Zákon č. 101/2000 Sb.,

o ochraně osobních údajů a o změně některých zákonů,

ve znění zákona č. 227/2000 Sb., zákona č. 177/2001 Sb.,

zákona č. 450/2001 Sb., zákona č. 107/2002 Sb., zákona č. 310/2002 Sb. a zákona č. 517/2002 Sb.

 

(komentář)

 

Vladimír Šmíd

 

Úvod

Aktuální etapa vývoje lidské civilizace bývá často nazývána informačním věkem. Znamená to, že si člověk uvědomuje nezastupitelnost úlohy informací pro kvalitu svého života a snad i život vůbec. Čím je tak důležitý onen „libovolný druh poznání nebo zprávy, který lze použít pro umožnění nebo zlepšení rozhodnutí nebo činnosti“[1]? A proč právě na přelomu 2. a 3. tisíciletí?

Jako nejpravděpodobnější se ukazuje skutečnost, že lidstvo si začíná skutečně vážně uvědomovat (byť často jen implicitně) vyčerpatelnost disponibilních zdrojů ve vztahu ke svým realizovaným či potenciálním potřebám. Civilizace jako celek tak celkem přirozeně zjišťuje, že jediným jejím opravdu nevyčerpatelným zdrojem jsou právě informace, a to s ohledem na jejich téměř nekonečnou zmnožitelnost a generovatelnost dalších informací ze sebe sama.

Prohlásíme-li však informace obecně za to nejcennější, co tato planeta má, nezbude nám, než je začít chránit z hlediska jejich hodnoty i nebezpečí zneužití. Zjednodušeně by se snad dalo říci, že informace je určitým druhem majetku nebo snad dokonce zboží, zpravidla má svého vlastníka, a tak by se celý problém mohl zúžit čistě na ochranu takového vlastnického vztahu. Jenomže informace mají natolik unikátní charakter, že s tak jednoduchým přístupem nevystačíme. Nehledě na to, že vždy budou zřejmě existovat takové informace, které se budou šířit zcela nekontrolovaně a bez možnosti (a často i potřeby) ochrany, a pak informace, které za jistých podmínek a jistými způsoby chránit lze (a je nutno chránit).

Zejména nové informační a komunikační technologie, které překonávají bariéry prostoru a času, umožňují efektivní uchovávání a opětovné vyhledávání údajů. Zároveň však tento vývoj přináší dříve neznámá potenciální nebezpečí, respektive nárůst těch nebezpečí již známých. A proto zase musí společnost stanovit pravidla, která by naopak zabránila tomu, aby nesporné výhody, které přinášejí nové technologie, nebyly provázeny oslabením pozice osob, o kterých údaje vypovídají. Znamená to vymezit nové hranice soukromí, které nahradí čas a prostor a které ochrání člověka před diskriminujícím mechanizujícím a počítačovým použitím údajů, které se k němu vztahují. Takové vymezení je pak předpokladem pro to, aby moderní informační a komunikační technologie, které jsou objektivně pro lidstvo přínosem, nepůsobily v jeho neprospěch.

Informace jsou více či méně a lépe či hůře sbírány tak dlouho, kam až lidská paměť sahá. V oněch dávných dobách nebylo třeba se příliš bránit existenci obrovských „smetišť“ obsahujících „hromady“ údajů, kde najít požadovanou informaci v požadovaném čase se rovnalo malému zázraku. Zcela jiná situace nastává v okamžiku, kdy s revoluční změnou informačních technologií lze tyto informace mnohořádově rychleji třídit, vybírat a analyzovat. Další dimenze tohoto problému spočívá i v tom, že pokud dříve měl finanční a technické možnosti s rozsáhlými údajovými základnami nakládat zpravidla pouze stát, s rozvojem počítačové techniky tyto možnosti se stávají dostupné v podstatě komukoliv, kdo vlastní běžný počítač vybavený běžným softwarem a navíc disponuje byť jen obecným právem na získávání informací v kontextu základních lidských práv. A tedy již odtud by přirozeně mohla vycházet nutnost právně omezovat okruh subjektů oprávněných informace daného typu shromažďovat.

Nicméně, ještě speciálnější charakter mají osobní údaje. Jedním z důvodů je to, že se jedná o neoddělitelné a nezcizitelné vlastnictví naprosto každého člověka bez ohledu na jeho ekonomickou situaci a společenské postavení. Druhou zásadní odlišností je fakt, že pokud takové informace získá někdo jiný, může si vytvořit takový profil osoby, který souvisí nejen obecně s důstojností a pověstí člověka v jistém společenství lidí, ale může mít zcela přirozené pozitivní i negativní následky z hlediska nejrůznějších konkrétních aktivit.

Teoretické extrémní přístupy k řešení těchto otázek by mohly být v zásadě dva:

·        umožnit shromažďovat veškeré informace o jedinci na jednom místě s cílem jakoukoliv stránku jeho osobnosti informačně podchytit tak, aby držitel oněch informací mohl mít přehled o tom, co ho zajímá, a to jak ve smyslu působit ve prospěch daného člověka (například zdravotnické informace), tak ve smyslu bránit se před jeho negativní činností (například informace o trestné činnosti);

·        neshromažďovat vůbec žádné informace, protože všechno, co se týká jedince, je jeho výlučnou záležitostí a nikdo nemá právo jakkoliv do jeho soukromí zasahovat.

V každém případě je jasné, že volba jednoho či druhého extrému není udržitelná a že jádro souvisejících problémů spočívá v nalezení vhodného a přijatelného kompromisu mezi nimi.

 

1. Ústavní základy

Moderní demokratická společnost musí být schopna dostát své základní povinnosti, kterou je ochrana práv občana včetně ochrany informací, zejména údajů vztahujících se k osobnosti a soukromí občana.

Vnitrostátní normou České republiky nejvyšší právní síly v této oblasti je Listina základních práv a svobod[2] vyhlášená pro Českou republiku 16. prosince 1992 jako součást ústavního pořádku České republiky. Ta již od svého prvního znění[3] účinného pro Českou a Slovenskou Federativní Republiku od 8. února 1991 v čl. 7 odst. 1 zaručuje nedotknutelnost osoby a jejího soukromí s tím, že toto právo může být omezeno jen v případech stanovených zákonem. Dále pak v souladu s čl. 10 má každý právo, aby byla zachována jeho lidská důstojnost, osobní čest, dobrá pověst a chráněno jeho jméno (odst. 1), má právo na ochranu před neoprávněným zasahováním do soukromého a rodinného života (odst. 2) a konečně pak zejména má právo na ochranu před neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním údajů o své osobě (odst. 3). Všechna dosud uvedená práva jsou zařazena v oddílu první hlavy druhé mezi základní lidská práva a svobody.

Svým způsobem z opačného směru pohlíží na uvedené otázky ve druhém oddílu mezi politická práva zařazený čl. 17, dle nějž je zaručena svoboda projevu a právo na informace (odst. 1) a kde se současně uvádí, že svobodu projevu a právo vyhledávat a šířit informace lze omezit zákonem, jde-li o opatření v demokratické společnosti nezbytná pro ochranu práv a svobod druhých, bezpečnost státu, veřejnou bezpečnost, ochranu veřejného zdraví a mravnosti. Zároveň v souladu s čl. 36 je každému dána možnost domáhat se stanoveným postupem svého práva u nezávislého a nestranného soudu a ve stanovených případech u jiného orgánu (odst. 1), respektive, každý, kdo tvrdí, že byl na svých právech zkrácen rozhodnutím orgánu veřejné správy, se může obrátit na soud, aby přezkoumal zákonnost takového rozhodnutí, nestanoví-li zákon jinak (odst. 2).

Poznamenejme že z věcného hlediska tato práva nejsou omezena co do formy zacházení s osobními údaji. Proto se nepochybně vztahují zejména na jakékoliv neoprávněné zásahy vůči osobním údajům, jejich utajením počínaje a libovolnými způsoby manipulace s nimi konče. Rovněž není v této souvislosti zásadní historie toků takových dat, a proto je ochrana obecně poskytována jak údajům, které nejsou veřejně známy, tak i těm, které již byly zveřejněny (jsou součástí veřejných seznamů či byly zveřejněny ve sdělovacích prostředcích libovolného druhu). Obecnou zásadou pak je, že buď o disponování s vlastními údaji je osoba oprávněna rozhodovat sama nebo její souhlas musí být nahrazen zmocněním na základě zákona.

Uvedená úprava je v souladu se základními dokumenty mezinárodního práva upravujícími tuto problematiku. Na prvním místě je třeba zmínit Všeobecnou deklaraci lidských práv přijatou dne 10. prosince 1948 Organizací spojených národů, kde se v čl. 12 praví: „Nikdo nesmí být vystaven svévolnému zasahování do soukromého života, do rodiny, domova nebo korespondence, ani útokům na svou čest a pověst. Každý má právo na zákonnou ochranu proti takovým zásahům nebo útokům.“ O poznání silněji a podrobněji je totéž upraveno v konvenci iniciované Radou Evropy, Úmluvě o ochraně lidských práv a základních svobod[4] sjednané v Římě dne 4. listopadu 1950, podepsané jménem ČSFR 21. února 1991 a po ratifikaci účinné pro ČSFR od 18. března 1992. Zde se v čl. 8 uvádí obdobná obecná formulace, že „každý má právo na respektování svého soukromého a rodinného života, obydlí a korespondence“ (odst. 1) a současně je (v odst. 2) upřesněna možnost stanovení výjimek, kdy „státní orgán nemůže do výkonu tohoto práva zasahovat kromě případů, kdy je to v souladu se zákonem a nezbytné v demokratické společnosti v zájmu národní bezpečnosti, veřejné bezpečnosti, hospodářského blahobytu země, předcházení nepokojům a zločinnosti, ochrany zdraví nebo morálky nebo ochrany práv a svobod jiných“. Prakticky se v takovém případě jedná o to, že zmiňovaná práva mohou vůbec být smluvními stranami omezena. Taková omezení však musí vyhovovat těmto podmínkám:

·        omezení musí být stanoveno zákonem, jímž se rozumí jakýkoli pramen práva, včetně soudního precedentu, pokud jde o zákon dostupný, přesný a předvídatelný;

·        omezení musí sledovat některý z cílů, které jsou taxativně uvedeny v restriktivních klauzulích, například bezpečnost, ochranu zdraví nebo morálky, předcházení trestné činnosti apod.;

·        rovněž pak smluvní strany mohou derivovat práva a svobody zaručené touto Úmluvou v případě války nebo jakéhokoli jiného veřejného ohrožení státní existence (viz čl. 15 odst. 1 Úmluvy).

Úmluva o ochraně lidských práv a základních svobod je dle čl. 10 Ústavy České republiky[5] jako vyhlášená mezinárodní smlouva, k jejíž ratifikaci dal Parlament souhlas a jíž je Česká republika vázána, součástí právního řádu a má přednost před vnitrostátním právem.

Na právní úpravu obsaženou v Listině základních práv a svobod navazují a konkretizují ji ustanovení Občanského zákoníku[6] upravující ochranu osobnosti. V ustanovení § 11 je mimo jiné uvedeno právo každé fyzické osoby na ochranu své osobnosti, zejména života a zdraví, občanské cti a lidské důstojnosti, jakož i soukromí, svého jména a projevů osobní povahy. Prostředky právní ochrany jsou obsaženy v § 13, kdy fyzická osoba má právo se domáhat, aby bylo upuštěno od neoprávněných zásahů do práva na ochranu její osobnosti, aby byly odstraněny následky těchto zásahů a aby jí bylo dáno přiměřené zadostiučinění. Pokud by se nejevilo postačujícím zadostiučinění zejména proto, že byla ve značné míře snížena důstojnost fyzické osoby nebo její vážnost ve společnosti, má fyzická osoba též právo na náhradu nemajetkové újmy v penězích. Ustanovení § 16 upravuje odpovědnost za škodu způsobenou zásahem do práva na ochranu osobnosti, pro níž se užije ustanovení uvedeného zákona o odpovědnosti za škodu.

Klíčová role v oblasti ochrany osobních údajů je v českém právu v posledních deseti letech svěřena zvláštním zákonům, které opět vycházejí z Listiny základních práv a svobod a jako ucelené právní předpisy komplexně upravují zacházení s osobními údaji. Prvním z nich byl zákon č. 256/1992 Sb., o ochraně osobních údajů v informačních systémech (účinným byl od 1. června 1992 do 1. června 2000), který byl následován zákonem č. 101/2000 Sb., o ochraně osobních údajů. Tyto zákony působí jako svého druhu lex generalis pro ochranu osobních údajů v České republice. Vedle nich však existuje řada speciálních norem upravujících zpravidla oblast života společnosti či dokonce konkrétní informační systém a stanoví zvláštní pravidla pro související zpracování osobních údajů. V. Smejkal, T. Sokol a M. Vlček[7] uvádějí k datu 1. 1. 1994 celkem 43 takové předpisy o síle zákona (podzákonných předpisů je podle nich řádově více). P. Mates a K. Neuwirt[8] o pět let později vyjmenovávají 75 zákonů upravujících zpracování osobních údajů.

 

2. Mezinárodněprávní úpravy

Přestože první mezinárodně závazné dokumenty vztahující se ochraně soukromí jednotlivce a jeho osobních údajů zvláště se objevují (jak bylo zmíněno v předchozí kapitole) již na konci 40. let, trvalo i vyspělým demokraciím nejméně dalších 20 let, než se pod vlivem rychlého a masivního technologického vývoje prostředků, schopných umožnit vznik velkých databází, nárůst sběru, zpracování a přenosu dat a tak současně zvýšit možnosti zpracovávání údajů o soukromí osob, začaly skutečně vážně zabývat konstruováním odpovídajícího právního prostředí. Současně je také třeba hned úvodem ocenit, že jednotlivé státy si při vytváření vnitrostátních norem dobře a včas uvědomovaly, že informace s ohledem na svůj vlastní charakter téměř neomezeného dosahu a průniku nelze účinně chránit na čistě teritoriálním principu. S tímto vědomím pak velmi brzy začaly vznikat konvence různých druhů, které nejen že byly schopny šetřit práci národním legislativcům s vymýšlením vymyšleného, ale především se tak přirozeně začalo vytvářet svým způsobem jednotné mezinárodní prostředí, kde se dodržují stejná pravidla bez ohledu na státní hranice. Dokonce zde došlo k méně obvyklé situaci, že mnohé vnitrostátní zákony obecně upravující ochranu osobních údajů byly přijímány později (zejména uveďme příslušné české zákony) a tedy již za existence těchto mezinárodních koordinačních norem. Na druhou stranu je třeba objektivně přiznat, že se jednalo o možnost, která ne vždy byla národními parlamenty správně a důsledně využita a výsledkem rozhodně nebyly uniformní zákony ve všech státech.

Historicky prvními příklady v tomto smyslu jsou dvě usnesení, kterými se na popud Parlamentního shromáždění rozhodla Rada Evropy vytvořit zvláštní pravidla pro zabránění nečestnému zpracování osobních údajů ve veřejné i soukromé sféře. Jednalo se o Resolution (73) 22[9] a Resolution (74) 29[10], které stanovily principy týkající se ochrany soukromí osob při vytváření elektronických databank ve veřejném a soukromém sektoru. Jejich vlastním cílem tehdy bylo povzbudit vytvoření národních legislativních opatření pro vytváření elektronických datových souborů. Mezi prvními státy, které reagovaly na uvedené impulsy přijetím svých vnitrostátních zákonů na ochranu osobních dat bylo Švédsko (1973), Spolková republika Německo (1977), Rakousko (1978) a dále pak v krátkém čase Dánsko, Francie, Norsko a Lucembursko. Právě v této fázi se ukázalo, že národní opatření a mezinárodní spolupráce budou muset být nahrazeny mezinárodními standardy.

