Zákon č. 101/2000 Sb.,

o ochraně osobních údajů a o změně některých zákonů,

ve znění zákona č. 227/2000 Sb., zákona č. 177/2001 Sb., 

zákona č. 450/2001 Sb., zákona č. 107/2002 Sb.

a zákona č. 310/2002 Sb.

 

(komentář)

 

Vladimír Šmíd

 

Úvod

 

Informace o občanech jsou více či méně a lépe či hůře sbírány tak dlouho, kam snad lidská paměť sahá. Jejich zvláštnost nespočívá jen v zásadní odlišnosti tohoto “zboží” od zboží ostatních (právě proto, že jsou to informace), ale zejména i v tom, že se jedná o neoddělitelné a nezcizitelné vlastnictví naprosto každého člověka bez ohledu na jeho ekonomickou situaci a společenské postavení. Pokud takové informace (byť jen o jednotlivci) získá někdo jiný, může takový profil osoby vytvořit určitou reputaci či pověst, která je nejen výrazem důstojnosti člověka, ale může mít zcela přirozené pozitivní i negativní následky z hlediska nejrůznějších aktivit, jako např. při získání pracovního místa, poskytnutí úvěru apod. Do doby relativně nedávno minulé bylo však soukromí chráněno především časem a prostorem, zejména “vyprcháním” vzpomínek a vzdáleností mezi potenciálními komunikujícími jednotlivci.

 

Extrémní přístupy k řešení těchto otázek jsou v zásadě dva:

1.      umožnit shromažďovat veškeré informace o jedinci na jednom místě tak, aby jakákoliv stránka jeho osobnosti byla informačně podchycena tak, aby držitel oněch informací mohl mít přehled o tom, co ho zajímá, a to jak ve smyslu působit ve prospěch daného člověka (např. zdravotnické informace), tak ve smyslu bránit se před jeho negativní činností (např. informace o trestné činnosti)

2.      neshromažďovat vůbec žádné informace, protože všechno, co se týká jedince, je jeho výlučnou záležitostí a nikdo nemá právo jakkoliv do jeho soukromí zasahovat.

Podotýkám, že snad ani není třeba za těmito tendencemi hledat konkrétní zemi či politické zřízení, protože historicky se projevovaly snad všude. V každém případě je jasné, že volba jednoho či druhého extrému není udržitelná a že hlavní problém spočívá v nalezení vhodného a přijatelného kompromisu mezi nimi.

 

Skutečně vážné úvahy o tom, že tuto sféru zájmů člověka je třeba chránit, se však datují až do doby, kdy se reálně objevují počítače. Logicky to váže na skutečnost, že není až tak třeba se bránit existenci obrovských “smetišť” obsahujících “hromady” údajů, kde najít požadovanou informaci v požadovaném čase se rovná malému zázraku, jako právě následkům oné možnosti tyto informace rychle třídit, vybírat a analyzovat.

Další dimenze tohoto problému spočívá i v tom, že pokud dříve měl finanční a technické možnosti nakládat s takovými údaji zpravidla pouze stát, s rozvojem počítačové techniky tyto možnosti se stávají dostupné v podstatě komukoliv, kdo vlastní běžný počítač vybavený běžným softwarem. Z toho pak vychází nutnost právně omezovat okruh subjektů oprávněných informace daného typu shromažďovat.

 

            Nové informační a komunikační technologie, které překonávají zmiňované bariéry prostoru a času, umožňují efektivní uchovávání a opětovné vyhledávání údajů. Zároveň však tento vývoj přinášejí dříve neznámá potenciální nebezpečí, resp. nárůst těch nebezpečí již známých. Proto musí společnost stanovit pravidla, která by zabránila tomu, aby nesporné výhody, které přinášejí nové technologie, nebyly provázeny oslabením pozice osob, o kterých údaje vypovídají. Znamená to vymezit nové hranice soukromí, které nahradí čas a prostor a které ochrání člověka před diskriminujícím mechanizujícím a počítačovým použitím údajů, které se k němu vztahují. Takové vymezení bude předpokladem pro to, aby moderní informační a komunikační technologie, které jsou objektivně pro lidstvo přínosem, nepůsobily v jeho neprospěch.

 

1. Obecná východiska

 

            Východisky pro zpracování nové právní úpravy ochrany osobních údajů se staly:

·      Listina základních práv a svobod (zákon č. 2/1993 Sb.);

·      stávající zákon č. 256/1992 Sb., o ochraně osobních údajů v informačních systémech;

·      Směrnice č.95/46/EC Evropského parlamentu a Rady z roku 1995 o ochraně jednotlivců ve vztahu ke zpracování osobních dat a o volném pohybu těchto dat (dále “Směrnice”) a

·      Úmluva č. 108 Rady Evropy na ochranu osob ve vztahu k automatizovanému zpracování dat (dále “Úmluva”) z roku 1981.

Mezi prameny svého druhu pro tento právní text lze zahrnout i Směrnici Evropského Parlamentu a Rady 97/66/EC týkající se zpracování osobních údajů a ochrany soukromí v telekomunikačním sektoru. Ta však zde není explicitně zohledněna a harmonizace s ní je směrována na zvláštní zákon o telekomunikacích.

            Při screeningu s EU je také tato Směrnice projednávána v oblasti telekomunikací.

 

2. Vazby na Listinu základních práv a svobod

 

            Listina základních práv a svobod zaručuje nedotknutelnost osob a jejich soukromí. Tato nedotknutelnost může být omezena jen v případech stanovených zákonem (Čl.7). Listina dává každému právo, aby byla zachována jeho lidská důstojnost, osobní čest, dobrá pověst a chráněno jeho jméno, právo na ochranu před neoprávněným zasahováním do soukromého a rodinného života a právo na ochranu před neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním údajů o své osobě (Čl.10). Zároveň je každému dána možnost domáhat se stanoveným postupem svého práva u nezávislého a nestranného soudu a ve stanovených případech u jiného orgánu. Dále každý, kdo tvrdí, že byl na svých právech zkrácen rozhodnutím orgánu veřejné správy, se může obrátit na soud, aby přezkoumal zákonnost takového rozhodnutí, nestanoví-li zákon jinak (Čl.36).

 

3. Ochrana údajů v Evropské unii

 

            Přestože by národní zákony o ochraně údajů měly být v rámci EU do značné míry podobné, existuje mezi nimi celá řada rozdílů. Míra ochrany, zajištěná občanům v členských státech, není stejná. Tato situace vytváří potenciální překážky volnému toku informací, představuje břemeno pro provozovatele i občany a v některých členských státech zakládá potřebu složité registrace, resp. získání oprávnění ke zpracování údajů u dozorčích orgánů, potřebu přizpůsobit se různým normám a konečně možnost omezení přenosu údajů do jiných členských států. V důsledku rozvoje vnitřního trhu a tzv. informační společnosti se zpracování osobních údajů rozšiřuje bez ohledu na hranice států a údaje týkající se občanů jednoho členského státu jsou stále ve větším míře zpracovávány i v jiných členských státech.

            K tomu, aby bylo možné odstranit překážky bránící volnému pohybu informací a zároveň zajistit ochranu práva na soukromí, slouží Směrnice 95/46/EC Evropského parlamentu a Rady z 24. 10. 1995 o ochraně jednotlivců ve vztahu ke zpracování osobních dat a o volném pohybu těchto dat. Jejím cílem je harmonizovat národní předpisy v této oblasti. Právo na soukromí občanů bude tak odpovídajícím způsobem chráněno na území celé Evropské unie.

            V této Směrnici byly členské státy vyzvány, aby uvedly v soulad národní legislativu s uvedenou směrnicí do 24. října 1998. Ke konci května 1999 mělo pouze 7 států EU zákon o ochraně osobních údajů v souladu se Směrnicí (viz následující tabulka).

 

Stát

Rok

Působnost

Provozování informačních systémů

Orgán datové inspekce

Pravomoc

Soulad se Směrnicí

Belgie

1992

automatizované i manuální zpracovávání osobních údajů v soukromém i veřejném sektoru

předchozí oznámení

Privacy Commission

 

Ano

Dánsko

1978

soukromý i veřejný sektor

registrace některých údajů

Data Surveillance Authority

kontrola, přísný režim toku přes hranice

Ne

Finsko

1987

automatizované i manuální zpracovávání osobních údajů v soukromém i veřejném sektoru

registrace

Data Protection Ombudsman, Data Protection Board

 

Ano

Francie

1978

soukromý i veřejný sektor

předchozí oprávnění (licence)

National Commission on Informatics and Liberties

dohled nad registrací, dohled nad dodržováním

Ne

Irsko

1988

jakékoliv zpracování dat

registrace automatizovaných systémů obsahujících citlivé údaje

Data Protection Commissioner

vydávání závazných vyhlášek, zakazovat přeshraniční pohyb údajů, vyšetřovat stížnosti

Ne

Itálie

1995

jakékoliv zpracování osobních údajů

 

 

 

Ano

Lucembursko

1979

veřejný a soukromý sektor a pouze automatizovaně zpracovávaná data

předchozí zmocnění vládou

National Register of Data Banks (pod dohledem vlády)

 

Ne

Německo

1990 (1977)

soukromé subjekty i veřejné orgány

registrace

Federal Commissioner for Data Protection

 

Ne

Nizozemsko

1988

jakékoliv zpracování dat

oznámení

Registration Chamber

 

Ne

Portugalsko

1998 (1991)

veřejný i soukromý sektor

registrace

National Commission for the Protection of Automated Personal Data

 

Ano

Rakousko

1978

soukromý i veřejný sektor

licence

Data Protection Commission, Data Protection Council,

Data Protection Registrar

 

rozdělená odpovědnost

Ne

Řecko

 

 

 

 

 

Ano

Španělsko

1992

veřejný i soukromý sektor a pouze automatizovaně zpracovávaná data

 

 

 

Ne

Švédsko

1973

soukromý i státní sektor

zakázáno bez předchozího oprávnění

Data Inspection Board

dohled nad dodržováním, výkon kontroly, pravomoc zničit údaje provozované v rozporu se zákonem

Ano

Velká Británie

1984

všechny subjekty zpracovávající automatizovaně data

registrace

Data Protection Registrar

 

Ano

 

 

4. Dosavadní právní úprava v ČR

 

            Dosud platný zákon o ochraně osobních údajů, který stanovil základní právní rámec nakládání s osobními údaji, vzhledem k datu svého vzniku nevyhovoval mnohým ustanovením Směrnice. Tento zákon sice v § 24 předpokládal ustavení orgánu, jehož posláním by byla ochrana práv jednotlivců na soukromí, resp. jejich osobních údajů (tzv. datová inspekce), ovšem deklarovaný zvláštní předpis, kterým měl být takový orgán zřízen, schválen nikdy nebyl. Absence takového orgánu byla hlavním důvodem, proč stávající zákon také neodpovídal Úmluvě a České republika k ní dlouho nemohla přistoupit. To činilo obtíže zejména takovým subjektům, jakými jsou Ministerstvo zahraničí ČR či některé složky Ministerstva vnitra ČR, protože přistoupení k Úmluvě je podmínkou spolupráce v rámci Schengenského informačního systému.

            Uvedený zákon upravil ochranu osobních údajů, zejména povinnosti související s ochranou informací, pouze při provozování informačních systémů nakládajících s osobními údaji. V případě manuálního nakládání s osobními údaji bylo nutné zákon přiměřeně aplikovat. Dále stanovil odpovědnost provozovatelů takových informačních systémů a dalších fyzických a právnických osob účastnících se provádění činností souvisejících s provozováním informačních systémů. Neupravil či upravil pouze částečně řadu dalších oblastí, např. dostatečnou ochranu osobních údajů vypovídajících o osobnosti a soukromí, povinnost toho, kdo shromažďuje osobní údaje, informovat občana o jeho právech a o jiných pro něj významných skutečnostech, oznamovací povinnost nakládání s osobními údaji u kontrolního orgánu subjektem, který hodlá nakládat s osobními údaji, možnost zásahu kontrolního orgánu před zahájením takového nakládání s osobními údaji, které by z hlediska ochrany osobních údajů mohlo představovat určitá rizika, sankce za porušování zákona a předávání údajů do jiných zemí.

 

5. Koncepce nové právní úpravy v ČR

 

            Oblast jeho aplikace, tedy informační systémy, byla z pohledu Úmluvy a zejména Směrnice příliš úzká. Návrh nového zákona byl proto již koncipován tak, že:

·      zahrnoval jak automatizované zpracování, aniž záleží na tom, zda výsledkem zpracování je soubor dat, tak neautomatizované soubory dat, tj. manuální či konvenční soubory dat;

·      sám občan se podílí na ochraně údajů, které o něm vypovídají, a to zejména udělením či neudělením souhlasu se zpracováním, prohlášením určitých údajů za veřejné, vyžádáním informace o údajích, které o něm byly shromážděny, požadavky na opravy či výmazy aj.;

·      důležitý je požadavek na využití údajů v souladu s cílem, pro který byly shromážděny;

·      bezpečnostní aspekt sleduje regulování postupování (přenášení) údajů;

·      brání neoprávněnému slučování údajů uložených v dílčích souborech, což může vést k vytvoření takového profilu občana, který by překročil hranice soukromí;

·      zákonná ustanovení jsou vyvážena tak, aby se nestala komplikací v běžném životě občana, ale reflektovala jeho běžné potřeby (nezbytnost toku údajů přes hranice státu v případě bankovních převodů, rezervace letenek, lékařských zpráv, mezinárodní soudní pomoci aj.);

·      správci, kteří budou osobní údaje zpracovávat, budou registrováni ve zvláštním registru;

·      dohled nad aplikací zákona bude svěřen nově ustavenému kontrolnímu orgánu Úřadu pro ochranu osobních údajů

Návrh byl obsahově připraven tak, aby se přijetím tohoto zákona legislativa ČR stala v oblasti ochrany osobních údajů kompatibilní s legislativou Evropské unie a mimo jiné tak byly odstraněny skutečné i potenciální překážky přenosu údajů do členských států EU.

 

6. Obsah nové právní úpravy v ČR

 

            Nový zákon o ochraně osobních údajů Vláda ČR předložila Poslanecké sněmovně Parlamentu ČR 28. 9. 1999. Jeho význam byl mimo jiné zdůrazněn i tím, že byl zahrnut mezi právní normy, které explicitně směřují k harmonizaci práva ČR s právem Evropské unie.

