Zákon č. 101/2000 Sb.,

o ochraně osobních údajů a o změně některých zákonů,

ve znění zákona č. 227/2000 Sb., zákona č. 177/2001 Sb., 

zákona č. 450/2001 Sb., zákona č. 107/2002 Sb.

a zákona č. 310/2002 Sb.

 

a

 

zákon č. 428/2002 Z. z.,

o ochrane osobných údajov

 

(srovnání právních úprav vztahujících se k ochraně osobních údajů v ČR a SR)

 

Vladimír Šmíd

 

Úvod

 

Právní úprava v obou státech měla originálně stejnou podobu, protože první relevantní speciální právní normou byl zákon č. 256/1992 Sb., o ochraně osobních údajů v informačních systémech, který schválilo Federální shromáždění ČSFR dne 30. 4. 1992. Základním ideovým zdrojem pro tento zákon byla Úmluva č. 108 Rady Evropy na ochranu osob ve vztahu k automatizovanému zpracování dat (dále “Úmluva”) z roku 1981.

 

Uvedený zákon upravil ochranu osobních údajů, zejména povinnosti související s ochranou informací, pouze při provozování informačních systémů nakládajících s osobními údaji. V případě manuálního nakládání s osobními údaji bylo nutné zákon přiměřeně aplikovat. Dále stanovil odpovědnost provozovatelů takových informačních systémů a dalších fyzických a právnických osob účastnících se provádění činností souvisejících s provozováním informačních systémů. Neupravil či upravil pouze částečně řadu dalších oblastí, např. dostatečnou ochranu osobních údajů vypovídajících o osobnosti a soukromí, povinnost toho, kdo shromažďuje osobní údaje, informovat občana o jeho právech a o jiných pro něj významných skutečnostech, oznamovací povinnost nakládání s osobními údaji u kontrolního orgánu subjektem, který hodlá nakládat s osobními údaji, možnost zásahu kontrolního orgánu před zahájením takového nakládání s osobními údaji, které by z hlediska ochrany osobních údajů mohlo představovat určitá rizika, sankce za porušování zákona a předávání údajů do jiných zemí.

 

Jedním z jeho největších nedostatků ovšem byla skutečnost, že sice v § 24 předpokládal ustavení orgánu, jehož posláním by byla ochrana práv jednotlivců na soukromí, resp. jejich osobních údajů (tzv. datová inspekce), ovšem deklarovaný zvláštní předpis, kterým měl být takový orgán zřízen, schválen nikdy nebyl. Absence takového orgánu byla hlavním důvodem, proč stávající zákon také neodpovídal Úmluvě a jak ČSFR, tak oba nástupnické státy k ní dlouho nemohly přistoupit.

 

 

1. Situace po rozdělení federace po roce 1992

 

Po přijetí ústavního zákona č. 110/1992 Sb., o zániku České a Slovenské Federativní Republiky, se zákon č. 256/1992 Sb. stal součástí právního řádu obou států a zejména pak jeho nedostatky řešily oba státy separátně.

 

            Navíc se v relativně krátké době objevil i další motiv pro vážné úvahy o změnách uvedené normy. K tomu, aby bylo možné odstranit překážky bránící volnému pohybu informací a zároveň zajistit ochranu práva na soukromí, přijaly dne 24. 10. 1995 Evropský parlamentu a Rada Směrnice 95/46/EC o ochraně jednotlivců ve vztahu ke zpracování osobních dat a o volném pohybu těchto dat (dále “Směrnice”). Jejím cílem bylo harmonizovat národní předpisy v této oblasti tak, aby právo na soukromí občanů bylo odpovídajícím způsobem chráněno na území celé Evropské unie. V této souvislosti byly členské státy vyzvány, aby uvedly v soulad národní legislativu s uvedenou směrnicí do 24. října 1998. Stejný smysl pak měla Směrnice i pro kandidátské země, kdy byla připravena k projednávání při screeningu s EU v podstatě jako jeden z mnoha vzorů pro posouzení míry harmonizace právních systémů kandidátských zemí s právem EU.

 

            Jako první z obou nových států zásadním krokem reagovala Slovenská republika, když v roce 1998 pro SR nahradila zrušila zákon č. 256/1992 Sb. a nahradila jej novým zákonem č. 52/1998 Z. z., o ochrane osobných údajov v informačných systémoch. Ten kromě řady jiných změn vyřešil právě ten nejzávažnější problém ohledně orgánu datové inspekce a v tomto smyslu:

·        byla vytvořena funkce splnomocnenca na ochranu osobných údajov v informačných systémoch,

·        byl vytvořen Útvar inšpekcie ochrany osobných údajov Úradu vlády Slovenskej republiky jako orgán státního dozoru nad ochranou osobních údajů v informačních systémech,

·        zatímco registrací informačních systémů obsahujících osobní údaje byl pověřen Štatistický úrad Slovenskej republiky.

 

            Bezprostřednám důsledkem nabytí účinnosti tohoto zákona pak bylo, že jménem Slovenské republiky mohla být ve Štrasburku podepsána Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních dat (Úmluva Rady Evropy č. 108 z 28. ledna 1981). Úmluvu schválila 20. června 2000 Národná rada Slovenskej republiky a 24. srpna 2000 ji ratifikoval prezident Slovenskej republiky. Ratifikační listina České republiky pak byla uložena u generálního tajemníka Rady Evropy, depozitáře Úmluvy, dne 13. září 2000. Úmluva na základě svého článku 22 odst. 3 vstoupila pro Slovenskou republiku v platnost dne 1. ledna 2001. Oznámení o jejím přijetí bylo vyhlášeno ve Zbierce zákonov SR pod č. 49/2001 Z. z. dne 14. února 2001.

 

           

2. Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění zákona č. 227/2000 Sb., zákona č. 177/2001 Sb., zákona č. 450/2001 Sb., zákona č. 107/2002 Sb. a zákona č. 310/2002 Sb.

 

            Nový zákon o ochraně osobních údajů Vláda ČR předložila Poslanecké sněmovně Parlamentu ČR 28. 9. 1999. Jeho význam byl mimo jiné zdůrazněn i tím, že byl zahrnut mezi právní normy, které explicitně směřují k harmonizaci práva ČR s právem Evropské unie. Návrh zákona byl přikázán k projednání Petičnímu výboru a projednán s řadou připomínek ve třech čteních (3.-4. 11. 1999, 19. 1. 2000 a 27. 1. 2000) a 27. 1. 2000 byl návrh zákona schválen.

 

Senát Parlamentu ČR návrh zákona s řadou připomínek 1. 3. 2000 vrácen Poslanecké sněmovně Parlamentu ČR. Ta dne 4. 4. 2000 přehlasovala veto Senátu a setrvala na původním návrhu zákona.

 

            17. 4. 2000 pak již následoval podpis prezidenta ČR a 25. 4. 2000 byl zákon vyhlášen ve Sbírce zákonů ČR v částce 32 pod číslem 101/2000 Sb.

 

            Ke dni 10. 5. 2000 se tedy tento zákon stal platným a je tedy součástí právního řádu ČR. Na základě ustanovení v něm obsažených nabyl účinnosti ve dvou vlnách:

1.      obecně nabyl účinnosti 1. 6. 2000

2.      § 16, 17 a 35 jsou účinnými až od 1. 6. 2001 (jedná se zde u ustanovení v souvislosti s oznamovací povinností a registrací zpracování osobních údajů, kde je nutné ponechat určitý čas pro konstituování a zahájení práce Úřadu pro ochranu osobních údajů). To platilo rovněž o ustanoveních § 47 odst. 2, podle nichž bylo nutno uvést zpracování osobních údajů prováděná před účinností tohoto zákona do souladu s tímto zákonem.

 

            Skutečnost, že nový zákon nabyl účinnosti, umožnila rovněž, aby dne 8. září 2000 byla jménem České republiky  ve Štrasburku podepsána Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních dat (Úmluva Rady Evropy č. 108 z 28. ledna 1981). Úmluvu schválila 28. února 2001 Poslanecká sněmovna Parlamentu České republiky, 28. března 2001 Senát Parlamentu České republiky a následně prezident republiky Úmluvu ratifikoval. Ratifikační listina České republiky pak byla uložena u generálního tajemníka Rady Evropy, depozitáře Úmluvy, dne 9. července 2001. Úmluva na základě svého článku 22 odst. 3 vstoupila pro Českou republiku v platnost dne 1. listopadu 2001. Sdělení o jejím přijetí bylo vyhlášeno ve Sbírce mezinárodních smluv ČR pod č. 115/2001 Sb.m.s. dne 15. listopadu 2001.

 

            Zákon byl novelizován v podstatě okamžitě po čtvrt roce své platnosti. Tato novela je však svým způsobem technickou, protože pouze rozšířila působnost Úřadu pro ochranu osobních údajů, původně stanovenou v § 29 zákona č. 101/2000 Sb., o další práva a povinnosti doplněné zákonem č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu). Poslanecká sněmovna Parlamentu ČR ji schválila 24. 5. 2000, Senát Parlamentu ČR ji schválil 30. 6. 2000, 12. 7. 2000 podepsal prezident, 26. 7. 2000 byla vyhlášena ve Sbírce zákonů ČR a účinnosti nabyla dnem 1. října 2000.

 

            Další novela zákona byla věcně i procesně mnohem komplikovanější než předchozí. Představovala 28 faktických změn v textu zákona navržených Poslaneckou sněmovnou Parlamentu ČR a byla schválena 12. 4. 2001. Poté již 17. 5. 2001 schválil Senát Parlamentu ČR, 25. 5. 2001 podepsal prezident, 31. 5. 2001 byla vyhlášena ve Sbírce zákonů ČR pod číslem 177/2001 Sb. a účinnosti nabyla týmž dnem.

 

Třetí novela zákona obsahovala 4 konkrétní změny a opět vznikla přímo v Poslanecké sněmovně Parlamentu ČR. 21. 9. 2001 byla schválena. Zejména s ohledem na kontext této novely Senát Parlamentu ČR v dalším kroku  normu jako celek odmítl a dne 30. 10. 2001 ji vrátil poslanecké sněmovně. Ta pak 27. listopadu 2001 senátní „veto“ přehlasovala, 7. 12. 2001 zákon podepsal prezident, 31. 12. 2001 byl vyhlášen ve Sbírce zákonů ČR pod číslem 450/2001 Sb. a účinnosti nabyl téhož dne.

 

Další novela byla pouze technického rázu a vznikla při projednávání senátního návrhu zákona o zpřístupnění svazků vzniklých z činnosti bývalé Státní bezpečnosti. Celý zákon byl posléze 8. 2. 2002 Poslaneckou sněmovnou Parlamentu ČR schválen. Senát Parlamentu ČR tento zákon schválil 12. 3. 2002, 15. 3. 2002 jej podepsal prezident, 20. 3. 2002 byl vyhlášen ve Sbírce zákonů ČR pod číslem 107/2002 Sb. a účinnosti nabyl téhož dne.

 

Pátá novela byla v podstatě drobnou součástí velké novely zákona o ochraně utajovaných skutečností. Ta byla schválena Poslaneckou sněmovnou Parlamentu ČR dne 27. 3. 2002. Senát Parlamentu ČR tento zákon Poslanecké sněmovně 6. 5. 2002 vrátil. Ta však v hlasování dne 13. 6. 2002 setrvala na původním stanovisku a 28. 6. 2002 jej podepsal prezident. 12. 7. 2002 byl zákon vyhlášen ve Sbírce zákonů ČR pod číslem 310/2002 Sb. a účinnosti nabyl téhož dne.

 

            Současná podoba zákona je následující:


 

 

 

ČÁST PRVNÍ

OCHRANA OSOBNÍCH ÚDAJů

 

Hlava I

Úvodní ustanovení

 

§ 1

Předmět úpravy

 

Zákon upravuje ochranu osobních údajů o fyzických osobách, práva a povinnosti při zpracování těchto údajů a stanoví podmínky, za nichž se uskutečňuje jejich předávání do jiných států.

 

Uvedený zákona plní v právním řádu ČR roli obecné právní normy v oblasti zajištění ochrany osobních údajů, způsobu jejich zpracovávání jak v České republice, tak pro přenos do zahraničí a regulace vztahů, které v souvislosti s nimi vznikají. Přestože v určitých případech zákon upravuje nezbytný zvláštní režim (např. Policie ČR, zpravodajské služby, Armáda ČR, Ministerstvo financí apod.), který stanoví zvláštní zákony, nelze ani tyto subjekty absolutně z působnosti tohoto zákona vyčlenit, protože by tato skutečnost odporovala Úmluvě a následně by zabránila např. mezinárodní spolupráci v rámci Schengenských dohod.

 

§ 2

 

(1) Zřizuje se Úřad pro ochranu osobních údajů se sídlem v Praze (dále jen “Úřad”).

 

(2) Úřadu jsou svěřeny kompetence ústředního správního úřadu pro oblast ochrany osobních údajů v rozsahu stanoveném tímto zákonem a pro oblast elektronického podpisu v rozsahu stanoveném zvláštním právním předpisem. [Zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu).]

 

§ 3

Působnost zákona

 

(1)   Zákon se vztahuje na osobní údaje, které zpracovávají státní orgány, orgány územní samosprávy, jiné orgány veřejné moci, jakož i fyzické a právnické osoby, pokud tento zákon nebo zvláštní zákon nestanoví jinak.

 

Z věcného hlediska se zákon vztahuje na veškeré osobní údaje, tedy nikoli jen na ty, které jsou vedeny automatizovaně v informačních systémech (viz předchozí právní norma). Z hlediska osobní působnosti se zákon obecně vztahuje na veškeré subjekty práv (fyzické i právnické osoby) s dále uvedenými výjimkami.

 

(2)   Zákon se vztahuje na veškeré zpracovávání osobních údajů, ať k němu dochází automatizovaně nebo jinými prostředky.

 

Zákon se vztahuje na veškeré zpracovávání osobních údajů bez ohledu na to, zda se tak děje prostředky výpočetní techniky nebo jinými automatickými prostředky či manuálně.

 

(3)   Zákon se nevztahuje na zpracování osobních údajů, které provádí fyzická osoba výlučně pro osobní potřebu.

 

Zde má zákonodárce na mysli různé adresáře, soubory údajů, které tato osoba shromáždí v rámci své záliby apod. Limitem termínu “osobní potřeba” je skutečnost, že údaje takto shromážděné však nesmějí být předmětem obchodních aktivit a nesmějí být zveřejňovány.

 

(4)   Zákon se nevztahuje na nahodilé shromažďování osobních údajů, pokud tyto údaje nejsou dále zpracovávány. Dále se zákon nevztahuje na nahodilé shromažďování osobních údajů v rozsahu nezbytném pro výkon nezávislého povolání, které není živností ani jiným podnikáním podle zvláštních zákonů, které stanoví povinnost mlčenlivosti. [Například zákon č. 85/1996 Sb., o advokacii, ve znění pozdějších předpisů, zákon č. 358/1992 Sb., o notářích a jejich činnosti, ve znění pozdějších předpisů, zákon č. 237/1991 Sb., o patentových zástupcích, ve znění zákona č. 14/1993 Sb., zákon č. 523/1992 Sb., o daňovém poradenství a Komoře daňových poradců České republiky, zákon č. 254/2000 Sb., o auditorech, zákon č. 36/1967 Sb., o znalcích a tlumočnících.]

 

Zákon se rovněž nevztahuje na ty osobní údaje, které jsou shromažďovány nahodile, zpravidla individuálně a jednoúčelově a zejména pak nejsou nijak dále zpracovávány. Příkladem zde může být např. o záznam adresy zákazníka při poskytování konkrétní služby a rovněž pak speciální povolání, s nimiž je spojena povinnost mlčenlivosti. Protipříkladem však v tomto smyslu jsou systematicky vedené adresáře zákazníků, kterým je pak např. následně zasílána nabídka jiných služeb a pod.

 

(5)   Zpracování osobních údajů pro účely statistické a archivnictví stanoví zvláštní zákony [Zákon č.97/1974 Sb., o archivnictví, ve znění zákona č.343/1992 Sb., zákon č.89/1995 Sb., o státní statistické službě a zákon č.158/1999 Sb., o sčítání lidu, domů a bytů v roce 2001].

 

Zákon se zde odkazuje na další speciální právní normy které stanoví zvláštnosti určitých otázek souvisejících se zpracováváním osobních údajů pro uvedené účely (např. jejich další uchovávání - archivaci po naplnění účelu pro něž byly shromážděny).

 

(6)   Ustanovení § 5, 9, 11, 16 a 27 tohoto zákona se nepoužijí pro zpracování osobních údajů

a)       zpravodajskými službami [Zákon č.153/1994 Sb., o zpravodajských službách, ve znění zákona č.118/1995 Sb.].

b)       Policií České republiky, včetně její Národní ústředny Interpolu, při odhalování trestné činnosti [Zákon č.283/1991 Sb., o Policii České republiky ve znění zákona č.26/1993 Sb., zákona č.26/1993 Sb., zákona č.67/1993 Sb., zákona č.163/1993 Sb., zákona č.326/1993 Sb., zákona č.82/1995 Sb., zákona č.152/1995 Sb., zákona č.18/1997 Sb., zákona č.186/1997 Sb., zákona č.168/1999 Sb. a zákona č.138/1999 Sb.].

c)       Ministerstvem financí v rámci finančně-analytické činnosti podle zvláštního právního předpisu [Zákon č.61/1996 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti, ve znění zákona č.15/1998 Sb.].

d)       Národním bezpečnostním úřadem při provádění bezpečnostních prověrek a ověřování bezpečnostní způsobilosti fyzických osob podle zvláštního právního předpisu [Zákon č.148/1998 Sb., o ochraně utajovaných skutečností a o změně některých zákonů].

e)       Ministerstvem vnitra při vydávání osvědčení podle zvláštního právního předpisu [Zákon č. 451/1991 Sb., kterým se stanoví některé další předpoklady pro výkon některých funkcí ve státních orgánech a organizacích České a Slovenské Federativní Republiky, České republiky a Slovenské republiky, ve znění pozdějších předpisů, Zákon č. 279/1992 Sb., o některých dalších předpokladech pro výkon některých funkcí obsazovaných ustanovením nebo jmenováním příslušníků Policie České republiky a příslušníků Sboru nápravné výchovy České republiky, ve znění pozdějších předpisů.], při vydávání krycích dokladů [§ 34a zákona č. 283/1991 Sb.] a při činnosti útvaru inspekce ministra vnitra [§ 2 odst. 4 zákona č. 283/1991 Sb.].

f)         orgány příslušnými ke zpřístupňování svazků vzniklých činností bývalé Státní bezpečnosti podle zvláštního zákona, pokud tento zvláštní zákon nestanoví jinak. [Zákon č. 140/1996 Sb., o zpřístupnění svazků vzniklých činností bývalé Státní bezpečnosti, ve znění zákona č. 107/2002 Sb.]

 

Zákon se explicitně stanoví výjimky kterých subjektů se která konkrétní ustanovení zákona netýkají. V komentáři zde současně zákonodárce vysvětluje, že pod pojmem odhalování trestné činnosti rozumí také “vyšetřování či prevenci trestných činů”.

 

§ 4

Vymezení pojmů

 

Pro účely tohoto zákona se rozumí:

a)      osobním údajem jakýkoliv údaj týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze na základě jednoho či více osobních údajů přímo či nepřímo zjistit jeho identitu. O osobní údaj se nejedná, pokud je třeba ke zjištění identity subjektu údajů nepřiměřené množství času, úsilí či materiálních prostředků,

 

“Nepřiměřené množství času nebo prostředků” je obvyklý neurčitý pojem, který je používán v evropských předpisech (např. doporučení Rady Evropy). Konkretizace těchto pojmů závisí na okolnostech práce s osobními údaji a posuzuje je buď Úřad nebo případně soud.

 

b)      citlivým údajem osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství odborových organizacích, náboženství a filozofickém přesvědčení, trestné činnosti, zdravotním stavu a sexuálním životě subjektu údajů,

 

c)      anonymním údajem takový údaj, který buď v původním tvaru nebo po provedeném zpracování nelze přímo vztáhnout k určenému nebo určitelnému subjektu údajů,

d)      subjektem údajů fyzická osoba, k níž se osobní údaje vztahují,

 

Výrazem subjekt údajů se ve smyslu čl. 2 nahrazuje dosavadní pojem dotčená osoba používaný v zákoně č.256/1992 Sb., o ochraně osobních údajů v informačních systémech. Označuje se tak osoba, která je určena nebo určitelná. Výraz “subjekt údajů” je novým pojmem, který je však výstižnější než výraz dotčená osoba. Jednak již ve svém názvu obsahuje vztah k údajům, jednak pro další práci, zejména v souvislosti s mezinárodními aktivitami, je tento název mezinárodně srozumitelný a snadno srovnatelný s termínem používaným v evropském právu. Rovněž umožňuje pod něj zahrnout údaje genetické, údaje o nenarozeném dítěti a pod., kde by bylo nevhodné použít termín “fyzická osoba”. Takové údaje požívají rovněž náležitou ochranu v evropské legislativě. Nový výraz “subjekt údajů” také jasně vymezuje rozdíl od jiných fyzických osob (např. těch, které osobní údaje zpracovávají).

 

e)      zpracováním osobních údajů jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Zpracováním osobních údajů se rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace,

 

Pojem je obecný a zahrnuje každý zásah do informace ať jednotlivé nebo jakožto součásti informačního systému. Zpracování se může uskutečňovat nejen technickými prostředky (zejména výpočetní techniky), ale také manuálně. Definice navíc ponechává prostor zahrnout pod tento pojem i další způsoby či techniky, které nejsou v současné době známy. Tato linie je nutná pro udržení kompatibility s evropskou legislativou. Pod pojem zpracování je nutno zahrnout jakoukoliv manipulaci s údaji (tedy také “správu údajů”, “nakládání s údaji” apod.).

 

f)        shromažďováním osobních údajů systematický postup nebo soubor postupů, jehož cílem je získání osobních údajů za účelem jejich dalšího uložení na nosič informací pro jejich okamžité nebo pozdější zpracování,

 

Tato činnost se musí dít systematicky, tedy se záměrem dosáhnout určitého uspořádaného souboru, nebo pomocí technických prostředků uspořádání docílit. Není rozhodné, zda se tak děje ojediněle nebo soustavně, významné nejsou ani prostředky, kterými se tak děje. Ze sémantického významu slova shromažďování plyne, že se týká více než jednoho údaje, o shromažďování ovšem jde již v okamžiku, kdy je získán první z řady více údajů. Údaje musí být uloženy na nějaký nosič /disketu, disk, papír/ k tomu, aby byly buď ihned nebo kdykoli v budoucnu zpracovány.

 

g)      uchováváním osobních údajů udržování údajů v takové podobě, která je umožňuje dále zpracovávat,

h)      blokováním osobních údajů vytvoření takového stavu, při kterém je osobní údaj určitou dobu nepřístupný a nelze jej jinak zpracovávat,

i)        likvidací osobních údajů se rozumí fyzické zničení jejich nosiče, jejich fyzické vymazání nebo jejich trvalé vyloučení z dalších zpracování,

 

Za likvidaci není možné považovat takový způsob, po jehož aplikaci by přesto bylo možno, např. jinými technickými prostředky, tyto údaje jakkoli obnovit, aby měly charakter osobních údajů.

 

j)        správcem každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. Zpracováním osobních údajů může správce zmocnit nebo pověřit zpracovatele, pokud zvláštní zákon nestanoví jinak,

 

Definice je převzata ze Směrnice. Správcem se rozumí jednak státní nebo jiný orgán, případně subjekt, jemuž je zákonem uloženo, aby zpracovával osobní údaje, jednak soukromý subjekt či fyzická osoba, který zpracovává osobní údaje pro účely podnikatelské nebo pro jakékoliv jiné účely. Státním a jiným orgánům stanoví zákon, jak mají osobní údaje zpracovávat. Pokud jde o soukromé subjekty, mohou osobní údaje zpracovávat, jen pokud to zákon nezakazuje. Správce může pověřit /např. smluvně, služebním pokynem/, aby osobní údaje zpracovával jiný subjekt, tj. zpracovatel, ledaže by mu zákon ukládal, aby je zpracovával sám nebo mu ukládá, aby zpracováváním pověřil zpracovatele. Vztah mezi správcem a zpracovatelem však musí mít právní náležitosti (tj. zákon, nebo právně platná smlouva). Dikce návrhu odlišuje případy, kdy postavení správce je určeno přímo zákonem (např. obecní úřad při vedení matriky) a kdy vyvíjí činnost v souladu se zákonem resp. podle zákona.