První pokus o stanovení opravdu komplexních standardizačních pravidel ve smyslu sjednocení národních pravidel na ochranu osobních dat a zejména pak odstranění bariér pro jejich předávání mezi jednotlivými státy však není spojen s Radou Evropy, ale s Organizací pro hospodářskou spolupráci a rozvoj (OECD). Ta vydala dne 1. října 1980 „Doporučení pro ochranu soukromí a toky osobních údajů přes hranice[11]. OECD v něm zejména doporučuje členským státům, aby:

1.    do svého vnitrostátního práva zahrnuly principy vztahující se k ochraně soukromí a svobody jednotlivce tak, jak jsou obsaženy v tomto materiálu; a

2.    odstranily překážky, které v zájmu ochrany osobnosti brání přeshraničnímu toku osobních dat.

Dokument z hlediska právní závaznosti a okruhu působnosti nelze počítat k dostatečně významným. Zajímavé na něm jsou však právě ony výše zmiňované principy, které jsou na nadnárodní úrovni použity poprvé. Jedná se o:

a)    princip omezení sběru osobních dat (správnost a legálnost);

b)   princip kvality osobních dat (adekvátnost účelu, přesnost, úplnost a aktuálnost); princip specifikace účelu sběru osobních dat (stanovení účelu musí předcházet začátku sběru dat);

c)    princip omezení užití osobních dat (mohou být zpřístupněna nebo užita jinak pouze se souhlasem subjektu dat nebo na základě zákona);

d)   princip záruk bezpečnosti osobních dat (musí být chráněna před ztrátou či neoprávněným přístupem, zničením, užitím, změnou nebo zveřejněním);

e)    princip otevřenosti (veřejnost informací o povaze a účelu zpracovávaných osobních dat a o jejich správci);

f)     princip účasti subjektu osobních dat (právo na informaci o datech o něm sbíraných, právo na zpřístupnění jeho dat, právo na výmaz, opravu a doplnění);

g)    princip odpovědnosti správce osobních dat (odpovídá za dodržování všech výše uvedených principů).

Přestože uvedené Doporučení OECD má pouze formu tezí vnášejících do praxe vyspělých zemí obecně ale nezávazně uplatňovaná kritéria ochrany osobních údajů, principy zde uvedené byly později v zásadě převzaty a precizovány v dalších dokumentech, které jim daly navíc skutečnou právní závaznost.

 

2.1 Aktivity Rady Evropy

Dne 28. ledna 1981 schválila Rady Evropy Úmluvu ETS č. 108 o ochraně osob s ohledem na automatizované zpracování osobních dat[12]. Tato Úmluva se stala prvním uceleným mezinárodním právním dokumentem v oblasti ochrany osobních údajů. Úmluvě ETS č. 108 byla dána vysoká důležitost i tím, že byla zahrnuta do sféry lidských práv a základních svobod člověka.          Jejím účelem je zabezpečit na území každého členského státu pro každého člověka bez ohledu na národnost a místo pobytu respektování jeho práv a základních svobod, zejména práva na soukromí se zvláštním důrazem na automatizované zpracování osobních dat vztahujících se k němu. Je otevřena k přistoupení členským státům Rady Evropy (případně dalším nečlenským státům, které budou k přistoupení vyzvány Výborem ministrů Rady Evropy), přičemž ze 44 členských států ji dosud 33 států podepsalo a z nich 29 ratifikovalo, čímž se pro ně stala závazná[13]. S ohledem na poměrně složitý legislativní vývoj v této oblasti v České republice trvalo téměř dalších 20 let, než mohla být Úmluva ETS č. 108 dne 8. 9. 2000 jménem České republiky podepsána. Konkrétně se tak stalo až poté, kdy nabyl účinnosti v pořadí druhý zákon upravující ochranu osobních údajů, tedy zákon č. 101/2000 Sb. Úmluvu ETS č. 108 schválila 28. 2. 2001 Poslanecká sněmovna Parlamentu ČR, 28. 3. 2001 Senát Parlamentu ČR a následně ji 29. 5. 2001 podepsal prezident republiky. Ratifikační listina České republiky pak byla uložena u generálního tajemníka Rady Evropy, depozitáře Úmluvy ETS č. 108, dne 9. 7. 2001. Úmluva ETS č. 108 na základě svého článku 22 odst. 3 vstoupila pro Českou republiku v platnost dne 1. 11. 2001[14]. (Poznamenejme pro zajímavost, že vzhledem k poněkud odlišnému legislativnímu vývoji trval tento proces ve Slovenské republice o poznání kratší dobu, takže Úmluva ETS č. 108 mohla být pro Slovenskou republiku ratifikována 24. 8. 2000 a vstoupila v platnost 1. 1. 2001.)

Úmluva ETS č. 108 stanovila nezbytné zásady, které by jednotlivé státy měly aplikovat ve svých právních řádech pro ochranu základních práv svých občanů při zpracování osobních údajů. V čl. 2 jsou poprvé na této úrovni definovány pojmy „osobní údaje“, „subjekt osobních údajů“, „automatizovaný soubor dat“, „automatizované zpracování“ a „správce osobních údajů“. Podle čl. 3 se Úmluva ETS č. 108 aplikuje na automatizované soubory dat a automatizované zpracování osobních dat ve veřejném i soukromém sektoru. Členské státy jsou oprávněny ji rozšířit obecně vzato na skupiny osob bez ohledu na jejich právní status, stejně jako na soubory osobních dat, které nejsou zpracovávány automaticky. Poznamenejme, že právě ta posledně jmenovaná podmínka, respektive oprávnění, se v dalším vývoji stalo jedním z největších problémů. Především proto, že jednotliví účastníci Úmluvy ETS č. 108 zpravidla nevyužívaly nabízené výzvy k rozšíření jejich působnosti na veškerá zpracování osobních údajů a přijímali národní zákony pouze vztažené na automatizovaně zpracovávaná data, takže se nakonec tato skutečnost stala jedním z hlavních důvodů pro de facto vynucenou druhou vlnu modifikací národní legislativy v 90. letech minulého století.

Princip omezení sběru osobních dat a princip omezení užití osobních dat (ve smyslu Doporučení OECD) zde našel své vyjádření v čl. 5 odst. a), podle nějž osobní údaje, které jsou předmětem automatizovaného zpracování, musejí být „získány a zpracovány poctivě a v souladu se zákony“.

Principy kvality osobních dat a specifikace účelu sběru osobních dat byly rozpracovány v podstatě v celém čl. 5, který nese pojem „Kvalita údajů“ ve svém názvu a zahrnuje podmínky:

·        shromažďování osobních údajů za určeným a legitimním účelem, aniž by byla dále používána způsobem neodpovídajícím tomuto účelu,

·        adekvátnosti shromážděných dat účelu, pro nějž jsou sbírána,

·        přesnosti a, pokud je to potřebné, udržování v aktuálním stavu.

Poslední podmínka je vlastně konkretizací původního obecně pojatého požadavku na „přesnost, úplnost a aktuálnost“, kde je zřejmě i z praktického hlediska těžko realizovatelné udržovat v aktuální podobě data, která v daném okamžiku již nejsou pro naplnění svého účelu potřebná. Proto byla tato formulace zeslabena a naopak doplněna o další podmínku stanovující povinnost uchovávat osobní data ve formě umožňující identifikaci subjektu dat pouze po dobu odpovídající účelu, pro nějž byla data shromážděna.

Zvláštní režim Úmluva ETS č. 108 přiznává speciálním typům osobních údajů, které se posléze začaly označovat termínem „citlivé“ údaje. Podle čl. 6 mohou být data prozrazující rasový původ, politické názory, náboženské nebo jiné přesvědčení, jakož i osobní údaje týkající se zdraví nebo sexuálního života automaticky zpracovávána jen tehdy, stanoví-li vnitrostátní právo odpovídající záruky. Totéž platí i pro osobní data, která se týkají trestních odsouzení. Poznamenejme, že se jedná o podmínky, které zde nejsou zcela explicitně definovány, ale implicitně se předpokládá, že budou do vztahu mezi subjektem dat a správcem souboru údajů vloženy zvenčí zákonem a mimo jiné se nároku na jejich splnění subjekt dat sám nemůže vzdát.

Princip záruk bezpečnosti osobních dat je konkretizován v čl. 7, který zavazuje k přijetí odpovídajících bezpečnostních opatření na ochranu osobních dat uložených v automatizovaných datových souborech před náhodným nebo neoprávněným zničením, náhodnou ztrátou, jakož i proti neoprávněnému přístupu, změnám či šíření.

Principu otevřenosti a principu účasti subjektu osobních dat odpovídá čl. 8, podle nějž má každá osoba právo:

a)    zjistit existenci automatizovaného souboru dat, jeho hlavní účel, jakož i totožnost a obvyklé bydliště nebo hlavní pracoviště správce souboru údajů;

b)   získávat v přiměřených intervalech a bez přílišných průtahů či nákladů potvrzení skutečnosti, že v automatizovaném souboru dat jsou uložena data o ní, jakož i sdělení těchto údajů ve srozumitelné formě;

c)    dosáhnout, podle povahy případu, opravy nebo vymazání takových dat, která byla zpracovávána v rozporu s vnitrostátními normami uplatňujícími základní zásady uvedené v této úmluvě;

d)   mít opravný prostředek v případě, že nebylo vyhověno žádosti o potvrzení nebo případně o sdělení, opravu či vymazání.

Současně v čl. 9 se stanoví možný rozsah výjimek z předchozích ustanovení za předpokladu, je-li taková odchylka stanovena zákonem a představuje opatření v demokratické společnosti nezbytné v zájmu:

a)    ochrany bezpečnosti státu, veřejné bezpečnosti, měnových zájmů státu nebo potírání trestné činnosti;

b)   ochrany subjektu dat nebo práv a svobod jiných osob.

Omezení výkonu některých práv mohou být stanovena zákonem pro automatizované soubory dat užívané pro statistické účely nebo vědecký výzkum, jestliže zřejmě neexistuje nebezpečí porušení soukromého života subjektů dat.

Princip odpovědnosti správce osobních dat byl pojat dokonce v obecnějším a širším měřítku v čl. 10 a 11,             dle nichž se strany Úmluvy ETS č. 108 zavazují ve vnitrostátním právu stanovit sankce a opravné prostředky při porušení základních principů ochrany osobních dat a rovněž mohou přijímat vlastní pravidla rozšiřující ochranu osobních dat na rámec Úmluvy ETS č. 108.

Dále se podle čl. 12 předpokládá předávání automatizovaně zpracovávaných osobních dat bez dalších omezení na území jiných smluvních stran a konečně i určení jednoho nebo více úřadů v každé zemi (straně úmluvy), které budou působit v oblasti ochrany osobních údajů a při spolupráci mezi stranami Úmluvy ETS č. 108. V této souvislosti je třeba poznamenat, že zejména reálná existence takového úřadu byla jedním z hlavních problémů, který dlouho znemožňoval podpis a ratifikaci Úmluvy ETS č. 108 Českou republikou.

Zásady stanovené Úmluvou ETS č. 108 byly dále rozpracovány v řadě Doporučení (Recommendation), která se zabývají ochranou osobních údajů ve specifických oblastech. Dosud bylo takto vydáno 13 takových Doporučení:

1)      R(81) 1 o opatřeních pro automatizované zdravotnické databanky[15] (23. 1. 1981).

2)      R(83) 10 o ochraně osobních údajů používaných pro vědecký výzkum a statistiku[16] (23. 9. 1983), které bylo nahrazeno doporučením R(97) 18

3)      R(85) 20 o ochraně osobních údajů používaných pro účely přímého marketingu[17] (25. 10. 1985)

4)      R(86) 1 o ochraně osobních údajů používaných pro účely sociálního zabezpečení[18] (23. 1. 1986)

5)      R(87) 15 usměrňující použití osobních údajů v policejním sektoru[19] (17. 9. 1987)

6)      R(89) 2 o ochraně osobních údajů používaných pro účely zaměstnanosti[20] (18. 1. 1989)

7)      R(90) 19 o ochraně osobních údajů používaných v platebním styku a souvisejících operacích[21] (13. 9. 1990)

8)      R(91) 10 o sdělování osobních údajů z veřejného sektoru třetím stranám[22] (9. 9. 1991)

9)      R(95) 4 o ochraně osobních údajů v oblasti telekomunikačních služeb, zejména pokud jde o telefonní službu[23] (7. 2. 1995)

10)  R(97) 5 o ochraně zdravotních dat[24] (13. 2. 1997)

11)  R(97) 18 týkající se ochrany osobních údajů shromažďovaných a zpracovávaných pro statistické účely[25] (30. 9. 1997)

12)  R(99) 5 na ochranu soukromí v internetu[26] (23. 2. 1999)

13)  R(2002) 9 o ochraně osobních údajů shromažďovaných a zpracovávaných pro účely pojišťovnictví[27] (18. 9. 2002).

Dne 8. listopadu 2001 byl pak otevřen Dodatkový protokol k Úmluvě o ochraně osob s ohledem na automatizované zpracování osobních dat o dozorčích orgánech a toku údajů přes hranice (ETS 181)[28] a téměř paralelně byl zahájen proces jeho ratifikace pro Českou republiku.

Současně Rada Evropy průběžně monitoruje proces přistupování jednotlivých států k Úmluvě ETS č. 108 a úroveň jejich ochrany osobních údajů, a to zejména z hledisek:

·        zda byla Úmluva ETS č. 108 podepsána (ratifikována),

·        existence specifické národní legislativy v oblasti ochrany osobních údajů,

·        rozsah aplikační oblasti (manuální či automatizované zpracování), působnosti legislativy (právnické či fyzické osoby, veřejný a soukromý sektor),

·        provádění oznamovací povinnosti či registrace a v jakém rozsahu, uplatňování institutu žádostí o přenos dat do zahraničí a

·        existence orgánu pro ochranu osobních údajů.

Výsledky tohoto monitoringu pak mimo jiné využívá i český Úřad pro ochranu osobních údajů pro vyhodnocování přiměřenosti legislativy jednotlivých států při povolovacím řízení pro předávání osobních údajů do zahraničí podle § 27 zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů.

2.2 Legislativa Evropské unie

Celosvětově patrný trend zpracovávání osobních údajů v různých oblastech ekonomické a společenské aktivity občanů, pokrok v informačních technologiích a ve vytváření nových telekomunikačních sítí, který výrazně usnadňuje zpracování osobních údajů a jejich výměnu a přenos mezi jednotlivými státy, má pro Evropskou unii jakožto integrované spojení státních celků podstatně větší význam, než je tomu v rámci běžné mezinárodní spolupráce. Hospodářská a sociální integrace, která se rozvíjí v duchu Smlouvy o Evropské unii[29] (Maastrichtská smlouva ze 7. února 1992) a posilování hodnot občanské společnosti podle Amsterodamské smlouvy (1997) nutně vedou k dalšímu podstatnému nárůstu toku osobních údajů přes hranice jednotlivých evropských států, stejně jako roste objem předávaných údajů mezi podniky v různých členských státech Evropské unie, respektive jako se rozvíjí spolupráce mezi státy Evropské unie na poli výzkumu a vývoje. Naopak však integrační aktivity v Evropě nesmějí snížit úroveň ochrany základních práv a svobod občanů, což v rámci integračního uskupení představujícího v cílovém stavu společenství s více než 350 miliony obyvatel není zřejmě jednoduchá úloha.

Legislativním základem pro právo Evropské unie v této oblasti je již výše zmiňovaná Úmluva o ochraně lidských práv a základních svobod z roku 1950, na níž se přímo odvolává Zakládací smlouva Evropské unie. V obdobném duchu se k otázkám ochrany osobnosti a osobních údajů zvlášť vyjadřuje i Listina základních práv Evropské unie[30] ze 7. prosince 2000, což je opět velmi podstatný dokument, přestože mu na rozdíl od ostatních jmenovaných chybí bezprostřední právní závaznost. Ochrana osobních údajů zmiňována v závěrečné části všeobecné povahy, a to jak v souvislosti s tradičním právem na ochranu osobnosti, tak ve spojitosti s vývojem moderních informačních a komunikačních technologií.