Návrh zákona byl přikázán k projednání Petičnímu výboru a projednán s řadou připomínek ve třech čteních (3.-4. 11. 1999, 19. 1. 2000 a 27. 1. 2000) a 27. 1. 2000 byl návrh zákona schválen.

 

7. Dokončení legislativního procesu

 

            Schválený zákon v souladu s legislativním procesem dle Ústavy ČR putoval do Senátu Parlamentu ČR. Zde bylo dáno celkem 24 pozměňovacích návrhů, a to různé váhy. Nepochybně stojí zato zde zmínit ty nejpodstatnější, protože, jak vyplynulo z následujícího vývoje a reakcí předkladatelů, mají být stanou předmětem návrhů budoucí novelizace:

·      v § 1 byl nově formulován předmět zákona s tím, že výslovně uvádí ochranu osobních údajů v procesech zpracování jako součást práva na soukromí;

·      v § 3, odst. 7 se navrhovalo odsunutí policejní evidence, evidence Ministerstva financí ve věcech praní peněz, NVÚ ve věcech bezpečnostních prověrek a Ministerstva vnitra ve věcech lustračního osvědčení z režimu osvobození do speciálního režimu, ve kterém se má zpracování osobních údajů řídit zvláštní úpravou mající přednost před úpravou zákonem o ochraně osobních údajů;

·      dále bylo navrženo, aby z této úpravy bylo vyňato předávání údajů do jiných států podle § 27 s tím, aby vláda ČR předložila pozitivní speciální úpravu pravidel pro zpracování osobních údajů v této oblasti;

·      podle pozměňovacího návrhu k § 18 se měla osvobodit dobrovolná seskupení osob, strany, církve, sdružení od ohlašovací povinnosti v případech, kdy zpracovávají osobní údaje členstva a toto zpracování má pouze vnitřní užití;

·      definice citlivých údajů podle § 4 byla rozšířena o termín genetické vybavení

·      a nakonec úprava textu v § 41, kde se doplňuje snad jen metodické ujištění, že nezávislost úřadu neznamená vymknutí jeho rozhodnutí ze soudního přezkumu.

V této upravené podobě byl pak návrh zákona 1. 3. 2000 vrácen předkladateli.

 

            Pak následovala zpáteční cesta do Poslanecké sněmovny Parlamentu ČR. Ta měla v podstatě dvě možnosti:

·      přijmout text ve znění schváleném Senátem

·      uvedené připomínky ignorovat a schválit zákon znovu kvalifikovanou většinou, tj. nadpoloviční většinou zvolených poslanců.

Při jednání o připomínkách se jak vláda, tak petiční výbor PSP ČR vyslovily pro přijetí první varianty. Převážil však protiargument k výše zmíněné úpravě § 3 za situace, že normy upravující onen speciální režim v dané chvíli neexistují (zčásti jsou ve stádiu věcného návrhu) a uvedené orgány by se dostaly do absurdní situace, kdy by buď musely žádat vyšetřované o jejich souhlas se zpracováním osobních údajů nebo se vystavovaly nebezpečí pokuty až v částce 10 mil. Kč.

Za této situace hlasováním v plénu 4. 4. 2000 PSP ČR setrvala na původním návrhu zákona.

 

            17. 4. 2000 pak již následoval podpis prezidenta ČR a 25. 4. 2000 byl zákon vyhlášen ve Sbírce zákonů ČR v částce 32 pod krásným a dobře zapamatovatelným číslem 101/2000 Sb.

 

            Ke dni 10. 5. 2000 se tedy tento zákon stal platným a je tedy součástí právního řádu ČR. Na základě ustanovení v něm obsažených nabyl účinnosti ve dvou vlnách:

1.      obecně nabyl účinnosti 1. 6. 2000

2.      § 16, 17 a 35 jsou účinnými až od 1. 6. 2001 (jedná se zde u ustanovení v souvislosti s oznamovací povinností a registrací zpracování osobních údajů, kde je nutné ponechat určitý čas pro konstituování a zahájení práce Úřadu pro ochranu osobních údajů). To platilo rovněž o ustanoveních § 47 odst. 2, podle nichž bylo nutno uvést zpracování osobních údajů prováděná před účinností tohoto zákona do souladu s tímto zákonem.

 

            Skutečnost, že nový zákon nabyl účinnosti, umožnila rovněž, aby dne 8. září 2000 byla jménem České republiky  ve Štrasburku podepsána Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních dat (Úmluva Rady Evropy č. 108 z 28. ledna 1981). Úmluvu schválila 28. února 2001 Poslanecká sněmovna Parlamentu České republiky, 28. března 2001 Senát Parlamentu České republiky a následně prezident republiky Úmluvu ratifikoval. Ratifikační listina České republiky pak byla uložena u generálního tajemníka Rady Evropy, depozitáře Úmluvy, dne 9. července 2001. Úmluva na základě svého článku 22 odst. 3 vstoupila pro Českou republiku v platnost dne 1. listopadu 2001. Sdělení o jejím přijetí bylo vyhlášeno ve Sbírce mezinárodních smluv ČR pod č. 115/2001 Sb.m.s. dne 15. listopadu 2001.

 

8. První novela zákona

 

            Zákon byl novelizován v podstatě okamžitě po čtvrt roce své platnosti. Tato novela je však svým způsobem technickou, protože pouze rozšířila působnost Úřadu pro ochranu osobních údajů, původně stanovenou v § 29 zákona č. 101/2000 Sb., o další práva a povinnosti doplněné zákonem č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu). Poslanecká sněmovna Parlamentu ČR ji schválila 24. 5. 2000, Senát Parlamentu ČR ji schválil 30. 6. 2000, 12. 7. 2000 podepsal prezident, 26. 7. 2000 byla vyhlášena ve Sbírce zákonů ČR a účinnosti nabyla dnem 1. října 2000.

 

9. Druhá  novela zákona

 

            Další novela zákona byla věcně i procesně mnohem komplikovanější než předchozí. S ní související proces byl zahájen návrhem skupiny poslanců z 12. 12. 2000, který v podstatě obsahoval  jediný článek a jehož smyslem bylo částečně z působnosti zákona vyjmout zpracování osobních údajů prováděná politickými stranami, politickými hnutími, církvemi, náboženskými společnostmi a občanskými sdruženími za podmínky, že zpracování údajů se vztahuje pouze na jejich členy a osobní údaje slouží pro jejich vnitřní potřebu a činnost vyplývající z účelu, pro který byly založeny. Současně byl podán návrh na projednání zákona tak, aby s ním sněmovna mohla vyslovit souhlas již v prvním čtení.

 

            Ovšem skutečný průběh byl mnohem složitější. Nejprve s tímto návrhem jako takovým vyslovila nesouhlas vláda. Následně poslanecká sněmovna v rámci prvního čtení 22. 2. 2001 odmítla zákon projednat ve zkrácené lhůtě a přikázala jej k projednání Petičnímu výboru a Ústavně právnímu výboru. Zatímco Petiční výbor se omezil na stručné doporučující usnesení, Ústavně právní výbor vlastně sám vytvořil poměrně netriviální novelu zákona, kterou předložil k dalšímu projednání. Připomínky pokračovaly i ve druhém čtení 10. 4. 2001 a po jejich projednání byl zákon ve třetím čtení Poslaneckou sněmovnou Parlamentu ČR schválen 12. 4. 2001.

 

            Vlastních změn v zákoně bylo celkem 28:

 

1.      V § 2 byl dosavadní text označen jako odstavec 1 a doplněn odstavec 2, který včetně poznámky pod čarou č. 1) zní:
„(2) Úřadu jsou svěřeny kompetence ústředního správního úřadu pro oblast ochrany osobních údajů v rozsahu stanoveném tímto zákonem a pro oblast elektronického podpisu v rozsahu stanoveném zvláštním právním předpisem.1)
_____________________________
1) Zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu).“.

 

2.      V § 3 se na konci odstavce 4 doplnila věta, která včetně poznámky pod čarou č. 1a) zní: „Dále se zákon nevztahuje na nahodilé shromažďování osobních údajů v rozsahu nezbytném pro výkon nezávislého povolání, které není živností ani jiným podnikáním podle zvláštních zákonů,1a) které stanoví povinnost mlčenlivosti.
_____________________________
1a) Například zákon č. 85/1996 Sb., o advokacii, ve znění pozdějších předpisů, zákon č. 358/1992 Sb., o notářích a jejich činnosti, ve znění pozdějších předpisů, zákon č. 237/1991 Sb., o patentových zástupcích, ve znění zákona č. 14/1993 Sb., zákon č. 523/1992 Sb., o daňovém poradenství a Komoře daňových poradců České republiky, zákon č. 254/2000 Sb., o auditorech, zákon č. 36/1967 Sb., o znalcích a tlumočnících.“.

 

3.      V § 4 písm. b) se slova „členství v politických stranách či hnutích nebo odborových či zaměstnaneckých organizacích" nahradila slovy "členství v odborových organizacích“.

4.      V § 5 odst. 2 se tečka na konci písmene e) nahradila textem „, nebo“ a doplnilo se písmeno f), které zní:

„f) pokud je to nezbytné pro výkon oprávněné činnosti politických stran, politických hnutí, občanských sdružení, odborových organizací, církví nebo náboženských společností.“.

 

5.      V § 5 odst. 5 věta druhá zní: „Ze souhlasu musí být patrné, v jakém rozsahu je poskytován, komu a k jakému účelu, na jaké období a kdo jej poskytuje.“.

6.      V § 5 odst. 5 se ve větě třetí tečka nahradila čárkou a doplnila se slova „pokud se subjekt údajů se správcem výslovně nedohodne jinak.“.

 

7.      V § 5 odst. 5 se v poslední větě slovo „uschovat“ nahradilo slovem „prokázat“.

 

8.      V § 5 se doplnily odstavce 7 až 10, které znějí:
„(7) Správce, který zpracovává osobní údaje podle odstavce 6, může tyto údaje předat jinému správci pouze za splnění těchto podmínek:
a) údaje subjektu údajů byly získány v souvislosti s činností správce nebo se jedná o zveřejněné osobní údaje,

b) údaje budou využívány pouze za účelem nabízení obchodu a služeb,

c) subjekt údajů byl o tomto postupu správce předem informován a nevyslovil s tímto postupem nesouhlas.

(8) Jiný správce, kterému byly předány údaje podle odstavce 7, nesmí tyto údaje předávat jiné osobě.
(9) Nesouhlas se zpracováním podle odstavce 7 písm. c) musí subjekt údajů učinit písemně. Správce je povinen informovat každého správce, kterému předal jméno, příjmení a adresu subjektu údajů, o tom, že subjekt údajů vyslovil nesouhlas se zpracováním.
(10) Za účelem vyloučení možnosti, že jméno, příjmení a adresa subjektu údajů budou opakovaně použity k nabídce obchodu a služeb, je správce oprávněn dále zpracovávat pro svoji vlastní potřebu jméno, příjmení a adresu subjektu údajů přesto, že subjekt údajů vyslovil nesouhlas podle odstavce 6.“.

 

9.      V § 9 se v návětí za slova „je možné zpracovávat,“ vložilo slovo „jen“.

 

10.  V § 9 písm. c) se na konci doplnilo slovo „nebo“.

 

11.  V § 11 odstavec 1 zní:
„(1) Správce je před zahájením zpracování osobních údajů povinen subjekt údajů řádně a včas písemně informovat o tom, v jakém rozsahu a pro jaký účel budou osobní údaje zpracovávány, kdo a jakým způsobem bude osobní údaje zpracovávat a komu mohou být osobní údaje zpřístupněny či komu jsou určeny, nejsou-li subjektu údajů tyto informace již známy.“.

 

12.  V § 11 odstavec 4 zní:
„(4) Jestliže správce nezískal osobní údaje od subjektu údajů, je povinen bezodkladně poskytnout subjektu údajů na základě písemné žádosti informace o tom, kdo správci osobní údaje poskytl (zdroj osobních údajů).“.

 

13.  V § 11 odst. 5 se v návětí slova „Údaje podle odstavce 1“ nahradila slovy „Informace podle odstavců 1 až 4“.

 

14.  V § 11 odst. 5 písm. b) se za slovo „zákon“ doplnila slova „nebo je takových údajů třeba k uplatnění práv a povinností vyplývajících ze zvláštních zákonů“.

 

15.  V § 11 odst. 5 se tečka na konci písmene c) nahradila čárkou a doplnila se písmena d) a e), která znějí:
“d) zpracovává výlučně zveřejněné osobní údaje, nebo

e) zpracovává osobní údaje se souhlasem subjektu údajů podle § 5 odst. 5 a § 9 písm. a).“.

 

16.  V § 12 odstavec 1 zní:

„(1) Správce nemusí splnit informační povinnost podle § 11 odst. 1 v případě, že tyto informace jsou součástí poučení podle právního předpisu.“.

 

17.  V § 12 odst. 2 se slova „tento zákon nebo zvláštní“ včetně poznámky pod čarou č. 17) zrušila.

 

18.  V § 18 písm. b) se za slovo „zákonem“ doplnila slova „nebo kterých je třeba k uplatnění práv vyplývajících ze zvláštních zákonů“.

 

19.  V § 18 se na konci písmene b) tečka nahradila textem „, nebo“ a doplňuje se písmeno c), které zní:
„c) prováděné politickými stranami, politickými hnutími, odborovými organizacemi, církvemi, náboženskými společnostmi, občanskými sdruženími, popřípadě jinými právnickými osobami nevýdělečné povahy, které sledují politické, filozofické, náboženské nebo odborové cíle, pokud zpracovávají osobní údaje o svých členech a tyto údaje slouží pro jejich vnitřní potřebu.“.

 

20.  V § 27 odst. 2 se tečka na konci písmene f) nahradila čárkou a doplnilo se písmeno g), které včetně poznámky pod čarou č. 24a) zní:
„g) tak stanoví zvláštní zákon.24a)

____________________________
24a) Zákon č. 227/2000 Sb.“.

 

21.  V § 27 odst. 6 se na konci doplnila slova „nebo předávání vyplývá z mezinárodní smlouvy, kterou je Česká republika vázána“.

 

22.  V § 29 odst. 1 se za písmeno d) vložilo nové písmeno e), které zní:
„e) vydává prováděcí právní předpisy podle zvláštního zákona,24a)".

