovídající uzpůsobení národní legislativy národními právními předpisy. Po téměř roce od nabytí platnosti obecného nařízení se českému zákonodárci podařilo ukončit zavádění obecného nařízení o ochraně osobních údajů (GDPR) do právního řádu České republiky zdárným završením legislativního procesu zákona č. 110/2019 Sb., o zpracování osobních údajů, a souvisejícího změnového právního předpisu (zákona č. 111/2019 Sb.). Oba jmenované předpisy nabyly účinnosti dne 24. dubna 2019.

Zákon o zpracování osobních údajů:

- adaptuje do právního řádu České republiky obecné nařízení o ochraně osobních údajů (hlava č. I., II.),

- odpovídajícím způsobem ukotvuje Úřad pro ochranu osobních údajů jako instituci vykonávající dohled nad dodržováním pravidel plynoucích z obecného nařízení a

- vymezuje skutkové podstaty přestupů na úseku ochrany osobních údajů (hlava VI.), tzn. zavádí plnohodnotný a jistý podklad pro postih porušení povinností podle obecného nařízení.

- reaguje i na související evropskou legislativu (např. na směrnici Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV).

Z hlediska jednotlivých práv a povinností podle obecného nařízení zákon o zpracování osobních údajů zejména:

- konkretizuje právní tituly pro zpracování osobních údajů;

- rozvádí a upřesňuje povinnost posuzování slučitelnosti účelů;

- určuje věk dítěte pro udělení souhlasu se zpracováním osobních údajů v souvislosti s nabídkou služeb informační společnosti (odchylně od základního pravidla v obecném nařízení) na 15 let,

- nabízí možné způsoby plnění informační povinnosti podle obecného nařízení v případech zpracování osobních údajů realizovaných pro splnění právní povinnosti nebo pro provádění veřejného zájmu,

- řeší oznamování oprav, změn a omezení zpracování zpracovávaných údajů pro případy zpracování ve společných evidencích,

- zakládá výjimku z posouzení vlivu zpracování osobních údajů na ochranu údajů pro případy zpracování osobních údajů založených správci osobních údajů právním předpisem,

- vymezuje některé případy omezení práv subjektů údajů,

- stanoví výjimku z povinnosti oznámení porušení zabezpečení osobních údajů subjektu údajů,

- konkretizuje možnosti nakládání s osobními údaji, jejichž zpracování bylo omezeno ve smyslu obecného nařízení,

- vymezuje pojem veřejný subjekt a tím i upřesňuje povinnost jmenovat pověřence pro ochranu osobních údajů,

Autor článku:JUDr. Jakub Morávek, Ph.D.

29.3.2019

PŘIJETÍ ZÁKONA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ A NOVÁ PRAVIDLA PRO NAKLÁDÁNÍ S RODNÝMI ČÍSLY

Téměř po roce od nabytí platnosti obecného nařízení o ochraně osobních údajů (GDPR) se Parlamentu České republiky podařilo přijmout související adaptační legislativu, kterou je jednak zákon o zpracování osobních údajů a jednak doprovodný změnový zákon, jímž se provádí dílčí změny v dalších právních předpisech. Adaptační legislativou, která v některých aspektech doplňuje a drobně modifikuje evropskou úpravou, se obecné nařízení „usazuje“ do zdejšího právního řádu.

Toho času čekají oba zákony na podpis prezidenta republiky. Připojí-li prezident svůj podpis, nabydou účinnosti dnem vyhlášení ve Sbírce zákonů.

Zákon o zpracování osobních údajů, vedle otázek týkající se postavení Úřadu pro ochranu osobních údajů, jeho pravomocí v návaznosti na obecné nařízení, či úpravy problematiky zpracování osobních údajů mimo případy, na které se nařízení nevztahuje (např. vyhledávání a odhalování trestné činnosti atp.), doplňuje obecné nařízení v několika aspektech, když kupříkladu: (a) určuje věk dítěte v souvislosti se služby informační společnosti na 15 let, (b) specifikuje výjimky z povinnost provádět test slučitelnosti účelů, (c) vymezuje výjimky z povinnosti provádět posouzení vlivu na ochranu osobních údajů či z povinnosti informovat subjekt údajů o zpracování osobních údajů, (d) konkretizuje podmínky pro jmenování pověřence pro ochranu osobních údajů atd.