Situace v Evropské unii až do roku 1995 však byla taková, že přestože by národní zákony o ochraně údajů měly být do značné míry podobné, existovala mezi nimi celá řada rozdílů. Míra ochrany, zajištěná občanům v členských státech, tak nebyla stejná a to v praxi vytvářelo potenciální překážky volnému toku informací, představovalo břemeno pro provozovatele i občany a v některých členských státech navíc zakládalo potřebu složité registrace, respektive získání oprávnění ke zpracování údajů u dozorčích orgánů, potřebu přizpůsobit se různým normám a konečně i ne zřídka absolutní omezení přenosu údajů do jiných členských států vůbec.

2.2.1 Směrnice Evropského parlamentu a Rady č. 95/46/EC

Klíčovou úlohu obecného právního předpisu upravujícího ochranu osobních údajů v současnosti má Směrnice Evropského parlamentu a Rady č. 95/46/EC, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a volném pohybu těchto údajů[31]. Tato směrnice byla Evropským parlamentem a Radou schválena 24. října 1995 a jakožto acquis je součástí primárního práva Evropské unie podle Amsterodamské smlouvy. Význam Směrnice č. 95/46/EC pro Českou republiku je mimo jiné dán i tím, že je na seznamu povinných právních předpisů, které musí přijmout kandidátské státy před vstupem do Evropské unie. Pro účely rozhovorů o přistoupení České republiky do Evropské unie je harmonizace legislativy o ochraně osobních údajů se Směrnicí č. 95/46/EC projednávána v kapitole 24 - Volný pohyb služeb (tematické rozhovory s Evropskou unií jsou přitom rozděleny do 30 kapitol). Směrnice č. 95/46/EC svým článkem č. 29 zřídila Pracovní skupinu (Working Party 29) pro ochranu jednotlivců se zřetelem na zpracování osobních dat, v níž je zastoupen každý členský stát Evropské unie a která má za úkol koordinovat a posuzovat stav ochrany osobních údajů v Evropské unii. Tato Pracovní skupina zkoumá veškeré otázky týkající se aplikace národních opatření přijatých při realizaci Směrnice č. 95/46/EC a předkládá Evropské komisi stanoviska o stavu ochrany osobních údajů ve státech Evropské unie a ve třetích zemích (nečlenských státech Evropské unie). Poznamenejme, že podle výsledků přístupových rozhovorů lze usuzovat, že se s požadavky Směrnice č. 95/46/EC Česká republika vyrovnala přijetím zákona č.101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů. Tento zákon byl již předán Evropské komisi k posouzení z hlediska harmonizace, nicméně konečné rozhodnutí v tomto smyslu dosud učiněno nebylo. (Evropská komise dosud navrhla přiznat statut slučitelnosti se Směrnicí č. 95/46/EC pouze dvěma nečlenským státům Evropské unie – Maďarsku a Švýcarsku.) Za úspěch však lze považovat, že Pracovní skupina vydala Rozhodnutí I/2001 o účasti zástupců orgánů dozoru pro ochranu osobních údajů z kandidátských států na zasedáních pracovní skupiny pro ochranu osobních údajů přijaté dne 13. 12. 2001 (WP 52). To znamená, že český Úřad pro ochranu osobních údajů, stejně jako obdobné instituce z dalších dvanácti kandidátských států, budou nejen lépe informovány o současném a chystaném dění v oblasti ochrany osobních údajů v Evropské unii, ale budou se moci i podílet na procesu rozhodování tohoto významného poradního orgánu, byť pouze prezentací svých názorů z pozice pozorovatele.

Vlastní Směrnice č. 95/46/EC obsahuje 34 článků, které upravují práva a povinnosti při zpracování osobních údajů.

Čl. 2 této směrnice definuje základní pojmy „osobní údaje“, „subjekt údajů“ a „správce osobních údajů“ obdobným způsobem jako Úmluva ETS č. 108. S ohledem na podstatné rozšíření věcné působnosti v této části podstatně mění definice „automatizovaného soubor dat“, respektive „automatizované zpracování“, na „kartotéku osobních údajů“, respektive „zpracování osobních údajů“, a doplňuje další nezbytné definice pojmů jako „zpracovatel osobních údajů“, „třetí osoba“, „adresát“ a „souhlas subjektu údajů“.      Rozšíření věcného rozsahu Směrnice č. 95/46/EC je specifikováno v čl. 3, přičemž tato směrnice je vztažena na nakládání s osobními údaji zcela či částečně automatickým způsobem, respektive jiným než automatickým způsobem za situace, že taková data jsou nebo mohou být uspořádána. Upřesněno je i negativní vymezení, kdy se tato směrnice nevztahuje na nakládání s osobními daty, je-li již upraveno jinými vyjmenovanými zvláštními typy zpracování nebo jedná-li se o čistě osobní a soukromé aktivity fyzických osob.

Principy kvality osobních dat a specifikace účelu sběru osobních dat byly ve Směrnici č. 95/46/EC pojaty nejméně na té úrovni, jaké požadavky na ně klade Úmluva ETS č. 108. V čl. 6 byla byl rozšířen požadavek na přesnost a aktuálnost osobních údajů o formulaci, že „nepřesné a neúplné údaje s ohledem na účely, pro něž jsou sbírány nebo zpracovávány, musí být vymazány nebo opraveny“.

Principy omezení sběru osobních dat a omezení užití osobních dat však byly velmi znatelně upřesněny v tom smyslu, že osobní údaje mohou být zpracovávány pouze:

a)    dal-li k tomu subjekt údajů nepochybně svůj souhlas; nebo

b)   je-li to nezbytné v souvislosti s uzavíráním a plněním smlouvy, kde je subjekt údajů smluvní stranou; nebo

c)    je-li to nezbytné pro splnění právní povinnosti dané správci osobních údajů; nebo

d)   je-li to nezbytné pro zachování životních zájmů subjektu údajů; nebo

e)    je-li to nezbytné pro výkon úkolu ve veřejném zájmu nebo z výkonu veřejné moci; nebo

f)     vyžadují-li to legitimní zájmy správce nebo třetí strany, jimž se osobní údaje zpřístupňují, pokud tyto zájmy nejsou v rozporu se zájmy vycházejícími z práv a svobod subjektu údajů stanovených zákonem.

V čl. 8 je pak ještě více rozšířen okruh citlivých údajů se zvláštním režimem zacházení o osobní dat vypovídající o národnostním původu a členství v odborových svazech. V následujícím textu je pak stanoveno několik výjimek zpravidla podmíněných souhlasem subjektu dat (za předpokladu, že členský stát svým předpisem nestanoví, že takový souhlas nelze dát) nebo dalšími zákonnými zmocněními.

Dle čl. 9 mohou členské státy stanovit za určitých předpokladů odchylky a výjimky od ustanovení Směrnice č. 95/46/EC, pokud se jedná o zpracování osobních údajů prováděné výlučně pro účely žurnalistiky, umělecké nebo literární, a to pouze je-li to nutné k tomu, aby uvedly v soulad právo na soukromí s předpisy platnými pro svobodu projevu názoru.

Princip otevřenosti a princip účasti subjektu osobních údajů je ve Směrnici č. 95/46/EC pojímán rovněž minimálně v témže rozsahu jako v Úmluvě ETS č. 108. Je zde upřesněn rozsah informací, které mají subjekty údajů obdržet od správců, zpracovatelů, jejich reprezentantů, případně od třetích osob, kteří o nich shromažďují osobní data. Rovněž mají nárok obdržet od správců dat informace o příjemci nebo kategorii příjemců, disponibilní informace o původu dat a logické struktury automatizovaného zpracování dat, jež se jich týkají. Členské státy mohou přijmout v této souvislosti pravidla omezující nároky subjektů dat v případech, kdy se jedná o národní bezpečnost, obranu, veřejnou bezpečnost, prevenci, odhalování a stíhání trestných činů, ochranu důležitých ekonomických a finančních zájmů států i Evropské unie jako celku a ochranu subjektů dat či práv a svobod druhých.

Čl. 15 je ovšem výraznou novinkou. Stanoví, že členské státy jsou povinny poskytnout každé osobě právo, aby nebyla podřízena rozhodnutí, jež má pro ni právní následky nebo jež je pro ni značně nevýhodné, a které je vydáno výlučně na základě automatizovaného zpracování dat za účelem zhodnocení jednotlivých aspektů její osoby jako například pracovní výkon, poskytnutí úvěru, spolehlivosti, chování apod.

Princip záruk bezpečnosti osobních dat a princip odpovědnosti správce je zde opět chápán v šířím pojetí. Většinou technická a organizační opatření požadovaná v Úmluvě ETS č. 108 jsou rozšířena o podmínky, kde dle čl. 16 nesmí nikdo, kdo má od správce či zpracovatele stanoven přístup k osobním datům, včetně zpracovatele samotného, s nimi nakládat v rozporu s pověřením správce, ledaže by k tomu měl zákonné zmocnění, respektive dle čl. 17 zpracování osobních údajů zpracovatelem musí být upraveno upraveno smlouvou nebo právním aktem, který zavazuje zpracovatele zpravidla vůči správci osobních údajů tak, že zpracovatel jedná výlučně podle pokynů správce a vztahují se na něj tytéž povinnosti jako na správce.

Dalším významným ustanovením Směrnice č. 95/46/EC je čl. 18, kde členské státy počítají s hlášením správce dat kontrolním místům dříve než může být zahájeno úplně či částečné automatizované zpracování osobních dat, definují výčet možných výjimek z tohoto ustanovení a následně specifikují minimální rozsah informací předávaných v tomto hlášení. Výjimku tvoří zejména běžná osobní data a manuálně zpracovávané údaje, u kterých může být registrace stanovena jako dobrovolná. Seznam registrovaných organizací má být veden národními kontrolními orgány a má být veřejně přístupný. Podle čl. 20 jsou členské státy povinny určit ta zpracování osobních dat, která mohou obsahovat specifická rizika pro práva a svobody subjektů dat, a postarat se o to, aby tato zpracování byla zkontrolována před jejich zahájením. Registr obsahující informace o ohlášených zpracováních osobních dat musí být zveřejněn a přístupný každému.

Podle čl. 22 musí být každému subjektu osobních údajů poskytnuto právo podat právní námitku v případě porušení jeho práv na ochranu dat, a to zejména před předáním věci soudního orgánu. Podle čl. 23 jsou členské státy povinny každé osobě, které v důsledku protiprávního zpracování nebo každého jiného jednání neslučitelného s právem na ochranu dat v jednotlivých státech vznikne škoda, poskytnout právo požadovat náhradu škody od správce dat. Ten se může úplně či částečně zbavit odpovědnosti za způsobenou škodu, dokáže-li, že ji nezavinil. Čl. 24 pak zavazuje členské státy stanovit sankce za porušení povinností podle souvisejících právních norem.

Směrnice č. 95/46/EC dále podrobně upravuje podmínky předávání osobních dat do třetích zemí. Zejména povoluje tento transfer v případě, že třetí země zaručuje odpovídající úroveň ochrany osobním datům s tím, že adekvátnost ochrany se posuzuje podle všech okolností souvisejících s předáváním dat, zejména s ohledem na povahu dat, účel a dobu trvání nakládání s daty a právní normy platné v třetí zemi. Nestačí tedy pouze soulad v symbolických hodnotách proklamovaných v národních zákonech, ale je třeba se zaměřit především na jejich uplatnění v cílovém státě. Členské státy se vzájemně informují o případech, kdy pociťují ve třetích zemích rizika vůči odpovídající úrovni ochrany osobních dat. Čl. 26 pak stanoví rozsah povolených výjimek z těchto ustanovení:

·        občan dal jednoznačný souhlas s převodem svých osobních údajů;

·        převod je nezbytný k naplnění smlouvy mezi dotčeným občanem a organizací, která zpracovává jeho data, nebo mezi touto organizací a třetí stranou;

·        převod údajů je vyžádán důležitým veřejným zájmem nebo právními nároky třetích subjektů;

·        převod je nutný pro ochranu vitálních zájmů dotčené osoby;

·        převáděné údaje jsou již registrovány ve veřejném informačním systému.

Podle čl. 28 jsou členské státy povinny pověřit jedno nebo několik veřejných míst tím, aby na jejich výsostném území sledovala aplikaci předpisů o ochraně dat vydaných členskými státy k realizaci Směrnice č. 95/46/EC. Tato místa musí být organizována tak, aby mohla zcela nezávisle plnit úkoly jim svěřené.

Přijetím Směrnice č. 95/46/EC bylo završeno pětileté úsilí o kodifikaci této závažné otázky. Pro tuto směrnicí hlasovaly všechny členské státy s výjimkou Velké Británie, která se hlasování zdržela. Členské státy Evropské unie dostaly tříletou lhůtu na harmonizaci svých národních norem s touto směrnicí. Další tříletý odklad mohl být uplatněn u těch osobních údajů, jejichž zpracování započalo před platností nové legislativy. Navíc platí až devítiletá legisvakance pro údaje uchované mimo automatizované systémy (zde se jedná o papírové databanky a kartotéky apod.).

Směrnici č. 95/46/EC lze hodnotit jako velmi obsáhlou, přísnou a nikoliv jednoduše aplikovatelnou pro legislativní systémy členských států Evropské unie (z nichž ještě některé z nich se s ní dodnes plně nevyrovnaly[32]) a o to více i pro kandidátské země, pro něž znamená ve většině případů nastavení nových podmínek podmiňujících vstup do Evropské unie.

 

2.2.2. Směrnice Evropského parlamentu a Rady č. 97/66/EC

Směrnici č. 95/46/EC brzy následovala speciální norma – Směrnice 97/66/EC Evropského parlamentu a Rady z 15. prosince 1997, týkající se zpracování osobních údajů a ochrany soukromí v sektoru telekomunikací[33]. Vývoj v této oblasti se však ukázal tak rychlým, že ji v horizontu pěti let nahradila nová Směrnice 2002/58/EC Evropského parlamentu a rady ze dne 10. července 2002 o zpracování osobních údajů a ochraně soukromí v oblasti elektronické komunikace[34]. Její přijetí bylo motivováno především zaváděním nových pokrokových digitálních technologií do veřejných telekomunikačních sítí, nových telekomunikačních služeb jako video na přání či interaktivní televize a zejména pak digitální sítě integrovaných služeb (ISDN) a digitálních mobilních sítí.

Poskytovatelé veřejně dostupných telekomunikačních služeb jsou tak zavázáni k přijetí příslušných technických a organizačních opatření k zajištění bezpečnosti svých služeb, v případě nutnosti společně s poskytovatelem veřejné telekomunikační sítě, ve vztahu k bezpečnosti sítě. S ohledem na vyspělost a náklady jejich implementace, tato opatření musí zajistit úroveň bezpečnosti odpovídající existujícímu riziku.

Členské státy jsou povinny prostřednictvím národních předpisů zajistit důvěrnost komunikace prostřednictvím veřejné telekomunikační sítě a veřejně dostupných telekomunikačních služeb. Obzvláště pak vyloučit naslouchání, nahrávání, ukládání, nebo jiné druhy intercepce nebo sledování komunikace, někým jiným než uživateli, bez souhlasu příslušných uživatelů, kromě legálně povolených případů (když takovéto omezení představuje nezbytné opatření k ochraně národní bezpečnosti, obraně, veřejné bezpečnosti, prevenci, vyšetřování, zjišťování a stíhání trestných činů, nebo ochraně před neoprávněným použitím telekomunikačního systému).

Rovněž pak provozní data, týkající se předplatitelů a uživatelů, zpracovaná ke spojení hovorů a uložená poskytovatelem veřejné telekomunikační sítě a/nebo veřejně dostupné telekomunikační služby, musí být vymazána, nebo učiněna anonymními, při ukončení hovoru. Pro účely fakturace předplatiteli a spojovacích poplatků stanoví rozsah dat, která mohou být zpracována.

Při nabídnutí identifikace volající linky musí mít volající uživatel možnost pomocí jednoduchých prostředků a zdarma eliminovat prezentaci identifikace volající linky pro jednotlivé hovory. Současně jsou stanoveny výjimky z předchozího ustanovení tak, že členské státy musí zajistit, aby existovaly transparentní postupy, kterými se řídí způsob, jak poskytovatel telekomunikační sítě a/nebo veřejně dostupné telekomunikační služby může zrušit zabránění prezentaci identifikace volající linky:

a)    přechodně, na žádost předplatitele požadujícího vysledování zlovolných, nebo obtěžujících hovorů;

b)   k jednotlivým linkám, pro organizace zabývající se tísňovými hovory a uznanými jako takové členským státem, včetně agentur vynucujících dodržování zákona, ambulantních služeb a požárních sborů, pro umožnění reakce na takovéto hovory.