Dosavadní písmena e) až i) se označila jako písmena f) až j).

23.  V § 30 odstavec 1 zní:

„(1) Zaměstnanci Úřadu jsou předseda, inspektoři a další zaměstnanci.“.

24.  V § 30 odst. 3 se slova „předsedu Úřadu, inspektory a zaměstnance“ nahradila slovy „zaměstnance Úřadu“.

25.  V § 46 odst. 1 se slova „uloženou mu podle tohoto zákona“ nahradila slovy „stanovenou tímto zákonem při zpracování osobních údajů“.

26.  V § 46 odst. 2 se slova „uložené mu tímto zákonem“ nahradila slovy „stanovené tímto zákonem při zpracování osobních údajů“.

27.  V § 47 odst. 2 se slova „do 1 roku od účinnosti tohoto zákona“ nahradila slovy „do 31. prosince 2001“.

28.  V § 47 se doplnil odstavec 3, který zní:
„(3) V případě, že kontrolující zjistí porušení povinnosti podle odstavce 2, ustanovení § 46 odst. 1 a 2 se v takovém případě do 31. prosince 2002 nepoužijí.“.

Další změna se pak týkala zákona  č. 65/1965 Sb., zákoník práce, ve znění pozdějších předpisů, kde se v § 73 odst. 2, upravujícího speciální povinnosti zaměstnanců orgánů státní správy a dalších vyjmenovaných subjektů, se za slova „Nejvyššího kontrolního úřadu,“ vložila slova „Úřadu pro ochranu osobních údajů,“.

Poté již celkem hladce novelu 17. 5. 2001 schválil Senát Parlamentu ČR, 25. 5. 2001 podepsal prezident, 31. 5. 2001 byla vyhlášena ve Sbírce zákonů ČR pod číslem 177/2001 Sb. a účinnosti nabyla týmž dnem.

10. Třetí novela zákona

 

            Oč byla třetí novela zákona obsahově jednodušší, o to složitější byla procesní cesta k ní. V tomto smyslu vznikla do jisté míry kuriózně, když Rozpočtový výbor Poslanecké sněmovny Parlamentu ČR, kterému byl přikázán v té době již téměř půl roku starý poslanecký návrh novel zákonů o rozpočtech obcí, krajů a hlavním městě Praze, na své schůzi 12. září 2001 mezi prvním a druhým čtení uvedeného návrhu právě do tohoto návrhu doplnil 3 body vztahující se k zákonu o ochraně osobních údajů. Při dalším projednávání ve sněmovně pak byly ještě rozšířeny o jeden bod a 21. 9. 2001 byl celý zákon schválen.

 

Jednalo se o následující změny:

 

1.      Za § 17 se vkládá nový § 17a, který zní:

"§ 17a

(1) Zjistí-li Úřad, že správce zpracovává osobní údaje na základě zaregistrovaného oznámení podle § 16 a v rozporu s podmínkami stanovenými tímto zákonem, rozhodne o zrušení registrace.
(2) Zjistí-li Úřad, že správce, jehož oznámení bylo zaregistrováno postupem podle § 16 odst. 3 nebo § 17 odst. 4, porušuje podmínky stanovené tímto zákonem, registraci zruší.
(3) Pomine-li účel, pro který bylo zpracování zaregistrováno, Úřad z vlastního podnětu nebo na žádost správce registraci zruší.".

 

2.      V § 30 se za odstavec 3 vkládají nové odstavce 4 a 5, které včetně poznámky pod čarou č. 26a) znějí:

 

"(4) Předseda Úřadu má nárok na plat, další plat, náhradu výdajů a naturální plnění jako prezident Nejvyššího kontrolního úřadu podle zvláštního zákona.26a)
(5) Inspektoři Úřadu mají nárok na plat, další plat, náhradu výdajů a naturální plnění jako členové Nejvyššího kontrolního úřadu podle zvláštního zákona.26a)
_____________________________
26a) Zákon č. 236/1995 Sb., o platu a dalších náležitostech spojených s výkonem funkce představitelů státní moci a některých státních orgánů a soudců, ve znění pozdějších předpisů.".

Dosavadní odstavce 4 a 5 se označují jako odstavce 6 a 7.

 

3.      V § 30 odst. 6 se za slova „zaměstnanců Úřadu“ vkládají slova „, s výjimkou předsedy a inspektorů,“.

 

4.      V § 30 odst. 7 se za slova „zaměstnancům Úřadu“ vkládají slova „, s výjimkou předsedy a inspektorů,“.

 

Nevýhodou těchto nijak problematických ustanovení se ovšem brzy ukázal kontext, v jakém se v legislativním procesu ocitly. Senát Parlamentu ČR totiž hned v dalším kroku  normu jako celek odmítl a dne 30. 10. 2001 ji vrátil poslanecké sněmovně. Ta pak 27. listopadu 2001 senátní „veto“ přehlasovala, 7. 12. 2001 zákon podepsal prezident, 31. 12. 2001 byl vyhlášen ve Sbírce zákonů ČR pod číslem 450/2001 Sb. a účinnosti nabyl téhož dne.

 

11. Čtvrtá novela zákona

 

            Situace související s touto novelou byla v jistém smyslu obdobou novely předchozí. Tentokrát Ústavně právní výbor Poslanecké sněmovny Parlamentu ČR při projednávání senátního návrhu zákona o zpřístupnění svazků vzniklých z činnosti bývalé Státní bezpečnosti  na své schůzi 17. ledna 2002 mezi prvním a druhým čtení uvedeného návrhu doplnil jeden v podstatě technický bod vztahující se k zákonu o ochraně osobních údajů. Zákon byl posléze 8. 2. 2002 Poslaneckou sněmovnou Parlamentu ČR schválen.

 

            Uvedené ustanovení spočívalo v tom, že v § 3 odst. 6 písm. e) se tečka na konci nahrazuje čárkou a doplňuje se písmeno f), které včetně poznámky pod čarou č. 10a) zní:
„f) orgány příslušnými ke zpřístupňování svazků vzniklých činností bývalé Státní bezpečnosti podle zvláštního zákona,10a) pokud tento zvláštní zákon nestanoví jinak.

_____________________________
10a) Zákon č. 140/1996 Sb., o zpřístupnění svazků vzniklých činností bývalé Státní bezpečnosti, ve znění zákona č. 107/2002 Sb.“.

Senát Parlamentu ČR tento zákon schválil 12. 3. 2002, 15. 3. 2002 jej podepsal prezident, 20. 3. 2002 byl vyhlášen ve Sbírce zákonů ČR pod číslem 107/2002 Sb. a účinnosti nabyl téhož dne.

 

12. Pátá novela zákona

 

            Tato novela byla v podstatě drobnou součástí velké novely zákona č. 148/1998 Sb., o ochraně utajovaných skutečností. Byla provedena zákonem, kterým se mění zákon č. 148/1998 Sb., o ochraně utajovaných skutečností a o změně některých zákonů, ve znění pozdějších předpisů, zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů, zákon č. 18/1997 Sb., o mírovém využití jaderné energie a ionizujícího záření (atomový zákon) a o změně a doplnění některých zákonů, ve znění pozdějších předpisů, zákon č. 38/1994 Sb., o zahraničním obchodu s vojenským materiálem a o doplnění zákona č. 455/1991 Sb., o živnostenském podnikání (živnostenský zákon), ve znění pozdějších předpisů, a zákona č. 140/1961 Sb., trestní zákon, ve znění pozdějších předpisů, zákon č. 283/1993 Sb., o státním zastupitelství, ve znění pozdějších předpisů, a zákon č. 42/1992 Sb., o úpravě majetkových vztahů a vypořádání majetkových nároků v družstvech, ve znění pozdějších předpisů. Tento zákon byl schválen Poslaneckou sněmovnou Parlamentu ČR dne 27. 3. 2002.

 

            Uvedené ustanovení měnící zákona č. 101/2000 Sb. spočívalo pouze v tom, že v § 3 odst. 6 písm. d) se za slova „bezpečnostních prověrek“ vkládají slova „a ověřování bezpečnostní způsobilosti fyzických osob“.

 

Senát Parlamentu ČR tento zákon Poslanecké sněmovně 6. 5. 2002 vrátil. Ta však v hlasování dne 13. 6. 2002 setrvala na původním stanovisku a 28. 6. 2002 jej podepsal prezident. 12. 7. 2002 byl zákon vyhlášen ve Sbírce zákonů ČR pod číslem 310/2002 Sb. a účinnosti nabyl téhož dne.

 

            Současná podoba zákona je následující:


 

 

 

ČÁST PRVNÍ

OCHRANA OSOBNÍCH ÚDAJů

 

Hlava I

Úvodní ustanovení

 

§ 1

Předmět úpravy

 

Zákon upravuje ochranu osobních údajů o fyzických osobách, práva a povinnosti při zpracování těchto údajů a stanoví podmínky, za nichž se uskutečňuje jejich předávání do jiných států.

 

Uvedený zákona plní v právním řádu ČR roli obecné právní normy v oblasti zajištění ochrany osobních údajů, způsobu jejich zpracovávání jak v České republice, tak pro přenos do zahraničí a regulace vztahů, které v souvislosti s nimi vznikají. Přestože v určitých případech zákon upravuje nezbytný zvláštní režim (např. Policie ČR, zpravodajské služby, Armáda ČR, Ministerstvo financí apod.), který stanoví zvláštní zákony, nelze ani tyto subjekty absolutně z působnosti tohoto zákona vyčlenit, protože by tato skutečnost odporovala Úmluvě a následně by zabránila např. mezinárodní spolupráci v rámci Schengenských dohod.

 

§ 2

 

(1) Zřizuje se Úřad pro ochranu osobních údajů se sídlem v Praze (dále jen “Úřad”).

 

(2) Úřadu jsou svěřeny kompetence ústředního správního úřadu pro oblast ochrany osobních údajů v rozsahu stanoveném tímto zákonem a pro oblast elektronického podpisu v rozsahu stanoveném zvláštním právním předpisem. [Zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu).]

 

§ 3

Působnost zákona

 

(1)   Zákon se vztahuje na osobní údaje, které zpracovávají státní orgány, orgány územní samosprávy, jiné orgány veřejné moci, jakož i fyzické a právnické osoby, pokud tento zákon nebo zvláštní zákon nestanoví jinak.

 

Z věcného hlediska se zákon vztahuje na veškeré osobní údaje, tedy nikoli jen na ty, které jsou vedeny automatizovaně v informačních systémech (viz předchozí právní norma). Z hlediska osobní působnosti se zákon obecně vztahuje na veškeré subjekty práv (fyzické i právnické osoby) s dále uvedenými výjimkami.

 

(2)   Zákon se vztahuje na veškeré zpracovávání osobních údajů, ať k němu dochází automatizovaně nebo jinými prostředky.

 

Zákon se vztahuje na veškeré zpracovávání osobních údajů bez ohledu na to, zda se tak děje prostředky výpočetní techniky nebo jinými automatickými prostředky či manuálně.

 

(3)   Zákon se nevztahuje na zpracování osobních údajů, které provádí fyzická osoba výlučně pro osobní potřebu.

 

Zde má zákonodárce na mysli různé adresáře, soubory údajů, které tato osoba shromáždí v rámci své záliby apod. Limitem termínu “osobní potřeba” je skutečnost, že údaje takto shromážděné však nesmějí být předmětem obchodních aktivit a nesmějí být zveřejňovány.

 

(4)   Zákon se nevztahuje na nahodilé shromažďování osobních údajů, pokud tyto údaje nejsou dále zpracovávány. Dále se zákon nevztahuje na nahodilé shromažďování osobních údajů v rozsahu nezbytném pro výkon nezávislého povolání, které není živností ani jiným podnikáním podle zvláštních zákonů, které stanoví povinnost mlčenlivosti. [Například zákon č. 85/1996 Sb., o advokacii, ve znění pozdějších předpisů, zákon č. 358/1992 Sb., o notářích a jejich činnosti, ve znění pozdějších předpisů, zákon č. 237/1991 Sb., o patentových zástupcích, ve znění zákona č. 14/1993 Sb., zákon č. 523/1992 Sb., o daňovém poradenství a Komoře daňových poradců České republiky, zákon č. 254/2000 Sb., o auditorech, zákon č. 36/1967 Sb., o znalcích a tlumočnících.]

 

Zákon se rovněž nevztahuje na ty osobní údaje, které jsou shromažďovány nahodile, zpravidla individuálně a jednoúčelově a zejména pak nejsou nijak dále zpracovávány. Příkladem zde může být např. o záznam adresy zákazníka při poskytování konkrétní služby a rovněž pak speciální povolání, s nimiž je spojena povinnost mlčenlivosti. Protipříkladem však v tomto smyslu jsou systematicky vedené adresáře zákazníků, kterým je pak např. následně zasílána nabídka jiných služeb a pod.

 

(5)   Zpracování osobních údajů pro účely statistické a archivnictví stanoví zvláštní zákony [Zákon č.97/1974 Sb., o archivnictví, ve znění zákona č.343/1992 Sb., zákon č.89/1995 Sb., o státní statistické službě a zákon č.158/1999 Sb., o sčítání lidu, domů a bytů v roce 2001].

 

Zákon se zde odkazuje na další speciální právní normy které stanoví zvláštnosti určitých otázek souvisejících se zpracováváním osobních údajů pro uvedené účely (např. jejich další uchovávání - archivaci po naplnění účelu pro něž byly shromážděny).