Vedle toho doprovodný zákon přináší řadu dílčích změn do mnoha předpisů. Ze všech se nabízí poukázat na po mnohé pozitivní a potřebnou změnu v právní úpravě nakládání s rodnými čísly.

Dosavadní právní úprava předpokládá, že s rodným číslem lze nakládat jen (a) při činnosti ministerstev, jiných správních úřadů a obecně při výkonu veřejné správy (katastr nemovitostí, evidence pojištěnců zdravotních pojišťoven atp.), (b) ukládá-li to zákon (zaměstnavatel je povinen pod rodným číslem přihlásit zaměstnance do systému nemocenského pojištění atp.) a (c) udělil-li k tomu nositel rodného čísla nebo jeho zákonný zástupce souhlas. Souhlas, ve vztahu k němuž i zde platí princip nezbytnosti (nelze souhlasit tam, kde není rodné číslo nezbytné ke sledovanému účelu), přitom musí splňovat náležitosti podle předpisů na ochranu osobních údajů.

Jinak a stručně řečeno, podle dosavadních právních předpisů není například možné shromažďovat a dále zpracovávat rodná čísla dlužníků za účelem vymáhání pohledávek.

Doprovodným zákonem dojde ke změně uvedeného paradigmatu, když bude možné nakládat s rodným číslem také tehdy, pokud to bude nezbytné pro vymáhání soukromoprávních nároků nebo pro předcházení vzniku nesplácených pohledávek, tedy v případě, který byl popsán shora. Podmínkou je, že budou přijata konkrétní opatření k ochraně práv a svobod nositelů rodného čísla. Takovými opatřeními se rozumí například: (a) technická a organizační opatření k ochraně osobních údajů ve smyslu obecného nařízení, (b) ověřování totožnosti osoby přistupující k rodnému číslu a pořizování záznamů o přístupech, vložení, změně atp., (c) informování dotčených osob o nakládání s jejich rodným číslem, či (d) zajištění důvěrnosti informací.

Účinností zákona o zpracování a doprovodného zákona bude základní právní rámec nové právní úpravy ochrany osobních údajů kompletní. Je tudíž čas dotáhnout implementaci obecného nařízení, tj. mj. v návaznosti na obsah zákona o zpracování a v nedávné době vydaného metodického doporučení Úřadu pro ochranu osobních údajů například provést posouzení vlivu na ochranu osobních údajů, či sestavit záznamy o činnostech zpracování. Pokud snad někdo prozatím vyčkával a nedělal si s ochranou osobních údajů ani přes dřívější silné mediální ohlasy velkou hlavu, nyní by se měl s vervou pustit do díla, neboť spolu s účinností zákona o zpracování osobních údajů Úřad pro ochranu osobních údajů získá (teprve x konečně) možnost udělovat sankce za porušování obecného nařízení o ochraně osobních údajů.

Autor článku: JUDr. Jakub Morávek, Ph.D.

25.5.2018

Obecné nařízení o ochraně osobních údajů nabylo účinnosti 25. května 2018.

Nová legislativa mění některé výchozí principy právní úpravy, přináší řadu povinností zejména administrativní povahy, v řadě případů stávající povinnosti či způsob jejich plnění modifikuje. Obecně zvyšuje nároky kladené na správce osobních údajů.

Obecné nařízení o ochraně osobních údajů zavádí pro právní řád České republiky nově institut pověřence pro ochranu osobních údajů. Pro některé subjekty (orgány veřejné moci a veřejné subjekty), stejně jako pro některá zpracování osobních údajů (rozsáhlé zpracování citlivých údajů atp.) je ustanovení pověřence pro ochranu osobních údajů povinné. S ohledem na komplikovanost právní úpravy je nicméně minimálně vhodné, aby i mimo tyto případy působila při každé organizaci, která zpracovává osobní údaje, odborně způsobilá osoba.

Pověřencem pro ochranu osobních údajů může být zaměstnance správce osobních údajů. Funkci pověřence však může zastávat i externí subjekt. Pověřencem nicméně může být pouze ten, kdo má odpovídající odborné znalosti v oblasti ochrany osobních údajů tak, aby mohl řádně plnit úkoly pověřence ve smyslu čl. 39 obecného nařízení o ochraně osobních údajů.

V případě porušení nařízení hrozí sankce až 20.000.000 EUR.