Každému předplatiteli musí být poskytnuta možnost zdarma a pomocí jednoduchých prostředků zastavit automatické přenášení hovorů třetí stranou na koncové zařízení předplatitele.

Rovněž osobní data předplatitelů obsažená v tištěných nebo elektronických seznamech, které jsou k dispozici veřejnosti nebo je možno je získat prostřednictvím dotazových služeb seznamů, by měla být omezena na to, co je nutné k identifikaci konkrétního předplatitele, pokud předplatitel neudělil svůj jednoznačný souhlas se zveřejněním dalších osobních dat. Předplatitel má nárok zdarma být vynechán z tištěného nebo elektronického seznamu na svou vlastní žádost, dále uvést, že jeho nebo její osobní data nesmí být použita pro účely přímého marketingu, mít zčásti vynechánu svou adresu a tu část dat, která indikuje, zda se jedná o muže, nebo ženu, kde je to možné z jazykového hlediska. Současně členské státy smí dovolit provozovatelům požadovat platbu od předplatitelů, kteří si přejí, aby jejich konkrétní údaje nebyly uvedeny v seznamu, za předpokladu, že příslušná suma nebude fungovat jako odrazení od uplatnění tohoto práva.

Použití automatických systémů volání, bez lidské účasti (automaticky volající zařízení), nebo faxových přístrojů (fax) pro účely přímého marketingu, může být dovoleno pouze ve vztahu k předplatitelům, kteří k tomu poskytli svůj předchozí souhlas.

 

2.2.3 Nařízení Evropského parlamentu a Rady č. 45/2001

Další významnou vnitřní právní normou Evropské unie v úzkém slova smyslu je Nařízení Evropského Parlamentu a Rady č. 45/2001 z 18. prosince 2000 o ochraně jednotlivců s ohledem na zpracování osobních údajů institucemi a orgány Společenství a o volném pohybu takovýchto údajů[35]. Jedná se v něm především o konkretizaci pravidel ochrany osobních údajů zpracovávaných samotným aparátem Evropské unie. Současně se zde zavádí nový institut nezávislého evropského „dohlížitele“ (Supervisor) nad ochranou dat jmenovaného na pět let společně Evropským parlamentem a Radou a dále má každá instituce a orgán Evropské unie povinnost určit alespoň jednu osobu pověřenou ochranou dat (Data Protection Officer).

2.2.4 „Bezpečný přístav“

Nejen jednotný trh Evropské unie, ale i unifikace prostředí pro další společenské fenomény si přirozeně vyžadují i volný pohyb osobních údajů a je pravdou, že jednotné standardy jej v současně době v rámci Evropské unie umožňují. Současně mezi jejich vedlejší efekty patří například i taková skutečnost, že státy, kde donedávna vládly autoritářské režimy (například Řecko či Španělsko) dnes v podstatě mají velmi dobré standardy na ochranu soukromí. Problémy, které se podařilo vyřešit v rámci Evropské unie, se však mohou znásobovat v komunikaci mimo ni, přičemž paradoxně nejvýznamnějším problémovým partnerem v tomto smyslu se staly Spojené státy americké. Na bázi obecného rozporu mezi tradiční svobodou slova a právem na soukromí, zejména pak z pohledů práva občanů na informace i z pohledu veřejného zájmu se tak mezi Evropskou unií a Spojenými státy americkými odehrával dlouhodobý spor mezi o pojetí ochrany osobních údajů s v podstatě mezinárodně obchodními důsledky.

Nutno poznamenat, že Američané vždy spíše spoléhali více na samoregulaci než na centralizované pravidla. A jistě i z tohoto důvodu v USA neexistuje jednotný zákon na ochranu privátních dat, ale pouze několik dílčích zákonů. Prakticky se pak jednalo především o neochotu Evropské unie uznat americkou legislativu, nezakládající žádné specifické institucionální zázemí, jako dostatečnou pro povolování převodů osobních dat ze svých členských států do USA. Evropská unie přitom vycházela z interpretace Směrnice č. 95/46/EC. Spojené státy proti tomu stavěly princip vyspělé seberegulace soukromé sféry, evropskému partneru vytýkaly přehnanou institucionalizaci a tím i byrokratizaci problému či zastávání pozic přílišného státního i nadstátního paternalismu.

Spor byl vyřešen v roce 2000 do jisté míry kompromisem, byť nedokonalým a z hlediska praktického uplatňování i poměrně komplikovaným. Stalo se jím Rozhodnutí Komise z 26. července 2000 č. 2000/520/EC[36] o adekvátnosti ochrany poskytované dle principů bezpečného přístavu, které přímo navazuje na Směrnici 95/46/EC. Zde definovaný pojem tzv. „bezpečného přístavu“ (Safe Harbor) znamená zahraniční subjekty označené za spolehlivé z hlediska ochrany osobních údajů. Zmiňované Rozhodnutí se ovšem vztahuje jen na omezený okruh jednotlivých amerických firem spadajících do kompetence Federální obchodní komise a Departmentu dopravy USA, a to ještě pouze, pokud se výslovně přihlásily k dodržování určitých zásad. Z kategorie „bezpečného přístavu“ jsou tedy dosud vyňaty i například pro obchod nezbytné instituce bankovního sektoru.

 

 

3. Vývoj právní úpravy v České republice

3.1 Zákon č. 256/1992 Sb., o ochraně osobních údajů v informačních systémech

Tento zákon byl první ucelenou obecnou normou České republiky (přesněji České a Slovenské Federativní Republiky), která upravovala práva a povinnosti provozovatelů (respektive dalších zúčastněných osob) při provozování informačních systémů, které nakládají s osobními údaji, směřující k ochraně těchto informací (tedy českým „informačním zákonem“). Ideovým východiskem pro jeho text byla Úmluva ETS č. 108 o ochraně osob s ohledem na automatizované zpracování osobních dat, která v dané době byla doplněna celkem osmi dodatečnými speciálními Doporučeními (viz 3.1.), a to je jednoznačně patrné na jeho struktuře i obsahu.

Zákon č. 256/1992 Sb. jednak v našem zákonodárství poprvé právně definuje některé zásadní pojmy z informatiky, jednak stanovuje pravidla nakládání s informacemi. Tato pravidla byla stanovena obecně jako minimální požadavky pro veškeré informační systémy takového typu bez ohledu na to, kdo je jejich provozovatelem a týkala se i těch informačních systémů, které vznikly již dříve na základě jiných zákonů.

V § 1 je stanoven věcný rozsah zákona ve smyslu ochrany osobních údajů, zejména povinnosti související s ochranou informací při provozování informačního systému, který nakládá s osobními údaji, a odpovědnosti provozovatele informačního systému a dalších fyzických a právnických osob, které se účastní provádění činností souvisejících s provozováním takového informačního systému.

Z aktuálního pohledu jsou snad nejcennější částí tohoto zákona definice jednotlivých pojmů vyplňující v podstatě celou jeho první polovinu. Jsou zde tak definovány nejen pojmy ekvivalentní Úmluvě ETS č. 108 „osobní údaje“, „dotčená osoba“ (tj. „subjekt údajů“) a „provozovatel“ (tj. správce osobních údajů“), ale i další pojmy jako „informační služba“, „zpracování informace“, „likvidace informace“, „účastník výměny informací“, „uživatel“, „zprostředkovatel“, „náležitý způsob sběru informací“ a „zveřejněná informace“.

Jisté komplikace ovšem v praxi způsobovaly dvě z těchto definic – „informační systém“ (měl být ekvivalentní pojmu „automatizovaný soubor dat“) a „provozování informačního systému“ (měl být ekvivalentní pojmu „automatizované zpracování“). Informační systém je zde chápán jako „funkční celek zabezpečující cílevědomé a systematické shromažďování, zpracovávání, uchovávání a zpřístupňování informací s tím, že každý informační systém zahrnuje informační základnu, technické a programové prostředky, technologie a procedury a pracovníky“. Provozováním informačního systému se rozumí „provádění činností směřujících ke shromažďování (sběru) informací, jejich vstupnímu zpracování, ukládání informací do údajové základny, zpracování informací pro vnitřní potřeby systému nebo pro poskytování informační služby, kdy provozování zahrnuje všechny nebo jen některé z uvedených činností“. Adjektiva „informační“ v těchto pojmech sice odpovídala jistému pojmovému posunu od původního „automatizovaného zpracování“, ovšem ani z těchto uvedených definic nebylo zcela jasné, zda se informačním systémem rozumí pouze počítačový informační systém či nikoli. Tato nejasnost dala vzniknout debatám v odborné veřejnosti. Někteří autoři se domnívali, že takto definovaný informační systém musí být počítačový, respektive automatizovaný, jiná část literatury zastávala opačné stanovisko. Faktem je, že v definicích v tomto zákoně se skutečně pojmy „počítačový“ či „elektronický“ výslovně nepoužívaly. Pojmy jako „informační základna“ nebo či „technické prostředky a procedury“ se mohou týkat i ručně spravovaných informačních systémů. Programové prostředky by sice zdánlivě mohly implikovat počítačový informační systém, avšak pojem program je širší než počítačový program a nemusí nutně být vázán jen na počítačové systémy. Jenže žádné upřesnění, výklad ani alespoň soudní rozhodnutí za dobu účinnosti tohoto zákona nebyly vydány, mimo jiné i proto, že tato norma vlastně nebyla důsledně v praxi aplikována.

§ 16 zákona č. 256/1992 Sb. šel v netriviální míře nad rámec Úmluvy ETS č. 108, když tento pojem v českém právu rozšířil o údaje, které vypovídají o osobnosti a soukromí dotčené osoby (což nijak neupřesnil, ale ponechal v této velmi nejasné obecné poloze) a její národnosti, ochranu informací o politických postojích blíže specifikoval rovněž ve smyslu členství v politických stranách a navíc doplnil i ochranu údajů o majetkových poměrech. Tyto údaje bylo možné zpracovávat pouze, stanoví-li tak zvláštní zákon, nebo se souhlasem žijící dotčené osoby, pokud je možné, aby tento projev vůle učinila. Jestliže nelze podmínku souhlasu splnit, bylo možno s informacemi nakládat jen za předpokladu, že bude zachována lidská důstojnost, osobní čest, dobrá pověst a chráněno dobré jméno dotčené osoby.

Princip omezení sběru osobních dat, omezení užití osobních dat, kvality osobních dat a specifikace účelu sběru osobních dat byly do § 17 určujícího povinnosti provozovatele přejaty v odpovídajícím rozsahu a navíc byly rozšířeny či upřesněny o ustanovení ukládající provozovateli:

·        označit náležitým způsobem v informačním systému nepřesné nebo neověřené informace a

·        zamezit sdružování informací a informačních systémů sloužících k rozdílným účelům, pokud zvláštní zákon nestanoví jinak.

Z hlediska principu záruk bezpečnosti osobních dat je tentýž paragraf doplněn o podmínky:

·        stanovit práva a povinnosti fyzických a právnických osob, které mají přístup k informačnímu systému a

·        učinit opatření, aby po skončení pracovního nebo obdobného poměru mezi fyzickou osobou a provozovatelem nemohly být informace, s nimiž nakládá příslušný informační systém, touto osobou využity; obdobná opatření je povinen učinit i vůči osobám, které při plnění svých úkolů u provozovatele přicházejí nebo mohou přicházet do styku s informacemi, s nimiž nakládá příslušný informační systém.

Upřesněna jsou zde i opatření (§ 18), která je při ukončení provozu informačního systému provozovatel povinen provést, aby informace, s nimiž informační systém nakládal, nemohly být zneužity.

Poněkud nepochopitelně je zde však nadmíru stručně pojat princip otevřenosti a princip účasti subjektu osobních údajů. Z požadavků dle Úmluvy ETS č. 108 se zde objevil pouze požadavek na poskytnutí zprávy o informacích o subjektu údajů uchovávaných v informačním systému, a to jedenkrát do roka bezplatně, nebo za přiměřenou úplatu kdykoli, pokud zvláštní zákon nestanoví jinak. Ostatní požadavky jako zjištění existence takového systému vůbec, respektive související opravné prostředky zde zcela chybí nebo jsou obecně chápány nikoliv jako přirozený požadavek, ale pouze jako sekundární povinnost při porušení primární povinnosti z tohoto zákona.

S ohledem na princip bezpečnosti jsou zde stanoveny povinnosti odpovídající Úmluvě ETS č. 108 doplněné, respektive upřesněné o:

·        běžné odpovědnostní tituly korespondující s obdobnými kategoriemi chráněných informací v českém právu (například ochrana osobnosti nebo obchodní tajemství) a

·        zamezení přístupu k informacím v průběhu sporu, pokud orgán příslušný pro rozhodnutí sporu výjimečně nestanoví jinak (přičemž nárok se týká pouze sporem dotčených informací).

Zákon č. 256/1992 Sb. stanovil podmínky a způsob registrace informačních systémů a dozor nad jejich provozováním. Podle § 24 k provedení registrace a provádění dozoru nad provozem informačních systémů byly příslušné orgány, zřízené zvláštními zákony. Tento orgán měl evidovat registrované informační systémy po dobu jejich provozu. Taková evidence měla být veřejně přístupná a úředně zveřejňována tímto orgánem vždy k 31. prosinci. Provozovatel byl povinen bez zbytečného odkladu informovat orgán uvedený v § 24 o ukončení provozu informačního systému s uvedením data, ke kterému se provoz informačního systému ukončuje. Toto se netýkalo informačních systémů, na něž se nevztahovala povinnost registrace. Rovněž povinnosti registrovat se podléhaly pouze informační systémy nakládající s informacemi uvedenými v § 16, pokud nesloužily výhradně pro vnitřní potřebu provozovatele s tím, že výjimky z povinnosti registrace měl stanovit zvláštní zákon. Registraci nepodléhaly také informační systémy nakládající výhradně se zveřejněnými informacemi.

Zásadním problémem bylo, že zmiňované předpokládané návazné právní normy se nikdy nerealizovaly a předpokládaný státní orgán pověřený dohledem nad provozováním informačních systémů, které nakládají s citlivými osobními údaji, tedy nikdy nevznikl. Současně práva případně postižených osob tak nebyla dostatečně chráněna v souladu s Úmluvou ETS č. 108 (potažmo přirozeně i se Směrnicí č. 95/46/EC) a z toho mimo jiné plynulo, že státy Evropské unie by ani nebyly oprávněny povolit přenos dat do České republiky.

 

3.2 Srovnání zákona č 256/1992 Sb. s požadavky Směrnice 95/46/EC

Jak bylo konstatováno v předchozím textu, zákon č. 256/1992 Sb. nedostál zcela stoprocentně požadavkům stanoveným v Úmluvě ETS č. 108, a to již z hlediska vlastního textu normy. K tomu se navíc přidružily aplikační problémy, kdy chyběly nejen případné prováděcí podzákonné normy, ale zejména předpokládaná blanketová norma o síle zákona, na jejíž existenci byly závislé některé aspekty jeho praktické realizace. Indikátorem nedostatečné pozornosti legislativy i společnosti uvedeném smyslu může být i skutečnost, že tento zákon za 8 let své účinnosti nebyl ani jednou novelizován a dočkal se pouze dvou rezortních prováděcích pokynů. Přitom těžko hledat důvody uvedeného stavu pouze v tom, že téměř okamžitě po nabytí účinnosti tohoto zákona se zákonodárné sbory obou republik soustředily na legislativu související se vznikem dvou samostatných států a vytvořením jejich ústavněprávních základů.