 

(6)   Ustanovení § 5, 9, 11, 16 a 27 tohoto zákona se nepoužijí pro zpracování osobních údajů

a)       zpravodajskými službami [Zákon č.153/1994 Sb., o zpravodajských službách, ve znění zákona č.118/1995 Sb.].

b)       Policií České republiky, včetně její Národní ústředny Interpolu, při odhalování trestné činnosti [Zákon č.283/1991 Sb., o Policii České republiky ve znění zákona č.26/1993 Sb., zákona č.26/1993 Sb., zákona č.67/1993 Sb., zákona č.163/1993 Sb., zákona č.326/1993 Sb., zákona č.82/1995 Sb., zákona č.152/1995 Sb., zákona č.18/1997 Sb., zákona č.186/1997 Sb., zákona č.168/1999 Sb. a zákona č.138/1999 Sb.].

c)       Ministerstvem financí v rámci finančně-analytické činnosti podle zvláštního právního předpisu [Zákon č.61/1996 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti, ve znění zákona č.15/1998 Sb.].

d)       Národním bezpečnostním úřadem při provádění bezpečnostních prověrek a ověřování bezpečnostní způsobilosti fyzických osob podle zvláštního právního předpisu [Zákon č.148/1998 Sb., o ochraně utajovaných skutečností a o změně některých zákonů].

e)       Ministerstvem vnitra při vydávání osvědčení podle zvláštního právního předpisu [Zákon č. 451/1991 Sb., kterým se stanoví některé další předpoklady pro výkon některých funkcí ve státních orgánech a organizacích České a Slovenské Federativní Republiky, České republiky a Slovenské republiky, ve znění pozdějších předpisů, Zákon č. 279/1992 Sb., o některých dalších předpokladech pro výkon některých funkcí obsazovaných ustanovením nebo jmenováním příslušníků Policie České republiky a příslušníků Sboru nápravné výchovy České republiky, ve znění pozdějších předpisů.], při vydávání krycích dokladů [§ 34a zákona č. 283/1991 Sb.] a při činnosti útvaru inspekce ministra vnitra [§ 2 odst. 4 zákona č. 283/1991 Sb.].

f)         orgány příslušnými ke zpřístupňování svazků vzniklých činností bývalé Státní bezpečnosti podle zvláštního zákona, pokud tento zvláštní zákon nestanoví jinak. [Zákon č. 140/1996 Sb., o zpřístupnění svazků vzniklých činností bývalé Státní bezpečnosti, ve znění zákona č. 107/2002 Sb.]

 

Zákon se explicitně stanoví výjimky kterých subjektů se která konkrétní ustanovení zákona netýkají. V komentáři zde současně zákonodárce vysvětluje, že pod pojmem odhalování trestné činnosti rozumí také “vyšetřování či prevenci trestných činů”.

 

§ 4

Vymezení pojmů

 

Pro účely tohoto zákona se rozumí:

a)      osobním údajem jakýkoliv údaj týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze na základě jednoho či více osobních údajů přímo či nepřímo zjistit jeho identitu. O osobní údaj se nejedná, pokud je třeba ke zjištění identity subjektu údajů nepřiměřené množství času, úsilí či materiálních prostředků,

 

“Nepřiměřené množství času nebo prostředků” je obvyklý neurčitý pojem, který je používán v evropských předpisech (např. doporučení Rady Evropy). Konkretizace těchto pojmů závisí na okolnostech práce s osobními údaji a posuzuje je buď Úřad nebo případně soud.

 

b)      citlivým údajem osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství odborových organizacích, náboženství a filozofickém přesvědčení, trestné činnosti, zdravotním stavu a sexuálním životě subjektu údajů,

 

c)      anonymním údajem takový údaj, který buď v původním tvaru nebo po provedeném zpracování nelze přímo vztáhnout k určenému nebo určitelnému subjektu údajů,

d)      subjektem údajů fyzická osoba, k níž se osobní údaje vztahují,

 

Výrazem subjekt údajů se ve smyslu čl. 2 nahrazuje dosavadní pojem dotčená osoba používaný v zákoně č.256/1992 Sb., o ochraně osobních údajů v informačních systémech. Označuje se tak osoba, která je určena nebo určitelná. Výraz “subjekt údajů” je novým pojmem, který je však výstižnější než výraz dotčená osoba. Jednak již ve svém názvu obsahuje vztah k údajům, jednak pro další práci, zejména v souvislosti s mezinárodními aktivitami, je tento název mezinárodně srozumitelný a snadno srovnatelný s termínem používaným v evropském právu. Rovněž umožňuje pod něj zahrnout údaje genetické, údaje o nenarozeném dítěti a pod., kde by bylo nevhodné použít termín “fyzická osoba”. Takové údaje požívají rovněž náležitou ochranu v evropské legislativě. Nový výraz “subjekt údajů” také jasně vymezuje rozdíl od jiných fyzických osob (např. těch, které osobní údaje zpracovávají).

 

e)      zpracováním osobních údajů jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Zpracováním osobních údajů se rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace,

 

Pojem je obecný a zahrnuje každý zásah do informace ať jednotlivé nebo jakožto součásti informačního systému. Zpracování se může uskutečňovat nejen technickými prostředky (zejména výpočetní techniky), ale také manuálně. Definice navíc ponechává prostor zahrnout pod tento pojem i další způsoby či techniky, které nejsou v současné době známy. Tato linie je nutná pro udržení kompatibility s evropskou legislativou. Pod pojem zpracování je nutno zahrnout jakoukoliv manipulaci s údaji (tedy také “správu údajů”, “nakládání s údaji” apod.).

 

f)        shromažďováním osobních údajů systematický postup nebo soubor postupů, jehož cílem je získání osobních údajů za účelem jejich dalšího uložení na nosič informací pro jejich okamžité nebo pozdější zpracování,

 

Tato činnost se musí dít systematicky, tedy se záměrem dosáhnout určitého uspořádaného souboru, nebo pomocí technických prostředků uspořádání docílit. Není rozhodné, zda se tak děje ojediněle nebo soustavně, významné nejsou ani prostředky, kterými se tak děje. Ze sémantického významu slova shromažďování plyne, že se týká více než jednoho údaje, o shromažďování ovšem jde již v okamžiku, kdy je získán první z řady více údajů. Údaje musí být uloženy na nějaký nosič /disketu, disk, papír/ k tomu, aby byly buď ihned nebo kdykoli v budoucnu zpracovány.

 

g)      uchováváním osobních údajů udržování údajů v takové podobě, která je umožňuje dále zpracovávat,

h)      blokováním osobních údajů vytvoření takového stavu, při kterém je osobní údaj určitou dobu nepřístupný a nelze jej jinak zpracovávat,

i)        likvidací osobních údajů se rozumí fyzické zničení jejich nosiče, jejich fyzické vymazání nebo jejich trvalé vyloučení z dalších zpracování,

 

Za likvidaci není možné považovat takový způsob, po jehož aplikaci by přesto bylo možno, např. jinými technickými prostředky, tyto údaje jakkoli obnovit, aby měly charakter osobních údajů.

 

j)        správcem každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. Zpracováním osobních údajů může správce zmocnit nebo pověřit zpracovatele, pokud zvláštní zákon nestanoví jinak,

 

Definice je převzata ze Směrnice. Správcem se rozumí jednak státní nebo jiný orgán, případně subjekt, jemuž je zákonem uloženo, aby zpracovával osobní údaje, jednak soukromý subjekt či fyzická osoba, který zpracovává osobní údaje pro účely podnikatelské nebo pro jakékoliv jiné účely. Státním a jiným orgánům stanoví zákon, jak mají osobní údaje zpracovávat. Pokud jde o soukromé subjekty, mohou osobní údaje zpracovávat, jen pokud to zákon nezakazuje. Správce může pověřit /např. smluvně, služebním pokynem/, aby osobní údaje zpracovával jiný subjekt, tj. zpracovatel, ledaže by mu zákon ukládal, aby je zpracovával sám nebo mu ukládá, aby zpracováváním pověřil zpracovatele. Vztah mezi správcem a zpracovatelem však musí mít právní náležitosti (tj. zákon, nebo právně platná smlouva). Dikce návrhu odlišuje případy, kdy postavení správce je určeno přímo zákonem (např. obecní úřad při vedení matriky) a kdy vyvíjí činnost v souladu se zákonem resp. podle zákona.

 

k)      zpracovatelem každý subjekt, který na základě zvláštního zákona nebo pověření správcem zpracovává osobní údaje podle tohoto zákona,

 

Zpracovatel může zpracovávat údaje buď na základě výslovného zákonného zmocnění nebo je-li k tomu zmocněn správcem nebo na základě smluvního ujednání. Zpracovatel, na rozdíl od správce, neurčuje účel a prostředky zpracování osobních údajů. Zpracovatelem se rozumí také jakýkoliv jiný subjekt, který provádí jen některou (či některé) činnost související se zpracováním. Nemusí tedy jít vždy o subjekt, který osobní údaje shromáždil.

 

l)        zveřejněným osobním údajem osobní údaj, zpřístupněný zejména hromadnými sdělovacími prostředky, jiným veřejným sdělením nebo jako součást veřejného seznamu.

 

Na rozdíl od ustanovení § 15 zákona č.256/1992 Sb., je zveřejnění vymezeno šířeji. Taxativní výčet všech prostředků, jimiž může k publikovaní osobního údaje dojít, se nejeví možný, ale ani potřebný. Podané vymezení dává možnost reagovat na případné změny, k nimž může, pokud se týče způsobu zveřejňování v budoucnu dojít. Nejčastěji bude osobní údaj zveřejňován tiskem, televizí, Internetem a jinými masovými médii a dále jakožto součást veřejně přístupných seznamů /obchodní rejstřík, letecký rejstřík/. Může se stát veřejným i jako součást různých seznamů vydávaných pro komerční účely, ale také jeho sdělením na veřejné schůzi. Není přitom rozhodné, zda k publikaci došlo legálně nebo v rozporu se zákonem.

 

 

Hlava II

Práva a povinnosti při zpracování osobních údajů

 

§ 5

 

(1)   Správce je povinen:

a)  stanovit účel, k němuž mají být osobní údaje zpracovány,

b)  stanovit prostředky a způsob zpracování osobních údajů,

 

Uvedené povinnosti musí správce splnit předem. Odtud se pak odvíjejí některé další povinnosti, např. pro uchovávání údajů, jejich přenos do jiných států apod.

 

c)  zpracovávat pouze pravdivé a přesné osobní údaje, které získal v souladu s tímto zákonem. Je povinen ověřovat, zda jsou osobní údaje pravdivé a přesné a pokud tak nemůže zjistit, musí je blokovat. Zjistí-li správce, že údaje nejsou pravdivé a přesné, zejména k námitce subjektu údajů, je povinen je blokovat a bez zbytečného odkladu opravit nebo doplnit. Nelze-li je opravit nebo doplnit, musí je bez zbytečného odkladu zlikvidovat. Nepravdivé, nepřesné nebo neověřené osobní údaje lze zpracovávat pouze v případě, stanoví-li tak zvláštní zákon [Například zákon č.89/1995 Sb., o státní statistické službě, zákon č.153/1994 Sb., o zpravodajských službách, ve znění pozdějších předpisů a zákon č.283/1991 Sb., o Policii České republiky, ve znění pozdějších předpisů]. Tyto údaje se musí náležitě označit a vést odděleně od ostatních osobních údajů,

d)  shromažďovat osobní údaje odpovídající pouze stanovenému účelu a v rozsahu nezbytném pro naplnění stanoveného účelu,

e)  uchovávat osobní údaje pouze po dobu, která je nezbytná k účelu jejich zpracování. Po uplynutí této doby mohou být osobní údaje uchovávány pouze pro účely statistické, vědecké a pro účely archivnictví. Při použití pro tyto účely je třeba dbát práva na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů,

f)   zpracovávat osobní údaje pouze k tomu účelu, k němuž byly shromážděny, pokud zvláštní zákon nestanoví jinak. Zpracovávat k jinému účelu lze osobní údaj jen pokud k tomu dal subjekt údajů souhlas,

g)  shromažďovat osobní údaje pouze otevřeně; je vyloučeno shromažďovat údaje pod záminkou jiného účelu nebo jiné činnosti, pokud zvláštní zákon nestanoví jinak,

h)  nesdružovat osobní údaje, které byly získány k rozdílným účelům, pokud zvláštní zákon nestanoví jinak.

(2)   Správce může zpracovávat osobní údaje pouze se souhlasem subjektu údajů. Bez tohoto souhlasu je může zpracovávat:

a)  jestliže provádí zpracování upravené zvláštním zákonem [Například zákon č.111/1998 Sb., o vysokých školách a o změně a doplnění dalších zákonů, zákon č.564/1990 Sb., o státní správě a samosprávě ve školství, ve znění pozdějších předpisů, zákon č.153/1994 Sb., o zpravodajských službách, ve znění pozdějších předpisů a zákon č.61/1996 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a o změně a doplnění některých zákonů, ve znění pozdějších předpisů].

b)  jestliže je nezbytné, aby subjekt údajů mohl vstoupit do jednání o smluvním vztahu nebo aby plnil ujednání smlouvy uzavřené se správcem,

c)  pokud je to nezbytně třeba k ochraně důležitých zájmů subjektu údajů. V tomto případě je třeba bez zbytečného odkladu získat jeho souhlas. Pokud souhlas není dán, musí správce ukončit zpracování a údaje zlikvidovat,

d)      jedná-li se o oprávněně zveřejněné osobní údaje v souladu se zvláštním právním předpisem [Zákon č.81/1966 Sb., o periodickém tisku a ostatních hromadných informačních prostředcích, ve znění zákona č.84/1968 Sb., zákona č.127/1968 Sb., zákona č.99/1969 Sb., zákona č.86/1990 Sb., zákona č.175/1990 Sb., zákona č.425/1990 Sb. a zákona č.160/1999 Sb.]. Tím však není dotčeno právo na ochranu soukromého a osobního života subjektu údajů,

e)      pokud je to nezbytné pro ochranu práv správce; takové zpracování osobních údajů však nesmí být v rozporu s právem subjektu údajů na ochranu jeho soukromého a osobního života, nebo

g)       pokud je to nezbytné pro výkon oprávněné činnosti politických stran, politických hnutí, občanských sdružení, odborových organizací, církví nebo náboženských společností.

(3)   Provádí-li správce zpracování osobních údajů na základě zvláštního zákona [Například zákon č. 111/1998 Sb., o vysokých školách a o změně a doplnění dalších zákonů (zákon o vysokých školách), zákon č. 564/1990 Sb., o státní správě a samosprávě ve školství, ve znění pozdějších předpisů, zákon č. 153/1994 Sb., ve znění zákona č. 118/1995 Sb., a zákon č. 61/1996 Sb., ve znění zákona č. 15/1998 Sb.], je povinen dbát práva na ochranu soukromého a osobního života subjektu údajů.

(4)   Bez souhlasu subjektu údajů lze osobní údaje zpracovávat pro účely statistické nebo vědecké. Pro tyto účely zpracování je nutno osobní údaje anonymizovat, jakmile je to možné. Při zpracování osobních údajů pro tyto účely je však nutno zajistit požadovanou úroveň jejich zabezpečení podle § 13.