 

k)      zpracovatelem každý subjekt, který na základě zvláštního zákona nebo pověření správcem zpracovává osobní údaje podle tohoto zákona,

 

Zpracovatel může zpracovávat údaje buď na základě výslovného zákonného zmocnění nebo je-li k tomu zmocněn správcem nebo na základě smluvního ujednání. Zpracovatel, na rozdíl od správce, neurčuje účel a prostředky zpracování osobních údajů. Zpracovatelem se rozumí také jakýkoliv jiný subjekt, který provádí jen některou (či některé) činnost související se zpracováním. Nemusí tedy jít vždy o subjekt, který osobní údaje shromáždil.

 

l)        zveřejněným osobním údajem osobní údaj, zpřístupněný zejména hromadnými sdělovacími prostředky, jiným veřejným sdělením nebo jako součást veřejného seznamu.

 

Na rozdíl od ustanovení § 15 zákona č.256/1992 Sb., je zveřejnění vymezeno šířeji. Taxativní výčet všech prostředků, jimiž může k publikovaní osobního údaje dojít, se nejeví možný, ale ani potřebný. Podané vymezení dává možnost reagovat na případné změny, k nimž může, pokud se týče způsobu zveřejňování v budoucnu dojít. Nejčastěji bude osobní údaj zveřejňován tiskem, televizí, Internetem a jinými masovými médii a dále jakožto součást veřejně přístupných seznamů /obchodní rejstřík, letecký rejstřík/. Může se stát veřejným i jako součást různých seznamů vydávaných pro komerční účely, ale také jeho sdělením na veřejné schůzi. Není přitom rozhodné, zda k publikaci došlo legálně nebo v rozporu se zákonem.

 

 

Hlava II

Práva a povinnosti při zpracování osobních údajů

 

§ 5

 

(1)   Správce je povinen:

a)  stanovit účel, k němuž mají být osobní údaje zpracovány,

b)  stanovit prostředky a způsob zpracování osobních údajů,

 

Uvedené povinnosti musí správce splnit předem. Odtud se pak odvíjejí některé další povinnosti, např. pro uchovávání údajů, jejich přenos do jiných států apod.

 

c)  zpracovávat pouze pravdivé a přesné osobní údaje, které získal v souladu s tímto zákonem. Je povinen ověřovat, zda jsou osobní údaje pravdivé a přesné a pokud tak nemůže zjistit, musí je blokovat. Zjistí-li správce, že údaje nejsou pravdivé a přesné, zejména k námitce subjektu údajů, je povinen je blokovat a bez zbytečného odkladu opravit nebo doplnit. Nelze-li je opravit nebo doplnit, musí je bez zbytečného odkladu zlikvidovat. Nepravdivé, nepřesné nebo neověřené osobní údaje lze zpracovávat pouze v případě, stanoví-li tak zvláštní zákon [Například zákon č.89/1995 Sb., o státní statistické službě, zákon č.153/1994 Sb., o zpravodajských službách, ve znění pozdějších předpisů a zákon č.283/1991 Sb., o Policii České republiky, ve znění pozdějších předpisů]. Tyto údaje se musí náležitě označit a vést odděleně od ostatních osobních údajů,

d)  shromažďovat osobní údaje odpovídající pouze stanovenému účelu a v rozsahu nezbytném pro naplnění stanoveného účelu,

e)  uchovávat osobní údaje pouze po dobu, která je nezbytná k účelu jejich zpracování. Po uplynutí této doby mohou být osobní údaje uchovávány pouze pro účely statistické, vědecké a pro účely archivnictví. Při použití pro tyto účely je třeba dbát práva na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů,

f)   zpracovávat osobní údaje pouze k tomu účelu, k němuž byly shromážděny, pokud zvláštní zákon nestanoví jinak. Zpracovávat k jinému účelu lze osobní údaj jen pokud k tomu dal subjekt údajů souhlas,

g)  shromažďovat osobní údaje pouze otevřeně; je vyloučeno shromažďovat údaje pod záminkou jiného účelu nebo jiné činnosti, pokud zvláštní zákon nestanoví jinak,

h)  nesdružovat osobní údaje, které byly získány k rozdílným účelům, pokud zvláštní zákon nestanoví jinak.

(2)   Správce může zpracovávat osobní údaje pouze se souhlasem subjektu údajů. Bez tohoto souhlasu je může zpracovávat:

a)  jestliže provádí zpracování upravené zvláštním zákonem [Například zákon č.111/1998 Sb., o vysokých školách a o změně a doplnění dalších zákonů, zákon č.564/1990 Sb., o státní správě a samosprávě ve školství, ve znění pozdějších předpisů, zákon č.153/1994 Sb., o zpravodajských službách, ve znění pozdějších předpisů a zákon č.61/1996 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a o změně a doplnění některých zákonů, ve znění pozdějších předpisů].

b)  jestliže je nezbytné, aby subjekt údajů mohl vstoupit do jednání o smluvním vztahu nebo aby plnil ujednání smlouvy uzavřené se správcem,

c)  pokud je to nezbytně třeba k ochraně důležitých zájmů subjektu údajů. V tomto případě je třeba bez zbytečného odkladu získat jeho souhlas. Pokud souhlas není dán, musí správce ukončit zpracování a údaje zlikvidovat,

d)      jedná-li se o oprávněně zveřejněné osobní údaje v souladu se zvláštním právním předpisem [Zákon č.81/1966 Sb., o periodickém tisku a ostatních hromadných informačních prostředcích, ve znění zákona č.84/1968 Sb., zákona č.127/1968 Sb., zákona č.99/1969 Sb., zákona č.86/1990 Sb., zákona č.175/1990 Sb., zákona č.425/1990 Sb. a zákona č.160/1999 Sb.]. Tím však není dotčeno právo na ochranu soukromého a osobního života subjektu údajů,

e)      pokud je to nezbytné pro ochranu práv správce; takové zpracování osobních údajů však nesmí být v rozporu s právem subjektu údajů na ochranu jeho soukromého a osobního života, nebo

g)       pokud je to nezbytné pro výkon oprávněné činnosti politických stran, politických hnutí, občanských sdružení, odborových organizací, církví nebo náboženských společností.

(3)   Provádí-li správce zpracování osobních údajů na základě zvláštního zákona [Například zákon č. 111/1998 Sb., o vysokých školách a o změně a doplnění dalších zákonů (zákon o vysokých školách), zákon č. 564/1990 Sb., o státní správě a samosprávě ve školství, ve znění pozdějších předpisů, zákon č. 153/1994 Sb., ve znění zákona č. 118/1995 Sb., a zákon č. 61/1996 Sb., ve znění zákona č. 15/1998 Sb.], je povinen dbát práva na ochranu soukromého a osobního života subjektu údajů.

(4)   Bez souhlasu subjektu údajů lze osobní údaje zpracovávat pro účely statistické nebo vědecké. Pro tyto účely zpracování je nutno osobní údaje anonymizovat, jakmile je to možné. Při zpracování osobních údajů pro tyto účely je však nutno zajistit požadovanou úroveň jejich zabezpečení podle § 13.

(5)   Souhlasem podle odstavce 2 však nemohou být dotčeny povinnosti uvedené v odstavci 1 písmene c) a g). Ze souhlasu musí být patrné, v jakém rozsahu je poskytován, komu a k jakému účelu, na jaké období a kdo jej poskytuje. Souhlas může být kdykoliv odvolán, pokud se subjekt údajů se správcem výslovně nedohodne jinak. Tento souhlas musí správce prokázat po dobu zpracování osobních údajů, k jejichž zpracování byl dán souhlas.

 

Obecně platí, že subjekt údajů může dát souhlas k omezení svých práv. Výjimku zde tvoří povinnosti správce podle odstavce 1 písmen c) a g), jejichž dodržování je důležité i pro zajištění práv dalších subjektů.

 

6)  Provádí-li správce nebo zpracovatel zpracování osobních údajů za účelem nabízení obchodu nebo služeb subjektu údajů, lze pro tento účel použít jméno, příjmení a adresu subjektu údajů, pokud tyto údaje byly získány z veřejného seznamu nebo v souvislosti se svojí činností jakožto správce nebo zpracovatele. Správce nebo zpracovatel však nesmí uvedené údaje dále zpracovávat, pokud s tím subjekt údajů vyslovil nesouhlas. Nesouhlas se  zpracováním je nutné vyjádřit písemně. Bez souhlasu subjektu údajů nelze k uvedeným údajům přiřazovat další osobní údaje.

 

7)  Správce, který zpracovává osobní údaje podle odstavce 6, může tyto údaje předat jinému správci pouze za splnění těchto podmínek:

a)    údaje subjektu údajů byly získány v souvislosti s činností správce nebo se jedná o zveřejněné osobní údaje,

b)    údaje budou využívány pouze za účelem nabízení obchodu a služeb,

c)    subjekt údajů byl o tomto postupu správce předem informován a nevyslovil s tímto postupem nesouhlas.

 

8)  Jiný správce, kterému byly předány údaje podle odstavce 7, nesmí tyto údaje předávat jiné osobě.

 

9)  Nesouhlas se zpracováním podle odstavce 7 písm. c) musí subjekt údajů učinit písemně. Správce je povinen informovat každého správce, kterému předal jméno, příjmení a adresu subjektu údajů, o tom, že subjekt údajů vyslovil nesouhlas se zpracováním.

 

10Za účelem vyloučení možnosti, že jméno, příjmení a adresa subjektu údajů budou opakovaně použity k nabídce obchodu a služeb, je správce oprávněn dále zpracovávat pro svoji vlastní potřebu jméno, příjmení a adresu subjektu údajů přesto, že subjekt údajů vyslovil nesouhlas podle odstavce 6.

 

V odstavcích 6 až 10 jsou zvláště podrobně popsány povinnosti správců osobních údajů, kteří je zpracovávají za účelem nabízení obchodu a služeb tak, aby těmto správcům zákon nadmíru nebránil v jejich podnikatelské činnosti, ale současně byla výrazně  omezena možnost zneužití osobních údajů zákazníků.

 

 

§ 6

 

Pokud zmocnění nevyplývá z právního předpisu, může správce se zpracovatelem uzavřít smlouvu o zpracování osobních údajů. Smlouva musí mít písemnou formu, jinak je neplatná. Musí v ní být zejména výslovně uvedeno v jakém rozsahu, za jakým účelem a na jakou dobu se uzavírá. Jestliže zpracovatel ve smlouvě neposkytne dostatečné záruky o technickém a organizačním zabezpečení ochrany osobních údajů, je taková smlouva neplatná.

 

Zde se rozlišují výrazy “zmocnit” a “pověřit”, které odlišují případy, kdy je správcem údajů orgán veřejné moci, který “zmocňuje” a kdy je jím soukromý subjekt, který “pověřuje”.

 

§ 7

 

Povinnosti stanovené v § 5 platí obdobně také pro zpracovatele.

 

§ 8

 

Jestliže zpracovatel zjistí, že správce porušuje povinnosti stanovené tímto zákonem, je povinen jej na to neprodleně upozornit a ukončit zpracování osobních údajů. Pokud tak neučiní, odpovídá za škodu, která subjektu údajů vznikla, společně a nerozdílně se správcem údajů. Tím není dotčena jeho odpovědnost podle tohoto zákona.

 

Zjistí-li zpracovatel, že správce porušuje svoje povinnosti, musí ho na to upozornit a přestat nakládat s údaji. Učiní-li tak, nevzniká mu odpovědnost, v opačném případě je odpovědný za škodu, která vznikla subjektu údajů v rozsahu, v němž v důsledku tohoto opomenutí ke škodě došlo. Z důvodu zajištění ochrany práv subjektu údajů, zakotvuje se zvláštní režim solidární odpovědnosti.

 

§ 9

Citlivé údaje

 

Citlivé údaje je možno zpracovávat jen, jestliže:

a)      subjekt údajů dal ke zpracování výslovný souhlas. Souhlas musí být dán písemně, podepsán subjektem údajů a musí z něho být zřejmé, k jakým údajům je dáván, jakému správci údajů, k jakému účelu, na jaké období a kdo jej poskytuje. Souhlas může subjekt údajů kdykoliv odvolat. Správce je povinen předem subjekt údajů o jeho právech poučit. Tento souhlas musí správce uschovat po dobu zpracování osobních údajů, k jejichž zpracování byl souhlas dán,

b)      je to nezbytné v zájmu zachování života nebo zdraví subjektu údajů nebo jiné osoby nebo odvrácení bezprostředního závažného nebezpečí hrozícího jejich majetku, pokud není možno jeho souhlas získat zejména z důvodů fyzické, duševní či právní nezpůsobilosti, v případě, že je nezvěstný nebo z jiných podobných důvodů. Správce musí ukončit zpracování údajů, jakmile pominou uvedené důvody, a údaje musí zlikvidovat, ledaže by subjekt údajů dal k dalšímu zpracování souhlas,

 

Toto je chápáno jako zcela výjimečný případ.

 

c)      se jedná o poskytování zdravotní péče [Zákon č.20/1966 Sb., o péči o zdraví lidu, ve znění zákona č.210/1990 Sb., zákona č.425/1990 Sb., zákona č.548/1991 Sb., zákona č.550/1991 Sb., zákona č.590/1992 Sb., zákona č.15/1993 Sb., zákona č.161/1993 Sb., zákona č.307/1993 Sb., zákona č.60/1995 Sb., zákona č.14/1997 Sb., zákona č.206/1996 Sb., zákona č.79/1997 Sb., zákona č.110/1997 Sb., zákona č.83/1998 Sb. a zákona č.167/1998 Sb.], jakož i jiné posuzování zdravotního stavu podle zvláštního zákona, zejména pro účely sociálního zabezpečení. [Například pro posuzování zdravotního stavu a pracovní schopnosti podle zákona č.582/1991 Sb., o organizaci a provádění sociálního zabezpečení, ve znění pozdějších předpisů.], nebo

d)      je tak stanoveno zvláštním zákonem [Například zákon č.48/1997 Sb., o veřejném zdravotním pojištění, ve znění pozdějších předpisů, zákon č.280/1992 Sb., o resortních, odborových, podnikatelských a dalších zdravotních pojišťovnách, ve znění pozdějších předpisů, zákon č.551/1991 Sb., o Všeobecné zdravotní pojišťovně České republiky, ve znění pozdějších předpisů, zákon č.158/1999 Sb., o sčítání lidu, domů a bytů v roce 2001].

 

Ve smyslu čl. 8 Směrnice bude třeba příslušné zákony uvést do souladu s úpravou zákona o ochraně osobních údajů. V souladu se směrnicí je jakákoliv problematika upravená zákonem považována za důležitý veřejný zájem.

 

§ 10

 

Při zpracování citlivých údajů správce a zpracovatel dbá, aby subjekt údajů neutrpěl újmu na svých právech, zejména na právu na zachování lidské důstojnosti a také dbá na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů.

 

§ 11

 

(1)   Správce je před zahájením zpracování osobních údajů povinen subjekt údajů řádně a včas písemně informovat o tom, v jakém rozsahu a pro jaký účel budou osobní údaje zpracovávány, kdo a jakým způsobem bude osobní údaje zpracovávat a komu mohou být osobní údaje zpřístupněny či komu jsou určeny, nejsou-li subjektu údajů tyto informace již známy.

(2)   Správce musí dále subjekt údajů poučit o tom, zda je podle zákona povinen pro zpracování osobní údaje poskytnout, jaké důsledky budou vyvozeny, pokud tak neučiní, a kdy je oprávněn odmítnout poskytnutí osobních údajů, nebo zda poskytnutí osobních údajů je dobrovolné.

(3)   Správce musí subjekt údajů informovat o jeho právu k přístupu k osobním údajům, jakož i o dalších právech stanovených v § 21 tohoto zákona.

(4)   Jestliže správce nezískal osobní údaje od subjektu údajů, je povinen bezodkladně poskytnout subjektu údajů na základě písemné žádosti informace o tom, kdo správci osobní údaje poskytl (zdroj osobních údajů).

(5)   Informace podle odstavců 1 až 4 není povinen správce poskytovat, pokud:

a)  zpracovává osobní údaje výlučně pro účely statistické, vědecké nebo archivnictví,

b)  zpracování osobních údajů mu ukládá zákon nebo je takových údajů třeba k uplatnění práv a povinností vyplývajících ze zvláštních zákonů,

c)  zvláštní zákon [Například zákon č.153/1994 Sb., o zpravodajských službách, ve znění pozdějších předpisů, zákon č.61/1966 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a o změně a doplnění některých zákonů, ve znění pozdějších předpisů a zákon č.283/1991 Sb., o Policii České republiky, ve znění pozdějších předpisů.] stanoví, že není povinen osobní údaje poskytovat,

d)  zpracovává výlučně zveřejněné osobní údaje, nebo

e)  zpracovává osobní údaje se souhlasem subjektu údajů podle § 5 odst. 5 a § 9 písm. a).

(6)   Rozhodnutí orgánu veřejné moci nelze bez ověření tímto orgánem vydat na základě výlučně automatizovaného zpracování osobních údajů. To neplatí v případě, že takové rozhodnutí bylo učiněno ve prospěch subjektu údajů.

 

Nelze vydat jakékoliv (zpravidla pro subjekt údajů nevýhodné) rozhodnutí orgánu veřejné moci pouze na základě automatizovaného zpracování osobních údajů bez individuálního ověření.

 

(7)   Předchozími ustanoveními nejsou dotčena práva subjektu údajů požadovat informace podle zvláštních zákonů [Například zákon č.123/1998 Sb., o právu na informace o životním prostředí, zákon č.367/1990 Sb., o obcích, ve znění pozdějších předpisů, zákon č.106/1999 Sb., o svobodném přístupu k informacím.]

(8)   Při zpracování osobních údajů podle § 5 odst. 2 písm. e) je správce povinen bez zbytečného odkladu subjekt údajů informovat o tomto postupu.

 

§ 12

 

(1)   Správce nemusí splnit informační povinnost podle § 11 odst. 1 v případě, že tyto informace jsou součástí poučení podle právního předpisu.

(2)   Správce je povinen jednou za kalendářní rok bezplatně, jinak kdykoli za přiměřenou úhradu nepřevyšující náklady nezbytné na poskytnutí informace, subjektu údajů na základě písemné žádosti poskytnout informace o osobních údajích o něm zpracovávaných, pokud zákon nestanoví jinak.

 

Informace jsou zásadně poskytovány na základě žádosti subjektu údajů. Jestliže jsou již obsaženy v poučení, které je poskytováno podle zákona nebo pokud bude jeho obsah stanoven prováděcím předpisem, není již poskytováno na základě písemné žádosti (např. poučení pacientů). V případech, kdy subjekt údajů žádá o informace častěji než jednou ročně, může správce požadovat přiměřenou úplatu. Výši této úplaty stanoví správce, nesmí však překročit skutečné náklady nezbytné na vyhledání, sestavení či jiné zpracování informace a na úkony potřebné k poskytnutí informace (poštovné a pod.).

 

Povinnosti osob při zabezpečení osobních údajů

§ 13

 

Správce a zpracovatel jsou povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů.

 

Tímto ustanovením se stanoví obecné povinnosti pro všechny správce, pokud se týče zajištění ochrany osobních údajů a jejich bezpečnosti. Opatřeními, která je správce povinen učinit, se rozumí opatření technická, organizační, právní a jiná. Údaje musí být chráněny jak vůči zaměstnancům, tak jiným osobám, které s nimi oprávněně přicházejí do styku, tak např. vůči hackerům. Tento zákon však nestanoví jaká konkrétní opatření má správce učinit. Konkrétní opatření budou záviset na rozsahu a použití technických prostředků, které správce při zpracování použije. Nicméně některé návody bude možno vydat např. metodickými sděleními nebo vyhlášením standardů. Subsidiárně lze využít vyhlášek Národního bezpečnostního úřadu č.12/1999 Sb., o zajištění technické bezpečnosti utajovaných skutečností a certifikací technických prostředků a vyhlášky č.56/1999 Sb., o zajištění bezpečnosti informačních systémů nakládajících s utajovanými skutečnostmi, provádění jejich certifikace a náležitostech certifikátů.

 

§ 14

 

Zaměstnanci správce nebo zpracovatele a jiné osoby, které zpracovávají osobní údaje na základě smlouvy se správcem nebo zpracovatelem, mohou zpracovávat osobní údaje pouze za podmínek a v rozsahu správcem nebo zpracovatelem stanoveném.

 

Tímto ustanovením je vyloučeno, aby osoby, kterým nedá správce nebo zpracovatel souhlas, jakkoli zpracovávaly osobní údaje. Správce, resp. zpracovatel musí stanovit též rozsah oprávnění, v němž určitá osoba má k osobním údajům přístup a může je zpracovávat. Osobami jsou zde míněny jak fyzické osoby, které vůči správci či zpracovateli vykonávají činnost na základě pracovněprávního vztahu, tak právnické osoby, které tuto činnost vykonávají na základě jakéhokoliv smluvního vztahu.

 

§ 15

 

(1)   Zaměstnanci správce nebo zpracovatele, jiné fyzické osoby, které zpracovávají osobní údaje na základě smlouvy se správcem nebo zpracovatelem a další osoby, které v rámci plnění zákonem stanovených oprávnění a povinností přicházejí do styku s osobními údaji u správce nebo zpracovatele, jsou povinny zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů. Povinnost mlčenlivosti trvá i po skončení zaměstnání nebo příslušných prací.

 

Oproti zákonu č. 256/1992 Sb. je toto ustanovení rozšířeno o povinnost zachovávat mlčenlivost o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení údajů.

 

(2)   Ustanovením předchozího odstavce není dotčena povinnost zachovávat mlčenlivost podle zvláštních zákonů [Například zákon č.148/1998 Sb., o ochraně utajovaných skutečností a o změně některých zákonů, ve znění pozdějších předpisů, zákon č.89/1995 Sb., o státní statistické službě, zákon č.20/1966 Sb., o péči o zdraví lidu, ve znění pozdějších předpisů, zákon č.15/1998 Sb., o komisi pro cenné papíry a o změně a doplnění dalších zákonů.].

(3)   Povinnost zachovávat mlčenlivost se nevztahuje na informační povinnost podle zvláštních zákonů [Například § 167 a § 168 zákona č.140/1961 Sb., trestní zákon, ve znění pozdějších předpisů, zákon č.21/1992 Sb., o bankách, ve znění pozdějších předpisů, zákon č.20/1966 Sb., o péči o zdraví lidu, ve znění pozdějších předpisů].

 

§ 16

Oznamovací povinnost

 

(1)   Ten, kdo hodlá zpracovávat osobní údaje, je povinen tuto skutečnost oznámit Úřadu před započetím zpracovávání osobních údajů. Oznámení je povinen učinit i správce, jestliže hodlá změnit zpracování osobních údajů. Oznámení musí být učiněno písemně.

(2)   Oznámení musí obsahovat následující informace:

a)  název správce, adresu jeho sídla a identifikační číslo, pokud bylo přiděleno,

b)  účel nebo účely zpracování,

c)  kategorie subjektů údajů a osobních údajů, které se těchto subjektů týkají,

d)  zdroje osobních údajů,

e)  popis způsobu zpracování osobních údajů,

f)   příjemce nebo kategorie příjemců, kterým uvedené osobní údaje mohou být zpřístupněny či sdělovány,

g)  předpokládané přenosy osobních údajů do jiných států,

h)  popis opatření k zajištění požadované ochrany osobních údajů podle § 13,

i)   propojení na jiné správce.

Podrobnosti o obsahu oznámení Úřad stanoví vyhláškou.

(3)   Úřad je povinen do 30 dnů od doručení oznámení Úřadu oznamovateli sdělit, že jeho oznámení registruje, nebo vydat rozhodnutí podle § 17.

(4)   Pokud Úřad oznámení zaregistroval, může dnem registrace oznamovatel zahájit zpracování osobních údajů.

(5)   Jestliže Úřad ve lhůtě stanovené v odstavci 3 oznamovateli nesdělí, že oznámení zaregistroval, ani nevydá rozhodnutí, má se za to, že oznámení zaregistroval.