V roce 1995 však byla navíc přijata již zmiňovaná Směrnice Evropského parlamentu a Rady č. 95/46/ES, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a s volným pohybem těchto údajů, která ve srovnání s Úmluvou ETS č. 108 zpřísnila podmínky ochrany osobních údajů a se stala rozhodnou nejen pro právní řády členských států, ale i kompatibilitu právních řádů tzv. kandidátských zemí. A tento impuls zvenčí vyjádřený konstatováním expertů Evropské unie, že český právní řád není, pokud se týče ochrany osobních údajů, kompatibilní s právem komunitárním, předznamenal vážné zadání směřující ke zcela nové komplexní právní úpravě.[37] Posudek Komise Evropské unie k žádosti České republiky o přijetí do Evropské unie z 15. července 1997 v kapitole Kritéria členství v odstavci 3.1 mimo jiné konstatoval, že se Česká republika dosud nestala smluvní stranou Úmluvy ETS č. 108 a je nutno vytvořit nezávislý orgán, který by odpovídal za dohled nad prováděním zákona o ochraně osobních údajů a dalších relevantních právních předpisů a zavést sankce proti osobám nezákonně využívajícím tyto údaje. Dále ještě v kapitole Soudnictví a vnitřní bezpečnost státu se uvádí, že ústava zaručuje ochranu osobních údajů, ale bude nutno novelizovat zákony České republiky tak, aby byly plně v souladu s požadavky Evropské unie.

Zákon č. 256/1992 Sb. byl postaven pouze na aplikaci ochrany osobních údajů při automatizovaném zpracování údajů, a to pouze v rámci systematické činnosti, jíž je provozování informačního systému, přičemž u manuálního zpracování bylo třeba zákon přiměřeně aplikovat. Mimo působnost zákona tak zůstalo nakládání s osobními údaji vně informačních systémů.

Pojem „osobní údaj“ byl vymezen pouze jako informace vztahující se k určité osobě. Směrnice č. 95/46/EC se však vztahuje rovněž na data o „určitelných fyzických osobách“, tj. těch, které nejsou přímo a jednoznačně označeny, ale jejichž identitu lze na základě dodatečných údajů nebo dodatečných znalostí zjistit.

Směrnice č. 95/46/EC omezuje přípustnost zpracování osobních údajů na určité přípustné účely a stanoví, že nesmějí být dále zpracovány způsobem, který se neslučuje se zamýšlenými cíli. Speciálně se tato ustanovení týkají citlivých osobních údajů. Současně jsou v zákoně č. 256/1992 Sb. uvedena vágní označení osobních údajů vypovídajících o osobnosti a soukromí, respektive majetkových poměrech subjektu údajů, které jsou svým způsobem na rámec Směrnice č. 95/46/EC.

Směrnice č. 95/46/EC připouští za určitých předpokladů odchylky a výjimky, jedná-li se o zpracování osobních dat samotných pro novinářské, umělecké nebo literární účely. Předpokladem pro to je, aby se odchylka ukázala jako nutná k tomu, aby uvedla v soulad právo na soukromí s předpisy platnými pro svobodu projevu názoru, protože v opačném případě by následkem bezvýhradného dodržování obecných pravidel mohla být negativně ovlivněna svoboda tisku.

V zákoně č. 256/1992 Sb. zcela chyběla povinnost toho, kdo shromažďuje osobní údaje, informovat občana o jeho právech a o jiných pro něj významných skutečnostech.

Podle Směrnice č. 95/46/EC musí být subjektu údajů pro případ, že uložená data jsou nesprávná, poskytnut nárok na opravu. Dosavadní česká právní úprava však zaručovala pouze nárok na vymazání, což však nemusí být v zájmu dotčené osoby. Obdobně zde kolidovalo ustanovení o označování neověřených informací, které by z logiky věci měly být spíše nahrazeny informacemi správnými.

Dosavadní právní úprava naprosto neobsahovala řešení požadavku Směrnice č. 95/46/EC, kdy jsou členské státy povinny poskytnout každé osobě právo, aby nebyla podřízena rozhodnutí, jež má pro ni právní následky nebo jež je pro ni značně nevýhodné, a které je vydáno výlučně na základě automatizovaného zpracování dat za účelem zhodnocení jednotlivých aspektů její osoby.

V rámci Směrnice č. 95/46/EC členské státy Evropské unie počítají s hlášením osoby odpovědné za zpracování kontrolním místům[38] dříve, než může být zahájeno automatizované zpracování. Dosavadní česká právní úprava stanovila registrační povinnost pouze pro informační systémy, a to takové, které zpracovávají citlivé informace, neslouží výhradně pro vnitřní potřebu provozovatele (což je značně nejasná formulace) a připouštěla výjimky z registrační povinnosti zvláštním zákonem (který navíc neexistoval). Směrnice č. 95/46/EC navíc ještě podrobně předepisuje, které údaje musí obsahovat hlášení kontrolnímu místu, a dále povinnost stanovit zpracování, která mohou obsahovat specifická rizika pro práva a svobody osob, a postarat se o to, aby tato zpracování byla zkontrolována ještě před jejich zahájením.

Podle Směrnice č. 95/46/EC musí být každému subjektu údajů poskytnuto právo podat u soudu právní námitku v případě porušení jeho práv na ochranu dat.   Stávající zákon však zejména neobsahoval možnost podávat zvláštní právní námitku na prosazení nároků dotčené osoby na informace, opravu, zablokování a vymazání dat.

Podle Směrnice č. 95/46/EC jsou členské státy povinny každé osobě, které v důsledku protiprávního zpracování nebo každého jiného jednání neslučitelného s právem na ochranu dat v jednotlivých státech vznikne škoda, poskytnout právo požadovat náhradu škody od osoby odpovědné za zpracování. To znamená, že vnitrostátní právo musí počítat s ručením za ohrožení nezávislém na zavinění, respektive namísto ručení za ohrožení počítat s ručením za zavinění, při němž se až do exkulpace osobou odpovědnou za zpracování vychází z jejího zavinění (obrácení důkazního břemene). Zákon č. 256/1992 Sb. ovšem zahrnoval pouze případy, v nichž je negativně ovlivněno právo dotyčné osoby na zachování lidské důstojnosti, osobní cti, dobré pověsti a dobrého jména.

Sankce za porušování zákona č. 256/1992 Sb. se předpokládaly pouze v rovině občanskoprávní či trestněprávní, ale chyběla možnost operativnější správněprávní sankce.

Podle Směrnice č. 95/46/EC členské státy neomezují nebo nezakazují volný pohyb osobních dat mezi členskými státy z důvodů právní ochrany dat a povolují předávání dat členským státům Evropské unie za stejných podmínek, jež platí pro předávání dat tuzemským místům. Naopak stanoví poměrně tvrdé podmínky pro předávání dat do třetích zemí. V zákoně č. 256/1992 Sb. toto nebylo důsledně vyřešeno.

S vědomím skutečností výše uvedených Vláda ČR na svém zasedání dne 1. 7. 1998 konstatovala, že nezbytnost ochrany občanů ve vztahu k nakládání s osobními daty jak v rámci veřejné, tak i soukromé sféry, je dána vnitřními potřebami České republiky i jejími mezinárodními závazky a směřováním. Současně schválila předložené Teze zavádění účinné ochrany osobních údajů, rozhodla o nutnosti připravit zcela novou právní normu o síle zákona, která bude především vycházet z výše uvedených mezinárodních dokumentů, a v rámci něj koncipovat úřad na ochranu osobních údajů jako nezávislý kontrolní orgán pro dodržování zásad ochrany osobních údajů při jejich shromažďování a dalším nakládání s nimi ve vztahu k ochraně práv a svobod občanů. Úřad pro státní informační systém byl pověřen gestorstvím připravované právní normy.[39]

 

4. Zákon č. 101/2000 Sb., o ochraně osobních údajů

Text zákona byl zpracován a průběžně konzultován v průběhu následujícího roku. Obsah této normy byl především orientován na dosažení plné kompatibility s Úmluvou ETS č. 108 a Směrnicí č. 95/46/EC a je možné konstatovat, že zejména plně reflektoval odstranění odlišností dosavadního zákona uvedená v předchozí podkapitole.

Nová předloha tak zahrnula ochranu osobních údajů při jakémkoli nakládání s nimi prostřednictvím automatizovaných prostředků i manuálně. Nově upravila povinnost toho, kdo shromažďuje osobní údaje, informovat občana o jeho právech a o jiných pro něj významných skutečnostech. Upřesněno bylo právo občana na opravu nesprávných osobních údajů. Byl precizován rozsah citlivých údajů a zejména z jejich výčtu byly vypuštěny nedefinované (lépe řečeno téměř nedefinovatelné) pojmy jako například „osobnost a soukromí dotčené osoby“ a „majetkové poměry“. Bylo konkretizováno ustavení kontrolního orgánu, Úřadu pro ochranu osobních údajů, vybaveného kontrolními, vyšetřovacími, registračními a metodickými funkcemi, kterému byla mimo jiné dána možnost zásahu před zahájením takového nakládání s osobními údaji, které by z hlediska ochrany osobních údajů mohlo představovat určitá rizika. Byla zde zdůrazněna mnohem větší role občana, který má mít k dispozici mechanismy na ochranu údajů, které o něm vypovídají, má právo, aby s nimi byl v okamžicích, kdy se v souladu s nimi má rozhodovat, opakovaně seznámen, ale současně musí (a to zejména udělením či neudělením souhlasu se zpracováním, prohlášením určitých údajů za veřejné, vyžádáním informace o údajích, které o něm byly shromážděny, požadavky na opravy či výmazy) s nimi reálně disponovat.

Nový zákon o ochraně osobních údajů[40] Vláda ČR schválila 22. 9. 1999 a Poslanecké sněmovně Parlamentu ČR jej předložila 28. 9. 1999. Jeho význam byl mimo jiné zdůrazněn i tím, že byl zahrnut mezi právní normy, které explicitně směřují k harmonizaci práva České republiky s právem Evropské unie. Návrh zákona byl přikázán k projednání Petičnímu výboru, projednán s řadou připomínek ve třech čteních a 27. 1. 2000 byl návrh zákona schválen.

Schválený zákon pak směřoval do Senátu Parlamentu ČR. Zde bylo dáno celkem 24 pozměňovacích návrhů, a to různé váhy. Zejména se jednalo o:

·        v § 1 novou formulaci předmětu zákona s tím, že výslovně uvádí ochranu osobních údajů v procesech zpracování jako součást práva na soukromí;

·        v § 3, odst. 7 návrh na odsunutí policejní evidence, evidence Ministerstva financí ve věcech praní peněz, Národního bezpečnostního úřadu ve věcech bezpečnostních prověrek a Ministerstva vnitra ve věcech lustračního osvědčení z režimu osvobození do speciálního režimu, ve kterém se má zpracování osobních údajů řídit zvláštní úpravou mající přednost před úpravou zákonem o ochraně osobních údajů;

·        návrh, aby z této úpravy bylo vyňato předávání údajů do jiných států podle § 27 s tím, aby vláda předložila pozitivní speciální úpravu pravidel pro zpracování osobních údajů v této oblasti;

·        v § 18 osvobodit dobrovolná seskupení osob, strany, církve, sdružení od ohlašovací povinnosti v případech, kdy zpracovávají osobní údaje členstva a toto zpracování má pouze vnitřní užití;

·        definici citlivých údajů podle § 4 rozšířit o termín genetické vybavení.

V této upravené podobě byl pak návrh zákona 1. 3. 2000 vrácen předkladateli.

Pak následovala zpáteční cesta do Poslanecké sněmovny. Ta měla v podstatě dvě možnosti:

·        přijmout text ve znění schváleném Senátem nebo

·        uvedené připomínky ignorovat a schválit zákon znovu kvalifikovanou většinou, tj. nadpoloviční většinou zvolených poslanců.

Při jednání o připomínkách se jak vláda, tak Petiční výbor vyslovily pro přijetí první varianty. Převážil však protiargument k výše zmíněné úpravě § 3 za situace, že normy upravující onen speciální režim v dané chvíli neexistují (zčásti jsou ve stádiu věcného návrhu) a uvedené orgány by se dostaly do absurdní situace, kdy by buď musely žádat vyšetřované o jejich souhlas se zpracováním osobních údajů nebo se vystavovaly nebezpečí pokuty až v částce 10 mil. Kč. Za této situace hlasováním v plénu 4. 4. 2000 Poslanecká sněmovna setrvala na původním návrhu zákona.

17. 4. 2000 pak již následoval podpis prezidenta a 25. 4. 2000 byl zákon vyhlášen ve Sbírce zákonů ČR v částce 32 pod číslem 101/2000 Sb. Na základě ustanovení v něm obsažených nabyl účinnosti ve dvou vlnách:

1.      obecně nabyl účinnosti 1. 6. 2000

2.      §§ 16, 17 a 35 jsou účinnými až od 1. 6. 2001 (jedná se zde u ustanovení v souvislosti s oznamovací povinností a registrací zpracování osobních údajů, kde je nutné ponechat určitý čas pro konstituování a zahájení práce Úřadu pro ochranu osobních údajů). To platilo rovněž o ustanoveních § 47 odst. 2, podle nichž bylo nutno uvést zpracování osobních údajů prováděná před účinností tohoto zákona do souladu s tímto zákonem.

Skutečnost, že nový zákon nabyl účinnosti, umožnila rovněž, aby dne 8. 9. 2000 byla jménem České republiky  ve Štrasburku podepsána Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních dat (Úmluva Rady Evropy č. 108 z 28. ledna 1981). Úmluvu schválila 28. 2. 2001 Poslanecká sněmovna Parlamentu ČR, 28. 3. 2001 Senát Parlamentu ČR a následně prezident republiky Úmluvu ratifikoval. Ratifikační listina České republiky pak byla uložena u generálního tajemníka Rady Evropy, depozitáře Úmluvy, dne 9. 7. 2001. Úmluva na základě svého článku 22 odst. 3 vstoupila pro Českou republiku v platnost dne 1. 11. 2001. Sdělení o jejím přijetí bylo vyhlášeno ve Sbírce mezinárodních smluv ČR pod č. 115/2001 Sb.m.s. dne 15. 11. 2001.

 

5. Novely zákona č. 101/2000 Sb., o ochraně osobních údajů

 

5.1 První novela

Zákon byl novelizován v podstatě okamžitě po čtvrt roce své platnosti. Tato novela je však svým způsobem technickou, protože pouze rozšířila působnost Úřadu pro ochranu osobních údajů, původně stanovenou v § 29 zákona č. 101/2000 Sb., o další práva a povinnosti doplněné zákonem č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu). Poslanecká sněmovna Parlamentu ČR ji schválila 24. 5. 2000, Senát Parlamentu ČR 30. 6. 2000, 12. 7. 2000 ji podepsal prezident, 26. 7. 2000 byla vyhlášena ve Sbírce zákonů ČR a účinnosti nabyla dnem 1. 10. 2000.

             

5.2 Druhá novela

Další novela zákona byla věcně i procesně mnohem komplikovanější než předchozí. S ní související proces byl zahájen návrhem skupiny poslanců z 12. 12. 2000, který v podstatě obsahoval jediný článek a jehož smyslem bylo částečně z působnosti zákona vyjmout zpracování osobních údajů prováděná politickými stranami, politickými hnutími, církvemi, náboženskými společnostmi a občanskými sdruženími za podmínky, že zpracování údajů se vztahuje pouze na jejich členy a osobní údaje slouží pro jejich vnitřní potřebu a činnost vyplývající z účelu, pro který byly založeny[41]. Současně byl podán návrh na projednání zákona tak, aby s ním sněmovna mohla vyslovit souhlas již v prvním čtení.

Poznamenejme, že v podstatě paralelně proběhla také poněkud kontroverzní diskuse[42] na stránkách Bulletinu advokacie, která vyústila v oficiální stanovisko Představenstva České advokátní komory ze dne 10. 10. 2000, že „zákon č. 101/2000 Sb. se na výkon advokacie, tj. poskytování právních služeb advokáty, nevztahuje“. To ovšem na prvotní návrh této druhé novely ještě přímý vliv nemělo.