(5)   Souhlasem podle odstavce 2 však nemohou být dotčeny povinnosti uvedené v odstavci 1 písmene c) a g). Ze souhlasu musí být patrné, v jakém rozsahu je poskytován, komu a k jakému účelu, na jaké období a kdo jej poskytuje. Souhlas může být kdykoliv odvolán, pokud se subjekt údajů se správcem výslovně nedohodne jinak. Tento souhlas musí správce prokázat po dobu zpracování osobních údajů, k jejichž zpracování byl dán souhlas.

 

Obecně platí, že subjekt údajů může dát souhlas k omezení svých práv. Výjimku zde tvoří povinnosti správce podle odstavce 1 písmen c) a g), jejichž dodržování je důležité i pro zajištění práv dalších subjektů.

 

6)  Provádí-li správce nebo zpracovatel zpracování osobních údajů za účelem nabízení obchodu nebo služeb subjektu údajů, lze pro tento účel použít jméno, příjmení a adresu subjektu údajů, pokud tyto údaje byly získány z veřejného seznamu nebo v souvislosti se svojí činností jakožto správce nebo zpracovatele. Správce nebo zpracovatel však nesmí uvedené údaje dále zpracovávat, pokud s tím subjekt údajů vyslovil nesouhlas. Nesouhlas se  zpracováním je nutné vyjádřit písemně. Bez souhlasu subjektu údajů nelze k uvedeným údajům přiřazovat další osobní údaje.

 

7)  Správce, který zpracovává osobní údaje podle odstavce 6, může tyto údaje předat jinému správci pouze za splnění těchto podmínek:

a)    údaje subjektu údajů byly získány v souvislosti s činností správce nebo se jedná o zveřejněné osobní údaje,

b)    údaje budou využívány pouze za účelem nabízení obchodu a služeb,

c)    subjekt údajů byl o tomto postupu správce předem informován a nevyslovil s tímto postupem nesouhlas.

 

8)  Jiný správce, kterému byly předány údaje podle odstavce 7, nesmí tyto údaje předávat jiné osobě.

 

9)  Nesouhlas se zpracováním podle odstavce 7 písm. c) musí subjekt údajů učinit písemně. Správce je povinen informovat každého správce, kterému předal jméno, příjmení a adresu subjektu údajů, o tom, že subjekt údajů vyslovil nesouhlas se zpracováním.

 

10Za účelem vyloučení možnosti, že jméno, příjmení a adresa subjektu údajů budou opakovaně použity k nabídce obchodu a služeb, je správce oprávněn dále zpracovávat pro svoji vlastní potřebu jméno, příjmení a adresu subjektu údajů přesto, že subjekt údajů vyslovil nesouhlas podle odstavce 6.

 

V odstavcích 6 až 10 jsou zvláště podrobně popsány povinnosti správců osobních údajů, kteří je zpracovávají za účelem nabízení obchodu a služeb tak, aby těmto správcům zákon nadmíru nebránil v jejich podnikatelské činnosti, ale současně byla výrazně  omezena možnost zneužití osobních údajů zákazníků.

 

 

§ 6

 

Pokud zmocnění nevyplývá z právního předpisu, může správce se zpracovatelem uzavřít smlouvu o zpracování osobních údajů. Smlouva musí mít písemnou formu, jinak je neplatná. Musí v ní být zejména výslovně uvedeno v jakém rozsahu, za jakým účelem a na jakou dobu se uzavírá. Jestliže zpracovatel ve smlouvě neposkytne dostatečné záruky o technickém a organizačním zabezpečení ochrany osobních údajů, je taková smlouva neplatná.

 

Zde se rozlišují výrazy “zmocnit” a “pověřit”, které odlišují případy, kdy je správcem údajů orgán veřejné moci, který “zmocňuje” a kdy je jím soukromý subjekt, který “pověřuje”.

 

§ 7

 

Povinnosti stanovené v § 5 platí obdobně také pro zpracovatele.

 

§ 8

 

Jestliže zpracovatel zjistí, že správce porušuje povinnosti stanovené tímto zákonem, je povinen jej na to neprodleně upozornit a ukončit zpracování osobních údajů. Pokud tak neučiní, odpovídá za škodu, která subjektu údajů vznikla, společně a nerozdílně se správcem údajů. Tím není dotčena jeho odpovědnost podle tohoto zákona.

 

Zjistí-li zpracovatel, že správce porušuje svoje povinnosti, musí ho na to upozornit a přestat nakládat s údaji. Učiní-li tak, nevzniká mu odpovědnost, v opačném případě je odpovědný za škodu, která vznikla subjektu údajů v rozsahu, v němž v důsledku tohoto opomenutí ke škodě došlo. Z důvodu zajištění ochrany práv subjektu údajů, zakotvuje se zvláštní režim solidární odpovědnosti.

 

§ 9

Citlivé údaje

 

Citlivé údaje je možno zpracovávat jen, jestliže:

a)      subjekt údajů dal ke zpracování výslovný souhlas. Souhlas musí být dán písemně, podepsán subjektem údajů a musí z něho být zřejmé, k jakým údajům je dáván, jakému správci údajů, k jakému účelu, na jaké období a kdo jej poskytuje. Souhlas může subjekt údajů kdykoliv odvolat. Správce je povinen předem subjekt údajů o jeho právech poučit. Tento souhlas musí správce uschovat po dobu zpracování osobních údajů, k jejichž zpracování byl souhlas dán,

b)      je to nezbytné v zájmu zachování života nebo zdraví subjektu údajů nebo jiné osoby nebo odvrácení bezprostředního závažného nebezpečí hrozícího jejich majetku, pokud není možno jeho souhlas získat zejména z důvodů fyzické, duševní či právní nezpůsobilosti, v případě, že je nezvěstný nebo z jiných podobných důvodů. Správce musí ukončit zpracování údajů, jakmile pominou uvedené důvody, a údaje musí zlikvidovat, ledaže by subjekt údajů dal k dalšímu zpracování souhlas,

 

Toto je chápáno jako zcela výjimečný případ.

 

c)      se jedná o poskytování zdravotní péče [Zákon č.20/1966 Sb., o péči o zdraví lidu, ve znění zákona č.210/1990 Sb., zákona č.425/1990 Sb., zákona č.548/1991 Sb., zákona č.550/1991 Sb., zákona č.590/1992 Sb., zákona č.15/1993 Sb., zákona č.161/1993 Sb., zákona č.307/1993 Sb., zákona č.60/1995 Sb., zákona č.14/1997 Sb., zákona č.206/1996 Sb., zákona č.79/1997 Sb., zákona č.110/1997 Sb., zákona č.83/1998 Sb. a zákona č.167/1998 Sb.], jakož i jiné posuzování zdravotního stavu podle zvláštního zákona, zejména pro účely sociálního zabezpečení. [Například pro posuzování zdravotního stavu a pracovní schopnosti podle zákona č.582/1991 Sb., o organizaci a provádění sociálního zabezpečení, ve znění pozdějších předpisů.], nebo

d)      je tak stanoveno zvláštním zákonem [Například zákon č.48/1997 Sb., o veřejném zdravotním pojištění, ve znění pozdějších předpisů, zákon č.280/1992 Sb., o resortních, odborových, podnikatelských a dalších zdravotních pojišťovnách, ve znění pozdějších předpisů, zákon č.551/1991 Sb., o Všeobecné zdravotní pojišťovně České republiky, ve znění pozdějších předpisů, zákon č.158/1999 Sb., o sčítání lidu, domů a bytů v roce 2001].

 

Ve smyslu čl. 8 Směrnice bude třeba příslušné zákony uvést do souladu s úpravou zákona o ochraně osobních údajů. V souladu se směrnicí je jakákoliv problematika upravená zákonem považována za důležitý veřejný zájem.

 

§ 10

 

Při zpracování citlivých údajů správce a zpracovatel dbá, aby subjekt údajů neutrpěl újmu na svých právech, zejména na právu na zachování lidské důstojnosti a také dbá na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů.

 

§ 11

 

(1)   Správce je před zahájením zpracování osobních údajů povinen subjekt údajů řádně a včas písemně informovat o tom, v jakém rozsahu a pro jaký účel budou osobní údaje zpracovávány, kdo a jakým způsobem bude osobní údaje zpracovávat a komu mohou být osobní údaje zpřístupněny či komu jsou určeny, nejsou-li subjektu údajů tyto informace již známy.

(2)   Správce musí dále subjekt údajů poučit o tom, zda je podle zákona povinen pro zpracování osobní údaje poskytnout, jaké důsledky budou vyvozeny, pokud tak neučiní, a kdy je oprávněn odmítnout poskytnutí osobních údajů, nebo zda poskytnutí osobních údajů je dobrovolné.

(3)   Správce musí subjekt údajů informovat o jeho právu k přístupu k osobním údajům, jakož i o dalších právech stanovených v § 21 tohoto zákona.

(4)   Jestliže správce nezískal osobní údaje od subjektu údajů, je povinen bezodkladně poskytnout subjektu údajů na základě písemné žádosti informace o tom, kdo správci osobní údaje poskytl (zdroj osobních údajů).

(5)   Informace podle odstavců 1 až 4 není povinen správce poskytovat, pokud:

a)  zpracovává osobní údaje výlučně pro účely statistické, vědecké nebo archivnictví,

b)  zpracování osobních údajů mu ukládá zákon nebo je takových údajů třeba k uplatnění práv a povinností vyplývajících ze zvláštních zákonů,

c)  zvláštní zákon [Například zákon č.153/1994 Sb., o zpravodajských službách, ve znění pozdějších předpisů, zákon č.61/1966 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a o změně a doplnění některých zákonů, ve znění pozdějších předpisů a zákon č.283/1991 Sb., o Policii České republiky, ve znění pozdějších předpisů.] stanoví, že není povinen osobní údaje poskytovat,

d)  zpracovává výlučně zveřejněné osobní údaje, nebo

e)  zpracovává osobní údaje se souhlasem subjektu údajů podle § 5 odst. 5 a § 9 písm. a).

(6)   Rozhodnutí orgánu veřejné moci nelze bez ověření tímto orgánem vydat na základě výlučně automatizovaného zpracování osobních údajů. To neplatí v případě, že takové rozhodnutí bylo učiněno ve prospěch subjektu údajů.

 

Nelze vydat jakékoliv (zpravidla pro subjekt údajů nevýhodné) rozhodnutí orgánu veřejné moci pouze na základě automatizovaného zpracování osobních údajů bez individuálního ověření.

 

(7)   Předchozími ustanoveními nejsou dotčena práva subjektu údajů požadovat informace podle zvláštních zákonů [Například zákon č.123/1998 Sb., o právu na informace o životním prostředí, zákon č.367/1990 Sb., o obcích, ve znění pozdějších předpisů, zákon č.106/1999 Sb., o svobodném přístupu k informacím.]

(8)   Při zpracování osobních údajů podle § 5 odst. 2 písm. e) je správce povinen bez zbytečného odkladu subjekt údajů informovat o tomto postupu.

 

§ 12

 

(1)   Správce nemusí splnit informační povinnost podle § 11 odst. 1 v případě, že tyto informace jsou součástí poučení podle právního předpisu.

(2)   Správce je povinen jednou za kalendářní rok bezplatně, jinak kdykoli za přiměřenou úhradu nepřevyšující náklady nezbytné na poskytnutí informace, subjektu údajů na základě písemné žádosti poskytnout informace o osobních údajích o něm zpracovávaných, pokud zákon nestanoví jinak.

 

Informace jsou zásadně poskytovány na základě žádosti subjektu údajů. Jestliže jsou již obsaženy v poučení, které je poskytováno podle zákona nebo pokud bude jeho obsah stanoven prováděcím předpisem, není již poskytováno na základě písemné žádosti (např. poučení pacientů). V případech, kdy subjekt údajů žádá o informace častěji než jednou ročně, může správce požadovat přiměřenou úplatu. Výši této úplaty stanoví správce, nesmí však překročit skutečné náklady nezbytné na vyhledání, sestavení či jiné zpracování informace a na úkony potřebné k poskytnutí informace (poštovné a pod.).

 

Povinnosti osob při zabezpečení osobních údajů

§ 13

 

Správce a zpracovatel jsou povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů.

 

Tímto ustanovením se stanoví obecné povinnosti pro všechny správce, pokud se týče zajištění ochrany osobních údajů a jejich bezpečnosti. Opatřeními, která je správce povinen učinit, se rozumí opatření technická, organizační, právní a jiná. Údaje musí být chráněny jak vůči zaměstnancům, tak jiným osobám, které s nimi oprávněně přicházejí do styku, tak např. vůči hackerům. Tento zákon však nestanoví jaká konkrétní opatření má správce učinit. Konkrétní opatření budou záviset na rozsahu a použití technických prostředků, které správce při zpracování použije. Nicméně některé návody bude možno vydat např. metodickými sděleními nebo vyhlášením standardů. Subsidiárně lze využít vyhlášek Národního bezpečnostního úřadu č.12/1999 Sb., o zajištění technické bezpečnosti utajovaných skutečností a certifikací technických prostředků a vyhlášky č.56/1999 Sb., o zajištění bezpečnosti informačních systémů nakládajících s utajovanými skutečnostmi, provádění jejich certifikace a náležitostech certifikátů.

 

§ 14

 

Zaměstnanci správce nebo zpracovatele a jiné osoby, které zpracovávají osobní údaje na základě smlouvy se správcem nebo zpracovatelem, mohou zpracovávat osobní údaje pouze za podmínek a v rozsahu správcem nebo zpracovatelem stanoveném.

 

Tímto ustanovením je vyloučeno, aby osoby, kterým nedá správce nebo zpracovatel souhlas, jakkoli zpracovávaly osobní údaje. Správce, resp. zpracovatel musí stanovit též rozsah oprávnění, v němž určitá osoba má k osobním údajům přístup a může je zpracovávat. Osobami jsou zde míněny jak fyzické osoby, které vůči správci či zpracovateli vykonávají činnost na základě pracovněprávního vztahu, tak právnické osoby, které tuto činnost vykonávají na základě jakéhokoliv smluvního vztahu.