 

Smyslem oznamovací povinnosti je zajistit výkon dozoru ze strany Úřadu. Ukládá se povinnost informovat Úřad před zahájením zamýšleného zpracování osobních údajů. Tento režim výslovně vyžaduje Směrnice EU, která také stanovuje minimální rozsah údajů v tomto oznámení. Pokud Úřad oznámení zaregistroval, nevydává rozhodnutí podle správního řádu, ale pouze tuto skutečnost oznámí. Rozhodnutí se vydává pouze v případě, že Úřad nepovoluje nebo zakazuje osobní údaje zpracovávat. V zájmu právní jistoty oznamovatele se stanoví, jaké následky má sdělení i marné uplynutí lhůty.

 

§ 17

 

(1)   Zjistí-li Úřad, že oznamovatel nesplňuje podmínky stanovené tímto zákonem, zpracování osobních údajů nepovolí.

(2)   Jestliže oznámení neobsahuje všechny požadované informace, vyzve Úřad oznamovatele, aby je ve stanovené lhůtě doplnil.

(3)   Vznikne-li z oznámení důvodná obava, že při zpracování osobních údajů by mohlo dojít k porušení tohoto zákona, vyzve Úřad oznamovatele, aby oznámení ve stanovené lhůtě doplnil, popřípadě může sám provést šetření na místě samém.

 

Obava, že při zpracování osobních údajů mohou být porušena ustanovení tohoto zákona, musí být důvodná. Může tak být dáno jak povahou osobních údajů /např. tím, že jde o údaje citlivé/, tak s ohledem na to, jak mají být zpracovávány, technickou úrovní vybavení oznamovatele, nelegálním účelem a dalšími okolnostmi. Ponechává se Úřadu, aby posoudil míru rizika zpracování osobních údajů a v případě potřeby před provedením registrace provedl šetření u oznamovatele.

 

(4)   Po uplynutí lhůty stanovené podle odstavce 2 Úřad oznámení zaregistruje nebo vydá rozhodnutí, jímž zpracování osobních údajů nepovolí.

 

§ 17a

 

(1)   Zjistí-li Úřad, že správce zpracovává osobní údaje na základě zaregistrovaného oznámení podle § 16 a v rozporu s podmínkami stanovenými tímto zákonem, rozhodne o zrušení registrace.

(2)   Zjistí-li Úřad, že správce, jehož oznámení bylo zaregistrováno postupem podle § 16 odst. 3 nebo § 17 odst. 4, porušuje podmínky stanovené tímto zákonem, registraci zruší.

(3)   Pomine-li účel, pro který bylo zpracování zaregistrováno, Úřad z vlastního podnětu nebo na žádost správce registraci zruší.

 

Zde se jedná o ustanovení do zákona doplněná novelou č. 450/2001 Sb. V původním znění byly podrobně řešeny mechanismy registrace zpracování osobních údajů, ale opačný směr zde chyběl.

 

§ 18

 

Oznamovací povinnost podle § 16 se nevztahuje na zpracování osobních údajů:

a)      které jsou součástí evidencí veřejně přístupných,

b)      jejichž zpracování je správci uloženo zákonem nebo kterých je třeba k uplatnění práv vyplývajících ze zvláštních zákonů, [Například zákon č.153/1994 Sb., o zpravodajských službách,ve znění pozdějších předpisů, zákon č.61/1966 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a o změně a doplnění některých zákonů,ve znění pozdějších předpisů a zákon č.283/1991 Sb., o Policii České republiky, ve znění pozdějších předpisů, zákon č.158/1999 Sb., o sčítání lidu, domů a bytů v roce 2001] nebo

c)      prováděné politickými stranami, politickými hnutími, odborovými organizacemi, církvemi, náboženskými společnostmi, občanskými sdruženími, popřípadě jinými právnickými osobami nevýdělečné povahy, které sledují politické, filozofické, náboženské nebo odborové cíle, pokud zpracovávají osobní údaje o svých členech a tyto údaje slouží pro jejich vnitřní potřebu.

 

Z oznamovací povinnosti jsou vyčleněna některá zpracování, která se nemusí oznamovat. Jsou to zejména ta, která jsou správci uložena zákonem a tudíž jejich kontrola Úřadem není oznámením ovlivněna. Toto ovšem platí pouze tehdy, pokud správce shromažďuje osobní údaje pouze v tom rozsahu, který určí zákon. Jakýkoliv sběr údajů nad rámec takového ustanovení zákona již registraci podléhá. Okruh osobních údajů, které nepodléhají oznamovací povinnosti, je určen praktickými potřebami a požadavky na zajištění dozoru nad nimi.

 

§ 19

 

Jestliže správce hodlá ukončit svoji činnost, je povinen Úřadu neprodleně oznámit, jak naložil s osobními údaji, pokud se na jejich zpracování vztahuje oznamovací povinnost.

 

§ 20

Likvidace osobních údajů

 

(1)   Správce nebo na základě jeho pokynu zpracovatel je povinen provést likvidaci osobních údajů, jakmile pomine účel, pro který byly osobní údaje zpracovány, nebo na základě žádosti subjektu údajů podle § 21.

(2)   Zvláštní zákon stanoví výjimky týkající se uchovávání osobních údajů pro účely archivnictví a uplatňování práv v občanském soudním řízení, trestním řízení a správním řízení.

 

Ochrana práv subjektů údajů

 

§ 21

 

(1)   Pokud subjekt údajů zjistí, že došlo k porušení povinností správcem nebo zpracovatelem, má právo obrátit se na Úřad s žádostí o zajištění opatření k nápravě.

(2)   Došlo-li k porušení povinností správcem nebo zpracovatelem, má subjekt údajů právo požadovat:

a)  aby se správce či zpracovatel zdržel takového jednání, odstranil takto vzniklý stav či poskytl na svoje náklady omluvu nebo jiné zadostiučinění,

b)  aby správce či zpracovatel provedl opravu nebo doplnění osobních údajů tak, aby byly pravdivé a přesné,

c)  aby osobní údaje byly zablokovány nebo zlikvidovány,

d)  zaplacení peněžité náhrady, jestliže tím bylo porušeno jeho právo na lidskou důstojnost, osobní čest, dobrou pověst či právo na ochranu jména.

 

Uplatněním těchto práv není dotčena možnost domáhat se nároků na ochranu osobnosti podle § 11-16 občanského zákoníku. Možnost domáhat se zaplacení peněžité náhrady přichází v úvahu, pokud by nebylo možno se této satisfakce domáhat podle obecných občanskoprávních předpisů.

 

(3)   Odpovědnosti podle odstavce 1 se zprostí ten, kdo prokáže, že porušení povinnosti nebylo možno zabránit ani při vynaložení veškerého úsilí, které lze od něj požadovat. Přesto však může subjekt údajů požadovat, aby se správce nebo zpracovatel zdržel závadného jednání, odstranil závadný stav, provedl opravu, doplnění, blokování nebo likvidaci osobních údajů.

 

Správce a zpracovatel se nacházejí v režimu objektivní odpovědnosti.

 

(4)   Způsobil-li správce nebo zpracovatel subjektu údajů škodu, odpovídají za ni společně a nerozdílně podle zvláštních zákonů [Například zákon č.40/1964 Sb., občanský zákoník, ve znění pozdějších předpisů, zákon č.82/1998 Sb., o odpovědnosti za škodu způsobenou při výkonu veřejné moci rozhodnutím nebo nesprávným úředním postupem, zákon č.358/1992 Sb. o notářích a jejich činnosti, ve znění pozdějších předpisů].

 

Viz § 420 a násl. občanského zákoníku.

 

(5)   Došlo-li k porušení povinností uložených tímto zákonem jak u správce, tak u zpracovatele, odpovídají za ně společně a nerozdílně. Subjekt údajů se může domáhat svých nároků u kteréhokoliv z nich.

 

Je na vůli subjektu údajů, zda se bude dožadovat příslušných nároků na správci nebo na zpracovateli či na obou zároveň.

 

6)  O opatřeních provedených podle odstavce 2 písm. a) až c) je správce povinen bez zbytečného odkladu zajistit informování každého subjektu, jemuž byly v rámci zpracování osobní údaje poskytnuty, s výjimkou informací o poskytnutí omluvy či jiného zadostiučinění.

 

§ 22

 

Právo na zablokování či likvidaci osobních údajů nemůže subjekt údajů požadovat, jestliže je správce povinen osobní údaje zpracovávat na základě zákona, nebo pokud by tím mohla být způsobena újma na právech třetích osob.

 

§ 23

Náprava nemajetkové újmy

 

(1)   Jestliže osoba, která vykonává pro správce či zpracovatele činnosti na základě smlouvy, poruší uložené povinnosti, má subjekt údajů právo požadovat:

a)  aby se zdržela takového jednání, odstranila takto vzniklý stav či poskytla na svoje náklady omluvu nebo jiné zadostiučinění,

b)  aby zlikvidovala osobní údaje, které neoprávněně zpracovává,

c)  aby zaplatila peněžitou náhradu újmy, která vznikla porušením jeho práva na lidskou důstojnost, osobní čest, dobrou pověst či práva na ochranu jména.

(2)   Neposkytne-li tato osoba na svoje náklady omluvu nebo jiné zadostiučinění nebo nezaplatí peněžitou náhradu, je povinen za ni tuto povinnost splnit správce nebo zpracovatel.

(3)   Poruší-li uložené povinnosti osoba, která je ke správci nebo zpracovateli v pracovním poměru, řídí se její odpovědnost zákoníkem práce.

 

Správce či zpracovatel v takovém případě samozřejmě mohou vůči povinnému následně uplatňovat nároky na základě pracovněprávních či občanskoprávních předpisů.

 

§ 24

 

Osoby uvedené v § 23 se odpovědnosti zprostí, pokud prokáží, že porušení předpisů nezavinily. Přesto však může subjekt údajů požadovat, aby se zdržely jednání porušujícího stanovené povinnosti, odstranily stav z takového jednání vzniklý a zlikvidovaly osobní údaje, které neoprávněně zpracovávají.

 

Na rozdíl od objektivní odpovědnosti správce a zpracovatele podle § 21, odst. 2, se zde vychází z odpovědnosti za zavinění, což odpovídá obecné úpravě občanskoprávní.

 

§ 25

Náhrada škody

 

V otázkách neupravených tímto zákonem se použije obecná úprava odpovědnosti za škodu [Občanský zákoník, Obchodní zákoník].

 

§ 26

 

Povinnosti podle § 21 až 25 se obdobně vztahují i na osoby, které shromáždily osobní údaje neoprávněně.

 

Nároky uvedené v předchozích paragrafech může subjekt údajů uplatňovat i vůči těm, kdo získali jeho osobní údaje neoprávněně bez ohledu, zda se tak stalo úmyslně nebo z nedbalosti.

 

 

Hlava III

Předávání osobních údajů do jiných států

 

§ 27

 

(1)   Do jiných států mohou být osobní údaje předány za podmínky, že právní úprava státu, kde mají být zpracovány, odpovídá požadavkům stanoveným v tomto zákoně.

(2)   Není-li podmínka podle odstavce 1 splněna, může být předávání osobních údajů uskutečněno, jestliže:

a)  předávání údajů se děje se souhlasem nebo na základě pokynu subjektu údajů, který je oprávněn jej učinit,

b)  je to nezbytné k ochraně práv nebo uplatňování nároků subjektu údajů,

c)  jde o osobní údaje, které jsou součástí evidencí veřejně přístupných nebo přístupných těm, kdo prokáží právní zájem, avšak jen pokud se týče individuálně určeného údaje nebo údajů,

d)  předávání vyplývá z mezinárodní smlouvy, jíž je Česká republika vázána,

e)  předávání je nutné pro uzavření smlouvy mezi subjektem údajů a správcem nebo smlouvy, která je uzavírána v zájmu subjektu údajů nebo

f)   je to nezbytné pro záchranu života nebo pro poskytnutí zdravotní péče subjektu údajů,

g) tak stanoví zvláštní zákon. [Zákon č. 227/2000 Sb.]

(3)   Předávání osobních údajů může být uskutečněno v jiných případech, je-li tak činěno ve prospěch subjektu údajů a pokud z dvoustranné smlouvy mezi správcem a přijímacím subjektem vyplývá, že přijímací strana zajistí požadovanou ochranu osobních údajů.

(4)   Správce je povinen požádat Úřad o povolení k předání nebo předávání osobních údajů do jiných států. O žádosti Úřad rozhodne bezodkladně, nejpozději do sedmi kalendářních dnů. Pokud v této lhůtě Úřad nerozhodne, má se za to, že s předáním osobních údajů souhlasí, a to na dobu, která je uvedena v žádosti. Hrozí-li nebezpečí z prodlení, vydá Úřad rozhodnutí neprodleně. Odvolání proti rozhodnutí nemá odkladný účinek.

(5)   Vydá-li Úřad rozhodnutí o předávání osobních údajů, stanoví také dobu, po kterou může správce předávání provádět. Pokud správce poruší povinnosti stanovené tímto zákonem, Úřad toto povolení odejme. Odvolání proti rozhodnutí nemá odkladný účinek.

(6)   Povinnosti podle odstavců 4 a 5 nemá správce v případě, že tak stanoví zvláštní zákon [Například zákon č.153/1994 Sb., o zpravodajských službách, ve znění pozdějších předpisů, zákon č.61/1966 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a o změně a doplnění některých zákonů, ve znění pozdějších předpisů a zákon č.283/1991 Sb., o Policii České republiky, ve znění pozdějších předpisů] nebo předávání vyplývá z mezinárodní smlouvy, kterou je Česká republika vázána.

 

Tato úprava odpovídá požadavkům čl. 25 Směrnice EU. Posouzení stavu právní ochrany v přijímací zemi bude úkolem Úřadu, který bude mít potřebné informace z mezinárodní spolupráce. V případě vstupu ČR do EU bude zástupce Úřadu členem řádného orgánu (Working Party), který byl zřízen na základě ustanovení čl.29 Směrnice.

 

 

Hlava IV

Postavení a působnost Úřadu

 

§ 28

 

(1)   Úřad je nezávislý orgán. Ve své činnosti postupuje nezávisle a řídí se pouze zákony a jinými právními předpisy.

(2)   Do činnosti Úřadu lze zasahovat jen na základě zákona.

(3)   Činnost Úřadu je hrazena ze samostatné kapitoly státního rozpočtu České republiky.

 

Úřad pro ochranu osobních údajů je v souladu se Směrnicí definován jako nezávislý orgán pro provádění dozoru nad zpracováním osobních údajů. Je typicky správním orgánem, kde nepřichází v úvahu kolektivní rozhodování. Z charakteru jeho činností je nutno o některých záležitostech rozhodnout bezodkladně.

 

§ 29

 

(1)   Úřad:

a)  provádí dozor nad dodržováním povinností stanovených tímto zákonem při zpracování osobních údajů,

b)  vede evidenci oznámení učiněných podle § 16 a registr povolených zpracování osobních údajů (dále jen “registr”),

c)  přijímá podněty a stížnosti občanů na porušení tohoto zákona,

d)  zpracovává a veřejnosti zpřístupňuje výroční zprávu o své činnosti,

e)  vydává prováděcí právní předpisy podle zvláštního zákona [Zákon č. 227/2000 Sb.],

f)   vykonává další působnosti stanovené mu zákonem,

g)  projednává přestupky a jiné správní delikty a uděluje pokuty podle tohoto zákona,

h)  zajišťuje plnění požadavků vyplývajících z mezinárodních smluv, jimiž je Česká republika vázána,

i)   poskytuje konzultace v oblasti ochrany osobních údajů,

j)   spolupracuje s obdobnými úřady jiných států.

(2)   Při výkonu dozoru ve formě kontroly se postupuje podle zvláštního právního předpisu [Zákon č.552/1991 Sb. o státní kontrole, ve znění zákona č.166/1993 Sb. a zákona č.148/1998 Sb.].

(3)   Dozor nad zpracováním osobních údajů, které provádějí zpravodajské služby, stanoví zvláštní právní předpis [§ 12 zákona č.153/1994 Sb., o zpravodajských službách České republiky].

(4)   Úřad uděluje a odnímá akreditace k působení jako akreditovaný poskytovatel certifikačních služeb a provádí dozor nad  dodržováním povinností stanovených zákonem o elektronickém podpisu.

 

Odst.4 byl doplněn zákonem č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu), který rozšířil jeho působnost.

 

 

Hlava V

Organizace Úřadu

 

§ 30

 

(1)   Zaměstnanci Úřadu jsou předseda, inspektoři a další zaměstnanci.

(2)   Kontrolní činnost Úřadu provádějí inspektoři a pověření zaměstnanci (dále jen “kontrolující”).

(3)   Na zaměstnance Úřadu se vztahují ustanovení zákoníku práce, pokud tento zákon nestanoví jinak.

(4)   Předseda Úřadu má nárok na plat, další plat, náhradu výdajů a naturální plnění jako prezident Nejvyššího kontrolního úřadu podle zvláštního zákona. [Zákon č. 236/1995 Sb., o platu a dalších náležitostech spojených s výkonem funkce představitelů státní moci a některých státních orgánů a soudců, ve znění pozdějších předpisů.]

(5)   Inspektoři Úřadu mají nárok na plat, další plat, náhradu výdajů a naturální plnění jako členové Nejvyššího kontrolního úřadu podle zvláštního zákona. [Zákon č. 236/1995 Sb., o platu a dalších náležitostech spojených s výkonem funkce představitelů státní moci a některých státních orgánů a soudců, ve znění pozdějších předpisů.]

(6)   Platové poměry zaměstnanců Úřadu, s výjimkou předsedy a inspektorů, se řídí právními předpisy upravujícími platové poměry zaměstnanců orgánů státní správy [Zákon č.143/1992 Sb., o platu a odměně za pracovní pohotovost v rozpočtových a některých dalších organizacích a orgánech, ve znění zákona č.590/1992 Sb., zákona č.10/1993 Sb., zákona č.40/1994 Sb., zákona č.118/1995 Sb. a zákona č.201/1997 Sb., Nařízení vlády ČR č.253/1992 Sb., o platových poměrech zaměstnanců orgánů státní správy, některých dalších orgánů a obcí, ve znění nařízení vlády č.43/1993 Sb., nařízení vlády č.78/1994 Sb., nařízení vlády č.142/1995 Sb., nařízení vlády č.71/1996 Sb., nařízení vlády č.326/1996 Sb., nařízení vlády č.163/1997 Sb. a č.248/1998 Sb.].

(7)   Zaměstnancům Úřadu, s výjimkou předsedy a inspektorů, přísluší náhrada cestovních výdajů podle zvláštního právního předpisu [Zákon č.119/1992 Sb., o cestovních náhradách, ve znění zákona č.44/1994 Sb., zákona č.125/1998 Sb. a zákona č.324/1998 Sb.].

 

§ 31

 

Kontrolní činnost Úřadu se provádí na základě kontrolního plánu nebo na základě podnětů a stížností občanů.

 

§ 32

 

Předseda Úřadu

(1)   Úřad řídí předseda, kterého jmenuje a odvolává prezident republiky na návrh Senátu Parlamentu České republiky.

(2)   Předseda Úřadu je jmenován na dobu 5 let. Může být jmenován maximálně na 2 po sobě jdoucí období.

(3)   Předsedou Úřadu může být jmenován pouze občan České republiky, který

a)  je způsobilý k právním úkonům,

b)  je bezúhonný, splňuje podmínky stanovené zvláštním právním předpisem [Zákon č.451/1991 Sb., kterým se stanoví některé další předpoklady pro výkony některých funkcí ve státních orgánech a organizacích ČSFR, ČR a SR, ve znění zákona č.555/1992 Sb. a zákona č.254/1995 Sb.] a jeho znalosti, zkušenosti a morální vlastnosti jsou předpokladem, že bude svoji funkci řádně zastávat,

c)  má ukončené vysokoškolské vzdělání.

(4)   Bezúhonnou je pro účel tohoto zákona fyzická osoba, která nebyla pravomocně odsouzena pro úmyslný trestný čin, nebo i trestný čin spáchaný z nedbalosti v souvislosti se zpracováním osobních údajů.

(5)   S výkonem funkce předsedy Úřadu je neslučitelná funkce poslance nebo senátora, soudce, státního zástupce, jakákoliv funkce ve veřejné správě, funkce člena orgánů územní samosprávy a členství v politických stranách a hnutích.

(6)   Předseda Úřadu nesmí zastávat jinou placenou funkci, být v dalším pracovním poměru ani vykonávat výdělečnou činnost s výjimkou správy vlastního majetku a činnosti vědecké, pedagogické, literární, publicistické a umělecké, pokud tato činnost nenarušuje důstojnost nebo neohrožuje důvěru v nezávislost a nestrannost Úřadu.

(7)   Z funkce je předseda Úřadu odvolán, přestal-li splňovat některou z podmínek pro jeho jmenování.

(8)   Z funkce může být předseda odvolán také tehdy, jestliže nevykonává po dobu 6 měsíců svoji funkci.

 

Inspektoři Úřadu

§ 33

 

(1)   Inspektora jmenuje a odvolává prezident republiky na návrh Senátu Parlamentu České republiky.

(2)   Inspektor je jmenován na období 10 let. Může být jmenován opakovaně.

(3)   Inspektor vykonává kontrolu, řídí kontrolu, vypracovává kontrolní protokol a provádí další úkony, jež souvisejí s úkoly Úřadu.

(4)   Činnosti podle odstavce 2 vykonává 7 inspektorů Úřadu.

 

Počet inspektorů vychází jednak z nového územního členění, jednak ze zvyklostí v zemích EU.

 

§ 34

 

(1)   Inspektorem může být jmenován občan České republiky, který je způsobilý k právním úkonům, bezúhonný, splňuje podmínky stanovené zvláštním právním předpisem a má ukončené odborné vysokoškolské vzdělání.

(2)   S výkonem funkce inspektora je neslučitelná funkce poslance nebo senátora, soudce, státního zástupce, jakákoliv funkce ve veřejné správě, funkce člena orgánů územní samosprávy a členství v politických stranách a hnutích. Inspektor nesmí zastávat jinou placenou funkci, být v pracovním poměru ani vykonávat výdělečnou činnost s výjimkou správy vlastního majetku a činnosti vědecké, pedagogické, literární, publicistické a umělecké, pokud tato činnost nenarušuje důstojnost nebo neohrožuje důvěru v nezávislost a nestrannost Úřadu.

(3)   Z funkce je inspektor odvolán, přestal-li splňovat některou z podmínek pro jeho jmenování.

 

Hlava VI

Činnost Úřadu

 

§ 35

Registrace

 

(1)   Do registru povolených zpracování osobních údajů se zapisují údaje z oznámení podle § 16 odst. 2.

(2)   Registraci nebo její zrušení zveřejňuje Úřad nejdéle do 2 měsíců ve Věstníku Úřadu, nestanoví-li zvláštní zákon, že se registrace nebo její zrušení nezveřejňuje. Oznámení o registraci nebo oznámení o zrušení registrace může Úřad zveřejnit i jiným vhodným způsobem.

(3)   Registr je veřejně přístupný s výjimkou údajů uvedených v § 16 odstavce 2 písm. e) a i).

 

Toto ustanovení stanoví, v souladu se Směrnicí (čl.21), jak bude vytvořen a zveřejněn registr povolených zpracování osobních údajů. Úřad bude zveřejňovat jednak vlastní registr, jednak přehled všech povolených zpracování osobních údajů. Informace o povolených zpracováních budou oznamovány ve Věstníku Úřadu, případně také na Internetu apod. Vlastní registr pak na Internetu či jinou vhodnou formou zveřejnění. Zveřejňování se nebude týkat těch údajů, resp. správců, kde to vylučuje zvláštní zákon. V praxi se tato výjimka bude týkat těch údajů, které jsou utajovanými skutečnostmi. Registr bude mít povahu veřejně přístupného seznamu, vyjímaje ty části, které jsou utajovanými skutečnostmi.

 

§ 36

Výroční zpráva

 

(1)   Výroční zpráva Úřadu obsahuje zejména informace o provedené kontrolní činnosti a její zhodnocení, informace a zhodnocení stavu v oblasti zpracovávání a ochrany osobních údajů v České republice a zhodnocení ostatní činnosti Úřadu.

(2)   Výroční zprávu předkládá předseda Úřadu pro informaci Poslanecké sněmovně a Senátu Parlamentu České republiky a vládě České republiky do 2 měsíců po skončení rozpočtového roku a zveřejňuje ji ve Věstníku Úřadu.