Nicméně skutečný průběh tohoto procesu byl mnohem složitější. Nejprve s poslaneckým návrhem jako takovým vyslovila nesouhlas Vláda ČR. Následně Poslanecká sněmovna v rámci prvního čtení 22. 2. 2001 odmítla zákon projednat ve zkrácené lhůtě a přikázala jej k projednání Petičnímu výboru a Ústavně právnímu výboru. Zatímco Petiční výbor se omezil na stručné doporučující usnesení, Ústavně právní výbor vlastně sám vytvořil poměrně netriviální novelu zákona, kterou předložil k dalšímu projednání. Připomínky pokračovaly i ve druhém čtení 10. 4. 2001 a po jejich projednání byl zákon ve třetím čtení Poslaneckou sněmovnou schválen 12. 4. 2001.

Další novela zákona byla věcně i procesně mnohem komplikovanější než předchozí. S ní související proces byl zahájen návrhem skupiny poslanců z 12. 12. 2000, který v podstatě obsahoval  jediný článek a jehož smyslem bylo částečně z působnosti zákona vyjmout zpracování osobních údajů prováděná politickými stranami, politickými hnutími, církvemi, náboženskými společnostmi a občanskými sdruženími za podmínky, že zpracování údajů se vztahuje pouze na jejich členy a osobní údaje slouží pro jejich vnitřní potřebu a činnost vyplývající z účelu, pro který byly založeny. Současně byl podán návrh na projednání zákona tak, aby s ním sněmovna mohla vyslovit souhlas již v prvním čtení.

            Ovšem skutečný průběh byl mnohem složitější. Nejprve s tímto návrhem jako takovým vyslovila nesouhlas vláda. Následně poslanecká sněmovna v rámci prvního čtení 22. 2. 2001 odmítla zákon projednat ve zkrácené lhůtě a přikázala jej k projednání Petičnímu výboru a Ústavně právnímu výboru. Zatímco Petiční výbor se omezil na stručné doporučující usnesení, Ústavně právní výbor vlastně sám vytvořil poměrně netriviální novelu zákona, kterou předložil k dalšímu projednání. Připomínky pokračovaly i ve druhém čtení 10. 4. 2001 a po jejich projednání byl zákon ve třetím čtení Poslaneckou sněmovnou Parlamentu ČR schválen 12. 4. 2001.

 

            Vlastních změn v zákoně bylo celkem 28:

·        V § 2 byl dosavadní text označen jako odstavec 1 a doplněn odstavec 2, který včetně poznámky pod čarou č. 1) zní:
„(2) Úřadu jsou svěřeny kompetence ústředního správního úřadu pro oblast ochrany osobních údajů v rozsahu stanoveném tímto zákonem a pro oblast elektronického podpisu v rozsahu stanoveném zvláštním právním předpisem.1)
_____________________________
1) Zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu).“.

 

·        V § 3 se na konci odstavce 4 doplnila věta, která včetně poznámky pod čarou č. 1a) zní: „Dále se zákon nevztahuje na nahodilé shromažďování osobních údajů v rozsahu nezbytném pro výkon nezávislého povolání, které není živností ani jiným podnikáním podle zvláštních zákonů,1a) které stanoví povinnost mlčenlivosti.
_____________________________
1a) Například zákon č. 85/1996 Sb., o advokacii, ve znění pozdějších předpisů, zákon č. 358/1992 Sb., o notářích a jejich činnosti, ve znění pozdějších předpisů, zákon č. 237/1991 Sb., o patentových zástupcích, ve znění zákona č. 14/1993 Sb., zákon č. 523/1992 Sb., o daňovém poradenství a Komoře daňových poradců České republiky, zákon č. 254/2000 Sb., o auditorech, zákon č. 36/1967 Sb., o znalcích a tlumočnících.“.

 

·        V § 4 písm. b) se slova „členství v politických stranách či hnutích nebo odborových či zaměstnaneckých organizacích" nahradila slovy "členství v odborových organizacích“.

·        V § 5 odst. 2 se tečka na konci písmene e) nahradila textem „, nebo“ a doplnilo se písmeno f), které zní:

„f) pokud je to nezbytné pro výkon oprávněné činnosti politických stran, politických hnutí, občanských sdružení, odborových organizací, církví nebo náboženských společností.“.

 

·        V § 5 odst. 5 věta druhá zní: „Ze souhlasu musí být patrné, v jakém rozsahu je poskytován, komu a k jakému účelu, na jaké období a kdo jej poskytuje.“.

·        V § 5 odst. 5 se ve větě třetí tečka nahradila čárkou a doplnila se slova „pokud se subjekt údajů se správcem výslovně nedohodne jinak.“.

 

·        V § 5 odst. 5 se v poslední větě slovo „uschovat“ nahradilo slovem „prokázat“.

 

·        V § 5 se doplnily odstavce 7 až 10, které znějí:
„(7) Správce, který zpracovává osobní údaje podle odstavce 6, může tyto údaje předat jinému správci pouze za splnění těchto podmínek:
a) údaje subjektu údajů byly získány v souvislosti s činností správce nebo se jedná o zveřejněné osobní údaje,

b) údaje budou využívány pouze za účelem nabízení obchodu a služeb,

c) subjekt údajů byl o tomto postupu správce předem informován a nevyslovil s tímto postupem nesouhlas.

(8) Jiný správce, kterému byly předány údaje podle odstavce 7, nesmí tyto údaje předávat jiné osobě.
(9) Nesouhlas se zpracováním podle odstavce 7 písm. c) musí subjekt údajů učinit písemně. Správce je povinen informovat každého správce, kterému předal jméno, příjmení a adresu subjektu údajů, o tom, že subjekt údajů vyslovil nesouhlas se zpracováním.
(10) Za účelem vyloučení možnosti, že jméno, příjmení a adresa subjektu údajů budou opakovaně použity k nabídce obchodu a služeb, je správce oprávněn dále zpracovávat pro svoji vlastní potřebu jméno, příjmení a adresu subjektu údajů přesto, že subjekt údajů vyslovil nesouhlas podle odstavce 6.“.

 

·        V § 9 se v návětí za slova „je možné zpracovávat,“ vložilo slovo „jen“.

 

·        V § 9 písm. c) se na konci doplnilo slovo „nebo“.

 

·        V § 11 odstavec 1 zní:
„(1) Správce je před zahájením zpracování osobních údajů povinen subjekt údajů řádně a včas písemně informovat o tom, v jakém rozsahu a pro jaký účel budou osobní údaje zpracovávány, kdo a jakým způsobem bude osobní údaje zpracovávat a komu mohou být osobní údaje zpřístupněny či komu jsou určeny, nejsou-li subjektu údajů tyto informace již známy.“.

 

·        V § 11 odstavec 4 zní:
„(4) Jestliže správce nezískal osobní údaje od subjektu údajů, je povinen bezodkladně poskytnout subjektu údajů na základě písemné žádosti informace o tom, kdo správci osobní údaje poskytl (zdroj osobních údajů).“.

 

·        V § 11 odst. 5 se v návětí slova „Údaje podle odstavce 1“ nahradila slovy „Informace podle odstavců 1 až 4“.

 

·        V § 11 odst. 5 písm. b) se za slovo „zákon“ doplnila slova „nebo je takových údajů třeba k uplatnění práv a povinností vyplývajících ze zvláštních zákonů“.

 

·        V § 11 odst. 5 se tečka na konci písmene c) nahradila čárkou a doplnila se písmena d) a e), která znějí:
“d) zpracovává výlučně zveřejněné osobní údaje, nebo

e) zpracovává osobní údaje se souhlasem subjektu údajů podle § 5 odst. 5 a § 9 písm. a).“.

 

·        V § 12 odstavec 1 zní:

„(1) Správce nemusí splnit informační povinnost podle § 11 odst. 1 v případě, že tyto informace jsou součástí poučení podle právního předpisu.“.

 

·        V § 12 odst. 2 se slova „tento zákon nebo zvláštní“ včetně poznámky pod čarou č. 17) zrušila.

 

·        V § 18 písm. b) se za slovo „zákonem“ doplnila slova „nebo kterých je třeba k uplatnění práv vyplývajících ze zvláštních zákonů“.

 

·        V § 18 se na konci písmene b) tečka nahradila textem „, nebo“ a doplňuje se písmeno c), které zní:
„c) prováděné politickými stranami, politickými hnutími, odborovými organizacemi, církvemi, náboženskými společnostmi, občanskými sdruženími, popřípadě jinými právnickými osobami nevýdělečné povahy, které sledují politické, filozofické, náboženské nebo odborové cíle, pokud zpracovávají osobní údaje o svých členech a tyto údaje slouží pro jejich vnitřní potřebu.“.

 

·        V § 27 odst. 2 se tečka na konci písmene f) nahradila čárkou a doplnilo se písmeno g), které včetně poznámky pod čarou č. 24a) zní:
„g) tak stanoví zvláštní zákon.24a)

____________________________
24a) Zákon č. 227/2000 Sb.“.

 

·        V § 27 odst. 6 se na konci doplnila slova „nebo předávání vyplývá z mezinárodní smlouvy, kterou je Česká republika vázána“.

 

·        V § 29 odst. 1 se za písmeno d) vložilo nové písmeno e), které zní:
„e) vydává prováděcí právní předpisy podle zvláštního zákona,24a)".

Dosavadní písmena e) až i) se označila jako písmena f) až j).

·        V § 30 odstavec 1 zní:

„(1) Zaměstnanci Úřadu jsou předseda, inspektoři a další zaměstnanci.“.

·        V § 30 odst. 3 se slova „předsedu Úřadu, inspektory a zaměstnance“ nahradila slovy „zaměstnance Úřadu“.

·        V § 46 odst. 1 se slova „uloženou mu podle tohoto zákona“ nahradila slovy „stanovenou tímto zákonem při zpracování osobních údajů“.

·        V § 46 odst. 2 se slova „uložené mu tímto zákonem“ nahradila slovy „stanovené tímto zákonem při zpracování osobních údajů“.

·        V § 47 odst. 2 se slova „do 1 roku od účinnosti tohoto zákona“ nahradila slovy „do 31. prosince 2001“.

·        V § 47 se doplnil odstavec 3, který zní:
„(3) V případě, že kontrolující zjistí porušení povinnosti podle odstavce 2, ustanovení § 46 odst. 1 a 2 se v takovém případě do 31. prosince 2002 nepoužijí.“.

Další změna se pak týkala zákona  č. 65/1965 Sb., zákoník práce, ve znění pozdějších předpisů, kde se v § 73 odst. 2, upravujícího speciální povinnosti zaměstnanců orgánů státní správy a dalších vyjmenovaných subjektů, se za slova „Nejvyššího kontrolního úřadu,“ vložila slova „Úřadu pro ochranu osobních údajů,“.

Poté již celkem hladce novelu 17. 5. 2001 schválil Senát Parlamentu ČR, 25. 5. 2001 podepsal prezident, 31. 5. 2001 byla vyhlášena ve Sbírce zákonů ČR pod číslem 177/2001 Sb. a účinnosti nabyla týmž dnem.

 

5.3 Třetí novela

Oč byla třetí novela zákona obsahově jednodušší, o to složitější byla procesní cesta k ní. V tomto smyslu vznikla do jisté míry kuriózně, když Rozpočtový výbor Poslanecké sněmovny Parlamentu ČR, kterému byl přikázán v té době již téměř půl roku starý poslanecký návrh novel zákonů o rozpočtech obcí, krajů a hlavním městě Praze, na své schůzi 12. 9. 2001 mezi prvním a druhým čtení uvedeného návrhu právě do tohoto návrhu doplnil 3 body vztahující se k zákonu o ochraně osobních údajů. Při dalším projednávání ve sněmovně pak byly ještě rozšířeny o jeden bod a 21. 9. 2001 byl celý zákon schválen.

 

Jednalo se o následující změny:

 

·        Za § 17 se vkládá nový § 17a, který zní:

"§ 17a

(1) Zjistí-li Úřad, že správce zpracovává osobní údaje na základě zaregistrovaného oznámení podle § 16 a v rozporu s podmínkami stanovenými tímto zákonem, rozhodne o zrušení registrace.
(2) Zjistí-li Úřad, že správce, jehož oznámení bylo zaregistrováno postupem podle § 16 odst. 3 nebo § 17 odst. 4, porušuje podmínky stanovené tímto zákonem, registraci zruší.
(3) Pomine-li účel, pro který bylo zpracování zaregistrováno, Úřad z vlastního podnětu nebo na žádost správce registraci zruší.".

 

·        V § 30 se za odstavec 3 vkládají nové odstavce 4 a 5, které včetně poznámky pod čarou č. 26a) znějí:

 

"(4) Předseda Úřadu má nárok na plat, další plat, náhradu výdajů a naturální plnění jako prezident Nejvyššího kontrolního úřadu podle zvláštního zákona.26a)
(5) Inspektoři Úřadu mají nárok na plat, další plat, náhradu výdajů a naturální plnění jako členové Nejvyššího kontrolního úřadu podle zvláštního zákona.26a)
_____________________________
26a) Zákon č. 236/1995 Sb., o platu a dalších náležitostech spojených s výkonem funkce představitelů státní moci a některých státních orgánů a soudců, ve znění pozdějších předpisů.".

Dosavadní odstavce 4 a 5 se označují jako odstavce 6 a 7.

 

·        V § 30 odst. 6 se za slova „zaměstnanců Úřadu“ vkládají slova „, s výjimkou předsedy a inspektorů,“.

 

·        V § 30 odst. 7 se za slova „zaměstnancům Úřadu“ vkládají slova „, s výjimkou předsedy a inspektorů,“.

 

Nevýhodou těchto nijak problematických ustanovení se ovšem brzy ukázal kontext, v jakém se v legislativním procesu ocitly. Senát Parlamentu ČR totiž hned v dalším kroku  normu jako celek odmítl a dne 30. 10. 2001 ji vrátil poslanecké sněmovně. Ta pak 27. 11. 2001 senátní „veto“ přehlasovala, 7. 12. 2001 zákon podepsal prezident, 31. 12. 2001 byl vyhlášen ve Sbírce zákonů ČR pod číslem 450/2001 Sb. a účinnosti nabyl téhož dne.

 

 

5.4 Čtvrtá novela

Situace související s touto novelou byla v jistém smyslu obdobou novely předchozí. Tentokrát Ústavně právní výbor Poslanecké sněmovny Parlamentu ČR při projednávání senátního návrhu zákona o zpřístupnění svazků vzniklých z činnosti bývalé Státní bezpečnosti na své schůzi 17. 1. 2002 mezi prvním a druhým čtení uvedeného návrhu doplnil jeden v podstatě technický bod vztahující se k zákonu o ochraně osobních údajů. Zákon byl posléze 8. 2. 2002 Poslaneckou sněmovnou schválen.

 

            Uvedené ustanovení spočívalo v tom, že v § 3 odst. 6 písm. e) se tečka na konci nahrazuje čárkou a doplňuje se písmeno f), které včetně poznámky pod čarou č. 10a) zní:
„f) orgány příslušnými ke zpřístupňování svazků vzniklých činností bývalé Státní bezpečnosti podle zvláštního zákona,10a) pokud tento zvláštní zákon nestanoví jinak.

_____________________________
10a) Zákon č. 140/1996 Sb., o zpřístupnění svazků vzniklých činností bývalé Státní bezpečnosti, ve znění zákona č. 107/2002 Sb.“.

Senát Parlamentu ČR tento zákon schválil 12. 3. 2002, 15. 3. 2002 jej podepsal prezident, 20. 3. 2002 byl vyhlášen ve Sbírce zákonů ČR pod číslem 107/2002 Sb. a účinnosti nabyl téhož dne.

 

 

5.5 Pátá novela

Tato novela byla v podstatě drobnou součástí velké novely zákona č. 148/1998 Sb., o ochraně utajovaných skutečností. Byla provedena zákonem, kterým se mění zákon č. 148/1998 Sb., o ochraně utajovaných skutečností a o změně některých zákonů, ve znění pozdějších předpisů, zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů, zákon č. 18/1997 Sb., o mírovém využití jaderné energie a ionizujícího záření (atomový zákon) a o změně a doplnění některých zákonů, ve znění pozdějších předpisů, zákon č. 38/1994 Sb., o zahraničním obchodu s vojenským materiálem a o doplnění zákona č. 455/1991 Sb., o živnostenském podnikání (živnostenský zákon), ve znění pozdějších předpisů, a zákona č. 140/1961 Sb., trestní zákon, ve znění pozdějších předpisů, zákon č. 283/1993 Sb., o státním zastupitelství, ve znění pozdějších předpisů, a zákon č. 42/1992 Sb., o úpravě majetkových vztahů a vypořádání majetkových nároků v družstvech, ve znění pozdějších předpisů. Tento zákon byl schválen Poslaneckou sněmovnou Parlamentu ČR dne 27. 3. 2002.