 

§ 15

 

(1)   Zaměstnanci správce nebo zpracovatele, jiné fyzické osoby, které zpracovávají osobní údaje na základě smlouvy se správcem nebo zpracovatelem a další osoby, které v rámci plnění zákonem stanovených oprávnění a povinností přicházejí do styku s osobními údaji u správce nebo zpracovatele, jsou povinny zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů. Povinnost mlčenlivosti trvá i po skončení zaměstnání nebo příslušných prací.

 

Oproti zákonu č. 256/1992 Sb. je toto ustanovení rozšířeno o povinnost zachovávat mlčenlivost o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení údajů.

 

(2)   Ustanovením předchozího odstavce není dotčena povinnost zachovávat mlčenlivost podle zvláštních zákonů [Například zákon č.148/1998 Sb., o ochraně utajovaných skutečností a o změně některých zákonů, ve znění pozdějších předpisů, zákon č.89/1995 Sb., o státní statistické službě, zákon č.20/1966 Sb., o péči o zdraví lidu, ve znění pozdějších předpisů, zákon č.15/1998 Sb., o komisi pro cenné papíry a o změně a doplnění dalších zákonů.].

(3)   Povinnost zachovávat mlčenlivost se nevztahuje na informační povinnost podle zvláštních zákonů [Například § 167 a § 168 zákona č.140/1961 Sb., trestní zákon, ve znění pozdějších předpisů, zákon č.21/1992 Sb., o bankách, ve znění pozdějších předpisů, zákon č.20/1966 Sb., o péči o zdraví lidu, ve znění pozdějších předpisů].

 

§ 16

Oznamovací povinnost

 

(1)   Ten, kdo hodlá zpracovávat osobní údaje, je povinen tuto skutečnost oznámit Úřadu před započetím zpracovávání osobních údajů. Oznámení je povinen učinit i správce, jestliže hodlá změnit zpracování osobních údajů. Oznámení musí být učiněno písemně.

(2)   Oznámení musí obsahovat následující informace:

a)  název správce, adresu jeho sídla a identifikační číslo, pokud bylo přiděleno,

b)  účel nebo účely zpracování,

c)  kategorie subjektů údajů a osobních údajů, které se těchto subjektů týkají,

d)  zdroje osobních údajů,

e)  popis způsobu zpracování osobních údajů,

f)   příjemce nebo kategorie příjemců, kterým uvedené osobní údaje mohou být zpřístupněny či sdělovány,

g)  předpokládané přenosy osobních údajů do jiných států,

h)  popis opatření k zajištění požadované ochrany osobních údajů podle § 13,

i)   propojení na jiné správce.

Podrobnosti o obsahu oznámení Úřad stanoví vyhláškou.

(3)   Úřad je povinen do 30 dnů od doručení oznámení Úřadu oznamovateli sdělit, že jeho oznámení registruje, nebo vydat rozhodnutí podle § 17.

(4)   Pokud Úřad oznámení zaregistroval, může dnem registrace oznamovatel zahájit zpracování osobních údajů.

(5)   Jestliže Úřad ve lhůtě stanovené v odstavci 3 oznamovateli nesdělí, že oznámení zaregistroval, ani nevydá rozhodnutí, má se za to, že oznámení zaregistroval.

 

Smyslem oznamovací povinnosti je zajistit výkon dozoru ze strany Úřadu. Ukládá se povinnost informovat Úřad před zahájením zamýšleného zpracování osobních údajů. Tento režim výslovně vyžaduje Směrnice EU, která také stanovuje minimální rozsah údajů v tomto oznámení. Pokud Úřad oznámení zaregistroval, nevydává rozhodnutí podle správního řádu, ale pouze tuto skutečnost oznámí. Rozhodnutí se vydává pouze v případě, že Úřad nepovoluje nebo zakazuje osobní údaje zpracovávat. V zájmu právní jistoty oznamovatele se stanoví, jaké následky má sdělení i marné uplynutí lhůty.

 

§ 17

 

(1)   Zjistí-li Úřad, že oznamovatel nesplňuje podmínky stanovené tímto zákonem, zpracování osobních údajů nepovolí.

(2)   Jestliže oznámení neobsahuje všechny požadované informace, vyzve Úřad oznamovatele, aby je ve stanovené lhůtě doplnil.

(3)   Vznikne-li z oznámení důvodná obava, že při zpracování osobních údajů by mohlo dojít k porušení tohoto zákona, vyzve Úřad oznamovatele, aby oznámení ve stanovené lhůtě doplnil, popřípadě může sám provést šetření na místě samém.

 

Obava, že při zpracování osobních údajů mohou být porušena ustanovení tohoto zákona, musí být důvodná. Může tak být dáno jak povahou osobních údajů /např. tím, že jde o údaje citlivé/, tak s ohledem na to, jak mají být zpracovávány, technickou úrovní vybavení oznamovatele, nelegálním účelem a dalšími okolnostmi. Ponechává se Úřadu, aby posoudil míru rizika zpracování osobních údajů a v případě potřeby před provedením registrace provedl šetření u oznamovatele.

 

(4)   Po uplynutí lhůty stanovené podle odstavce 2 Úřad oznámení zaregistruje nebo vydá rozhodnutí, jímž zpracování osobních údajů nepovolí.

 

§ 17a

 

(1)   Zjistí-li Úřad, že správce zpracovává osobní údaje na základě zaregistrovaného oznámení podle § 16 a v rozporu s podmínkami stanovenými tímto zákonem, rozhodne o zrušení registrace.

(2)   Zjistí-li Úřad, že správce, jehož oznámení bylo zaregistrováno postupem podle § 16 odst. 3 nebo § 17 odst. 4, porušuje podmínky stanovené tímto zákonem, registraci zruší.

(3)   Pomine-li účel, pro který bylo zpracování zaregistrováno, Úřad z vlastního podnětu nebo na žádost správce registraci zruší.

 

Zde se jedná o ustanovení do zákona doplněná novelou č. 450/2001 Sb. V původním znění byly podrobně řešeny mechanismy registrace zpracování osobních údajů, ale opačný směr zde chyběl.

 

§ 18

 

Oznamovací povinnost podle § 16 se nevztahuje na zpracování osobních údajů:

a)      které jsou součástí evidencí veřejně přístupných,

b)      jejichž zpracování je správci uloženo zákonem nebo kterých je třeba k uplatnění práv vyplývajících ze zvláštních zákonů, [Například zákon č.153/1994 Sb., o zpravodajských službách,ve znění pozdějších předpisů, zákon č.61/1966 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a o změně a doplnění některých zákonů,ve znění pozdějších předpisů a zákon č.283/1991 Sb., o Policii České republiky, ve znění pozdějších předpisů, zákon č.158/1999 Sb., o sčítání lidu, domů a bytů v roce 2001] nebo

c)      prováděné politickými stranami, politickými hnutími, odborovými organizacemi, církvemi, náboženskými společnostmi, občanskými sdruženími, popřípadě jinými právnickými osobami nevýdělečné povahy, které sledují politické, filozofické, náboženské nebo odborové cíle, pokud zpracovávají osobní údaje o svých členech a tyto údaje slouží pro jejich vnitřní potřebu.

 

Z oznamovací povinnosti jsou vyčleněna některá zpracování, která se nemusí oznamovat. Jsou to zejména ta, která jsou správci uložena zákonem a tudíž jejich kontrola Úřadem není oznámením ovlivněna. Toto ovšem platí pouze tehdy, pokud správce shromažďuje osobní údaje pouze v tom rozsahu, který určí zákon. Jakýkoliv sběr údajů nad rámec takového ustanovení zákona již registraci podléhá. Okruh osobních údajů, které nepodléhají oznamovací povinnosti, je určen praktickými potřebami a požadavky na zajištění dozoru nad nimi.

 

§ 19

 

Jestliže správce hodlá ukončit svoji činnost, je povinen Úřadu neprodleně oznámit, jak naložil s osobními údaji, pokud se na jejich zpracování vztahuje oznamovací povinnost.

 

§ 20

Likvidace osobních údajů

 

(1)   Správce nebo na základě jeho pokynu zpracovatel je povinen provést likvidaci osobních údajů, jakmile pomine účel, pro který byly osobní údaje zpracovány, nebo na základě žádosti subjektu údajů podle § 21.

(2)   Zvláštní zákon stanoví výjimky týkající se uchovávání osobních údajů pro účely archivnictví a uplatňování práv v občanském soudním řízení, trestním řízení a správním řízení.

 

Ochrana práv subjektů údajů

 

§ 21

 

(1)   Pokud subjekt údajů zjistí, že došlo k porušení povinností správcem nebo zpracovatelem, má právo obrátit se na Úřad s žádostí o zajištění opatření k nápravě.

(2)   Došlo-li k porušení povinností správcem nebo zpracovatelem, má subjekt údajů právo požadovat:

a)  aby se správce či zpracovatel zdržel takového jednání, odstranil takto vzniklý stav či poskytl na svoje náklady omluvu nebo jiné zadostiučinění,

b)  aby správce či zpracovatel provedl opravu nebo doplnění osobních údajů tak, aby byly pravdivé a přesné,

c)  aby osobní údaje byly zablokovány nebo zlikvidovány,

d)  zaplacení peněžité náhrady, jestliže tím bylo porušeno jeho právo na lidskou důstojnost, osobní čest, dobrou pověst či právo na ochranu jména.

 

Uplatněním těchto práv není dotčena možnost domáhat se nároků na ochranu osobnosti podle § 11-16 občanského zákoníku. Možnost domáhat se zaplacení peněžité náhrady přichází v úvahu, pokud by nebylo možno se této satisfakce domáhat podle obecných občanskoprávních předpisů.

 

(3)   Odpovědnosti podle odstavce 1 se zprostí ten, kdo prokáže, že porušení povinnosti nebylo možno zabránit ani při vynaložení veškerého úsilí, které lze od něj požadovat. Přesto však může subjekt údajů požadovat, aby se správce nebo zpracovatel zdržel závadného jednání, odstranil závadný stav, provedl opravu, doplnění, blokování nebo likvidaci osobních údajů.

 

Správce a zpracovatel se nacházejí v režimu objektivní odpovědnosti.

 

(4)   Způsobil-li správce nebo zpracovatel subjektu údajů škodu, odpovídají za ni společně a nerozdílně podle zvláštních zákonů [Například zákon č.40/1964 Sb., občanský zákoník, ve znění pozdějších předpisů, zákon č.82/1998 Sb., o odpovědnosti za škodu způsobenou při výkonu veřejné moci rozhodnutím nebo nesprávným úředním postupem, zákon č.358/1992 Sb. o notářích a jejich činnosti, ve znění pozdějších předpisů].

 

Viz § 420 a násl. občanského zákoníku.

 

(5)   Došlo-li k porušení povinností uložených tímto zákonem jak u správce, tak u zpracovatele, odpovídají za ně společně a nerozdílně. Subjekt údajů se může domáhat svých nároků u kteréhokoliv z nich.

 

Je na vůli subjektu údajů, zda se bude dožadovat příslušných nároků na správci nebo na zpracovateli či na obou zároveň.

 

6)  O opatřeních provedených podle odstavce 2 písm. a) až c) je správce povinen bez zbytečného odkladu zajistit informování každého subjektu, jemuž byly v rámci zpracování osobní údaje poskytnuty, s výjimkou informací o poskytnutí omluvy či jiného zadostiučinění.

 

§ 22

 

Právo na zablokování či likvidaci osobních údajů nemůže subjekt údajů požadovat, jestliže je správce povinen osobní údaje zpracovávat na základě zákona, nebo pokud by tím mohla být způsobena újma na právech třetích osob.

 

§ 23

Náprava nemajetkové újmy

 

(1)   Jestliže osoba, která vykonává pro správce či zpracovatele činnosti na základě smlouvy, poruší uložené povinnosti, má subjekt údajů právo požadovat:

a)  aby se zdržela takového jednání, odstranila takto vzniklý stav či poskytla na svoje náklady omluvu nebo jiné zadostiučinění,

b)  aby zlikvidovala osobní údaje, které neoprávněně zpracovává,

c)  aby zaplatila peněžitou náhradu újmy, která vznikla porušením jeho práva na lidskou důstojnost, osobní čest, dobrou pověst či práva na ochranu jména.

(2)   Neposkytne-li tato osoba na svoje náklady omluvu nebo jiné zadostiučinění nebo nezaplatí peněžitou náhradu, je povinen za ni tuto povinnost splnit správce nebo zpracovatel.

(3)   Poruší-li uložené povinnosti osoba, která je ke správci nebo zpracovateli v pracovním poměru, řídí se její odpovědnost zákoníkem práce.

 

Správce či zpracovatel v takovém případě samozřejmě mohou vůči povinnému následně uplatňovat nároky na základě pracovněprávních či občanskoprávních předpisů.

 

§ 24

 

Osoby uvedené v § 23 se odpovědnosti zprostí, pokud prokáží, že porušení předpisů nezavinily. Přesto však může subjekt údajů požadovat, aby se zdržely jednání porušujícího stanovené povinnosti, odstranily stav z takového jednání vzniklý a zlikvidovaly osobní údaje, které neoprávněně zpracovávají.

 

Na rozdíl od objektivní odpovědnosti správce a zpracovatele podle § 21, odst. 2, se zde vychází z odpovědnosti za zavinění, což odpovídá obecné úpravě občanskoprávní.

 

§ 25

Náhrada škody

 

V otázkách neupravených tímto zákonem se použije obecná úprava odpovědnosti za škodu [Občanský zákoník, Obchodní zákoník].

 

§ 26

 

Povinnosti podle § 21 až 25 se obdobně vztahují i na osoby, které shromáždily osobní údaje neoprávněně.

 

Nároky uvedené v předchozích paragrafech může subjekt údajů uplatňovat i vůči těm, kdo získali jeho osobní údaje neoprávněně bez ohledu, zda se tak stalo úmyslně nebo z nedbalosti.

 

 

Hlava III

Předávání osobních údajů do jiných států

 

§ 27

 

(1)   Do jiných států mohou být osobní údaje předány za podmínky, že právní úprava státu, kde mají být zpracovány, odpovídá požadavkům stanoveným v tomto zákoně.