 

§ 37

Oprávnění kontrolujících

 

Kontrolující jsou při provádění kontroly oprávněni:

a)      vstupovat do objektů, zařízení a provozů, na pozemky a do jiných prostor kontrolovaných správců a zpracovatelů nebo každého kdo zpracovává osobní údaje (dále jen “kontrolovaných”), pokud to souvisí s předmětem kontroly; do obydlí mohou vstupovat pouze v případě, že tato slouží také k provozování podnikatelské činnosti,

b)      požadovat na kontrolovaných a na jiných osobách, aby ve stanovených lhůtách předložily originální doklady a další písemnosti, záznamy dat na paměťových médiích, výpisy a zdrojové kódy programů, pokud je vlastní, výpisy a opisy dat (dále jen “doklady”), pokud to souvisí s předmětem kontroly, a provádět vlastní dokumentaci,

c)      seznamovat se s utajovanými skutečnostmi za podmínek stanovených zvláštním zákonem [Zákon č.148/1998 Sb., o ochraně utajovaných skutečností, ve znění zákona č.164/1999 Sb.], jakož i dalšími skutečnostmi, které jsou chráněny povinností mlčenlivosti,

d)      požadovat na fyzických i právnických osobách poskytnutí pravdivých a úplných informací o zjišťovaných a souvisejících skutečnostech,

e)      zajišťovat v odůvodněných případech doklady; jejich převzetí musí kontrolovanému písemně potvrdit a na jeho žádost mu ponechat kopie převzatých dokladů,

f)        pořídit kopie obsahu paměťových médií nacházejících se u kontrolovaného,

g)      požadovat, aby kontrolovaní podali ve stanovené lhůtě písemnou zprávu o odstranění zjištěných nedostatků,

h)      používat telekomunikační zařízení kontrolovaných v případech, kdy je jejich použití nezbytné pro zabezpečení kontroly.

 

§ 38

Povinnosti kontrolujících

 

(1)   Kontrolu nesmějí provádět ti kontrolující, u nichž se zřetelem na jejich vztah ke kontrolovaným nebo k předmětu kontroly jsou důvodné pochybnosti o jejich nepodjatosti.

(2)   Kontrolující je povinen bezprostředně po tom, co se dozví o skutečnostech nasvědčujících jeho podjatosti, oznámit to předsedovi Úřadu.

(3)   O námitce podjatosti kontrolujícího rozhodne předseda Úřadu bez zbytečného odkladu. Do rozhodnutí o námitce podjatosti činí kontrolující pouze úkony, které nesnesou odkladu.

(4)   Proti rozhodnutí o námitce podjatosti se nelze odvolat.

(5)   Kontrolující jsou povinni:

a)  prokázat se kontrolovanému průkazem kontrolora,

b)  oznámit kontrolovanému zahájení kontroly,

c)  šetřit práva a právem chráněné zájmy kontrolovaných,

d)  předat neprodleně převzaté doklady, jakož i kopie paměťových médií kontrolovanému, pominou-li důvody jejich převzetí,

e)  řádně ochraňovat zajištěné doklady proti jejich ztrátě, zničení, poškození nebo zneužití,

f)   pořizovat o výsledcích kontroly kontrolní protokol,

g)  zachovávat mlčenlivost o skutečnostech zjištěných při výkonu kontroly a nezneužít znalosti těchto skutečností. Povinností mlčenlivosti není dotčena oznamovací povinnost podle zvláštních zákonů. Povinnost mlčenlivosti přetrvává i po skončení pracovněprávního vztahu k Úřadu. Povinnosti mlčenlivosti může kontrolujícího zbavit předseda Úřadu. Povinnost mlčenlivosti se nevztahuje na anonymizované a zobecněné informace.

(6)   Kontrolní protokol obsahuje zejména popis zjištěných skutečností s uvedením nedostatků a označení ustanovení právních předpisů, které byly porušeny, a opatření, která byla uložena k nápravě a stanovení lhůt, do kdy je třeba je učinit. V kontrolním protokolu se uvádí označení Úřadu a jména kontrolujících na kontrole zúčastněných, označení kontrolovaného, místo a čas provedení kontroly, předmět kontroly, skutečný stav, označení dokladů a ostatních dokumentů a zjištění, o které se protokol opírá. Kontrolní protokol podepisují kontrolující, kteří se kontroly zúčastnili.

(7)   Povinností kontrolujících je seznámit kontrolované s obsahem kontrolního protokolu a předat jim jeho stejnopis. Seznámení s kontrolním protokolem a jeho převzetí potvrzují kontrolovaní podpisem kontrolního protokolu. Odmítne-li kontrolovaný seznámit se s kontrolním protokolem nebo toto seznámení potvrdit, vyznačí se tyto skutečnosti v kontrolním protokolu.

 

§ 39

 

Každý je povinen v souvislosti s výkonem kontroly poskytnout kontrolujícím při výkonu jejich činnosti potřebnou součinnost.

 

Ukládá se každému poskytnout potřebnou součinnost při výkonu kontroly. Toto ustanovení má zabránit tomu, by např. kontrolovaná osoba nepřenesla některé důležité předměty, dokumenty a jiné materiály důležité pro provedení kontroly na osoby, které nejsou kontrolovány. Povinnost poskytnout potřebnou součinnost je uložena právnickým i fyzickým osobám.

 

Opatření k nápravě

§ 40

 

(1)   Zjistí-li kontrolující, že došlo k porušení povinností uložených tímto zákonem, uloží inspektor, jaká opatření je třeba učinit, aby byly zjištěné nedostatky odstraněny, a stanoví lhůtu pro jejich odstranění.

(2)   Byla-li uložena likvidace osobních údajů, jsou osobní údaje do likvidace blokovány. Proti uložení likvidace může správce podat námitku k předsedovi Úřadu. Do doby, než bude o námitce rozhodnuto, musí být osobní údaje blokovány. Proti rozhodnutí předsedy lze podat žalobu podle předpisů o správním soudnictví. Do doby, než bude soudem rozhodnuto, jsou údaje blokovány.

(3)   Kontrolovaný je povinen ve stanovené lhůtě podat zprávu o přijatých opatřeních.

 

§ 41

 

V řízení ve věcech upravených tímto zákonem se postupuje podle správního řádu [Zákon č.71/1967 Sb., o správním řízení (správní řád), ve znění zákona č.283/1993 Sb.], pokud ustanovení tohoto zákona nestanoví jinak.

 

§ 42

 

Provozováním informačních systémů nakládajících s osobními údaji podle dosavadních předpisů se rozumí zpracování osobních údajů.

 

Oprávnění a povinnosti při dozoru

§ 43

 

Oprávnění a povinnosti kontrolujících a kontrolovaných osob se řídí zvláštním právním předpisem, pokud tento zákon nestanoví jinak.

 

 

Hlava VII

Sankce

 

§ 44

Přestupky

 

(1)   Přestupku se dopustí a pokutou do výše 50 000 Kč bude potrestána osoba, která je ke správci nebo zpracovateli v pracovním nebo jiném obdobném poměru nebo pro něj vykonává činnosti na základě dohody, nebo osoba, která v rámci plnění zákonem uložených oprávnění a povinností přichází do styku s osobními údaji správce nebo zpracovatele, pokud poruší povinnost mlčenlivosti, uloženou podle tohoto zákona.

(2)   Přestupku se dopustí a pokutou do výše 25 000 Kč bude potrestána osoba uvedená v odstavci 1, pokud poruší jinou povinnost stanovenou tímto zákonem.

(3)   Na přestupky a jejich projednávání se vztahuje zvláštní zákon [Zákon č.200/1990 Sb., o přestupcích, ve znění zákona č.337/1992 Sb., zákona č.67/1993 Sb., zákona č.290/1993 Sb., zákona č.134/1994 Sb., zákona č.82/1995 Sb., zákona č.279/1995 Sb., zákona č.237/1995 Sb., zákona č.112/1998 Sb. a zákona č.168/1999 Sb.].

(4)   K projednávání přestupků je příslušný Úřad.

 

§ 45

Pořádková pokuta

 

Osobě, která neposkytne Úřadu při výkonu kontroly potřebnou součinnost, může být uložena pořádková pokuta do výše 25 000 Kč, a to i opakovaně.

 

§ 46

Pokuty správcům a zpracovatelům

 

(1)   Pokutou do výše 10 000 000 Kč bude potrestán správce nebo zpracovatel, který poruší povinnost stanovenou tímto zákonem při zpracování osobních údajů.

(2)   Pokud správce nebo zpracovatel do jednoho roku ode dne, kdy nabylo rozhodnutí o uložení pokuty právní moci, porušil povinnosti stanovené tímto zákonem při zpracování osobních údajů opakovaně, může mu být uložena pokuta do výše 20 000 000 Kč.

(3)   Správce nebo zpracovatel, který maří kontrolu prováděnou Úřadem, může být potrestán pořádkovou pokutou do výše 1 000 000 Kč, a to i opakovaně.

(4)   Porušení povinností projednává Úřad.

(5)   Při ukládání pokuty podle tohoto zákona vychází Úřad zejména z povahy, závažnosti, způsobu jednání, míře zavinění, doby trvání a následků protiprávného jednání.

(6)   Pokutu lze uložit do jednoho roku ode dne, kdy příslušný orgán porušení povinnosti zjistil, nejdéle však do tří let ode dne, kdy k porušení povinnosti došlo.

(7)   Pokutu vybírá Úřad. Pokutu vymáhá územní finanční orgán podle zvláštního zákona [Zákon č.337/1992 Sb., o správě daní a poplatků, ve znění zákona č.35/1993 Sb., zákona č.157/1993 Sb., zákona č.302/1993 Sb., zákona č.85/1994 Sb., zákona č.255/1994 Sb., zákona č.59/1995 Sb., zákona č.118/1995 Sb., zákona č.323/1996 Sb., zákona č.61/1997 Sb., zákona č.242/1997 Sb., zákona č.168/1998 Sb. a zákona č.91/1998 Sb.].

(8)   Výnos pokut je příjmem rozpočtu republiky.

 

Porušení povinností správcem nebo zpracovatelem je tzv. jiným správním deliktem, tj. jeho pachatelem mohou být jak právnické, tak i fyzické osoby. Jednání je postihováno bez ohledu na zavinění. Zvláště je postihováno maření řádného výkonu kontroly. Postih odpovídá obecné úpravě těchto deliktů v našem právním řádu. Projednání porušení povinností, stejně jako vybírání pokut provádí Úřad. Nelze však předem stanovit skupiny činností, které budou pokutovány. K takovému stanovení chybí precedentní případy, protože se jedná o novou problematiku. Při stanovení výše pokuty však bude přihlíženo k závažnosti porušení zákona, době trvání protiprávního jednání apod.

 

 

Hlava VIII

Ustanovení společná, přechodná a závěrečná

 

§ 47

Opatření pro přechodné období

 

(1)   Každý, kdo zpracovává ke dni nabytí účinnosti tohoto zákona osobní údaje a na něhož se vztahuje povinnost oznámení podle § 16, je povinen tak učinit nejpozději do 6 měsíců ode dne nabytí účinnosti tohoto zákona.

(2)   Zpracování osobních údajů prováděné před účinností tohoto zákona je nutno uvést do souladu s tímto zákonem do 31. prosince 2001.

(3)   V případě, že kontrolující zjistí porušení povinnosti podle odstavce 2, ustanovení § 46 odst. 1 a 2 se v takovém případě do 31. prosince 2002 nepoužijí.


 

§ 48

Zrušovací ustanovení

 

Zrušuje se zákon č.256/1992 Sb., o ochraně osobních údajů v informačních systémech.

 

 

 

 

ČÁST DRUHÁ

 

§ 49

Novela trestního zákona

 

Zákon č.140/1961 Sb., trestní zákon, ve znění zákona č.120/1962 Sb., zákona č.53/1963 Sb., zákona č.56/1966 Sb., zákona č.148/1969 Sb., zákona č.45/1973 Sb., zákona č.43/1980 Sb., zákona č.10/1989 Sb., zákona č.159/1989 Sb., zákona č.47/1990 Sb., zákona č.84/1990 Sb., zákona č.175/1990 Sb., zákona č.457/1990 Sb., zákona č.545/1990 Sb., zákona č.490/1991 Sb., zákona č.557/1991 Sb., nálezu Ústavního soudu ČSFR ze 4.9.1992, zákona č.290/1993 Sb., zákona č.38/1994 Sb., zákona č.91/1994 Sb., zákona č.152/1995 Sb., zákona č.19/1997 Sb., zákona č.103/1997 Sb., zákona č.253/1997 Sb., zákona č.92/1998 Sb., zákona č.112/1998 Sb., zákona č.148/1998 Sb., zákona č.167/1998 Sb., zákona č.96/1999 Sb. se mění a doplňuje takto:

V § 178 odstavce 1 a 2 znějí:

 

Ҥ 178

Neoprávněné nakládání s osobními údaji

(1)   Kdo, byť i z nedbalosti, neoprávněně sdělí, zpřístupní, jinak zpracovává nebo si přisvojí osobní údaje o jiném v souvislosti s výkonem veřejné moci, bude potrestán odnětím svobody až na tři léta nebo zákazem činnosti nebo peněžitým trestem.

(2)   V § 178 odst. 2 se za slovo “kdo” vkládá slovo “osobní”.

 

Změna trestního zákona vychází z požadavku dikce (a terminologie) nového zákona. Výše trestní sazby se oproti dosavadní úpravě nemění.

 

 

ČÁST TŘETÍ

 

§ 50

Novela zákona o svobodném přístupu k informacím

 

Zákon č. 106/1999 Sb., o svobodném přístupu k informacím se mění takto:

(1)   V § 2 odst. 3 včetně pozámky pod čarou č. 1) zní:

 

“(3) Zákon se nevztahuje na poskytování osobních údajů a informací podle zvláštního právního předpisu.1)

____________________

1) Například zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, a zákon č. 123/1998 Sb., o právu na informace o životním prostředí.”.

 

(2)   V § 5 odst. 3 se věta druhá nahrazuje větou, která včetně poznámky pod čarou č. 3a) zní: “Na tyto subjekty se pro tento účel nevztahuje povinnost zamezit sdružování informací podle zvláštního právního předpisu.3a)

____________________

 

3a) § 5 odst. 1 písm. h) zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů.”.

 

(3)   V § 8 se odstavce 1 a 2 včetně nadpisu a poznámky pod čarou č. 5) zrušují.

 

 

ČÁST ČTVRTÁ

 

ÚČINNOST

 

§ 51

 

Tento zákon nabývá účinnosti dnem 1. června 2000, s výjimkou ustanovení § 16, 17 a 35, které nabývá účinnosti dnem 1. prosince 2000.

 

 

 

 

 

4. Zákon č. 428/2002 Z. z.., o ochrane osobných údajov

 

            Nový zákon o ochraně osobních údajů schválila Vláda SR 20. 2 2002 a předložila jej Národnej rade SR 22. 2. 2002. Návrh zákona byl byl určen k projednání Ústavnoprávnemu výboru Národnej rady Slovenskej republiky, Výboru Národnej rady Slovenskej republiky pre financie, rozpočet a menu, Výboru Národnej rady Slovenskej republiky pre verejnú správu, Výboru Národnej rady Slovenskej republiky pre obranu a bezpečnosť, Zahraničnému výboru Národnej rady Slovenskej republiky a Výboru Národnej rady Slovenskej republiky pre ľudské práva a národnosti. 2. dubna 2002 prošel prvním čtením, 30. května 2002 byly ve druhém čtení projednány pozměňovací návrhy, zákon prošel do třetího čtení a téhož dne byl Národnou radou SR schválen jako celek

 

24. června 2002 byl vrácen prezidentem SR s několika především formálními připomínkami. 3. července 2002 Národná rada SR akceptovala připomínky prezidenta a zákon s těmito úpravami schválila

 

            31. července 2002 byl zákon vyhlášen ve Zbierce zákonov SR pod číslem 428/2002 Z. z.

 

            Současná podoba zákona je následující:

 


PRVÁ ČASŤ

ZÁKLADNÉ USTANOVENIA

 

Predet a pôsobnosť zákona

 

§ 1

 

(1) Tento zákon upravuje

a) ochranu osobných údajov fyzických osôb pri ich spracúvaní,

b) zásady spracúvania osobných údajov,

c) bezpečnosť osobných údajov,

d) ochranu práv dotknutých osôb,

e) cezhraničný tok osobných údajov,

f) registráciu a evidenciu informačných systémov,

g) zriadenie, postavenie a pôsobnosť Úradu na ochranu osobných údajov (ďalej len „úrad“).

(2) Tento zákon sa vzťahuje na orgány štátnej správy, orgány územnej samosprávy, iné orgány verejnej moci, ako aj na ostatné právnické osoby a fyzické osoby, ktoré spracúvajú osobné údaje, určujú účel a prostriedky spracúvania alebo poskytujú osobné údaje na spracúvanie.

 

Působnost slovenského zákona je stanovena zcela obecně bez jakýchkoliv výjimek. Český zákon umožňuje některé subjekty tímto zákonem nebo jiným zvláštním zákonem ze své působnosti zcela vyjmout.

 

§ 2

 

(1) Tento zákon sa nevzťahuje na ochranu osobných údajov spracúvaných fyzickou osobou v rámci výlučne osobných alebo domácich činností.

 

Český zákon se navíc nevztahuje na ty osobní údaje, které jsou shromažďovány nahodile, zpravidla individuálně a jednoúčelově a zejména pak nejsou nijak dále zpracovávány. Příkladem zde může být např. o záznam adresy zákazníka při poskytování konkrétní služby a rovněž pak speciální povolání, s nimiž je spojena povinnost mlčenlivosti.

 

(2) Ak osobné údaje spracúva orgán štátnej správy alebo iný štátny orgán a ich spracúvanie je nevyhnutné na zabezpečenie dôležitého záujmu štátu, pričom túto nevyhnutnosť výslovne ustanovuje osobitný zákon [Napríklad § 1 zákona Národnej rady Slovenskej republiky č. 171/1993 Z. z. o Policajnom zbore v znení zákona č. 490/2001 Z. z., § 1 a 2 zákona Národnej rady Slovenskej republiky č. 198/1994 Z. z. o Vojenskom spravodajstve, § 2 a 3 zákona č. 124/1992 Zb. o Vojenskej polícii, § 1 a 2 zákona Národnej rady Slovenskej republiky č. 46/1993 Z. z. o Slovenskej informačnej službe v znení zákona č. 256/1999 Z. z., § 2 zákona Národnej rady Slovenskej republiky č. 3/1993 Z. z. o zriadení Armády Slovenskej republiky v znení neskorších predpisov, § 12 zákona Národnej rady Slovenskej republiky č. 42/1994 Z. z. o civilnej ochrane obyvateľstva v znení neskorších predpisov, zákon č. 241/2001 Z. z. o ochrane utajovaných skutočností a o zmene a doplnení niektorých zákonov, § 3 a 4 zákona č. 153/2001 Z. z. o prokuratúre, § 1 až 3 zákona č. 335/1991 Zb. o súdoch a sudcoch v znení neskorších predpisov, § 3 zákona č. 440/2000 Z. z. o správach finančnej kontroly v znení neskorších predpisov, § 10 zákona č. 367/2000 Z. z. o ochrane pred legalizáciou príjmov z trestnej činnosti a o zmene a doplnení niektorých zákonov.] v oblasti

a) vnútorného poriadku a bezpečnosti,

b) obrany,

c) ochrany utajovaných skutočností,

d) trestného stíhania alebo súdneho konania,

e) ochrany ekonomického alebo finančného záujmu štátu vrátane menových, rozpočtových a daňových záležitostí, alebo

f) ochrany dotknutej osoby alebo práv a slobôd iných osôb vo veciach uvedených v písmenách a) až e), ustanovenia § 5 ods. 4, § 6 ods. 3 a 4, § 7 ods. 1, 6, 11 až 13, § 10 ods. 1 a 8, § 11 až 14, § 15 ods. 4 a 5, § 16, § 18 ods. 1 a 2, § 20 ods. 1, § 23 ods. 1 až 7, § 25 až 28 a § 32 tohto zákona sa nepoužijú.

 

Vymedzenie niektorých pojmov

 

§ 3

Osobné údaje

 

Osobnými údajmi sú údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby, pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo  sociálnu identitu.

 

Český zákon vztahuje osobní údaje nikoliv k fyzické osobě, ale k „subjektu údajů“, což je pojem srovnatelný s pojmem užívaným v evropském právu a navíc širší (umožňuje zahrnout i genetické údaje, údaje o nenarozeném dítěti apod.). Slovenský zákon podrobněji specifikuje „určitelnost“ fyzické osoby s využitím pojmů „všeobecně použitelný identifikátor“, resp. charakteristik a znaků určující jednotlivé typy identity.

 

§ 4

 

(1) Na účely tohto zákona sa ďalej rozumie

a) spracúvaním osobných údajov vykonávanie akýchkoľvek operácií alebo súboru operácií s osobnými údajmi, napr. ich získavanie, zhromažďovanie, zaznamenávanie, usporadúvanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, preskupovanie, kombinovanie, premiestňovanie, využívanie, uchovávanie, likvidácia, ich prenos, poskytovanie, sprístupňovanie alebo zverejňovanie,

b) poskytovaním osobných údajov odovzdávanie osobných údajov na spracúvanie inej právnickej osobe, fyzickej osobe, prípadne subjektu v cudzine s výnimkou dotknutej osoby, vlastného prevádzkovateľa, sprostredkovateľa alebo oprávnenej osoby,

 

Podrobně definovaný pojem, který  v českém zákoně explicitně definován není.

 

c) sprístupňovaním osobných údajov oznámenie osobných údajov alebo umožnenie prístupu k nim inej právnickej osobe, fyzickej osobe, prípadne subjektu v cudzine s výnimkou dotknutej osoby, vlastného prevádzkovateľa, sprostredkovateľa alebo oprávnenej osoby,

 

Podrobně definovaný pojem, který  v českém zákoně explicitně definován není.

 

d) zverejňovaním osobných údajov publikovanie, uverejnenie alebo vystavenie osobných údajov na verejnosti prostredníctvom masovokomunikačných prostriedkov, verejne prístupných počítačových sietí, verejným vykonaním alebo vystavením diela [§ 13 zákona č. 383/1997 Z. z. Autorský zákon a zákon, ktorým sa mení a dopĺňa Colný zákon v znení neskorších predpisov.], verejným vyhlásením, uvedením vo verejnom zozname, v registri alebo v operáte [Napríklad § 27 až 34 Obchodného zákonníka, § 8 a 68 zákona Národnej rady Slovenskej republiky č. 162/1995 Z. z. o katastri nehnuteľností a o zápise vlastníckych a iných práv k nehnuteľnostiam (katastrálny zákon) v znení zákona č. 255/2001 Z. z., § 26 ods. 2 písm. e) zákona č. 195/2000 Z. z. o telekomunikáciách.], ich umiestnením na úradnej tabuli alebo na inom verejne prístupnom mieste,

e) likvidáciou osobných údajov zrušenie osobných údajov rozložením, vymazaním alebo fyzickým zničením hmotných nosičov tak, aby sa z nich osobné údaje nedali reprodukovať,

f) blokovaním osobných údajov uvedenie osobných údajov do takého stavu, v ktorom sú neprístupné a je zabránené akejkoľvek manipulácii s nimi,

g) informačným systémom akýkoľvek súbor, sústava alebo databáza obsahujúca jeden alebo viac osobných údajov, ktoré sú spracúvané na dosiahnutie účelu podľa osobitných organizačných podmienok s použitím automatizovaných alebo neautomatizovaných prostriedkov spracúvania, napr. kartotéka, zoznam, register, operát, záznam alebo sústava obsahujúca spisy, doklady, zmluvy, potvrdenia, posudky, hodnotenia, testy,

 

Podrobně definovaný pojem, který  v českém zákoně explicitně definován není.

 

h) účelom spracúvania osobných údajov vopred jednoznačne vymedzený alebo ustanovený zámer spracúvania osobných údajov, ktorý sa viaže na určitú činnosť,

 

Podrobně definovaný pojem, který  v českém zákoně explicitně definován není.

 

i) súhlasom dotknutej osoby akýkoľvek slobodne daný výslovný a zrozumiteľný prejav vôle, ktorým dotknutá osoba vyjadruje súhlas so spracúvaním svojich osobných údajov,

 

Podrobně definovaný pojem, který  v českém zákoně explicitně definován není.

 

j) cezhraničným tokom osobných údajov prenos osobných údajov mimo územia Slovenskej republiky subjektom so sídlom alebo s trvalým pobytom v cudzine alebo ich výmena s týmito subjektmi,

 

Podrobně definovaný pojem, který  v českém zákoně explicitně definován není.