 

            Uvedené ustanovení měnící zákona č. 101/2000 Sb. spočívalo pouze v tom, že v § 3 odst. 6 písm. d) se za slova „bezpečnostních prověrek“ vkládají slova „a ověřování bezpečnostní způsobilosti fyzických osob“.

 

Senát Parlamentu ČR tento zákon Poslanecké sněmovně 6. 5. 2002 vrátil. Ta však v hlasování dne 13. 6. 2002 setrvala na původním stanovisku a 28. 6. 2002 jej podepsal prezident. 12. 7. 2002 byl zákon vyhlášen ve Sbírce zákonů ČR pod číslem 310/2002 Sb. a účinnosti nabyl téhož dne.

 

 

5.6 Šestá novela

Tato novela souvisela s poměrně výraznou změnou v organizaci ústředních úřadů provedenou zákonem č. 517/2002 Sb., kterým se provádějí některá opatření v soustavě ústředních orgánů státní správy. Podstatou této změny bylo vytvoření zcela nového ministerstva informatiky, na něž byly z Úřadu pro ochranu osobních údajů převedeny kompetence týkající se oblasti elektronického podpisu. Tento zákon byl schválen Poslaneckou sněmovnou Parlamentu ČR dne 17. 10. 2002.

 

Jednalo se o následující změny:

 

1. V § 2 odst. 2 se slova "a pro oblast elektronického podpisu v rozsahu stanoveném zvláštním právním předpisem1)" včetně poznámky pod čarou č. 1) zrušují.

 

2. V § 29 odst. 1 se písmeno e) včetně odkazu na poznámku pod čarou č. 24a) zrušuje.

 

3. V § 29 odst. 1 se dosavadní písmena f), g), h), i) a j) označují jako písmena e), f), g), h) a i).

 

4. V § 29 se odstavec 4 zrušuje.

 

Senát Parlamentu ČR tento zákon schválil 15. 11. 2002 a 29. 11. 2002 jej podepsal prezident. 13. 12. 2002 byl zákon vyhlášen ve Sbírce zákonů ČR pod číslem 517/2002 Sb. a účinnosti nabyl 1. 1. 2003.

 

6. Současná podoba zákona č. 101/2000 Sb., o ochraně osobních údajů

 

Současná podoba zákona je následující:


 

 

ČÁST PRVNÍ

OCHRANA OSOBNÍCH ÚDAJů

 

Hlava I

Úvodní ustanovení

 

§ 1

Předmět úpravy

 

Zákon upravuje ochranu osobních údajů o fyzických osobách, práva a povinnosti při zpracování těchto údajů a stanoví podmínky, za nichž se uskutečňuje jejich předávání do jiných států.

 

Uvedený zákona plní v právním řádu ČR roli obecné právní normy v oblasti zajištění ochrany osobních údajů, způsobu jejich zpracovávání jak v České republice, tak pro přenos do zahraničí a regulace vztahů, které v souvislosti s nimi vznikají. Přestože v určitých případech zákon upravuje nezbytný zvláštní režim (např. Policie ČR, zpravodajské služby, Armáda ČR, Ministerstvo financí apod.), který stanoví zvláštní zákony, nelze ani tyto subjekty absolutně z působnosti tohoto zákona vyčlenit, protože by tato skutečnost odporovala Úmluvě a následně by zabránila např. mezinárodní spolupráci v rámci Schengenských dohod.

 

§ 2

 

(1) Zřizuje se Úřad pro ochranu osobních údajů se sídlem v Praze (dále jen “Úřad”).

 

(2) Úřadu jsou svěřeny kompetence ústředního správního úřadu pro oblast ochrany osobních údajů v rozsahu stanoveném tímto zákonem.

 

§ 3

Působnost zákona

 

(1)   Zákon se vztahuje na osobní údaje, které zpracovávají státní orgány, orgány územní samosprávy, jiné orgány veřejné moci, jakož i fyzické a právnické osoby, pokud tento zákon nebo zvláštní zákon nestanoví jinak.

 

Z věcného hlediska se zákon vztahuje na veškeré osobní údaje, tedy nikoli jen na ty, které jsou vedeny automatizovaně v informačních systémech (viz předchozí právní norma). Z hlediska osobní působnosti se zákon obecně vztahuje na veškeré subjekty práv (fyzické i právnické osoby) s dále uvedenými výjimkami.

 

(2)   Zákon se vztahuje na veškeré zpracovávání osobních údajů, ať k němu dochází automatizovaně nebo jinými prostředky.

 

Zákon se vztahuje na veškeré zpracovávání osobních údajů bez ohledu na to, zda se tak děje prostředky výpočetní techniky nebo jinými automatickými prostředky či manuálně.

 

(3)   Zákon se nevztahuje na zpracování osobních údajů, které provádí fyzická osoba výlučně pro osobní potřebu.

 

Zde má zákonodárce na mysli různé adresáře, soubory údajů, které tato osoba shromáždí v rámci své záliby apod. Limitem termínu “osobní potřeba” je skutečnost, že údaje takto shromážděné však nesmějí být předmětem obchodních aktivit a nesmějí být zveřejňovány.

 

(4)   Zákon se nevztahuje na nahodilé shromažďování osobních údajů, pokud tyto údaje nejsou dále zpracovávány. Dále se zákon nevztahuje na nahodilé shromažďování osobních údajů v rozsahu nezbytném pro výkon nezávislého povolání, které není živností ani jiným podnikáním podle zvláštních zákonů, které stanoví povinnost mlčenlivosti. [Například zákon č. 85/1996 Sb., o advokacii, ve znění pozdějších předpisů, zákon č. 358/1992 Sb., o notářích a jejich činnosti, ve znění pozdějších předpisů, zákon č. 237/1991 Sb., o patentových zástupcích, ve znění zákona č. 14/1993 Sb., zákon č. 523/1992 Sb., o daňovém poradenství a Komoře daňových poradců České republiky, zákon č. 254/2000 Sb., o auditorech, zákon č. 36/1967 Sb., o znalcích a tlumočnících.]

 

Zákon se rovněž nevztahuje na ty osobní údaje, které jsou shromažďovány nahodile, zpravidla individuálně a jednoúčelově a zejména pak nejsou nijak dále zpracovávány. Příkladem zde může být např. o záznam adresy zákazníka při poskytování konkrétní služby a rovněž pak speciální povolání, s nimiž je spojena povinnost mlčenlivosti. Protipříkladem však v tomto smyslu jsou systematicky vedené adresáře zákazníků, kterým je pak např. následně zasílána nabídka jiných služeb a pod.

 

(5)   Zpracování osobních údajů pro účely statistické a archivnictví stanoví zvláštní zákony [Zákon č.97/1974 Sb., o archivnictví, ve znění zákona č.343/1992 Sb., zákon č.89/1995 Sb., o státní statistické službě a zákon č.158/1999 Sb., o sčítání lidu, domů a bytů v roce 2001].

 

Zákon se zde odkazuje na další speciální právní normy které stanoví zvláštnosti určitých otázek souvisejících se zpracováváním osobních údajů pro uvedené účely (např. jejich další uchovávání - archivaci po naplnění účelu pro něž byly shromážděny).

 

(6)   Ustanovení § 5, 9, 11, 16 a 27 tohoto zákona se nepoužijí pro zpracování osobních údajů

a)       zpravodajskými službami [Zákon č.153/1994 Sb., o zpravodajských službách, ve znění zákona č.118/1995 Sb.].

b)       Policií České republiky, včetně její Národní ústředny Interpolu, při odhalování trestné činnosti [Zákon č.283/1991 Sb., o Policii České republiky ve znění zákona č.26/1993 Sb., zákona č.26/1993 Sb., zákona č.67/1993 Sb., zákona č.163/1993 Sb., zákona č.326/1993 Sb., zákona č.82/1995 Sb., zákona č.152/1995 Sb., zákona č.18/1997 Sb., zákona č.186/1997 Sb., zákona č.168/1999 Sb. a zákona č.138/1999 Sb.].

c)       Ministerstvem financí v rámci finančně-analytické činnosti podle zvláštního právního předpisu [Zákon č.61/1996 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti, ve znění zákona č.15/1998 Sb.].

d)       Národním bezpečnostním úřadem při provádění bezpečnostních prověrek a ověřování bezpečnostní způsobilosti fyzických osob podle zvláštního právního předpisu [Zákon č.148/1998 Sb., o ochraně utajovaných skutečností a o změně některých zákonů].

e)       Ministerstvem vnitra při vydávání osvědčení podle zvláštního právního předpisu [Zákon č. 451/1991 Sb., kterým se stanoví některé další předpoklady pro výkon některých funkcí ve státních orgánech a organizacích České a Slovenské Federativní Republiky, České republiky a Slovenské republiky, ve znění pozdějších předpisů, Zákon č. 279/1992 Sb., o některých dalších předpokladech pro výkon některých funkcí obsazovaných ustanovením nebo jmenováním příslušníků Policie České republiky a příslušníků Sboru nápravné výchovy České republiky, ve znění pozdějších předpisů.], při vydávání krycích dokladů [§ 34a zákona č. 283/1991 Sb.] a při činnosti útvaru inspekce ministra vnitra [§ 2 odst. 4 zákona č. 283/1991 Sb.].

f)         orgány příslušnými ke zpřístupňování svazků vzniklých činností bývalé Státní bezpečnosti podle zvláštního zákona, pokud tento zvláštní zákon nestanoví jinak. [Zákon č. 140/1996 Sb., o zpřístupnění svazků vzniklých činností bývalé Státní bezpečnosti, ve znění zákona č. 107/2002 Sb.]

 

Zákon se explicitně stanoví výjimky kterých subjektů se která konkrétní ustanovení zákona netýkají. V komentáři zde současně zákonodárce vysvětluje, že pod pojmem odhalování trestné činnosti rozumí také “vyšetřování či prevenci trestných činů”.

 

§ 4

Vymezení pojmů

 

Pro účely tohoto zákona se rozumí:

a)      osobním údajem jakýkoliv údaj týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze na základě jednoho či více osobních údajů přímo či nepřímo zjistit jeho identitu. O osobní údaj se nejedná, pokud je třeba ke zjištění identity subjektu údajů nepřiměřené množství času, úsilí či materiálních prostředků,

 

“Nepřiměřené množství času nebo prostředků” je obvyklý neurčitý pojem, který je používán v evropských předpisech (např. doporučení Rady Evropy). Konkretizace těchto pojmů závisí na okolnostech práce s osobními údaji a posuzuje je buď Úřad nebo případně soud.

 

b)      citlivým údajem osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství odborových organizacích, náboženství a filozofickém přesvědčení, trestné činnosti, zdravotním stavu a sexuálním životě subjektu údajů,

 

c)      anonymním údajem takový údaj, který buď v původním tvaru nebo po provedeném zpracování nelze přímo vztáhnout k určenému nebo určitelnému subjektu údajů,

d)      subjektem údajů fyzická osoba, k níž se osobní údaje vztahují,

 

Výrazem subjekt údajů se ve smyslu čl. 2 nahrazuje dosavadní pojem dotčená osoba používaný v zákoně č.256/1992 Sb., o ochraně osobních údajů v informačních systémech. Označuje se tak osoba, která je určena nebo určitelná. Výraz “subjekt údajů” je novým pojmem, který je však výstižnější než výraz dotčená osoba. Jednak již ve svém názvu obsahuje vztah k údajům, jednak pro další práci, zejména v souvislosti s mezinárodními aktivitami, je tento název mezinárodně srozumitelný a snadno srovnatelný s termínem používaným v evropském právu. Rovněž umožňuje pod něj zahrnout údaje genetické, údaje o nenarozeném dítěti a pod., kde by bylo nevhodné použít termín “fyzická osoba”. Takové údaje požívají rovněž náležitou ochranu v evropské legislativě. Nový výraz “subjekt údajů” také jasně vymezuje rozdíl od jiných fyzických osob (např. těch, které osobní údaje zpracovávají).

 

e)      zpracováním osobních údajů jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Zpracováním osobních údajů se rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace,

 

Pojem je obecný a zahrnuje každý zásah do informace ať jednotlivé nebo jakožto součásti informačního systému. Zpracování se může uskutečňovat nejen technickými prostředky (zejména výpočetní techniky), ale také manuálně. Definice navíc ponechává prostor zahrnout pod tento pojem i další způsoby či techniky, které nejsou v současné době známy. Tato linie je nutná pro udržení kompatibility s evropskou legislativou. Pod pojem zpracování je nutno zahrnout jakoukoliv manipulaci s údaji (tedy také “správu údajů”, “nakládání s údaji” apod.).

 

f)        shromažďováním osobních údajů systematický postup nebo soubor postupů, jehož cílem je získání osobních údajů za účelem jejich dalšího uložení na nosič informací pro jejich okamžité nebo pozdější zpracování,

 

Tato činnost se musí dít systematicky, tedy se záměrem dosáhnout určitého uspořádaného souboru, nebo pomocí technických prostředků uspořádání docílit. Není rozhodné, zda se tak děje ojediněle nebo soustavně, významné nejsou ani prostředky, kterými se tak děje. Ze sémantického významu slova shromažďování plyne, že se týká více než jednoho údaje, o shromažďování ovšem jde již v okamžiku, kdy je získán první z řady více údajů. Údaje musí být uloženy na nějaký nosič /disketu, disk, papír/ k tomu, aby byly buď ihned nebo kdykoli v budoucnu zpracovány.

 

g)      uchováváním osobních údajů udržování údajů v takové podobě, která je umožňuje dále zpracovávat,

h)      blokováním osobních údajů vytvoření takového stavu, při kterém je osobní údaj určitou dobu nepřístupný a nelze jej jinak zpracovávat,

i)        likvidací osobních údajů se rozumí fyzické zničení jejich nosiče, jejich fyzické vymazání nebo jejich trvalé vyloučení z dalších zpracování,

 

Za likvidaci není možné považovat takový způsob, po jehož aplikaci by přesto bylo možno, např. jinými technickými prostředky, tyto údaje jakkoli obnovit, aby měly charakter osobních údajů.

 

j)        správcem každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. Zpracováním osobních údajů může správce zmocnit nebo pověřit zpracovatele, pokud zvláštní zákon nestanoví jinak,

 

Definice je převzata ze Směrnice. Správcem se rozumí jednak státní nebo jiný orgán, případně subjekt, jemuž je zákonem uloženo, aby zpracovával osobní údaje, jednak soukromý subjekt či fyzická osoba, který zpracovává osobní údaje pro účely podnikatelské nebo pro jakékoliv jiné účely. Státním a jiným orgánům stanoví zákon, jak mají osobní údaje zpracovávat. Pokud jde o soukromé subjekty, mohou osobní údaje zpracovávat, jen pokud to zákon nezakazuje. Správce může pověřit /např. smluvně, služebním pokynem/, aby osobní údaje zpracovával jiný subjekt, tj. zpracovatel, ledaže by mu zákon ukládal, aby je zpracovával sám nebo mu ukládá, aby zpracováváním pověřil zpracovatele. Vztah mezi správcem a zpracovatelem však musí mít právní náležitosti (tj. zákon, nebo právně platná smlouva). Dikce návrhu odlišuje případy, kdy postavení správce je určeno přímo zákonem (např. obecní úřad při vedení matriky) a kdy vyvíjí činnost v souladu se zákonem resp. podle zákona.

 

k)      zpracovatelem každý subjekt, který na základě zvláštního zákona nebo pověření správcem zpracovává osobní údaje podle tohoto zákona,

 

Zpracovatel může zpracovávat údaje buď na základě výslovného zákonného zmocnění nebo je-li k tomu zmocněn správcem nebo na základě smluvního ujednání. Zpracovatel, na rozdíl od správce, neurčuje účel a prostředky zpracování osobních údajů. Zpracovatelem se rozumí také jakýkoliv jiný subjekt, který provádí jen některou (či některé) činnost související se zpracováním. Nemusí tedy jít vždy o subjekt, který osobní údaje shromáždil.