(2)   Není-li podmínka podle odstavce 1 splněna, může být předávání osobních údajů uskutečněno, jestliže:

a)  předávání údajů se děje se souhlasem nebo na základě pokynu subjektu údajů, který je oprávněn jej učinit,

b)  je to nezbytné k ochraně práv nebo uplatňování nároků subjektu údajů,

c)  jde o osobní údaje, které jsou součástí evidencí veřejně přístupných nebo přístupných těm, kdo prokáží právní zájem, avšak jen pokud se týče individuálně určeného údaje nebo údajů,

d)  předávání vyplývá z mezinárodní smlouvy, jíž je Česká republika vázána,

e)  předávání je nutné pro uzavření smlouvy mezi subjektem údajů a správcem nebo smlouvy, která je uzavírána v zájmu subjektu údajů nebo

f)   je to nezbytné pro záchranu života nebo pro poskytnutí zdravotní péče subjektu údajů,

g) tak stanoví zvláštní zákon. [Zákon č. 227/2000 Sb.]

(3)   Předávání osobních údajů může být uskutečněno v jiných případech, je-li tak činěno ve prospěch subjektu údajů a pokud z dvoustranné smlouvy mezi správcem a přijímacím subjektem vyplývá, že přijímací strana zajistí požadovanou ochranu osobních údajů.

(4)   Správce je povinen požádat Úřad o povolení k předání nebo předávání osobních údajů do jiných států. O žádosti Úřad rozhodne bezodkladně, nejpozději do sedmi kalendářních dnů. Pokud v této lhůtě Úřad nerozhodne, má se za to, že s předáním osobních údajů souhlasí, a to na dobu, která je uvedena v žádosti. Hrozí-li nebezpečí z prodlení, vydá Úřad rozhodnutí neprodleně. Odvolání proti rozhodnutí nemá odkladný účinek.

(5)   Vydá-li Úřad rozhodnutí o předávání osobních údajů, stanoví také dobu, po kterou může správce předávání provádět. Pokud správce poruší povinnosti stanovené tímto zákonem, Úřad toto povolení odejme. Odvolání proti rozhodnutí nemá odkladný účinek.

(6)   Povinnosti podle odstavců 4 a 5 nemá správce v případě, že tak stanoví zvláštní zákon [Například zákon č.153/1994 Sb., o zpravodajských službách, ve znění pozdějších předpisů, zákon č.61/1966 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a o změně a doplnění některých zákonů, ve znění pozdějších předpisů a zákon č.283/1991 Sb., o Policii České republiky, ve znění pozdějších předpisů] nebo předávání vyplývá z mezinárodní smlouvy, kterou je Česká republika vázána.

 

Tato úprava odpovídá požadavkům čl. 25 Směrnice EU. Posouzení stavu právní ochrany v přijímací zemi bude úkolem Úřadu, který bude mít potřebné informace z mezinárodní spolupráce. V případě vstupu ČR do EU bude zástupce Úřadu členem řádného orgánu (Working Party), který byl zřízen na základě ustanovení čl.29 Směrnice.

 

 

Hlava IV

Postavení a působnost Úřadu

 

§ 28

 

(1)   Úřad je nezávislý orgán. Ve své činnosti postupuje nezávisle a řídí se pouze zákony a jinými právními předpisy.

(2)   Do činnosti Úřadu lze zasahovat jen na základě zákona.

(3)   Činnost Úřadu je hrazena ze samostatné kapitoly státního rozpočtu České republiky.

 

Úřad pro ochranu osobních údajů je v souladu se Směrnicí definován jako nezávislý orgán pro provádění dozoru nad zpracováním osobních údajů. Je typicky správním orgánem, kde nepřichází v úvahu kolektivní rozhodování. Z charakteru jeho činností je nutno o některých záležitostech rozhodnout bezodkladně.

 

§ 29

 

(1)   Úřad:

a)  provádí dozor nad dodržováním povinností stanovených tímto zákonem při zpracování osobních údajů,

b)  vede evidenci oznámení učiněných podle § 16 a registr povolených zpracování osobních údajů (dále jen “registr”),

c)  přijímá podněty a stížnosti občanů na porušení tohoto zákona,

d)  zpracovává a veřejnosti zpřístupňuje výroční zprávu o své činnosti,

e)  vydává prováděcí právní předpisy podle zvláštního zákona [Zákon č. 227/2000 Sb.],

f)   vykonává další působnosti stanovené mu zákonem,

g)  projednává přestupky a jiné správní delikty a uděluje pokuty podle tohoto zákona,

h)  zajišťuje plnění požadavků vyplývajících z mezinárodních smluv, jimiž je Česká republika vázána,

i)   poskytuje konzultace v oblasti ochrany osobních údajů,

j)   spolupracuje s obdobnými úřady jiných států.

(2)   Při výkonu dozoru ve formě kontroly se postupuje podle zvláštního právního předpisu [Zákon č.552/1991 Sb. o státní kontrole, ve znění zákona č.166/1993 Sb. a zákona č.148/1998 Sb.].

(3)   Dozor nad zpracováním osobních údajů, které provádějí zpravodajské služby, stanoví zvláštní právní předpis [§ 12 zákona č.153/1994 Sb., o zpravodajských službách České republiky].

(4)   Úřad uděluje a odnímá akreditace k působení jako akreditovaný poskytovatel certifikačních služeb a provádí dozor nad  dodržováním povinností stanovených zákonem o elektronickém podpisu.

 

Odst.4 byl doplněn zákonem č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu), který rozšířil jeho působnost.

 

 

Hlava V

Organizace Úřadu

 

§ 30

 

(1)   Zaměstnanci Úřadu jsou předseda, inspektoři a další zaměstnanci.

(2)   Kontrolní činnost Úřadu provádějí inspektoři a pověření zaměstnanci (dále jen “kontrolující”).

(3)   Na zaměstnance Úřadu se vztahují ustanovení zákoníku práce, pokud tento zákon nestanoví jinak.

(4)   Předseda Úřadu má nárok na plat, další plat, náhradu výdajů a naturální plnění jako prezident Nejvyššího kontrolního úřadu podle zvláštního zákona. [Zákon č. 236/1995 Sb., o platu a dalších náležitostech spojených s výkonem funkce představitelů státní moci a některých státních orgánů a soudců, ve znění pozdějších předpisů.]

(5)   Inspektoři Úřadu mají nárok na plat, další plat, náhradu výdajů a naturální plnění jako členové Nejvyššího kontrolního úřadu podle zvláštního zákona. [Zákon č. 236/1995 Sb., o platu a dalších náležitostech spojených s výkonem funkce představitelů státní moci a některých státních orgánů a soudců, ve znění pozdějších předpisů.]

(6)   Platové poměry zaměstnanců Úřadu, s výjimkou předsedy a inspektorů, se řídí právními předpisy upravujícími platové poměry zaměstnanců orgánů státní správy [Zákon č.143/1992 Sb., o platu a odměně za pracovní pohotovost v rozpočtových a některých dalších organizacích a orgánech, ve znění zákona č.590/1992 Sb., zákona č.10/1993 Sb., zákona č.40/1994 Sb., zákona č.118/1995 Sb. a zákona č.201/1997 Sb., Nařízení vlády ČR č.253/1992 Sb., o platových poměrech zaměstnanců orgánů státní správy, některých dalších orgánů a obcí, ve znění nařízení vlády č.43/1993 Sb., nařízení vlády č.78/1994 Sb., nařízení vlády č.142/1995 Sb., nařízení vlády č.71/1996 Sb., nařízení vlády č.326/1996 Sb., nařízení vlády č.163/1997 Sb. a č.248/1998 Sb.].

(7)   Zaměstnancům Úřadu, s výjimkou předsedy a inspektorů, přísluší náhrada cestovních výdajů podle zvláštního právního předpisu [Zákon č.119/1992 Sb., o cestovních náhradách, ve znění zákona č.44/1994 Sb., zákona č.125/1998 Sb. a zákona č.324/1998 Sb.].

 

§ 31

 

Kontrolní činnost Úřadu se provádí na základě kontrolního plánu nebo na základě podnětů a stížností občanů.

 

§ 32

 

Předseda Úřadu

(1)   Úřad řídí předseda, kterého jmenuje a odvolává prezident republiky na návrh Senátu Parlamentu České republiky.

(2)   Předseda Úřadu je jmenován na dobu 5 let. Může být jmenován maximálně na 2 po sobě jdoucí období.

(3)   Předsedou Úřadu může být jmenován pouze občan České republiky, který

a)  je způsobilý k právním úkonům,

b)  je bezúhonný, splňuje podmínky stanovené zvláštním právním předpisem [Zákon č.451/1991 Sb., kterým se stanoví některé další předpoklady pro výkony některých funkcí ve státních orgánech a organizacích ČSFR, ČR a SR, ve znění zákona č.555/1992 Sb. a zákona č.254/1995 Sb.] a jeho znalosti, zkušenosti a morální vlastnosti jsou předpokladem, že bude svoji funkci řádně zastávat,

c)  má ukončené vysokoškolské vzdělání.

(4)   Bezúhonnou je pro účel tohoto zákona fyzická osoba, která nebyla pravomocně odsouzena pro úmyslný trestný čin, nebo i trestný čin spáchaný z nedbalosti v souvislosti se zpracováním osobních údajů.

(5)   S výkonem funkce předsedy Úřadu je neslučitelná funkce poslance nebo senátora, soudce, státního zástupce, jakákoliv funkce ve veřejné správě, funkce člena orgánů územní samosprávy a členství v politických stranách a hnutích.

(6)   Předseda Úřadu nesmí zastávat jinou placenou funkci, být v dalším pracovním poměru ani vykonávat výdělečnou činnost s výjimkou správy vlastního majetku a činnosti vědecké, pedagogické, literární, publicistické a umělecké, pokud tato činnost nenarušuje důstojnost nebo neohrožuje důvěru v nezávislost a nestrannost Úřadu.

(7)   Z funkce je předseda Úřadu odvolán, přestal-li splňovat některou z podmínek pro jeho jmenování.

(8)   Z funkce může být předseda odvolán také tehdy, jestliže nevykonává po dobu 6 měsíců svoji funkci.

 

Inspektoři Úřadu

§ 33

 

(1)   Inspektora jmenuje a odvolává prezident republiky na návrh Senátu Parlamentu České republiky.

(2)   Inspektor je jmenován na období 10 let. Může být jmenován opakovaně.

(3)   Inspektor vykonává kontrolu, řídí kontrolu, vypracovává kontrolní protokol a provádí další úkony, jež souvisejí s úkoly Úřadu.

(4)   Činnosti podle odstavce 2 vykonává 7 inspektorů Úřadu.

 

Počet inspektorů vychází jednak z nového územního členění, jednak ze zvyklostí v zemích EU.

 

§ 34

 

(1)   Inspektorem může být jmenován občan České republiky, který je způsobilý k právním úkonům, bezúhonný, splňuje podmínky stanovené zvláštním právním předpisem a má ukončené odborné vysokoškolské vzdělání.

(2)   S výkonem funkce inspektora je neslučitelná funkce poslance nebo senátora, soudce, státního zástupce, jakákoliv funkce ve veřejné správě, funkce člena orgánů územní samosprávy a členství v politických stranách a hnutích. Inspektor nesmí zastávat jinou placenou funkci, být v pracovním poměru ani vykonávat výdělečnou činnost s výjimkou správy vlastního majetku a činnosti vědecké, pedagogické, literární, publicistické a umělecké, pokud tato činnost nenarušuje důstojnost nebo neohrožuje důvěru v nezávislost a nestrannost Úřadu.

(3)   Z funkce je inspektor odvolán, přestal-li splňovat některou z podmínek pro jeho jmenování.

 

Hlava VI

Činnost Úřadu

 

§ 35

Registrace

 

(1)   Do registru povolených zpracování osobních údajů se zapisují údaje z oznámení podle § 16 odst. 2.

(2)   Registraci nebo její zrušení zveřejňuje Úřad nejdéle do 2 měsíců ve Věstníku Úřadu, nestanoví-li zvláštní zákon, že se registrace nebo její zrušení nezveřejňuje. Oznámení o registraci nebo oznámení o zrušení registrace může Úřad zveřejnit i jiným vhodným způsobem.

(3)   Registr je veřejně přístupný s výjimkou údajů uvedených v § 16 odstavce 2 písm. e) a i).

 

Toto ustanovení stanoví, v souladu se Směrnicí (čl.21), jak bude vytvořen a zveřejněn registr povolených zpracování osobních údajů. Úřad bude zveřejňovat jednak vlastní registr, jednak přehled všech povolených zpracování osobních údajů. Informace o povolených zpracováních budou oznamovány ve Věstníku Úřadu, případně také na Internetu apod. Vlastní registr pak na Internetu či jinou vhodnou formou zveřejnění. Zveřejňování se nebude týkat těch údajů, resp. správců, kde to vylučuje zvláštní zákon. V praxi se tato výjimka bude týkat těch údajů, které jsou utajovanými skutečnostmi. Registr bude mít povahu veřejně přístupného seznamu, vyjímaje ty části, které jsou utajovanými skutečnostmi.

 

§ 36

Výroční zpráva

 

(1)   Výroční zpráva Úřadu obsahuje zejména informace o provedené kontrolní činnosti a její zhodnocení, informace a zhodnocení stavu v oblasti zpracovávání a ochrany osobních údajů v České republice a zhodnocení ostatní činnosti Úřadu.

(2)   Výroční zprávu předkládá předseda Úřadu pro informaci Poslanecké sněmovně a Senátu Parlamentu České republiky a vládě České republiky do 2 měsíců po skončení rozpočtového roku a zveřejňuje ji ve Věstníku Úřadu.

 

§ 37

Oprávnění kontrolujících

 

Kontrolující jsou při provádění kontroly oprávněni:

a)      vstupovat do objektů, zařízení a provozů, na pozemky a do jiných prostor kontrolovaných správců a zpracovatelů nebo každého kdo zpracovává osobní údaje (dále jen “kontrolovaných”), pokud to souvisí s předmětem kontroly; do obydlí mohou vstupovat pouze v případě, že tato slouží také k provozování podnikatelské činnosti,

b)      požadovat na kontrolovaných a na jiných osobách, aby ve stanovených lhůtách předložily originální doklady a další písemnosti, záznamy dat na paměťových médiích, výpisy a zdrojové kódy programů, pokud je vlastní, výpisy a opisy dat (dále jen “doklady”), pokud to souvisí s předmětem kontroly, a provádět vlastní dokumentaci,

c)      seznamovat se s utajovanými skutečnostmi za podmínek stanovených zvláštním zákonem [Zákon č.148/1998 Sb., o ochraně utajovaných skutečností, ve znění zákona č.164/1999 Sb.], jakož i dalšími skutečnostmi, které jsou chráněny povinností mlčenlivosti,

d)      požadovat na fyzických i právnických osobách poskytnutí pravdivých a úplných informací o zjišťovaných a souvisejících skutečnostech,

e)      zajišťovat v odůvodněných případech doklady; jejich převzetí musí kontrolovanému písemně potvrdit a na jeho žádost mu ponechat kopie převzatých dokladů,

f)        pořídit kopie obsahu paměťových médií nacházejících se u kontrolovaného,

g)      požadovat, aby kontrolovaní podali ve stanovené lhůtě písemnou zprávu o odstranění zjištěných nedostatků,

h)      používat telekomunikační zařízení kontrolovaných v případech, kdy je jejich použití nezbytné pro zabezpečení kontroly.