 

k) anonymizovaným údajom osobný údaj upravený do takej formy, v ktorej ho nemožno priradiť dotknutej osobe, ktorej sa týka,

l) adresou súbor údajov o pobyte fyzickej osoby, do ktorého patria názov ulice, orientačné, prípadne súpisné číslo domu, názov obce, prípadne názov časti obce, poštové smerovacie číslo, názov okresu, názov štátu,

 

Podrobně definovaný pojem, který  v českém zákoně explicitně definován není.

 

m) všeobecne použiteľným identifikátorom trvalý identifikačný osobný údaj dotknutej osoby, ktorý zabezpečuje jej jednoznačnosť v informačných systémoch,

 

Podrobně definovaný pojem, který  v českém zákoně explicitně definován není.

 

n) biometrickým údajom osobný údaj fyzickej osoby, na základe ktorého je jednoznačne a nezameniteľne určiteľná, napr. odtlačok prsta, odtlačok dlane, analýza deoxyribonukleovej kyseliny, profil deoxyribonukleovej kyseliny,

 

Podrobně definovaný pojem, který  v českém zákoně explicitně definován není.

 

o) auditom bezpečnosti informačného systému nezávislé odborné posúdenie spoľahlivosti a celkovej bezpečnosti informačného systému z hľadiska zabezpečenia dôvernosti, integrity a dostupnosti spracúvaných osobných údajov.

 

Podrobně definovaný pojem, který  v českém zákoně explicitně definován není.

 

(2) Prevádzkovateľom je orgán štátnej správy, orgán územnej samosprávy, iný orgán verejnej moci alebo iná právnická osoba alebo fyzická osoba, ktorá určuje účel a prostriedky spracúvania. Ak účel a prostriedky spracúvania osobných údajov ustanovuje osobitný zákon, prevádzkovateľom je ten, koho ustanoví zákon alebo kto splní zákonom ustanovené podmienky.

 

V českém zákoně je pro pojmenování totožného pojmu použit název „správce“.

 

(3) Sprostredkovateľom je orgán štátnej správy, orgán územnej samosprávy, iný orgán verejnej moci alebo iná právnická osoba alebo fyzická osoba, ktorá spracúva osobné údaje v mene prevádzkovateľa.

 

V českém zákoně je pro pojmenování totožného pojmu použit název „zpracovatel“.

 

(4) Oprávnenou osobou je každá fyzická osoba, ktorá prichádza do styku s osobnými údajmi v rámci svojho pracovného pomeru alebo obdobného pracovného vzťahu, štátnozamestnaneckého pomeru alebo v rámci výkonu verejnej funkcie, ktorá môže osobné údaje spracúvať len na základe pokynu prevádzkovateľa alebo sprostredkovateľa, ak osobitný zákon neustanovuje inak.

 

Podrobně definovaný pojem, který  v českém zákoně explicitně definován není.

 

(5) Dotknutou osobou je každá fyzická osoba, o ktorej sa spracúvajú osobné údaje.

 

V českém zákoně je pro pojmenování obdobného širšího pojmu použit název „subjekt údajů“.

 

(6) Užívateľom je právnická osoba, fyzická osoba, prípadne subjekt v cudzine, ktorému sú sprístupnené osobné údaje z informačného systému.

 

Podrobně definovaný pojem, který  v českém zákoně explicitně definován není.

 

 

DRUHÁ ČASŤ

PRÁVA, POVINNOSTI A ZODPOVEDNOSŤ PRI SPRACÚVANÍ OSOBNÝCH  ÚDAJOV

 

PRVÁ HLAVA

ZÁSADY SPRACÚVANIA OSOBNÝCH ÚDAJOV

 

§ 5

Prevádzkovateľ a sprostredkovateľ

 

(1) Osobné údaje môže spracúvať iba prevádzkovateľ a sprostredkovateľ.

(2) Sprostredkovateľ je oprávnený spracúvať osobné údaje len v rozsahu a za podmienok dojednaných s prevádzkovateľom v písomnej zmluve alebo v písomnom poverení.

(3) Prevádzkovateľ dbá pri výbere sprostredkovateľa najmä na jeho záruky, pokiaľ ide o opatrenia v oblasti technickej, organizačnej a personálnej bezpečnosti (§ 15 ods. 1). Prevádzkovateľ nesmie zveriť spracúvanie osobných údajov sprostredkovateľovi, ak by tým mohli byť ohrozené práva a právom chránené záujmy dotknutých osôb.

 

Český zákon nestanovuje správci podmínky, které má splnit při výběru zpracovatele. Naopak se ovšem orientuje na nezbytné parametry smlouvy mezi správcem a zpracovatelem a následně je oba činí objektivně odpovědné za případné protiprávní chování.

 

(4) Ak prevádzkovateľ poveril spracúvaním sprostredkovateľa až po získaní osobných údajov, oznámi to dotknutým osobám pri najbližšom kontakte s nimi, najneskôr však do troch mesiacov od poverenia sprostredkovateľa. To platí aj vtedy, ak spracúvanie osobných údajov prevezme iný prevádzkovateľ.

 

Český zákon nestanovuje správci povinnosti informovat subjekt údajů při změně zpracovatele.

 

(5) Prevádzkovateľom a sprostredkovateľom môže byť iba ten, kto má sídlo alebo trvalý pobyt na území Slovenskej republiky.

 

Toto omezení se v českém zákoně nevyskytuje.

 

§ 6

Účel spracúvania osobných údajov

 

(1) Ak účel spracúvania osobných údajov neustanovuje osobitný zákon, prevádzkovateľ pred začatím spracúvania jednoznačne vymedzí účel a zabezpečí, aby sa nespracúvali osobné údaje, ktoré

a) svojím rozsahom a obsahom sú nezlučiteľné s daným účelom spracúvania, pričom ďalšie spracúvanie osobných údajov na historické, štatistické a vedecké účely sa nepovažuje za nezlučiteľné, alebo

b) sú časovo alebo vecne neaktuálne vo vzťahu k účelu spracúvania.

(2) Účel spracúvania osobných údajov musí byť jasný a nesmie byť v rozpore so zákonmi.

(3) Spracúvať možno len také osobné údaje, ktoré svojím rozsahom a obsahom zodpovedajú účelu ich spracúvania. Spôsob spracúvania a využívania osobných údajov musí zodpovedať účelu ich spracúvania.

(4) Od dotknutej osoby možno vyžadovať len také osobné údaje, ktoré sú nevyhnutné na dosiahnutie účelu spracúvania. K takýmto osobným údajom môže prevádzkovateľ alebo sprostredkovateľ priradiť ďalšie osobné údaje dotknutej osoby, ktoré bezprostredne súvisia s daným účelom spracúvania, len ak na ne dotknutú osobu upozorní a táto s tým písomne súhlasí. Tento súhlas si prevádzkovateľ ani sprostredkovateľ nesmú vynucovať a ani podmieňovať hrozbou odmietnutia zmluvného vzťahu, služby, tovaru alebo povinnosti ustanovenej prevádzkovateľovi alebo sprostredkovateľovi zákonom.

 

V českém zákoně není tento speciální případ takto explicitně upraven. Naopak se zde obecně předpokládá, že nelze sdružovat osobní údaje, které byly získány k rozdílným účelům, pokud zvláštní zákon nestanoví jinak. Samozřejmě se však obecně předpokládá, že osobní údaje lze zpracovávat se souhlasem subjektu údajů (čímž může být v jistém smyslu obdobná situace navozena). Ustanovení poslední věty sevšak nejeví příliš šťastné, protože jeho výklad nemusí být jednoznačný a může tak navozovat v praxi obtížně řešitelné situace.

 

(5) V prípade pochybnosti o tom, či spracúvané osobné údaje svojím rozsahom, obsahom a spôsobom spracúvania alebo využívania zodpovedajú účelu ich spracúvania, či sú s daným účelom spracúvania zlučiteľné alebo časovo a vecne neaktuálne vo vzťahu k tomuto účelu, rozhodne úrad. Stanovisko úradu je záväzné.

 

Toto ustanovení v českém zákoně není, i když je možné tuto praxi  implcitně předpokládat.

 

§ 7

Súhlas dotknutej osoby

 

(1) Osobné údaje možno spracúvať iba so súhlasom dotknutej osoby. Prevádzkovateľ zabezpečí preukázateľnosť súhlasu, a to tak, že možno o ňom podať dôkaz.

(2) Dôkaz o preukázateľnom súhlase obsahuje najmä údaj o tom, kto súhlas poskytol, komu sa tento súhlas dáva, na aký účel, zoznam osobných údajov, dobu platnosti súhlasu a podmienky jeho odvolania. Súhlas daný v písomnej forme je bez vlastnoručného podpisu toho, kto súhlas dáva, neplatný. Na tento účel pre dokument v elektronickej forme možno použiť elektronický podpis podľa osobitného zákona.

(3) Súhlas podľa odseku 1 sa nevyžaduje, ak sa osobné údaje spracúvajú na základe osobitného zákona [Napríklad § 38 až 41 zákona Národnej rady Slovenskej republiky č. 387/1996 Z. z. o zamestnanosti, § 11a ods. 2 zákona Slovenskej národnej rady č. 542/1990 Zb. o štátnej správe v školstve a školskej samospráve v znení zákona č. 416/2001 Z. z.], ktorý ustanovuje zoznam osobných údajov, účel ich spracúvania, podmienky ich získavania a okruh dotknutých osôb.

(4) Súhlas podľa odseku 1 sa nevyžaduje aj vtedy, ak

a) sa spracúvajú osobné údaje bez možnosti ich poskytovania a sprístupňovania výlučne na účely tvorby vedeckých, umeleckých alebo literárnych diel, pre potreby informovania verejnosti masovokomunikačnými prostriedkami, ako aj na historické alebo vedecké účely a ak spracúvanie vykonáva prevádzkovateľ, ktorému to vyplýva z predmetu jeho činnosti,

b) sa spracúvané osobné údaje využijú na štatistické účely; v týchto prípadoch treba osobné údaje anonymizovať,

c) spracúvanie osobných údajov je nevyhnutné na ochranu životne dôležitých záujmov dotknutej osoby, ktorá nemá spôsobilosť na právne úkony alebo je fyzicky nespôsobilá na vydanie súhlasu, a ak nemožno získať súhlas jej zákonného zástupcu,

 

V českém zákoně je obdobné ustanovení, v němž se nevyskytuje slovo „životně“.

 

d) predmetom spracúvania sú výlučne titul, meno, priezvisko a adresa dotknutej osoby bez možnosti priradiť k nim ďalšie jej osobné údaje a ich využitie je určené výhradne pre potreby prevádzkovateľa v poštovom styku s dotknutou osobou a evidencie týchto údajov; ak je predmetom činnosti prevádzkovateľa priamy marketing, uvedené osobné údaje môže poskytovať bez možnosti ich sprístupňovania a zverejňovania len vtedy, ak sa poskytujú inému prevádzkovateľovi, ktorý má rovnaký predmet činnosti výhradne na účely priameho marketingu, a dotknutá osoba písomne neuplatnila námietku podľa § 20 ods. 3 písm. c), alebo

 

V českém zákoně jsou navíc velmi podrobně popsána práva a povinnosti související se zpracováním osobních údajů za účelem nabízení obchodu a služeb.

 

e) sa spracúvajú už zverejnené osobné údaje; v týchto prípadoch treba osobné údaje náležite označiť.

 

V českém zákoně jsou navíc zahrnuty případy, kdy „je nezbytné, aby subjekt údajů mohl vstoupit do jednání o smluvním vztahu nebo aby plnil ujednání smlouvy uzavřené se správcem“, resp. „pokud je to nezbytné pro ochranu práv správce“.

 

(5) Iná ako dotknutá osoba, s výnimkou osôb podľa odsekov 8 a 9, môže poskytnúť do informačného systému osobné údaje o dotknutej osobe len s jej písomným súhlasom. To neplatí, ak je to nevyhnutné na plnenie úloh orgánov činných v trestnom konaní alebo sa osobné údaje poskytujú do informačného systému na základe osobitného zákona [Napríklad § 17 a bod 15 všeobecnej časti prílohy 5 zákona č. 241/2001 Z. z.], ktorý ustanovuje zoznam osobných údajov, účel ich spracúvania a podmienky ich poskytovania.

(6) Spracúvané osobné údaje o dotknutej osobe možno z informačného systému poskytnúť, sprístupniť alebo zverejniť len s jej písomným súhlasom. To neplatí, ak je to nevyhnutné na plnenie úloh orgánov činných v trestnom konaní, alebo ak sa osobné údaje poskytujú, sprístupňujú alebo zverejňujú z informačného systému na základe osobitného zákona  [Napríklad § 11 ods. 3 zákona Slovenskej národnej rady č. 542/1990 Zb. v znení neskorších predpisov, § 20 zákona č. 241/2001 Z. z.], ktorý ustanovuje zoznam osobných údajov, účel a podmienky poskytovania, sprístupňovania alebo zverejňovania osobných údajov, ako aj právnické osoby, fyzické osoby, prípadne subjekty v cudzine, ktorým sa osobné údaje poskytujú alebo sprístupňujú.

 

V ustanoveních ods. 5 a 6 se na rozdíl od českého zákona předokládá složitější mechanismu souhlasu subjektu údajů, tj. písemná forma.

 

(7) Ten, kto mieni zverejniť osobné údaje dotknutej osoby, nesmie svojím konaním neoprávnene zasahovať do práva na ochranu jej osobnosti a súkromia; ich zverejnenie nesmie byť v rozpore s oprávnenými záujmami dotknutej osoby [§ 11 až 16 Občianskeho zákonníka.].

(8) Ak dotknutá osoba nemá spôsobilosť na právne úkony v plnom rozsahu [§ 8 Občianskeho zákonníka.], súhlas vyžadovaný podľa tohto zákona môže poskytnúť jej zákonný zástupca [§ 26 až 30 Občianskeho zákonníka.].

(9) Ak dotknutá osoba nežije, súhlas vyžadovaný podľa tohto zákona môže poskytnúť jej blízka osoba [§ 116 Občianskeho zákonníka.]. Súhlas nie je platný, ak čo len jedna blízka osoba písomne vyslovila nesúhlas.

 

Ustanovení ods. 7 až 9 přirozeně vycházejí z obecné občanskoprávní úpravy. Ods. 9 navíc konkretizuje práva blízkých osob za situace, kdy se jejich postoje liší.

 

(10) Ak sú spracúvané osobné údaje súčasťou platnej zmluvy, ktorej jednou zo strán je dotknutá osoba a ktorá obsahuje náležitosti podľa odseku 2, podpis dotknutej osoby na zmluve vyjadruje súčasne písomný súhlas so spracúvaním jej osobných údajov.

(11) Osobné údaje dotknutej osoby možno poskytnúť z informačného systému inej právnickej osobe, fyzickej osobe, prípadne subjektu v cudzine len spolu s písomným dokladom o danom súhlase, ak tento zákon takýto súhlas vyžaduje; ten, kto osobné údaje takto poskytuje, môže písomný doklad o danom súhlase nahradiť písomným vyhlásením prevádzkovateľa o udelení súhlasu dotknutými osobami, ak prevádzkovateľ vie preukázať, že písomný súhlas dotknutých osôb bol daný.

(12) Osobné údaje podľa odseku 4 písm. c) a podľa § 9 ods. 1 písm. b) možno spracúvať bez súhlasu dotknutej osoby len po dobu, kým nezaniknú dôvody, ktoré neumožňovali získať súhlas dotknutej osoby. Ak dôvody zanikli, ten kto osobné údaje spracúva, zabezpečí súhlas dotknutej osoby.

(13) Ten, kto tvrdí, že spracúva zverejnené osobné údaje, na požiadanie preukáže úradu, že spracúvané osobné údaje boli už zverejnené.

(14) Užívateľ môže sprístupnené osobné údaje o dotknutej osobe spracúvať len pre vlastnú potrebu výlučne v rámci osobných alebo domácich činností.

 

Toto ustanovení působí velmi zvláštně, protože odkazuje uživatele do režimu § 2 ods. 1, podle nějž se na ochranu osobních údajů za takové situace tento zákon vůbec nevztahuje. Rovněž toto ustanovení působí poněkud kolizně s definicí pojmu „uživatel“ v § 4 ods. 6, kde se předpokládá, že uživatel může být i právnickou osobou, a není pak jasné, jak tato právnická osoba bude zpracovávat osobní údaje v rámci osobních a domácích činností.

 

§ 8

Osobitné kategórie osobných údajov

 

(1) Spracúvať osobné údaje, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženskú vieru alebo svetonázor, členstvo v politických stranách alebo politických hnutiach, členstvo v odborových organizáciách a údaje týkajúce sa zdravia alebo pohlavného života, sa zakazuje.

 

V českém zákoně je v obdobném rozsahu definována zvláštní kategorie osobních údajů, „citlivé údaje“. Na rozdíl od slovenského zákona zahrnuje navíc osobní údaje vypovídající o národnostním původu a trestné činnosti. Naopak v ní nejsou zahrnuty osobní údaje o členství v politických stranách a hnutích.

 

(2) Pri spracúvaní osobných údajov možno využiť na účely určenia fyzickej osoby všeobecne použiteľný identifikátor ustanovený osobitným zákonom [Zákon Národnej rady Slovenskej republiky č. 301/1995 Z. z. o rodnom čísle.] len vtedy, ak jeho použitie je nevyhnutné na dosiahnutie daného účelu spracúvania. Spracúvať iný identifikátor, ktorý v sebe skrýva charakteristiky dotknutej osoby, alebo zverejňovať všeobecne použiteľný identifikátor sa zakazuje.

 

Jedná se o speciální ustanovení, které není v českém zákoně obsaženo.

 

(3) Spracúvanie osobných údajov o porušení ustanovení predpisov trestného práva, priestupkového práva alebo občianskeho práva, ako aj o výkone právoplatných rozsudkov alebo rozhodnutí môže vykonávať len ten, komu to umožňuje osobitný zákon [Napríklad § 40 ods. 2 písm. d) zákona č. 153/2001 Z. z., § 52 zákona Slovenskej národnej rady č. 372/1990 Zb. o priestupkoch v znení neskorších predpisov, zákon Národnej rady Slovenskej republiky č. 171/1993 Z. z. v znení neskorších predpisov.].

(4) Spracúvanie biometrických údajov možno vykonávať len za podmienok ustanovených v osobitnom zákone, ak

a) to prevádzkovateľovi vyplýva výslovne zo zákona, alebo

b) na spracúvanie dala písomný súhlas dotknutá osoba.

(5) Spracúvanie osobných údajov o psychickej identite fyzickej osoby alebo o jej psychickej pracovnej spôsobilosti môže vykonávať len psychológ alebo ten, komu to umožňuje osobitný zákon [Napríklad § 2 zákona Národnej rady Slovenskej republiky č. 199/1994 Z. z. o psychologickej činnosti a Slovenskej komore psychológov, zákon Slovenskej národnej rady č. 542/1990 Zb. v znení neskorších predpisov.].

 

Druhy osobních údajů uvedené v ods. 4 a 5 český zákon explicitně neupravuje.

 

§ 9

Výnimky z obmedzení pri spracúvaní osobitných kategórií osobných údajov

 

(1) Zákaz spracúvania osobných údajov ustanovený v § 8 ods. 1 neplatí, ak dotknutá osoba dala písomný súhlas na ich spracúvanie alebo ak

a) spracúvanie vyžaduje osobitný zákon, ktorý ustanovuje zoznam osobných údajov, účel ich spracúvania, podmienky ich získavania a okruh dotknutých osôb, alebo

 

Český zákon navíc podrobně specifikuje podobu a podmínky takového souhlasu.

 

b) spracúvanie je nevyhnutné na ochranu životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby, ktorá nemá spôsobilosť na právne úkony alebo je fyzicky nespôsobilá na vydanie písomného súhlasu, a ak nemožno získať písomný súhlas jej zákonného zástupcu, alebo

c) spracúvanie vykonáva v rámci oprávnenej činnosti občianske združenie, nadácia alebo nezisková organizácia poskytujúca všeobecne prospešné služby, politická strana alebo politické hnutie, odborová organizácia, štátom uznaná cirkev alebo náboženská spoločnosť a toto spracúvanie sa týka iba ich členov, ktorí sú s nimi vzhľadom na ich ciele v pravidelnom styku, a osobné údaje slúžia výlučne pre ich vnútornú potrebu, alebo

 

Český zákon tuto problematiku řeší tak, že podstatnou část vyjmenovaných subjektů vyňal z kategorie citlivých údajů.

 

d) spracúvanie sa týka osobných údajov, ktoré dotknutá osoba zverejnila alebo sú nevyhnutné při uplatňovaní jej právneho nároku, alebo

 

Tato výjimka v českém zákoně neexistuje.

 

e) spracúvanie sa požaduje na účely preventívnej medicíny, lekárskej diagnostiky, nemocenského poistenia a dôchodkového zabezpečenia, poskytovania liečebnej starostlivosti alebo zdravotníckej starostlivosti a ak tieto údaje spracúva zdravotnícke zariadenie, zdravotná poisťovňa alebo Sociálna poisťovňa.

(2) Písomný súhlas dotknutej osoby daný podľa odseku 1 je neplatný, ak jeho poskytnutie vylučuje osobitný zákon.

(3) Ustanovenie § 8 ods. 4 sa nepoužije, ak sa spracúvajú biometrické údaje s výnimkou analýzy deoxyribonukleovej kyseliny a profilu deoxyribonukleovej kyseliny dotknutých osôb na účely evidencie vstupu alebo prístupu do vyhradených priestorov a ak ide výlučne o vnútornú potrebu prevádzkovateľa.

 

§ 10

Získavanie osobných údajov

 

(1) Oprávnená osoba, ktorá získava osobné údaje v mene prevádzkovateľa alebo sprostredkovateľa, preukáže na požiadanie tomu, od koho osobné údaje dotknutej osoby požaduje, svoju totožnosť a bez vyzvania mu vopred oznámi

a) názov a sídlo alebo trvalý pobyt prevádzkovateľa; ak v mene prevádzkovateľa koná sprostredkovateľ, aj jeho názov a sídlo alebo trvalý pobyt,

b) účel spracúvania osobných údajov vymedzený prevádzkovateľom alebo ustanovený osobitným zákonom; je vylúčené získavať osobné údaje pod zámienkou iného účelu alebo inej činnosti,

c) dobrovoľnosť alebo povinnosť poskytovať požadované osobné údaje,

d) zákon, ktorý ustanovuje povinnosť poskytnúť požadované osobné údaje a následky odmietnutia poskytnúť osobné údaje,

e) okruh užívateľov, ktorým budú osobné údaje sprístupnené,

f) právnické osoby, fyzické osoby, prípadne subjekty v cudzine, ktorým budú osobné údaje poskytnuté,

g) formu zverejnenia, ak majú byť osobné údaje zverejnené,

h) krajiny cezhraničného toku osobných údajov.

(2) Oprávnená osoba, ktorá v mene prevádzkovateľa alebo sprostredkovateľa získava osobné údaje podľa odseku 1 písm. d), preukáže sa oprávnením na túto činnosť, ak to nevyplýva zo zákona.

 

Ustanovení ods. 1 a 2 se v českém zákoně vztahují na správce a zpracovatele a nejsou tak blíže specifikovány na případné další jimi pověřené osoby.

 

(3) Oprávnenie na získavanie osobných údajov vydáva prevádzkovateľ alebo sprostredkovateľ.

(4) Prevádzkovateľ, ktorý získava osobné údaje na účely identifikácie fyzickej osoby pri jej jednorazovom vstupe do jeho priestorov, je oprávnený od nej požadovať meno, priezvisko, titul a číslo občianskeho preukazu [Zákon Národnej rady Slovenskej republiky č. 162/1993 Z. z. o občianskych preukazoch v znení neskorších predpisov.] alebo číslo služobného preukazu, alebo číslo cestovného dokladu [Zákon č. 381/1997 Z. z. o cestovných dokladoch.], štátnu príslušnosť a preukázanie pravdivosti poskytnutých osobných údajov predkladaným dokladom. Ak sa fyzická osoba preukáže podľa osobitného zákona [Napríklad § 8 zákona Národnej rady Slovenskej republiky č. 46/1993 Z. z., § 8 zákona Národnej rady Slovenskej republiky č. 198/1994 Z. z., § 14 ods. 1 písm. a) zákona Národnej rady Slovenskej republiky č. 171/1993 Z. z. v znení neskorších predpisov, § 9 zákona č. 124/1992 Zb.] je prevádzkovateľ oprávnený od nej požadovať len evidenčné číslo služobného preukazu. V týchto prípadoch sa odsek 1 nepoužije.

 

Toto ustanovení se v českém zákoně nevyskytuje, nicméně aplikační praxe dospěla právě do tohoto stavu.

 

(5) Prevádzkovateľ alebo sprostredkovateľ, ktorý v priestoroch prístupných verejnosti získava, poskytuje alebo sprístupňuje osobné údaje, zabezpečí diskrétnosť pri ich spracúvaní.

(6) Získavať osobné údaje nevyhnutné na dosiahnutie účelu spracúvania kopírovaním, skenovaním alebo iným zaznamenávaním úradných dokladov na nosič informácií možno len vtedy, ak s tým dotknutá osoba písomne súhlasí alebo ak to osobitný zákon výslovne umožňuje bez súhlasu dotknutej osoby [Napríklad § 15 ods. 3 zákona č. 200/1998 Z. z. o štátnej službe colníkov a o zmene a doplnení niektorých ďalších zákonov.]. Súhlas dotknutej osoby si prevádzkovateľ ani sprostredkovateľ nesmú vynucovať ani podmieňovať hrozbou odmietnutia zmluvného vzťahu, služby, tovaru alebo povinnosti ustanovenej prevádzkovateľovi alebo sprostredkovateľovi zákonom.

(7) Priestor prístupný verejnosti možno monitorovať pomocou videozáznamu alebo audiozáznamu len na účely verejného poriadku a bezpečnosti, odhaľovania kriminality alebo narušenia bezpečnosti štátu, a to len vtedy, ak priestor je zreteľne označený ako monitorovaný. Označenie monitorovaného priestoru sa nevyžaduje, ak tak ustanovuje osobitný zákon. Vyhotovený záznam možno využiť len na účely trestného konania alebo konania o priestupkoch, ak osobitný zákon neustanovuje inak.

 

Ustanovení ods. 5 až 7 se v českém zákoně na této úrovni podrobnosti nevyskytují.

 

(8) Prevádzkovateľ, ktorý získa osobné údaje uvedené v § 7 ods. 4 písm. d) bez vedomia dotknutej osoby alebo priamo od nej, poskytne jej pri prvom kontakte informácie podľa odseku 1 a ak sú spracúvané na účely priameho marketingu, oboznámi ju aj s právom písomne namietať proti ich poskytovaniu a využívaniu v poštovom styku.

(9) Prevádzkovatelia, ktorých predmetom činnosti je priamy marketing, vedú zoznam poskytnutých osobných údajov podľa § 7 ods. 4 písm. d) v rozsahu meno, priezvisko, titul a adresa dotknutej osoby, dátum ich poskytnutia, prípadne dátum, od ktorého platí zákaz ich ďalšieho poskytovania podľa § 13 ods. 6, a názov právnickej osoby alebo fyzickej osoby, ktorej boli uvedené osobné údaje poskytnuté. Zoznam v rovnakom rozsahu vedú aj právnické osoby a fyzické osoby, ktorým boli tieto osobné údaje poskytnuté.

 

Ustanovení ods. 9 se v českém zákoně na této úrovni podrobnosti nevyskytují. Český zákon však navíc upravuje možnost předávat osobní údaje uvedeným způsobem dalším správcům pouze přímo, nikoliv zřetězeně.

 

§ 11

Pravdivosť osobných údajov

 

Do informačného systému možno poskytnúť len pravdivé osobné údaje. Za nepravdivosť osobných údajov zodpovedá ten, kto ich do informačného systému poskytol.

 

Toto ustanovení se v českém zákoně přímo nevyskytuje a je zahrnuto v odpovědnosti správce či zpracovatele, resp. v obecné odpovědnosti toho, kdo údaje poskytl.

 

§ 12

Správnosť a aktuálnosť osobných údajov

 

(1) Správnosť a aktuálnosť osobných údajov zabezpečuje prevádzkovateľ. Za správny sa považuje taký osobný údaj, ktorý sa poskytol v súlade s § 11.

(2) Na účel správnosti a aktuálnosti osobných údajov prevádzkovateľ zabezpečí opravu alebo doplnenie tých osobných údajov, ktoré sa v priebehu spracúvania stanú neaktuálnymi, alebo sa preukáže, že sú nesprávne.

 

§ 13

Likvidácia osobných údajov

 

(1) Prevádzkovateľ po splnení účelu spracúvania zabezpečí bezodkladne likvidáciu osobných údajov.

(2) Prevádzkovateľ zabezpečí bezodkladne likvidáciu osobných údajov okrem osobných údajov uvedených v § 7 ods. 4 písm. d) aj vtedy, ak

a) zanikli dôvody, ktoré neumožňovali získať súhlas dotknutej osoby (§ 7 ods. 12), a súhlas nebol daný, alebo

b) dotknutá osoba uplatní námietku podľa § 20 ods. 3 písm. a); ďalej prevádzkovateľ postupuje podľa odseku 5.

(3) Odsek 1 sa nepoužije, ak

a) osobitný zákon ustanovuje lehotu [Napríklad § 31 a 32 zákona č. 563/1991 Zb. O účtovníctve v znení zákona č. 336/1999 Z. z.], ktorá neumožňuje osobné údaje bezodkladne zlikvidovať; prevádzkovateľ zabezpečí likvidáciu osobných údajov bezodkladne po uplynutí zákonom ustanovenej lehoty,

b) sú osobné údaje súčasťou archívnych dokumentov [§ 2 ods. 1 zákona Slovenskej národnej rady č. 149/1975 Zb. o archívnictve v znení zákona č. 571/1991 Zb.],

c) sa písomný, obrazový, zvukový alebo iný záznam obsahujúci osobné údaje zaradí do predarchívnej starostlivosti [§ 6 zákona Slovenskej národnej rady č. 149/1975 Zb. v znení zákona č. 571/1991 Zb.]; počas predarchívnej starostlivosti sa nesmú vykonávať žiadne operácie spracúvania s osobnými údajmi s výnimkou ich uchovávania a využiť ich možno len na účely občianskoprávneho konania, trestného konania alebo správneho konania.

(4) Úschovné lehoty písomných, obrazových, zvukových a iných záznamov, ktoré obsahujú osobné údaje a sú zaradené do predarchívnej starostlivosti, možno stanoviť len na dobu nevyhnutnú na uplatnenie práv alebo povinností ustanovených zákonom [Napríklad § 101 až 110 Občianskeho zákonníka.].

(5) Ak dotknutá osoba uplatní námietku podľa § 20 ods. 3 písm. b), prevádzkovateľ bezodkladne skončí využívanie osobných údajov uvedených v § 7 ods. 4 písm. d) v poštovom styku.

(6) Ak dotknutá osoba uplatní námietku podľa § 20 ods. 3 písm. c), prevádzkovateľ to bezodkladne písomne oznámi každému, komu osobné údaje uvedené v § 7 ods. 4 písm. d) poskytol; zákaz ďalšieho poskytovania tu uvedených osobných údajov platí pre  prevádzkovateľa a každého, komu ich prevádzkovateľ poskytol odo dňa nasledujúceho po dni doručenia námietky dotknutej osoby, prípadne doručenia písomného oznámenia

prevádzkovateľa.

(7) Ak vyhotovený záznam podľa § 10 ods. 7 nie je využitý na účely trestného konania alebo konania o priestupkoch, ten, kto ho vyhotovil, ho zlikviduje najneskôr v lehote siedmich dní odo dňa nasledujúceho po dni, v ktorom bol záznam vyhotovený, ak osobitný zákon neustanovuje inak.

(8) Prevádzkovateľ zabezpečí likvidáciu tých osobných údajov, ktoré sa nedajú opraviť alebo doplniť tak, aby boli správne a aktuálne (§ 12 ods. 2).

 

Český zákon přímo neupravuje na této úrovni podrobnosti otázky likvidace osobních údajů a odvolává se na obecnou definici likvidace osobních údajů, resp. na speciální ustanovení zvláštních zákonů.

 

§ 14

Oznámenie o vykonaní opravy alebo likvidácie

 

(1) Opravu alebo likvidáciu osobných údajov oznámi prevádzkovateľ do 30 dní od ich vykonania dotknutej osobe a každému, komu ich poskytol.

(2) Od oznámenia možno upustiť, ak sa neoznámením opravy alebo likvidácie osobných dajov neporušia práva dotknutej osoby.

 

Tato povinnost se v českém zákoně přímo nevyskytuje.

 

 

DRUHÁ HLAVA

BEZPEČNOSŤ OSOBNÝCH ÚDAJOV

 

§ 15

Zodpovednosť za bezpečnosť osobných údajov

 

(1) Za bezpečnosť osobných údajov zodpovedá prevádzkovateľ a sprostredkovateľ tým, že ich chráni před odcudzením, stratou, poškodením, neoprávneným prístupom, zmenou a rozširovaním. Na tento účel prijme primerané technické, organizačné a personálne opatrenia zodpovedajúce spôsobu spracúvania.

 

V českém zákoně se vyskytuje pouze ustanovení tohoto odseku v obecné podobě. Zbývající podrobná ustanovení tohoto a následujícího paragrafu český zákon neobsahuje.

 

(2) Opatrenia podľa odseku 1 prijme prevádzkovateľ a sprostredkovateľ vo forme bezpečnostného projektu informačného systému (ďalej len „bezpečnostný projekt“) a zabezpečí jeho vypracovanie, ak

a) informačný systém je prepojený na verejne prístupnú počítačovú sieť, alebo je prevádzkovaný v počítačovej sieti, ktorá je prepojená na verejne prístupnú počítačovú sieť,

b) sú v informačnom systéme spracúvané osobitné kategórie osobných údajov (§ 8), alebo

c) informačný systém podlieha výnimkám uvedeným v § 2 ods. 2.

(3) Na požiadanie úradu prevádzkovateľ a sprostredkovateľ preukážu rozsah a obsah prijatých technických, organizačných a personálnych opatrení podľa odseku 1 alebo 2.

(4) Ak sú predmetom kontroly informačné systémy podľa odseku 2, úrad má právo požadovať od prevádzkovateľa alebo sprostredkovateľa predloženie hodnotiacej správy o výsledku auditu bezpečnosti informačného systému (ďalej len „hodnotiaca správa“), ak sú vážne pochybnosti o jeho bezpečnosti alebo o praktickom uplatňovaní opatrení uvedených v bezpečnostnom projekte. Hodnotiacu správu, nie staršiu ako dva roky, bezodkladne predloží prevádzkovateľ alebo sprostredkovateľ úradu, inak zabezpečí vykonanie auditu bezpečnosti informačného systému na vlastné náklady a predloží hodnotiacu správu najneskôr do troch mesiacov odo dňa uloženia povinnosti.

(5) Audit bezpečnosti informačného systému môže vykonať iba externá, odborne spôsobilá právnická osoba alebo fyzická osoba, ktorá sa nepodieľala na vypracovaní bezpečnostného projektu predmetného informačného systému, a nie sú pochybnosti o jej nezaujatosti.

 

§ 16

Bezpečnostný projekt

 

(1) Bezpečnostný projekt vymedzuje rozsah a spôsob technických, organizačných a personálnych opatrení potrebných na eliminovanie a minimalizovanie hrozieb a rizík pôsobiacich na informačný systém z hľadiska narušenia jeho bezpečnosti, spoľahlivosti a funkčnosti.

(2) Bezpečnostný projekt sa spracúva v súlade so základnými pravidlami bezpečnosti informačného systému vydanými bezpečnostnými štandardmi, právnymi predpismi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná.

(3) Bezpečnostný projekt obsahuje najmä

a) bezpečnostný zámer,

b) analýzu bezpečnosti informačného systému,

c) bezpečnostné smernice.

(4) Bezpečnostný zámer vymedzuje základné bezpečnostné ciele, ktoré je potrebné dosiahnuť na ochranu informačného systému pred ohrozením jeho bezpečnosti, a obsahuje najmä

a) formuláciu základných bezpečnostných cieľov a minimálne požadovaných bezpečnostných opatrení,

b) špecifikáciu technických, organizačných a personálnych opatrení na zabezpečenie ochrany osobných údajov v informačnom systéme a spôsob ich využitia,

c) vymedzenie okolia informačného systému a jeho vzťah k možnému narušeniu bezpečnosti,

d) vymedzenie hraníc určujúcich množinu zvyškových rizík.

(5) Analýza bezpečnosti informačného systému je podrobný rozbor stavu bezpečnosti informačného systému, ktorá obsahuje najmä

a) kvalitatívnu analýzu rizík, v rámci ktorej sa identifikujú hrozby pôsobiace na jednotlivé aktíva informačného systému spôsobilé narušiť jeho bezpečnosť alebo funkčnosť; výsledkom kvalitatívnej analýzy rizík je zoznam hrozieb, ktoré môžu ohroziť dôvernosť, integritu a dostupnosť spracúvaných osobných údajov, s uvedením rozsahu možného rizika, návrhov opatrení, ktoré eliminujú alebo minimalizujú vplyv rizík, a s vymedzením súpisu nepokrytých rizík,

b) použitie bezpečnostných štandardov a určenie iných metód a prostriedkov ochrany osobných údajov; súčasťou analýzy bezpečnosti informačného systému je posúdenie zhody navrhnutých bezpečnostných opatrení s použitými bezpečnostnými štandardmi, metódami a prostriedkami.

(6) Bezpečnostné smernice upresňujú a aplikujú závery vyplývajúce z bezpečnostného projektu na konkrétne podmienky prevádzkovaného informačného systému a obsahujú najmä

a) popis technických, organizačných a personálnych opatrení vymedzených v bezpečnostnom projekte a ich využitie v konkrétnych podmienkach,

b) rozsah oprávnení a popis povolených činností jednotlivých oprávnených osôb, spôsob ich identifikácie a autentizácie pri prístupe k informačnému systému,

c) rozsah zodpovednosti oprávnených osôb a osoby zodpovednej za dohľad nad ochranou osobných údajov (§ 19),

d) spôsob, formu a periodicitu výkonu kontrolných činností zameraných na dodržiavanie bezpečnosti informačného systému,

e) postupy pri haváriách, poruchách a iných mimoriadnych situáciách vrátane preventívnych opatrení na zníženie vzniku mimoriadnych situácií a možností efektívnej obnovy stavu pred haváriou.

 

§ 17

Poučenie

 

Prevádzkovateľ a sprostredkovateľ preukázateľne poučia právnické osoby a fyzické osoby, ktoré majú alebo môžu mať prístup k ich informačnému systému, o právach a povinnostiach ustanovených týmto zákonom a o zodpovednosti za ich porušenie.

 

Český zákon v této souvislosti používá institut „stanovení podmínek zaměstnancům a jiným osobám … “ bez nutnosti je prokazatelně poučit.

 

§ 18

Povinnosť mlčanlivosti

 

(1) Prevádzkovateľ a sprostredkovateľ sú povinní zachovávať mlčanlivosť o osobných údajoch, ktoré spracúvajú. Povinnosť mlčanlivosti trvá aj po ukončení spracovania. Povinnosť mlčanlivosti nemajú, ak je to podľa osobitného zákona nevyhnutné na plnenie úloh orgánov činných v trestnom konaní; tým nie sú dotknuté ustanovenia osobitných zákonov [Napríklad § 40 zákona Národnej rady Slovenskej republiky č. 566/1992 Zb. o Národnej banke Slovenska v znení zákona č. 149/2001 Z. z.].

 

Uvedené ustanovení v českém zákoně explicitně není. Předpokládá se, že podmínky zacházení s osobními údaji jsou zahrnuty v obecných povinnostech, resp. v účelu zpracování osobních údajů a násl.

 

(2) Oprávnená osoba je povinná zachovávať mlčanlivosť o osobných údajoch, s ktorými príde do styku; tie nesmie využiť ani pre osobnú potrebu a bez súhlasu prevádzkovateľa ich nesmie zverejniť a nikomu poskytnúť ani sprístupniť.

 

V českém zákoně je toto ustanovení rozšířeno i na bezpečnostní opatření, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů.

 

(3) Povinnosť mlčanlivosti podľa odseku 2 platí aj pre iné fyzické osoby, ktoré v rámci svojej činnosti (napr. údržba a servis technických prostriedkov) prídu do styku s osobnými údajmi u prevádzkovateľa alebo sprostredkovateľa.

(4) Povinnosť mlčanlivosti podľa odseku 2 trvá aj po zániku funkcie oprávnenej osoby alebo po skončení jej pracovného pomeru alebo obdobného pracovného vzťahu, ako aj štátnozamestnaneckého pomeru alebo vzťahu podľa odseku 3.

(5) Odseky 1 až 4 a ustanovená povinnosť mlčanlivosti prevádzkovateľov, sprostredkovateľov a oprávnených osôb podľa osobitných predpisov [Napríklad § 6 ods. 1 zákona č. 150/2001 Z. z. o daňových orgánoch a ktorým sa mení a dopĺňa zákon č. 440/2000 Z. z. o správach finančnej kontroly, § 14 zákona č. 330/2000 Z. z. o burze cenných papierov, § 134 zákona č. 566/2001 Z. z. o cenných papieroch a investičných službách a o zmene a doplnení niektorých zákonov (zákon o cenných papieroch), § 91 až 93 zákona č. 483/2001 Z. z. o bankách a o zmene a doplnení niektorých zákonov, § 24 zákona Slovenskej národnej rady č. 24/1991 Zb. o poisťovníctve v znení neskorších predpisov, § 81 písm. e) a § 240 ods. 5 zákona č. 311/2001 Z. z. Zákonník práce, § 53 ods. 1 písm. e) zákona č. 312/2001 Z. z. o štátnej službe a o zmene a doplnení niektorých zákonov, § 9 ods. 2 písm. b) zákona č. 313/2001 Z. z. o verejnej službe, § 8 zákona č. 367/2000 Z. z., § 80 zákona Národnej rady Slovenskej republiky č. 171/1993 Z. z. v znení neskorších predpisov, § 15 ods. 2 a 3 zákona Národnej rady Slovenskej republiky č. 38/1993 Z. z. o organizácii Ústavného súdu Slovenskej republiky o konaní pred ním a o postavení jeho sudcov.] sa nepoužijú vo vzťahu k úradu pri plnení jeho úloh (§ 38 až 44).

 

§ 19

Dohľad nad ochranou osobných údajov

 

(1) Za výkon dohľadu nad ochranou osobných údajov spracúvaných podľa tohto zákona zodpovedá prevádzkovateľ.

(2) Ak prevádzkovateľ zamestnáva viac ako päť osôb, výkonom dohľadu písomne poverí zodpovednú osobu alebo viaceré zodpovedné osoby, ktoré dozerajú na dodržiavanie zákonných ustanovení pri spracúvaní osobných údajov.

(3) Odborné vyškolenie zodpovednej osoby alebo viacerých zodpovedných osôb zabezpečí prevádzkovateľ. Rozsah odborného školenia zodpovedá najmä obsahu tohto zákona a úlohám z neho vyplývajúcim, jako aj obsahu medzinárodných zmlúv o ochrane osobných údajov [Napríklad Dohovor o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov (oznámenie č. 49/2001 Z. z.).], ktoré boli vyhlásené spôsobom ustanoveným zákonom. Úrad môže od prevádzkovateľa žiadať podanie dôkazu o vykonanom odbornom školení.

(4) Zodpovedná osoba posúdi pred začatím spracúvania osobných údajov v informačnom systéme, či ich spracúvaním nevzniká nebezpečenstvo narušenia práv a slobôd dotknutých osôb. Zistenie narušenia práv a slobôd dotknutých osôb pred začatím spracúvania alebo porušenia zákonných ustanovení v priebehu spracúvania osobných údajov zodpovedná osoba bezodkladne písomne oznámi prevádzkovateľovi; ak prevádzkovateľ po upozornení bezodkladne nevykoná nápravu, oznámi to zodpovedná osoba úradu.

 

Český zákon nejde do těchto detailních podrobností a omezuje se na globální odpovědnost správce či zpracovatele, který má možnost upravit si vnitřní mechanismus zpracování osobních údajů ve své působnosti podle konkrétních podmínek.

 

 

TRETIA HLAVA

OCHRANA PRÁV DOTKNUTÝCH OSÔB

 

§ 20

Práva dotknutej osoby

 

(1) Dotknutá osoba má právo na základe písomnej žiadosti od prevádzkovateľa vyžadovať

a) informácie o stave spracúvania svojich osobných údajov v informačnom systéme v rozsahu podľa § 26 ods. 3,

b) presné informácie o zdroji, z ktorého získal osobné údaje spracúvané podľa § 7 ods. 4 písm. d) a e),

c) odpis jej osobných údajov, ktoré sú predmetom spracúvania,

d) opravu nesprávnych alebo neaktuálnych osobných údajov v priebehu spracúvania,

e) likvidáciu jej osobných údajov, ak bol splnený účel ich spracúvania podľa § 13 ods. 1; ak sú predmetom spracúvania úradné doklady obsahujúce osobné údaje, môže požiadať o ich vrátenie,

f) likvidáciu jej osobných údajov, ktoré sú predmetom spracúvania, ak došlo k porušeniu zákona.

(2) Právo dotknutej osoby možno obmedziť len podľa odseku 1 písm. d) a e), ak takéto obmedzenie vyplýva z osobitného zákona alebo jeho uplatnením by bola porušená ochrana dotknutej osoby, alebo by boli porušené práva a slobody iných osôb.

(3) Dotknutá osoba na základe bezplatnej písomnej žiadosti má právo u prevádzkovateľa namietať voči

a) spracúvaniu jej osobných údajov, o ktorých predpokladá, že sú alebo budú spracúvané na účely priameho marketingu bez jej súhlasu a žiadať ich likvidáciu,

b) využívaniu osobných údajov uvedených v § 7 ods. 4 písm. d) na účely priameho marketingu v poštovom styku, alebo

c) poskytovaniu osobných údajov uvedených v § 7 ods. 4 písm. d) na účely priameho marketingu.

(4) Dotknutá osoba má právo namietať a nepodrobiť sa rozhodnutiu prevádzkovateľa, ktoré by malo pre ňu právne účinky alebo významný dosah, ak sa takéto rozhodnutie vydá výlučne na základe úkonov automatizovaného spracúvania jej osobných údajov. Toto právo možno obmedziť iba v prípade, ak to ustanovuje osobitný zákon [Napríklad § 121 a 122 zákona č. 100/1988 Zb. o sociálnom zabezpečení v znení neskorších predpisov.], v ktorom sú opatrenia na zabezpečenie oprávnených záujmov dotknutej osoby alebo obmedzenie práva vyplýva zo zmluvy uzatvorenej medzi prevádzkovateľom a dotknutou osobou.

 

V pojetí českého zákona se obdobné ustanovení výlučně vztahuje k rozhodnutí orgánu veřejné moci s tím, že takové rozhodnutí nelze vůbec vydat To však neplatí v případě, že takové rozhodnutí bylo učiněno ve prospěch subjektu údajů.

 

(5) Dotknutá osoba má právo nesúhlasiť s oznámením podľa § 23 ods. 5 a písomne odmietnuť prenos svojich osobných údajov

a) subjektom so sídlom alebo s trvalým pobytom v cudzine s výnimkou subjektu uvedeného v písmene b), a to aj v prípade, ak cieľová krajina zaručuje primeranú úroveň ochrany, alebo

b) organizačnej zložke prevádzkovateľa alebo jeho nadriadenému orgánu, ak cieľová krajina nezaručuje primeranú úroveň ochrany a ak prenos možno vykonať len so súhlasom dotknutej osoby.

 

Český zákon konkrétně v tomto smyslu nerozlišuje mezi předáváním osobních údajů v rámci jednoho státu či do zahraničí.

 

(6) Dotknutá osoba pri podozrení, že jej osobné údaje sa neoprávnene spracúvajú, môže podať o tom oznámenie úradu.

(7) Ak dotknutá osoba nemá spôsobilosť na právne úkony v plnom rozsahu [§ 8 Občianskeho zákonníka.], jej práva môže uplatniť zákonný zástupca [§ 26 až 30 Občianskeho zákonníka.].

(8) Ak dotknutá osoba nežije, jej práva, ktoré mala podľa tohto zákona, môže uplatniť blízka osoba [§ 116 Občianskeho zákonníka.].

 

§ 21

Poskytnutie informácií dotknutej osobe

 

(1) Požiadavky dotknutej osoby podľa § 20 ods. 1 písm. a), d) až f) splní prevádzkovateľ bezplatne.