 

§ 38

Povinnosti kontrolujících

 

(1)   Kontrolu nesmějí provádět ti kontrolující, u nichž se zřetelem na jejich vztah ke kontrolovaným nebo k předmětu kontroly jsou důvodné pochybnosti o jejich nepodjatosti.

(2)   Kontrolující je povinen bezprostředně po tom, co se dozví o skutečnostech nasvědčujících jeho podjatosti, oznámit to předsedovi Úřadu.

(3)   O námitce podjatosti kontrolujícího rozhodne předseda Úřadu bez zbytečného odkladu. Do rozhodnutí o námitce podjatosti činí kontrolující pouze úkony, které nesnesou odkladu.

(4)   Proti rozhodnutí o námitce podjatosti se nelze odvolat.

(5)   Kontrolující jsou povinni:

a)  prokázat se kontrolovanému průkazem kontrolora,

b)  oznámit kontrolovanému zahájení kontroly,

c)  šetřit práva a právem chráněné zájmy kontrolovaných,

d)  předat neprodleně převzaté doklady, jakož i kopie paměťových médií kontrolovanému, pominou-li důvody jejich převzetí,

e)  řádně ochraňovat zajištěné doklady proti jejich ztrátě, zničení, poškození nebo zneužití,

f)   pořizovat o výsledcích kontroly kontrolní protokol,

g)  zachovávat mlčenlivost o skutečnostech zjištěných při výkonu kontroly a nezneužít znalosti těchto skutečností. Povinností mlčenlivosti není dotčena oznamovací povinnost podle zvláštních zákonů. Povinnost mlčenlivosti přetrvává i po skončení pracovněprávního vztahu k Úřadu. Povinnosti mlčenlivosti může kontrolujícího zbavit předseda Úřadu. Povinnost mlčenlivosti se nevztahuje na anonymizované a zobecněné informace.

(6)   Kontrolní protokol obsahuje zejména popis zjištěných skutečností s uvedením nedostatků a označení ustanovení právních předpisů, které byly porušeny, a opatření, která byla uložena k nápravě a stanovení lhůt, do kdy je třeba je učinit. V kontrolním protokolu se uvádí označení Úřadu a jména kontrolujících na kontrole zúčastněných, označení kontrolovaného, místo a čas provedení kontroly, předmět kontroly, skutečný stav, označení dokladů a ostatních dokumentů a zjištění, o které se protokol opírá. Kontrolní protokol podepisují kontrolující, kteří se kontroly zúčastnili.

(7)   Povinností kontrolujících je seznámit kontrolované s obsahem kontrolního protokolu a předat jim jeho stejnopis. Seznámení s kontrolním protokolem a jeho převzetí potvrzují kontrolovaní podpisem kontrolního protokolu. Odmítne-li kontrolovaný seznámit se s kontrolním protokolem nebo toto seznámení potvrdit, vyznačí se tyto skutečnosti v kontrolním protokolu.

 

§ 39

 

Každý je povinen v souvislosti s výkonem kontroly poskytnout kontrolujícím při výkonu jejich činnosti potřebnou součinnost.

 

Ukládá se každému poskytnout potřebnou součinnost při výkonu kontroly. Toto ustanovení má zabránit tomu, by např. kontrolovaná osoba nepřenesla některé důležité předměty, dokumenty a jiné materiály důležité pro provedení kontroly na osoby, které nejsou kontrolovány. Povinnost poskytnout potřebnou součinnost je uložena právnickým i fyzickým osobám.

 

Opatření k nápravě

§ 40

 

(1)   Zjistí-li kontrolující, že došlo k porušení povinností uložených tímto zákonem, uloží inspektor, jaká opatření je třeba učinit, aby byly zjištěné nedostatky odstraněny, a stanoví lhůtu pro jejich odstranění.

(2)   Byla-li uložena likvidace osobních údajů, jsou osobní údaje do likvidace blokovány. Proti uložení likvidace může správce podat námitku k předsedovi Úřadu. Do doby, než bude o námitce rozhodnuto, musí být osobní údaje blokovány. Proti rozhodnutí předsedy lze podat žalobu podle předpisů o správním soudnictví. Do doby, než bude soudem rozhodnuto, jsou údaje blokovány.

(3)   Kontrolovaný je povinen ve stanovené lhůtě podat zprávu o přijatých opatřeních.

 

§ 41

 

V řízení ve věcech upravených tímto zákonem se postupuje podle správního řádu [Zákon č.71/1967 Sb., o správním řízení (správní řád), ve znění zákona č.283/1993 Sb.], pokud ustanovení tohoto zákona nestanoví jinak.

 

§ 42

 

Provozováním informačních systémů nakládajících s osobními údaji podle dosavadních předpisů se rozumí zpracování osobních údajů.

 

Oprávnění a povinnosti při dozoru

§ 43

 

Oprávnění a povinnosti kontrolujících a kontrolovaných osob se řídí zvláštním právním předpisem, pokud tento zákon nestanoví jinak.

 

 

Hlava VII

Sankce

 

§ 44

Přestupky

 

(1)   Přestupku se dopustí a pokutou do výše 50 000 Kč bude potrestána osoba, která je ke správci nebo zpracovateli v pracovním nebo jiném obdobném poměru nebo pro něj vykonává činnosti na základě dohody, nebo osoba, která v rámci plnění zákonem uložených oprávnění a povinností přichází do styku s osobními údaji správce nebo zpracovatele, pokud poruší povinnost mlčenlivosti, uloženou podle tohoto zákona.

(2)   Přestupku se dopustí a pokutou do výše 25 000 Kč bude potrestána osoba uvedená v odstavci 1, pokud poruší jinou povinnost stanovenou tímto zákonem.

(3)   Na přestupky a jejich projednávání se vztahuje zvláštní zákon [Zákon č.200/1990 Sb., o přestupcích, ve znění zákona č.337/1992 Sb., zákona č.67/1993 Sb., zákona č.290/1993 Sb., zákona č.134/1994 Sb., zákona č.82/1995 Sb., zákona č.279/1995 Sb., zákona č.237/1995 Sb., zákona č.112/1998 Sb. a zákona č.168/1999 Sb.].

(4)   K projednávání přestupků je příslušný Úřad.

 

§ 45

Pořádková pokuta

 

Osobě, která neposkytne Úřadu při výkonu kontroly potřebnou součinnost, může být uložena pořádková pokuta do výše 25 000 Kč, a to i opakovaně.

 

§ 46

Pokuty správcům a zpracovatelům

 

(1)   Pokutou do výše 10 000 000 Kč bude potrestán správce nebo zpracovatel, který poruší povinnost stanovenou tímto zákonem při zpracování osobních údajů.

(2)   Pokud správce nebo zpracovatel do jednoho roku ode dne, kdy nabylo rozhodnutí o uložení pokuty právní moci, porušil povinnosti stanovené tímto zákonem při zpracování osobních údajů opakovaně, může mu být uložena pokuta do výše 20 000 000 Kč.

(3)   Správce nebo zpracovatel, který maří kontrolu prováděnou Úřadem, může být potrestán pořádkovou pokutou do výše 1 000 000 Kč, a to i opakovaně.

(4)   Porušení povinností projednává Úřad.

(5)   Při ukládání pokuty podle tohoto zákona vychází Úřad zejména z povahy, závažnosti, způsobu jednání, míře zavinění, doby trvání a následků protiprávného jednání.

(6)   Pokutu lze uložit do jednoho roku ode dne, kdy příslušný orgán porušení povinnosti zjistil, nejdéle však do tří let ode dne, kdy k porušení povinnosti došlo.

(7)   Pokutu vybírá Úřad. Pokutu vymáhá územní finanční orgán podle zvláštního zákona [Zákon č.337/1992 Sb., o správě daní a poplatků, ve znění zákona č.35/1993 Sb., zákona č.157/1993 Sb., zákona č.302/1993 Sb., zákona č.85/1994 Sb., zákona č.255/1994 Sb., zákona č.59/1995 Sb., zákona č.118/1995 Sb., zákona č.323/1996 Sb., zákona č.61/1997 Sb., zákona č.242/1997 Sb., zákona č.168/1998 Sb. a zákona č.91/1998 Sb.].

(8)   Výnos pokut je příjmem rozpočtu republiky.

 

Porušení povinností správcem nebo zpracovatelem je tzv. jiným správním deliktem, tj. jeho pachatelem mohou být jak právnické, tak i fyzické osoby. Jednání je postihováno bez ohledu na zavinění. Zvláště je postihováno maření řádného výkonu kontroly. Postih odpovídá obecné úpravě těchto deliktů v našem právním řádu. Projednání porušení povinností, stejně jako vybírání pokut provádí Úřad. Nelze však předem stanovit skupiny činností, které budou pokutovány. K takovému stanovení chybí precedentní případy, protože se jedná o novou problematiku. Při stanovení výše pokuty však bude přihlíženo k závažnosti porušení zákona, době trvání protiprávního jednání apod.

 

 

Hlava VIII

Ustanovení společná, přechodná a závěrečná

 

§ 47

Opatření pro přechodné období

 

(1)   Každý, kdo zpracovává ke dni nabytí účinnosti tohoto zákona osobní údaje a na něhož se vztahuje povinnost oznámení podle § 16, je povinen tak učinit nejpozději do 6 měsíců ode dne nabytí účinnosti tohoto zákona.

(2)   Zpracování osobních údajů prováděné před účinností tohoto zákona je nutno uvést do souladu s tímto zákonem do 31. prosince 2001.

(3)   V případě, že kontrolující zjistí porušení povinnosti podle odstavce 2, ustanovení § 46 odst. 1 a 2 se v takovém případě do 31. prosince 2002 nepoužijí.


 

§ 48

Zrušovací ustanovení

 

Zrušuje se zákon č.256/1992 Sb., o ochraně osobních údajů v informačních systémech.

 

 

 

 

ČÁST DRUHÁ

 

§ 49

Novela trestního zákona

 

Zákon č.140/1961 Sb., trestní zákon, ve znění zákona č.120/1962 Sb., zákona č.53/1963 Sb., zákona č.56/1966 Sb., zákona č.148/1969 Sb., zákona č.45/1973 Sb., zákona č.43/1980 Sb., zákona č.10/1989 Sb., zákona č.159/1989 Sb., zákona č.47/1990 Sb., zákona č.84/1990 Sb., zákona č.175/1990 Sb., zákona č.457/1990 Sb., zákona č.545/1990 Sb., zákona č.490/1991 Sb., zákona č.557/1991 Sb., nálezu Ústavního soudu ČSFR ze 4.9.1992, zákona č.290/1993 Sb., zákona č.38/1994 Sb., zákona č.91/1994 Sb., zákona č.152/1995 Sb., zákona č.19/1997 Sb., zákona č.103/1997 Sb., zákona č.253/1997 Sb., zákona č.92/1998 Sb., zákona č.112/1998 Sb., zákona č.148/1998 Sb., zákona č.167/1998 Sb., zákona č.96/1999 Sb. se mění a doplňuje takto:

V § 178 odstavce 1 a 2 znějí:

 

Ҥ 178

Neoprávněné nakládání s osobními údaji

(1)   Kdo, byť i z nedbalosti, neoprávněně sdělí, zpřístupní, jinak zpracovává nebo si přisvojí osobní údaje o jiném v souvislosti s výkonem veřejné moci, bude potrestán odnětím svobody až na tři léta nebo zákazem činnosti nebo peněžitým trestem.

(2)   V § 178 odst. 2 se za slovo “kdo” vkládá slovo “osobní”.

 

Změna trestního zákona vychází z požadavku dikce (a terminologie) nového zákona. Výše trestní sazby se oproti dosavadní úpravě nemění.

 

 

ČÁST TŘETÍ

 

§ 50

Novela zákona o svobodném přístupu k informacím

 

Zákon č. 106/1999 Sb., o svobodném přístupu k informacím se mění takto:

(1)   V § 2 odst. 3 včetně pozámky pod čarou č. 1) zní:

 

“(3) Zákon se nevztahuje na poskytování osobních údajů a informací podle zvláštního právního předpisu.1)

____________________

1) Například zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, a zákon č. 123/1998 Sb., o právu na informace o životním prostředí.”.

 

(2)   V § 5 odst. 3 se věta druhá nahrazuje větou, která včetně poznámky pod čarou č. 3a) zní: “Na tyto subjekty se pro tento účel nevztahuje povinnost zamezit sdružování informací podle zvláštního právního předpisu.3a)

____________________

 

3a) § 5 odst. 1 písm. h) zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů.”.

 

(3)   V § 8 se odstavce 1 a 2 včetně nadpisu a poznámky pod čarou č. 5) zrušují.

 

 

ČÁST ČTVRTÁ

 

ÚČINNOST

 

§ 51

 

Tento zákon nabývá účinnosti dnem 1. června 2000, s výjimkou ustanovení § 16, 17 a 35, které nabývá účinnosti dnem 1. prosince 2000.

 

 

 

 

V Brně 12. července 2002

 

 

 

RNDr. Mgr. Vladimír Šmíd, CSc., 1960, matematik, informatik a právník;
matematik-analytik Ústavu výpočetní techniky MU (1984-1995), vedoucí Útvaru systémového řízení a organizace MU (od 1995), odborný asistent Katedry informačních technologií Fakulty informatiky MU (od 1995);
Masarykova univerzita v Brně, rektorát, Žerotínovo nám. 9, 601 77 Brno, Česká republika
smid@rect.muni.cz