(2) Informácie podľa § 20 ods. 1 písm. b) a c) prevádzkovateľ poskytne dotknutej osobe bezplatne s výnimkou úhrady vo výške, ktorá nesmie prekročiť výšku materiálnych nákladov spojených so zhotovením kópií, so zadovážením technických nosičov a s odoslaním informácie dotknutej osobe, ak osobitný zákon neustanovuje inak [Napríklad zákon Národnej rady Slovenskej republiky č. 162/1995 Z. z. v znení neskorších predpisov.].

 

V českém zákoně jsou informace viz c) omezeny ve smyslu – jednou za kalendářní rok bezplatně, jinak kdykoli za přiměřenou úhradu nepřevyšující náklady nezbytné na poskytnutí informace.

 

(3) Prevádzkovateľ vyhovie požiadavkám dotknutej osoby podľa § 20 a písomne ju informuje najneskoršie do 30 dní od ich prijatia.

 

V českém zákoně není explicitně stanoven termín („bez zbytečného odkladu“) a rovněž zde není povinnost písemně informovat subjekt údajů.

 

§ 22

Oznámenie o obmedzení práv dotknutej osoby

 

Obmedzenie práv dotknutej osoby podľa § 20 ods. 1 písm. d) a e) prevádzkovateľ bezodkladne písomne oznámi dotknutej osobe a úradu.

 

Toto ustanovení v českém zákoně není.

 

 

ŠTVRTÁ HLAVA

CEZHRANIČNÝ TOK OSOBNÝCH ÚDAJOV

 

§ 23

 

(1) Ak cieľová krajina cezhraničného toku osobných údajov zaručuje primeranú úroveň ochrany, prenos osobných údajov subjektom so sídlom alebo s trvalým pobytom v cudzine možno vykonať za predpokladu, že boli splnené podmienky podľa § 10 ods. 1.

(2) Primeranosť úrovne ochrany osobných údajov sa hodnotí na základe všetkých okolností súvisiacich s prenosom. Osobitne sa pritom posudzujú príslušné právne predpisy v cieľovej krajine vo vzťahu k povahe osobných údajov, účel a trvanie ich spracúvania.

(3) Ak neboli splnené podmienky podľa § 10 ods. 1, prenos podľa odseku 1 možno vykonať len za predpokladu, že

a) ide o prenos osobných údajov spracúvaných podľa § 7 ods. 4 písm. d); to platí len vtedy, ak je subjektom organizačná zložka prevádzkovateľa alebo jeho nadriadený orgán, ktorý neposkytne ani nesprístupní tieto osobné údaje v cieľovej krajine inému subjektu s výnimkou takého, ktorý ich spracúva v mene prevádzkovateľa,

b) je prenos ustanovený osobitným zákonom, alebo

c) prenos vyplýva z medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.

(4) V prípade, že cieľová krajina nezaručuje primeranú úroveň ochrany, možno prenos vykonať pod podmienkou, že

a) dotknutá osoba dala naň písomný súhlas s vedomím, že cieľová krajina nezaručuje primeranú úroveň ochrany,

b) je nevyhnutný na plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom alebo na zavedenie predzmluvných opatrení na žiadosť dotknutej osoby,

c) je nevyhnutný na uzavretie zmluvy alebo plnenie zmluvy, ktorú prevádzkovateľ uzavrel v záujme dotknutej osoby s iným subjektom,

d) je nevyhnutný na plnenie medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, alebo vyplýva zo zákona z dôvodu dôležitého verejného záujmu alebo pri preukazovaní, uplatňovaní alebo obhajovaní právneho nároku,

e) je nevyhnutný na ochranu životne dôležitých záujmov dotknutej osoby, alebo

f) sa týka osobných údajov, ktoré sú súčasťou zoznamov, registrov alebo operátov a ktoré sú vedené a verejne prístupné podľa osobitných zákonov alebo sú podľa nich prístupné tým, ktorí preukážu právny nárok pri splnení zákonom ustanovených podmienok na ich sprístupnenie.

(5) Ak sa prevádzkovateľ rozhodne vykonať prenos osobných údajov až po ich získaní, oznámi dotknutej osobe pred ich prenosom dôvod svojho rozhodnutia a oboznámi ju s právom odmietnuť takýto prenos (§ 20 ods. 5). To neplatí, ak ide o prenos podľa odseku 3.

(6) Ak prevádzkovateľ poverí spracúvaním osobných údajov subjekt v cudzine, ktorý ich spracúva v mene prevádzkovateľa, ten je oprávnený spracúvať osobné údaje len v rozsahu a za podmienok dojednaných s prevádzkovateľom v písomnej zmluve. Obsah zmluvy musí byť vypracovaný v súlade so štandardnými zmluvnými podmienkami ustanovenými na prenos osobných údajov subjektom v cudzine, ktoré ich spracúvajú v mene prevádzkovateľa.

(7) Na prenos osobných údajov podľa odseku 6 sa vyžaduje súhlas úradu.

(8) Ten, kto vykonáva prenos osobných údajov, zaručí ich bezpečnosť (§ 15 ods. 1) aj pri tranzite.

(9) Ochrana osobných údajov, prenesených na územie Slovenskej republiky od subjektov so sídlom alebo s trvalým pobytom v cudzine, sa vykonáva v súlade s týmto zákonom.

(10) V prípade pochybnosti o tom, či možno vykonať cezhraničný tok osobných údajov, rozhodne úrad. Stanovisko úradu je záväzné.

 

 

PIATA HLAVA

REGISTRÁCIA A EVIDENCIA INFORMAČNÝCH SYSTÉMOV

 

§ 24

Povinnosť registrácie a evidencie

 

Prevádzkovateľ registruje informačné systémy alebo vedie o nich evidenciu v rozsahu a za podmienok ustanovených týmto zákonom.

 

Registrácia

 

§ 25

Podmienky registrácie

 

(1) Registráciu informačných systémov vykonáva úrad bezplatne.

(2) Registrácii podliehajú informačné systémy, v ktorých

a) sa spracúvajú osobitné kategórie osobných údajov (§ 8),

b) sa spracúvajú osobné údaje, ktoré sú predmetom cezhraničného toku (§ 23 ods. 1 až 7), alebo

c) osobné údaje spracúva sprostredkovateľ (§ 5 ods. 2).

 

Dle českého zákona podléhají oznamovací povinnosti všechna zpracování osobních údajů až na určené výjimky.

 

(3) Registrácii nepodliehajú informačné systémy uvedené v odseku 2, ak obsahujú

a) osobné údaje týkajúce sa zdravia a všeobecne použiteľný identifikátor tých osôb, ktoré sú s prevádzkovateľom v pracovnom pomere alebo v obdobnom pracovnom vzťahu, a osôb, ktoré sú s prevádzkovateľom v štátnozamestnaneckom pomere,

b) osobné údaje o členstve osôb v odborových organizáciách, ktoré sú ich členmi, a ak tieto osobné údaje sa využívajú výlučne pre ich vnútornú potrebu,

c) osobné údaje o náboženskej viere osôb združených v štátom uznanej cirkvi alebo v náboženskej spoločnosti a ak tieto osobné údaje sa využívajú výlučne pre ich vnútornú potrebu,

d) osobné údaje o členstve osôb v politických stranách alebo v politických hnutiach, ktoré sú ich členmi, a ak tieto osobné údaje sa využívajú výlučne pre ich vnútornú potrebu,

e) osobné údaje osôb zúčastnených v konaní pred orgánom štátnej správy, orgánom územnej samosprávy, ako aj pred inými orgánmi verejnej moci a ich spracúvanie sa vykonáva na základe osobitného zákona,

f) výlučne už zverejnené osobné údaje,

g) osobné údaje, ktoré slúžia masovokomunikačným prostriedkom výlučne pre ich informačnú činnosť,

 

Tento případ by podle českého zákona oznamovací povinnosti podléhal.

 

h) osobné údaje na účely preventívnej medicíny, lekárskej diagnostiky, poskytovania liečebnej alebo kúpeľnej starostlivosti a ďalších služieb zdravotnej starostlivosti a ak tieto osobné údaje spracúva zdravotnícke zariadenie,

i) osobné údaje na účely výchovy alebo vzdelávania alebo vedy a výskumu, ako aj osobné údaje slúžiace na účely štátnej štatistiky a ak prevádzkovateľom je zariadenie, ktorému táto úloha vyplýva zo zákona, alebo

j) osobné údaje, ktoré sa spracúvajú výlučne na účely identifikácie osôb pri ich jednorazovom vstupe do priestorov prevádzkovateľa.

 

Tento případ by podle českého zákona nepodléhal oznamovací povinnosti, ovšem z jiného důvodu – rozsah údajů uvedených v § 10 ods. 4 neumožňuje pro běžného správce či zpracovatele dostatečně identifikovat subjekt údajů, takže se vlastně o zpracování osobních údajů vůbec nejedná.

 

(4) V prípade pochybnosti o tom, či informačný systém podlieha registrácii, rozhodne úrad. Stanovisko úradu je záväzné.

 

§ 26

Prihlásenie na registráciu

 

(1) Za prihlásenie informačného systému na registráciu zodpovedá jeho prevádzkovateľ.

(2) Prevádzkovateľ prihlási informačný systém na registráciu pred začatím spracúvania osobných údajov.

(3) Pri prihlasovaní informačného systému na registráciu prevádzkovateľ uvedie tieto údaje:

a) názov, sídlo alebo trvalý pobyt, právnu formu a identifikačné číslo prevádzkovateľa,

b) meno a priezvisko štatutárneho orgánu prevádzkovateľa,

c) meno a priezvisko zodpovednej osoby vykonávajúcej dohľad nad ochranou osobných údajov, ak sa vyžaduje jej poverenie (§ 19 ods. 2),

d) názov, sídlo alebo trvalý pobyt, právnu formu a identifikačné číslo sprostredkovateľa, ak spracúva osobné údaje v mene prevádzkovateľa,

e) meno a priezvisko štatutárneho orgánu sprostredkovateľa,

f) identifikačné označenie informačného systému,

g) účel spracúvania osobných údajov,

h) zoznam osobných údajov,

i) okruh dotknutých osôb,

j) okruh užívateľov, ak sa im osobné údaje sprístupňujú,

k) právnické osoby, fyzické osoby, prípadne subjekty v cudzine, ak sa im osobné údaje poskytujú,

l) názvy cieľových krajín, právny základ cezhraničného toku osobných údajov a opatrenia na zabezpečenie ochrany osobných údajov pri tranzite, ak sú predmetom cezhraničného toku,

m) právny základ informačného systému,

n) formu zverejnenia, ak sa zverejnenie osobných údajov vykonáva,

o) všeobecnú charakteristiku opatrení na zabezpečenie ochrany osobných údajov,

p) dátum začatia spracúvania osobných údajov.

 

Rozsah těchto údajů je dle slovenského zákona (s ohledem na poněkud odlišný rozsah subjektů zpracovávajících osobní údaje) ve srovnání s českým zákonem poněkud širší.

 

(4) Údaje v rozsahu podľa odseku 3 sa úradu odovzdávajú v písomnej forme potvrdené štatutárnym orgánom prevádzkovateľa alebo elektronicky vo forme databázového súboru s doloženým výtlačkom obsahu súboru potvrdeným štatutárnym orgánom prevádzkovateľa. Písomnú formu a formát databázového súboru určí úrad. Doloženie výtlačku sa nepožaduje, ak databázový súbor je opatrený elektronickým podpisom podľa osobitného zákona.

 

§ 27

Predbežná kontrola a vydanie potvrdenia o registrácii

 

(1) Úrad posúdi predložené údaje (§ 26 ods. 3), preverí, či spracúvaním osobných údajov nevzniká nebezpečenstvo narušenia práv a slobôd dotknutých osôb a najneskôr do 30 dní odo dňa ich prijatia vydá záväzné stanovisko o povinnosti registrácie informačného systému.

(2) V prípade pochybnosti si úrad vyžiada od prevádzkovateľa ďalšie vysvetlenia. Počas tejto doby lehota podľa odseku 1 neplynie.

(3) Súčasťou registrácie je pridelenie registračného čísla informačnému systému a vydanie potvrdenia o jeho registrácii. Registračné číslo prevádzkovateľ uvedie vždy pri akejkoľvek komunikácii o spracúvaných osobných údajoch.

(4) Prevádzkovateľ môže začať spracúvať osobné údaje v informačnom systéme prihlásenom na registráciu v deň nasledujúci po dni, v ktorom úrad vydal potvrdenie o registrácii.

 

§ 28

Oznámenie zmien a odhlásenie z registrácie

 

(1) Prevádzkovateľ do 15 dní písomne oznámi úradu akékoľvek zmeny údajov podľa § 26 ods. 3 s výnimkou písmena p), ktoré nastanú v priebehu spracúvania.

(2) Prevádzkovateľ do 15 dní odo dňa skončenia spracúvania osobných údajov v informačnom systéme tento z registrácie písomne odhlási. Súčasťou odhlásenia je dátum skončenia spracúvania osobných údajov.

(3) Na oznámenie zmien údajov a odhlásenie informačného systému z registrácie sa primerane použije § 26 ods. 4.

 

Evidencia

 

§ 29

Podmienky evidencie

 

(1) O informačných systémoch, ktoré nepodliehajú registrácii, prevádzkovateľ vedie evidenciu, a to najneskôr odo dňa začatia spracúvania údajov v týchto informačných systémoch.

(2) Odsek 1 sa nepoužije pre informačné systémy, ak

a) spracúvané osobné údaje slúžia výlučne pre potreby poštového styku s dotknutými osobami a evidencie týchto údajov [§ 7 ods. 4 písm. d)], alebo

b) obsahujú osobné údaje, ktoré sa spracúvajú výlučne na účely identifikácie osôb pri ich jednorazovom vstupe do priestorov prevádzkovateľa (§ 10 ods. 4).

 

Pojem „evidence“ český zákon nezná. Zpracování osobních údajů se buď oznamují nebo neoznamují ÚOOÚ.

 

§ 30

Obsah evidencie

 

Evidencia podľa § 29 ods. 1 obsahuje údaje uvedené v § 26 ods. 3.

 

Sprístupnenie stavu registrácie a evidencie

 

§ 31

Verejnosť registrácie

 

Registrácia vedená podľa tohto zákona je verejná v rozsahu údajov podľa § 26 ods. 3 s uvedením registračného čísla informačného systému.

 

§ 32

Verejnosť evidencie

 

Evidencia vedená podľa tohto zákona je verejná. Údaje z evidencie prevádzkovateľ sprístupní bezplatne komukoľvek, kto o to požiada.

 

Český zákon předpokládá zveřejňování registru ve Věstníku ÚOOÚ v rozsahu oznámení s výjimkou popisu způsobu zpracování a propojení na jiné správce..

 

 

TRETIA ČASŤ

ÚRAD

 

PRVÁ HLAVA

POSTAVENIE A PÔSOBNOSŤ ÚRADU

 

§ 33

Pôsobnosť úradu

 

(1) Zriaďuje sa Úrad na ochranu osobných údajov, ktorý je orgánom štátnej správy s celoslovenskou pôsobnosťou so sídlom v Bratislave.

(2) Úrad ako štátny orgán vykonáva dozor nad ochranou osobných údajov nezávisle a podieľa sa na ochrane základných práv a slobôd fyzických osôb při spracúvaní ich osobných údajov.

(3) Ak osobné údaje spracúvajú spravodajské služby, dozor nad ochranou osobných údajov podľa odseku 2 vykonáva Národná rada Slovenskej republiky podľa osobitného zákona [§ 60 zákona Národnej rady Slovenskej republiky č. 350/1996 Z. z. o rokovacom poriadku Národnej rady Slovenskej republiky.].

 

§ 34

Postavenie úradu

 

(1) Úrad je rozpočtovou organizáciou [§ 21 ods. 1 a ods. 4 písm. a) zákona Národnej rady Slovenskej republiky č. 303/1995 Z. z. o rozpočtových pravidlách v znení neskorších predpisov.]. Návrh rozpočtu predkladá úrad ako súčasť kapitoly Úradu vlády Slovenskej republiky. Schválený rozpočet úradu môže znížiť v priebehu kalendárneho roku iba Národná rada Slovenskej republiky.

(2) Podrobnosti o organizácii úradu upraví organizačný poriadok.

 

§ 35

Predseda úradu

 

(1) Na čele úradu je predseda úradu.

(2) Predsedu úradu na návrh vlády Slovenskej republiky volí a odvoláva Národná rada Slovenskej republiky. Návrh na voľbu predsedu úradu na nové funkčné obdobie predkladá vláda Slovenskej republiky Národnej rade Slovenskej republiky najneskôr 60 dní pred uplynutím funkčného obdobia úradujúceho predsedu úradu. Funkčné obdobie predsedu úradu je päť rokov a možno ho zvoliť najviac na dve po sebe nasledujúce obdobia. Predseda úradu ostáva vo funkcii aj po uplynutí funkčného obdobia, kým Národná rada Slovenskej republiky nezvolí predsedu úradu na nové funkčné obdobie.

(3) Za predsedu úradu možno zvoliť občana, ktorý je voliteľný za poslanca do Národnej rady Slovenskej republiky, je bezúhonný, má vysokoškolské vzdelanie, má najmenej 10 rokov odbornej praxe v oblasti informatiky alebo práva a dosiahol vek najmenej 35 rokov.

(4) Za bezúhonného občana sa na účely tohto zákona považuje občan, ktorý nebol právoplatne odsúdený za úmyselný trestný čin alebo za trestný čin, za ktorý mu bol uložený  nepodmienečný trest odňatia slobody. Bezúhonnosť sa preukazuje výpisom z registra trestov,

ktorý nie je starší ako tri mesiace.

(5) Predseda úradu nemôže byť členom politickej strany ani politického hnutia.

(6) Platové a ďalšie náležitosti predsedu úradu určuje vláda Slovenskej republiky podľa osobitného predpisu [Zákon č. 312/2001 Z. z.].

(7) Počas výkonu funkcie nesmie predseda úradu podnikať ani vykonávať inú zárobkovú činnosť s výnimkou vedeckej, pedagogickej, publicistickej, literárnej alebo umeleckej činnosti a správy vlastného majetku a majetku svojich maloletých detí.

(8) Počas výkonu funkcie je predseda úradu oprávnený oboznamovať sa s utajovanými skutočnosťami podľa osobitného predpisu [§ 31 ods. 1 písm. h) zákona č. 241/2001 Z. z.].

(9) Počas funkčného obdobia i po jeho skončení je predseda úradu povinný zachovávať mlčanlivosť o skutočnostiach týkajúcich sa obsahu osobných údajov, o ktorých sa dozvedel počas výkonu svojej funkcie.

(10) Od povinnosti mlčanlivosti môže predsedu úradu pre konkrétny prípad oslobodiť Národná rada Slovenskej republiky.

(11) Za svoju činnosť zodpovedá predseda úradu Národnej rade Slovenskej republiky.

(12) Pred uplynutím funkčného obdobia zaniká výkon funkcie predsedu úradu

a) vzdaním sa funkcie,

b) stratou voliteľnosti za poslanca Národnej rady Slovenskej republiky,

c) nadobudnutím právoplatnosti rozsudku, ktorým bol odsúdený za úmyselný trestný čin alebo ktorým bol odsúdený za trestný čin a súd nerozhodol v jeho prípade o podmienečnom odložení výkonu trestu odňatia slobody,

d) výkonom činnosti, ktorá je nezlučiteľná s výkonom jeho funkcie, alebo

e) smrťou.

(13) Národná rada môže odvolať z funkcie predsedu úradu,

a) ak mu zdravotný stav dlhodobo, najmenej však počas jedného roka, nedovoľuje riadne vykonávať povinnosti vyplývajúce z jeho funkcie,

b) ak porušil povinnosť zachovávať mlčanlivosť o skutočnostiach týkajúcich sa obsahu osobných údajov, o ktorých sa dozvedel počas výkonu funkcie.

Predseda úradu je odvolaný z funkcie dňom nasledujúcim po dni, keď mu bolo doručené rozhodnutie Národnej rady Slovenskej republiky o odvolaní z funkcie.

 

Dle českého zákona předsedu ÚOOÚ jmenuje a odvolává prezident republiky na návrh Senátu Parlamentu České republiky

 

§ 36

Podpredseda úradu

 

(1) Predsedu úradu v čase jeho neprítomnosti zastupuje podpredseda úradu. Podpredseda úradu okrem toho plní úlohy, ktorými ho poverí predseda úradu.

(2) Podpredsedu úradu vymenúva a odvoláva vláda Slovenskej republiky na návrh predsedu úradu.

(3) Na výkon funkcie podpredsedu úradu sa primerane použijú ustanovenia § 35 ods. 3 až 5, 7, 9 a 12.

(4) Od povinnosti mlčanlivosti môže podpredsedu úradu pre konkrétny prípad oslobodiť predseda úradu.

 

Tato funkce dle českého zákona neexistuje.

 

§ 37

Vrchný inšpektor a inšpektori

 

(1) Činnosť inšpektorov riadi vrchný inšpektor.

 

Tato funkce dle českého zákona neexistuje.

 

(2) Inšpektori vykonávajú kontrolnú činnosť a sú vecne príslušní na plnenie úloh úradu.

(3) Inšpektorov vymenúva a odvoláva vláda Slovenskej republiky na návrh predsedu úradu. Za inšpektora možno vymenovať občana, ktorý je voliteľný za poslanca Národnej rady Slovenskej republiky, je bezúhonný, má vysokoškolské vzdelanie a najmenej trojročnú

odbornú prax v oblasti informatiky alebo práva a dosiahol vek najmenej 30 rokov. Vrchného inšpektora vymenúva a odvoláva vláda Slovenskej republiky na návrh predsedu úradu z radov inšpektorov, ktorí majú odbornú prax najmenej päť rokov a dosiahli vek najmenej 35 rokov.

(4) Funkčné obdobie vrchného inšpektora je päť rokov a do funkcie ho možno vymenovať opakovane. Na výkon funkcie vrchného inšpektora platia primerane odseky 2 a 6 a ustanovenia § 35 ods. 4, 5, 7, 12 a 13.

 

Dle českého zákona jsou inspektoři jmenováni stejným způsobem jako předseda, a to na 10 let.

 

(5) Na výkon funkcie inšpektora platia primerane ustanovenia § 35 ods. 4, 5, 7, 12 a 13. Okrem dôvodov uvedených v § 35 ods. 13 možno inšpektora z funkcie odvolať pre

a) opakované neplnenie úloh uvedených v § 38 ods. 1 písm. f) a h) alebo pre sústavné menej závažné porušovanie pracovnej disciplíny a ak v posledných šiestich mesiacoch predseda úradu inšpektora opakovane písomne vyzval na odstránenie nedostatkov a inšpektor ich v primeranej lehote neodstránil, alebo

b) hrubé zanedbanie povinnosti uloženej inšpektorovi týmto zákonom [§ 38 ods. 1 písm. f) a h)], ak nepreukáže, že zavinenie nespôsobil alebo mu nemohol zabrániť, alebo pre hrubé porušenie pracovnej disciplíny.

(6) Počas pracovného pomeru i po jeho skončení sú inšpektori a ďalší zamestnanci úradu povinní zachovávať mlčanlivosť o skutočnostiach týkajúcich sa obsahu osobných údajov, o ktorých sa dozvedeli počas výkonu svojej práce. Od povinnosti mlčanlivosti môže inšpektorov a ďalších zamestnancov úradu pre konkrétny prípad oslobodiť predseda úradu.

 

 

DRUHÁ HLAVA

ČINNOSŤ ÚRADU

 

§ 38

Úlohy úradu

 

(1) Úrad plní tieto úlohy:

a) priebežne sleduje stav ochrany osobných údajov, registráciu informačných systémov a vedenie evidencie o informačných systémoch,

b) odporúča prevádzkovateľom opatrenia na zabezpečenie ochrany osobných údajov v informačných systémoch; na tento účel vydáva v rozsahu svojej pôsobnosti odporúčania pre prevádzkovateľov,

c) pri pochybnostiach o tom, či spracúvané osobné údaje svojím rozsahom, obsahom a spôsobom spracúvania a využívania zodpovedajú účelu ich spracúvania, sú s daným účelom spracúvania zlučiteľné alebo sú časovo a vecne neaktuálne vo vzťahu k tomuto účelu, vydáva záväzné stanovisko,

d) pri pochybnostiach o cezhraničnom toku osobných údajov vydáva záväzné stanovisko,

e) pri pochybnostiach o registrácii informačného systému vydáva záväzné stanovisko,

 

Dle českého zákona není ÚOOÚ explicitně oprávněn vydávat závazná stanoviska.

 

f) prijíma a vybavuje sťažnosti týkajúce sa porušenia ochrany osobných údajov,

g) pri podozrení z porušenia povinností uložených týmto zákonom môže predvolať prevádzkovateľa alebo sprostredkovateľa s cieľom podať vysvetlenia,

h) kontroluje spracúvanie osobných údajov v informačných systémoch,

i) ukladá sankcie pri zistení porušenia povinností uvedených v tomto zákone,

j) podáva oznámenie [§ 158 ods. 1 Trestného poriadku.] orgánom činným v trestnom konaní pri podozrení, že ide o trestný čin,

k) vykonáva registráciu informačných systémov a zabezpečuje sprístupnenie stavu registrácie,

l) podieľa sa na príprave všeobecne záväzných právnych predpisov v oblasti ochrany osobných údajov,

m) v rozsahu svojej pôsobnosti vydáva všeobecne záväzné právne predpisy,

n) vyjadruje sa k návrhom zákonov a k návrhom ostatných všeobecne záväzných právnych predpisov, v ktorých sa upravuje spracúvanie osobných údajov,

o) predkladá Národnej rade Slovenskej republiky správu o stave ochrany osobných údajov najmenej raz za dva roky.

(2) Do výlučnej pôsobnosti predsedu úradu patria úlohy uvedené v odseku 1 písm. b) až e), j), l) až o).

(3) Ak úrad zistí skutočnosti nasvedčujúce tomu, že zákon, iný všeobecne záväzný právny predpis alebo prevádzkovateľom vydaný vnútorný predpis porušuje základné práva a slobody fyzických osôb pri spracúvaní ich osobných údajov, predseda úradu môže podať podnet na jeho zmenu alebo zrušenie príslušnému orgánu.

 

Kontrolná činnosť

 

§ 39

Oprávnenia a povinnosti kontrolného orgánu

 

(1) Vrchný inšpektor a ostatní inšpektori (ďalej len „kontrolný orgán“), ako aj predseda úradu a podpredseda úradu sú oprávnení

a) vstupovať na pozemky, do budov alebo miestností prevádzok a zariadení prevádzkovateľa a sprostredkovateľa,

b) vyžadovať od prevádzkovateľa, sprostredkovateľa a ich zamestnancov (ďalej len „kontrolovaná osoba“), aby im v určenej lehote poskytli doklady, iné písomnosti, vyjadrenia a informácie, údaje spracúvané na pamäťových médiách vrátane technických nosičov údajov, výpisy a zdrojové kódy programov, ak ich vlastní, a ďalšie materiály potrebné na výkon kontroly, originály alebo kópie a v odôvodnených prípadoch im umožnili odoberať kópie aj mimo priestorov kontrolovanej osoby,

c) požadovať v primeranej lehote od kontrolovanej osoby úplné a pravdivé ústne a písomné informácie, vyjadrenia a vysvetlenia ku kontrolovaným a súvisiacim skutočnostiam a k zisteným nedostatkom,

d) vyžadovať súčinnosť kontrolovanej osoby.

(2) Kontrolný orgán je povinný

a) vopred oznámiť kontrolovanej osobe predmet kontroly a pred začatím kontroly preukázať svoju príslušnosť k úradu,

b) vypracovať protokol o vykonaní kontroly (ďalej len „protokol“),

c) uvádzať do protokolu kontrolné zistenia,

d) oboznámiť kontrolovanú osobu s kontrolnými zisteniami a vyžiadať si od nej písomné vyjadrenie ku všetkým skutočnostiam, ktoré odôvodňujú uplatnenie právnej zodpovednosti; vznesené námietky proti uvádzaným kontrolným zisteniam z hľadiska ich pravdivosti, úplnosti a preukázateľnosti uviesť do protokolu,

e) odovzdať kontrolovanej osobe jedno vyhotovenie protokolu alebo záznamu o kontrole alebo ich kópie,

f) písomne potvrdiť kontrolovanej osobe prevzatie kópií dokladov, písomných dokumentov, kópií pamäťových médií a iných materiálov a zabezpečiť ich riadnu ochranu pred stratou, zničením, poškodením a zneužitím.

(3) Protokol obsahuje názov, sídlo alebo trvalý pobyt kontrolovanej osoby, miesto a čas vykonania kontroly, predmet kontroly, kto kontrolu vykonal, preukázané kontrolné zistenia, vyjadrenia kontrolovanej osoby ku kontrolným zisteniam, dátum vypracovania protokolu,

mená, pracovné zaradenie a vlastnoručné podpisy kontrolného orgánu a zodpovedných zamestnancov kontrolovanej osoby, ktorí boli s obsahom protokolu oboznámení, a dátum oboznámenia sa s protokolom. Ak sa kontrolovaná osoba odmietne oboznámiť sa s obsahom

protokolu, vyjadriť sa ku kontrolným zisteniam alebo podpísať protokol, uvedie sa táto skutočnosť v protokole.

(4) Ak sa kontrolou zistí porušenie povinností ustanovených týmto zákonom, kontrolný orgán postupuje pri ukladaní opatrení na odstránenie kontrolou zistených nedostatkov podľa § 46.

(5) Ak sa kontrolou nezistí porušenie povinností ustanovených týmto zákonom alebo iným zákonom [Napríklad § 178 a 257a Trestného zákona.], kontrolný orgán vypracuje len záznam o kontrole. Při jeho vypracovaní sa postupuje primerane podľa odseku 3.

 

§ 40

Oprávnenia a povinnosti kontrolovanej osoby

 

(1) Kontrolovaná osoba je oprávnená v čase oboznámenia sa s kontrolnými zisteniami vzniesť námietky proti uvádzaným kontrolným zisteniam z hľadiska ich pravdivosti, úplnosti a preukázateľnosti.

(2) Kontrolovaná osoba je povinná

a) vytvoriť kontrolnému orgánu primerané podmienky na výkon kontroly a spracovanie kontrolných zistení,

b) poskytovať kontrolnému orgánu potrebnú súčinnosť v súlade s oprávneniami podľa § 39 ods. 1 a zdržať sa konania, ktoré by mohlo mariť výkon kontroly,

c) dostaviť sa v určenej lehote na oboznámenie sa s obsahom protokolu na miesto určené kontrolným orgánom,

d) po oboznámení sa s kontrolnými zisteniami podpísať protokol alebo záznam o kontrole; odmietnutie oboznámenia sa s obsahom protokolu alebo odmietnutie podpísania protokolu kontrolovanou osobou nemá vplyv na dôsledky vyplývajúce z obsahu tohto dokumentu,

e) písomne predložiť kontrolnému orgánu v určených lehotách opatrenia prijaté na odstránenie kontrolou zistených nedostatkov a písomnú správu o splnení týchto opatrení.

 

§ 41

Prizvané osoby

 

(1) Ak je to odôvodnené osobitnou povahou kontrolnej úlohy, môže kontrolný orgán prizvať na vykonanie kontroly iné fyzické osoby. Účasť týchto fyzických osôb na kontrole sa považuje za iný úkon vo všeobecnom záujme. Na prizvané osoby sa primerane vzťahujú ustanovenia § 37 ods. 6 a § 39 ods. 1.

(2) Kontrolu nemôžu vykonávať prizvané osoby, o ktorých so zreteľom na ich vzťah k predmetu kontroly alebo na vzťah ku kontrolovanej osobe možno mať pochybnosti o ich nezaujatosti. Prizvané osoby, ktoré samy vedia o skutočnostiach zakladajúcich pochybnosti o ich nepredpojatosti, oznámia tieto skutočnosti bez zbytočného odkladu úradu.

(3) Kontrolovaná osoba môže písomne vzniesť preukázateľné námietky o zaujatosti prizvanej osoby. Prizvaná osoba môže do rozhodnutia o námietkach zaujatosti vykonať pri kontrole len úkony, ktoré nedovoľujú odklad.

(4) O námietkach zaujatosti a o oznámení predpojatosti rozhodne predseda úradu. Rozhodnutie predsedu úradu v tejto veci je konečné.

 

§ 42

 

(1) Plnením konkrétnej úlohy pri výkone kontroly možno poveriť ďalších zamestnancov úradu. Na poverených zamestnancov úradu sa primerane vzťahuje ustanovenie § 39 ods. 1 a 2 písm. a).

(2) Inšpektori a poverení zamestnanci úradu, ktorí samy vedia o skutočnostiach zakladajúcich pochybnosti o ich nepredpojatosti vo vzťahu k predmetu kontroly alebo ku kontrolovanej osobe, oznámia tieto skutočnosti bez zbytočného odkladu predsedovi úradu. Ak predseda úradu uzná, že k predpojatosti došlo, osobu z konania vo veci vylúči.

 

§ 43

 

Na výkon kontroly sa nevzťahujú predpisy o kontrole v štátnej správe [Zákon Národnej rady Slovenskej republiky č. 10/1996 Z. z. o kontrole v štátnej správe.].

 

Súčinnosť

§ 44

 

(1) Orgány štátnej správy, orgány územnej samosprávy, iné orgány verejnej moci, prevádzkovatelia a sprostredkovatelia poskytujú úradu potrebnú pomoc pri plnení jeho úloh (§ 38).

(2) Prevádzkovateľ a sprostredkovateľ poskytujú úradu pri plnení jeho úloh všetky ním požadované údaje v určenej lehote.

(3) Prevádzkovateľ a sprostredkovateľ sa dostavia na predvolanie úradu s cieľom podať vysvetlenia v určenej lehote.

(4) Prevádzkovateľ a sprostredkovateľ sú povinní strpieť všetky úkony úradu smerujúce k vyšetreniu okolností potrebných na objektívne posúdenie prešetrovanej veci.

 

 

TRETIA HLAA

OPATRENIA NA NÁPRAVU

 

§ 45

Prijímanie a vybavovanie sťažností

 

(1) Právnické osoby a fyzické osoby môžu podať písomne sťažnosť, ktorá sa týka podozrenia z porušenia ochrany osobných údajov [§ 38 ods. 1 písm. f)]. Za sťažnosť sa nepovažuje sťažnosť podaná vlastným prevádzkovateľom alebo sprostredkovateľom.

(2) Úrad prešetrí a vybaví sťažnosť v lehote 60 dní odo dňa prijatia. Predseda úradu môže túto lehotu v odôvodnených prípadoch primerane predĺžiť, najviac však o šesť mesiacov. O predĺžení lehoty musí byť sťažovateľ písomne upovedomený.

(3) Na prijímanie a vybavovanie sťažností, ktoré sa týkajú podozrenia z porušenia ochrany osobných údajov, sa primerane vzťahuje osobitný právny predpis [Zákon č. 152/1998 Z. z. o sťažnostiach.] s výnimkou ustanovení § 3 a 4, § 10 až 14, § 18 a 21.

 

§ 46

Opatrenie

 

(1) Úrad

a) pri podozrení z porušenia povinnosti uloženej týmto zákonom vyzve prevádzkovateľa alebo sprostredkovateľa na okamžité blokovanie osobných údajov alebo na dočasné skončenie tej činnosti, ktorá by mohla plnenie takejto povinnosti ohroziť,

b) pri zistení porušenia povinnosti ustanovenej týmto zákonom vydá opatrenie, ktorým uloží prevádzkovateľovi alebo sprostredkovateľovi skončenie tej činnosti, ktorou bola porušená povinnosť, vykonanie potrebných opatrení na odstránenie nedostatkov alebo zabezpečenie práv a právom chránených záujmov dotknutých osôb v určenej lehote.

(2) Prevádzkovateľ a sprostredkovateľ bezodkladne vyhovejú požiadavkám úradu podľa odseku 1 a v určenej lehote informujú o ich splnení úrad.

(3) Prevádzkovateľ a sprostredkovateľ sú oprávnení písomne podať námietky proti opatreniu uloženému podľa odseku 1 písm. a) do troch dní odo dňa jeho doručenia. Námietky proti takémuto opatreniu nemajú odkladný účinok.

(4) Prevádzkovateľ a sprostredkovateľ sú oprávnení písomne podať námietky proti opatreniu uloženému podľa odseku 1 písm. b) do siedmich dní odo dňa jeho doručenia. Námietky proti takémuto opatreniu majú odkladný účinok.

(5) O námietke prevádzkovateľa alebo sprostredkovateľa podanej podľa odseku 3 rozhodne predseda úradu do 15 dní a o námietke podanej podľa odseku 4 rozhodne do 60 dní odo dňa ich prijatia.

(6) Rozhodnutie predsedu úradu o námietkach je konečné.

(7) Písomné vyhotovenie výzvy na vykonanie opatrenia a písomné vyhotovenie rozhodnutia o námietkach sa oznamuje doručením do vlastných rúk.

(8) Opatrenie uložené podľa odseku 1 písm. a) môže úrad zrušiť; účinnosť stráca dňom oznámenia opatrenia v predmetnej veci podľa odseku 1 písm. b).

 

§ 47

 

Ustanoveniami § 45 a 46 nie je dotknuté právo na súdnu ochranu [§ 247 a nasl. druhej hlavy Občianskeho súdneho poriadku.].

 

§ 48

Zverejnenie porušenia zákona

 

Ak podľa tohto zákona došlo k závažnému porušeniu práv dotknutých osôb alebo slobôd iných osôb, môže predseda úradu zverejniť názov, sídlo alebo trvalý pobyt prevádzkovateľa alebo sprostredkovateľa a charakteristiku skutkového stavu porušenia ochrany osobných údajov.

 

Toto ustanovení se v českém zákoně nevyskytuje.

 

 

ŠTVRTÁ HLAVA

SANKCIE ZA PORUŠENIE ZÁKONA

 

§ 49

Správne delikty

 

(1) Úrad môže uložiť pokutu do 10 000 000 Sk prevádzkovateľovi alebo sprostredkovateľovi, ktorý

a) spracúva osobné údaje v rozpore s § 5 až 7 a § 10,

b) spracúva osobitné kategórie osobných údajov v rozpore s § 8 alebo 9,

c) vykonáva spracúvanie s nesprávnymi alebo neaktuálnymi osobnými údajmi (§ 12),

d) nelikviduje nesprávne alebo neaktuálne osobné údaje; likviduje alebo spracúva osobné údaje v rozpore s § 13,

e) nesplní oznamovaciu povinnosť o oprave alebo likvidácii osobných údajov (§ 14),

f) nevykoná potrebné opatrenia na ochranu osobných údajov pred odcudzením, stratou, poškodením, neoprávneným prístupom, zmenou alebo šírením; neprijme opatrenia vo forme bezpečnostného projektu alebo predloží bezpečnostný projekt, ktorý neobsahuje náležitosti ustanovené týmto zákonom (§ 15 ods. 1 a 2 a § 16),

g) nezabezpečí vykonanie auditu bezpečnosti informačného systému alebo jeho vypracovanie je v rozpore s týmto zákonom, alebo nepredloží hodnotiacu správu (§ 15 ods. 4 a 5),

h) nepoučí právnické osoby a fyzické osoby, ktoré majú prístup k informačnému systému (§ 17),

i) nesplní požiadavky dotknutej osoby alebo povinnosť poskytnúť informácie dotknutej osobe (§ 20 a 21),

j) nevykoná oznámenie o obmedzení práv dotknutej osoby (§ 22),

k) vykoná prenos osobných údajov v rozpore s § 23,

l) neposkytne úradu požadované údaje alebo vysvetlenia (§ 44 ods. 2 a 3), alebo

m) nevyhovie požiadavkám úradu (§ 46 ods. 1 a 2).

(2) Úrad môže uložiť pokutu do 3 000 000 Sk prevádzkovateľovi, ktorý nesplní povinnosť registrácie informačného systému a s tým súvisiace povinnosti vyplývajúce z tohto zákona (§ 25 až 28).

(3) Úrad môže uložiť pokutu do 1 000 000 Sk prevádzkovateľovi, ktorý nesplní povinnosť vedenia evidencie informačného systému alebo odmietne údaje z evidencie sprístupniť (§ 29, 30 a 32).

(4) Úrad môže uložiť pokutu do 500 000 Sk prevádzkovateľovi, ktorý písomne nepoverí zodpovednú osobu výkonom dohľadu nad ochranou osobných údajov (§ 19 ods. 2), nezabezpečí jej odborné vyškolenie alebo jeho vykonanie nevie preukázať (§ 19 ods. 3).

(5) Úrad môže uložiť pokutu do 100 000 Sk tomu, kto

a) poskytne osobné údaje v rozpore s § 7 ods. 5; to neplatí pre prevádzkovateľa a sprostredkovateľa,

b) poskytne nepravdivé osobné údaje (§ 11),

c) poruší povinnosť mlčanlivosti o osobných údajoch (§ 18), alebo

d) ako zodpovedná osoba písomne neupozorní prevádzkovateľa (§ 19 ods. 4).

(6) Pokutu podľa odsekov 1 až 4 a podľa § 50 môže úrad uložiť opakovane, ak povinnosť nebola splnená v určenej lehote.

(7) Pri ukladaní pokút sa prihliadne najmä na závažnosť, čas trvania a následky protiprávneho konania.

(8) Pokutu podľa odsekov 1 až 5 možno uložiť do jedného roka odo dňa, keď úrad porušenie povinnosti zistil, najneskôr však do troch rokov odo dňa, keď k porušeniu povinnosti došlo.

(9) Úrad môže v rozhodnutí o uložení pokuty súčasne povinnému uložiť, aby v určenej lehote vykonal opatrenia na nápravu následkov protiprávneho konania.

(10) Proti rozhodnutiu o uložení pokuty možno podať rozklad do 15 dní odo dňa jeho doručenia. O rozklade rozhodne predseda úradu do 60 dní odo

dňa jeho prijatia.

(11) Výnosy z pokút sú príjmom štátneho rozpočtu.

 

Český zákon má poněkud hrubší strukturu klasifikace porušení zákona, za něž je možno uložit sankce. Výše sankce do výše limitu se pak ponechává na správním uvážení orgánu ÚOOÚ.

 

§ 50

Poriadkové pokuty

 

(1) Úrad môže uložiť prevádzkovateľovi alebo sprostredkovateľovi poriadkovú pokutu

a) do 50 000 Sk, ak nezabezpečí primerané podmienky na výkon kontroly [§ 40 ods. 2 písm. a)],

b) do 500 000 Sk, ak marí výkon kontroly [§ 40 ods. 2 písm. b)]; ak prevádzkovateľ alebo sprostredkovateľ preukáže, že marenie výkonu kontroly zavinila oprávnená osoba, jeho zodpovednosť sa obmedzí a zodpovednou sa stáva aj oprávnená osoba.

(2) Poriadkovú pokutu možno uložiť do jedného roka odo dňa, keď k porušeniu povinnosti došlo.

 

 

ŠTVRTÁ ČASŤ

SPOLOČNÉ, PRECHODNÉ A ZÁVEREČNÉ USTANOVENIA

 

§ 51

Spoločné ustanovenie

 

(1) Na konanie podľa tohto zákona sa vzťahuje všeobecný predpis o správnom konaní [Zákon č. 71/1967 Zb. o správnom konaní (správny poriadok).], ak tento zákon neustanovuje inak.

(2) Všeobecný predpis o správnom konaní sa nevzťahuje na

a) rozhodovanie v pochybnostiach podľa § 6 ods. 5, § 23 ods. 7 a 10 a § 25 ods. 4,

b) posudzovanie údajov o informačných systémoch prihlásených na registráciu (§ 27),

c) poskytovanie informácií dotknutej osobe (§ 20 až 22),

d) rozhodovanie o námietkach zaujatosti a o oznámení predpojatosti (§ 41),

e) prijímanie a vybavovanie sťažností (§ 45),

f) na konanie o opatreniach (§ 46).

 

Prechodné ustanovenia

§ 52

 

(1) Prevádzkovatelia už fungujúcich informačných systémov uvedú ich do súladu s týmto zákonom do šiestich mesiacov odo dňa jeho účinnosti a ak to zákon vyžaduje, prihlásia ich v tejto lehote na registráciu.

(2) Prevádzkovatelia, ktorí spracúvajú osobné údaje na základe osobitného zákona, ktorý neustanovuje náležitosti podľa § 7 ods. 3, 5, 6 alebo podľa § 9 ods. 1 písm. a), môžu osobné údaje spracúvať v rozsahu nevyhnutnom na dosiahnutie ustanoveného účelu spracúvania bez súhlasu dotknutých osôb do 31. decembra 2003.

 

§ 53

 

(1) Záväzky orgánu štátneho dozoru nad ochranou osobných údajov v informačných systémoch vyplývajúce z doterajšieho predpisu prechádzajú dňom nadobudnutia účinnosti tohto zákona na úrad.

(2) Práva a povinnosti z pracovnoprávnych vzťahov splnomocnenca na ochranu osobných údajov v informačných systémoch a zamestnancov Útvaru inšpekcie ochrany osobných údajov Úradu vlády Slovenskej republiky prechádzajú dňom nadobudnutia účinnosti

tohto zákona na úrad v plnom rozsahu.

(3) Majetok štátu v správe Úradu vlády Slovenskej republiky obstaraný na účely plnenia úloh štátneho dozoru nad ochranou osobných údajov v informačných systémoch prechádza dňom nadobudnutia účinnosti tohto zákona do správy úradu.

(4) Úrad vlády Slovenskej republiky zabezpečuje materiálnu a technickú prevádzku úradu do 31. decembra 2002.

(5) Majetok štátu v správe Štatistického úradu Slovenskej republiky, obstaraný na účely registrácie informačných systémov obsahujúcich osobné údaje, prechádza dňom nadobudnutia účinnosti tohto zákona do správy úradu.

(6) Záväzky vyplývajúce pre splnomocnenca na ochranu osobných údajov v informačných systémoch z medzištátnych dohôd v oblasti ochrany osobných údajov prechádzajú dňom nadobudnutia účinnosti tohto zákona na úrad.

 

§ 54

 

(1) Splnomocnenec na ochranu osobných údajov v informačných systémoch vymenovaný do funkcie podľa doterajšieho predpisu stáva sa dňom účinnosti tohto zákona predsedom úradu a ostáva v tejto funkcii do konca funkčného obdobia, na ktoré bol ako splnomocnenec na ochranu osobných údajov v informačných systémoch vymenovaný.

(2) Predseda úradu v lehote dvoch mesiacov odo dňa účinnosti tohto zákona rozhodne o tom, či informačný systém prihlásený na registráciu podľa doterajších predpisov možno považovať za zaregistrovaný podľa tohto zákona. Ak predseda úradu rozhodne, že takýto informačný systém nepodlieha registrácii, oznámi to úrad v tej istej lehote prevádzkovateľovi.

(3) Konania začaté pred dňom nadobudnutia účinnosti tohto zákona sa dokončia podľa doterajších predpisov.

 

§ 55

 

Dňom vstupu Slovenskej republiky do Európskej únie sa na cezhraničný tok osobných údajov medzi Slovenskou republikou a členskými štátmi Európskej únie nevzťahujú ustanovenia § 23 ods. 1 až 7.

 

Záverečné ustanovenia

 

§ 56

Prechod práv

 

Ak sa v právnych predpisoch uvádza označenie splnomocnenec na ochranu osobných údajov, rozumie sa tým predseda úradu podľa tohto zákona.

 

§ 57

Zrušovacie ustanovenie

 

Zrušujú sa:

1. zákon č. 52/1998 Z. z. o ochrane osobných údajov v informačných systémoch v znení zákona č. 241/2001 Z. z.,

2. vyhláška Štatistického úradu Slovenskej republiky č. 155/1998 Z. z., ktorou sa ustanovujú podrobnosti o spôsobe, forme a postupe pri registrácii informačného systému obsahujúceho osobné údaje.

 

§ 58

Účinnosť

 

Tento zákon nadobúda účinnosť 1. septembra 2002 s výnimkou § 35 ods. 2, ktorý nadobúda účinnosť 1. decembra 2003.

 

 

V Brně 1. září 2002

 

 

 

RNDr. Mgr. Vladimír Šmíd, CSc., 1960, matematik, informatik a právník;
matematik-analytik Ústavu výpočetní techniky MU (1984-1995), vedoucí Útvaru systémového řízení a organizace MU (od 1995), odborný asistent Katedry informačních technologií Fakulty informatiky MU (od 1995);
Masarykova univerzita v Brně, rektorát, Žerotínovo nám. 9, 601 77 Brno, Česká republika
smid@rect.muni.cz