 

l)        zveřejněným osobním údajem osobní údaj, zpřístupněný zejména hromadnými sdělovacími prostředky, jiným veřejným sdělením nebo jako součást veřejného seznamu.

 

Na rozdíl od ustanovení § 15 zákona č.256/1992 Sb., je zveřejnění vymezeno šířeji. Taxativní výčet všech prostředků, jimiž může k publikovaní osobního údaje dojít, se nejeví možný, ale ani potřebný. Podané vymezení dává možnost reagovat na případné změny, k nimž může, pokud se týče způsobu zveřejňování v budoucnu dojít. Nejčastěji bude osobní údaj zveřejňován tiskem, televizí, Internetem a jinými masovými médii a dále jakožto součást veřejně přístupných seznamů /obchodní rejstřík, letecký rejstřík/. Může se stát veřejným i jako součást různých seznamů vydávaných pro komerční účely, ale také jeho sdělením na veřejné schůzi. Není přitom rozhodné, zda k publikaci došlo legálně nebo v rozporu se zákonem.

 

Hlava II

Práva a povinnosti při zpracování osobních údajů

 

§ 5

 

(1)   Správce je povinen:

a)  stanovit účel, k němuž mají být osobní údaje zpracovány,

b)  stanovit prostředky a způsob zpracování osobních údajů,

 

Uvedené povinnosti musí správce splnit předem. Odtud se pak odvíjejí některé další povinnosti, např. pro uchovávání údajů, jejich přenos do jiných států apod.

 

c)  zpracovávat pouze pravdivé a přesné osobní údaje, které získal v souladu s tímto zákonem. Je povinen ověřovat, zda jsou osobní údaje pravdivé a přesné a pokud tak nemůže zjistit, musí je blokovat. Zjistí-li správce, že údaje nejsou pravdivé a přesné, zejména k námitce subjektu údajů, je povinen je blokovat a bez zbytečného odkladu opravit nebo doplnit. Nelze-li je opravit nebo doplnit, musí je bez zbytečného odkladu zlikvidovat. Nepravdivé, nepřesné nebo neověřené osobní údaje lze zpracovávat pouze v případě, stanoví-li tak zvláštní zákon [Například zákon č.89/1995 Sb., o státní statistické službě, zákon č.153/1994 Sb., o zpravodajských službách, ve znění pozdějších předpisů a zákon č.283/1991 Sb., o Policii České republiky, ve znění pozdějších předpisů]. Tyto údaje se musí náležitě označit a vést odděleně od ostatních osobních údajů,

d)  shromažďovat osobní údaje odpovídající pouze stanovenému účelu a v rozsahu nezbytném pro naplnění stanoveného účelu,

e)  uchovávat osobní údaje pouze po dobu, která je nezbytná k účelu jejich zpracování. Po uplynutí této doby mohou být osobní údaje uchovávány pouze pro účely statistické, vědecké a pro účely archivnictví. Při použití pro tyto účely je třeba dbát práva na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů,

f)   zpracovávat osobní údaje pouze k tomu účelu, k němuž byly shromážděny, pokud zvláštní zákon nestanoví jinak. Zpracovávat k jinému účelu lze osobní údaj jen pokud k tomu dal subjekt údajů souhlas,

g)  shromažďovat osobní údaje pouze otevřeně; je vyloučeno shromažďovat údaje pod záminkou jiného účelu nebo jiné činnosti, pokud zvláštní zákon nestanoví jinak,

h)  nesdružovat osobní údaje, které byly získány k rozdílným účelům, pokud zvláštní zákon nestanoví jinak.

(2)   Správce může zpracovávat osobní údaje pouze se souhlasem subjektu údajů. Bez tohoto souhlasu je může zpracovávat:

a)  jestliže provádí zpracování upravené zvláštním zákonem [Například zákon č.111/1998 Sb., o vysokých školách a o změně a doplnění dalších zákonů, zákon č.564/1990 Sb., o státní správě a samosprávě ve školství, ve znění pozdějších předpisů, zákon č.153/1994 Sb., o zpravodajských službách, ve znění pozdějších předpisů a zákon č.61/1996 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a o změně a doplnění některých zákonů, ve znění pozdějších předpisů].

b)  jestliže je nezbytné, aby subjekt údajů mohl vstoupit do jednání o smluvním vztahu nebo aby plnil ujednání smlouvy uzavřené se správcem,

c)  pokud je to nezbytně třeba k ochraně důležitých zájmů subjektu údajů. V tomto případě je třeba bez zbytečného odkladu získat jeho souhlas. Pokud souhlas není dán, musí správce ukončit zpracování a údaje zlikvidovat,

d)      jedná-li se o oprávněně zveřejněné osobní údaje v souladu se zvláštním právním předpisem [Zákon č.81/1966 Sb., o periodickém tisku a ostatních hromadných informačních prostředcích, ve znění zákona č.84/1968 Sb., zákona č.127/1968 Sb., zákona č.99/1969 Sb., zákona č.86/1990 Sb., zákona č.175/1990 Sb., zákona č.425/1990 Sb. a zákona č.160/1999 Sb.]. Tím však není dotčeno právo na ochranu soukromého a osobního života subjektu údajů,

e)      pokud je to nezbytné pro ochranu práv správce; takové zpracování osobních údajů však nesmí být v rozporu s právem subjektu údajů na ochranu jeho soukromého a osobního života, nebo

g)       pokud je to nezbytné pro výkon oprávněné činnosti politických stran, politických hnutí, občanských sdružení, odborových organizací, církví nebo náboženských společností.

(3)   Provádí-li správce zpracování osobních údajů na základě zvláštního zákona [Například zákon č. 111/1998 Sb., o vysokých školách a o změně a doplnění dalších zákonů (zákon o vysokých školách), zákon č. 564/1990 Sb., o státní správě a samosprávě ve školství, ve znění pozdějších předpisů, zákon č. 153/1994 Sb., ve znění zákona č. 118/1995 Sb., a zákon č. 61/1996 Sb., ve znění zákona č. 15/1998 Sb.], je povinen dbát práva na ochranu soukromého a osobního života subjektu údajů.

(4)   Bez souhlasu subjektu údajů lze osobní údaje zpracovávat pro účely statistické nebo vědecké. Pro tyto účely zpracování je nutno osobní údaje anonymizovat, jakmile je to možné. Při zpracování osobních údajů pro tyto účely je však nutno zajistit požadovanou úroveň jejich zabezpečení podle § 13.

(5)   Souhlasem podle odstavce 2 však nemohou být dotčeny povinnosti uvedené v odstavci 1 písmene c) a g). Ze souhlasu musí být patrné, v jakém rozsahu je poskytován, komu a k jakému účelu, na jaké období a kdo jej poskytuje. Souhlas může být kdykoliv odvolán, pokud se subjekt údajů se správcem výslovně nedohodne jinak. Tento souhlas musí správce prokázat po dobu zpracování osobních údajů, k jejichž zpracování byl dán souhlas.

 

Obecně platí, že subjekt údajů může dát souhlas k omezení svých práv. Výjimku zde tvoří povinnosti správce podle odstavce 1 písmen c) a g), jejichž dodržování je důležité i pro zajištění práv dalších subjektů.

 

6)  Provádí-li správce nebo zpracovatel zpracování osobních údajů za účelem nabízení obchodu nebo služeb subjektu údajů, lze pro tento účel použít jméno, příjmení a adresu subjektu údajů, pokud tyto údaje byly získány z veřejného seznamu nebo v souvislosti se svojí činností jakožto správce nebo zpracovatele. Správce nebo zpracovatel však nesmí uvedené údaje dále zpracovávat, pokud s tím subjekt údajů vyslovil nesouhlas. Nesouhlas se  zpracováním je nutné vyjádřit písemně. Bez souhlasu subjektu údajů nelze k uvedeným údajům přiřazovat další osobní údaje.

 

7)  Správce, který zpracovává osobní údaje podle odstavce 6, může tyto údaje předat jinému správci pouze za splnění těchto podmínek:

a)    údaje subjektu údajů byly získány v souvislosti s činností správce nebo se jedná o zveřejněné osobní údaje,

b)    údaje budou využívány pouze za účelem nabízení obchodu a služeb,

c)    subjekt údajů byl o tomto postupu správce předem informován a nevyslovil s tímto postupem nesouhlas.

 

8)  Jiný správce, kterému byly předány údaje podle odstavce 7, nesmí tyto údaje předávat jiné osobě.

 

9)  Nesouhlas se zpracováním podle odstavce 7 písm. c) musí subjekt údajů učinit písemně. Správce je povinen informovat každého správce, kterému předal jméno, příjmení a adresu subjektu údajů, o tom, že subjekt údajů vyslovil nesouhlas se zpracováním.

 

10Za účelem vyloučení možnosti, že jméno, příjmení a adresa subjektu údajů budou opakovaně použity k nabídce obchodu a služeb, je správce oprávněn dále zpracovávat pro svoji vlastní potřebu jméno, příjmení a adresu subjektu údajů přesto, že subjekt údajů vyslovil nesouhlas podle odstavce 6.

 

V odstavcích 6 až 10 jsou zvláště podrobně popsány povinnosti správců osobních údajů, kteří je zpracovávají za účelem nabízení obchodu a služeb tak, aby těmto správcům zákon nadmíru nebránil v jejich podnikatelské činnosti, ale současně byla výrazně  omezena možnost zneužití osobních údajů zákazníků.

 

 

§ 6

 

Pokud zmocnění nevyplývá z právního předpisu, může správce se zpracovatelem uzavřít smlouvu o zpracování osobních údajů. Smlouva musí mít písemnou formu, jinak je neplatná. Musí v ní být zejména výslovně uvedeno v jakém rozsahu, za jakým účelem a na jakou dobu se uzavírá. Jestliže zpracovatel ve smlouvě neposkytne dostatečné záruky o technickém a organizačním zabezpečení ochrany osobních údajů, je taková smlouva neplatná.

 

Zde se rozlišují výrazy “zmocnit” a “pověřit”, které odlišují případy, kdy je správcem údajů orgán veřejné moci, který “zmocňuje” a kdy je jím soukromý subjekt, který “pověřuje”.

 

§ 7

 

Povinnosti stanovené v § 5 platí obdobně také pro zpracovatele.

 

§ 8

 

Jestliže zpracovatel zjistí, že správce porušuje povinnosti stanovené tímto zákonem, je povinen jej na to neprodleně upozornit a ukončit zpracování osobních údajů. Pokud tak neučiní, odpovídá za škodu, která subjektu údajů vznikla, společně a nerozdílně se správcem údajů. Tím není dotčena jeho odpovědnost podle tohoto zákona.

 

Zjistí-li zpracovatel, že správce porušuje svoje povinnosti, musí ho na to upozornit a přestat nakládat s údaji. Učiní-li tak, nevzniká mu odpovědnost, v opačném případě je odpovědný za škodu, která vznikla subjektu údajů v rozsahu, v němž v důsledku tohoto opomenutí ke škodě došlo. Z důvodu zajištění ochrany práv subjektu údajů, zakotvuje se zvláštní režim solidární odpovědnosti.

 

§ 9

Citlivé údaje

 

Citlivé údaje je možno zpracovávat jen, jestliže:

a)      subjekt údajů dal ke zpracování výslovný souhlas. Souhlas musí být dán písemně, podepsán subjektem údajů a musí z něho být zřejmé, k jakým údajům je dáván, jakému správci údajů, k jakému účelu, na jaké období a kdo jej poskytuje. Souhlas může subjekt údajů kdykoliv odvolat. Správce je povinen předem subjekt údajů o jeho právech poučit. Tento souhlas musí správce uschovat po dobu zpracování osobních údajů, k jejichž zpracování byl souhlas dán,

b)      je to nezbytné v zájmu zachování života nebo zdraví subjektu údajů nebo jiné osoby nebo odvrácení bezprostředního závažného nebezpečí hrozícího jejich majetku, pokud není možno jeho souhlas získat zejména z důvodů fyzické, duševní či právní nezpůsobilosti, v případě, že je nezvěstný nebo z jiných podobných důvodů. Správce musí ukončit zpracování údajů, jakmile pominou uvedené důvody, a údaje musí zlikvidovat, ledaže by subjekt údajů dal k dalšímu zpracování souhlas,

 

Toto je chápáno jako zcela výjimečný případ.

 

c)      se jedná o poskytování zdravotní péče [Zákon č.20/1966 Sb., o péči o zdraví lidu, ve znění zákona č.210/1990 Sb., zákona č.425/1990 Sb., zákona č.548/1991 Sb., zákona č.550/1991 Sb., zákona č.590/1992 Sb., zákona č.15/1993 Sb., zákona č.161/1993 Sb., zákona č.307/1993 Sb., zákona č.60/1995 Sb., zákona č.14/1997 Sb., zákona č.206/1996 Sb., zákona č.79/1997 Sb., zákona č.110/1997 Sb., zákona č.83/1998 Sb. a zákona č.167/1998 Sb.], jakož i jiné posuzování zdravotního stavu podle zvláštního zákona, zejména pro účely sociálního zabezpečení. [Například pro posuzování zdravotního stavu a pracovní schopnosti podle zákona č.582/1991 Sb., o organizaci a provádění sociálního zabezpečení, ve znění pozdějších předpisů.], nebo

d)      je tak stanoveno zvláštním zákonem [Například zákon č.48/1997 Sb., o veřejném zdravotním pojištění, ve znění pozdějších předpisů, zákon č.280/1992 Sb., o resortních, odborových, podnikatelských a dalších zdravotních pojišťovnách, ve znění pozdějších předpisů, zákon č.551/1991 Sb., o Všeobecné zdravotní pojišťovně České republiky, ve znění pozdějších předpisů, zákon č.158/1999 Sb., o sčítání lidu, domů a bytů v roce 2001].

 

Ve smyslu čl. 8 Směrnice bude třeba příslušné zákony uvést do souladu s úpravou zákona o ochraně osobních údajů. V souladu se směrnicí je jakákoliv problematika upravená zákonem považována za důležitý veřejný zájem.

 

§ 10

 

Při zpracování citlivých údajů správce a zpracovatel dbá, aby subjekt údajů neutrpěl újmu na svých právech, zejména na právu na zachování lidské důstojnosti a také dbá na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů.

 

§ 11

 

(1)   Správce je před zahájením zpracování osobních údajů povinen subjekt údajů řádně a včas písemně informovat o tom, v jakém rozsahu a pro jaký účel budou osobní údaje zpracovávány, kdo a jakým způsobem bude osobní údaje zpracovávat a komu mohou být osobní údaje zpřístupněny či komu jsou určeny, nejsou-li subjektu údajů tyto informace již známy.

(2)   Správce musí dále subjekt údajů poučit o tom, zda je podle zákona povinen pro zpracování osobní údaje poskytnout, jaké důsledky budou vyvozeny, pokud tak neučiní, a kdy je oprávněn odmítnout poskytnutí osobních údajů, nebo zda poskytnutí osobních údajů je dobrovolné.

(3)   Správce musí subjekt údajů informovat o jeho právu k přístupu k osobním údajům, jakož i o dalších právech stanovených v § 21 tohoto zákona.

(4)   Jestliže správce nezískal osobní údaje od subjektu údajů, je povinen bezodkladně poskytnout subjektu údajů na základě písemné žádosti informace o tom, kdo správci osobní údaje poskytl (zdroj osobních údajů).

(5)   Informace podle odstavců 1 až 4 není povinen správce poskytovat, pokud:

a)  zpracovává osobní údaje výlučně pro účely statistické, vědecké nebo archivnictví,

b)  zpracování osobních údajů mu ukládá zákon nebo je takových údajů třeba k uplatnění práv a povinností vyplývajících ze zvláštních zákonů,

c)  zvláštní zákon [Například zákon č.153/1994 Sb., o zpravodajských službách, ve znění pozdějších předpisů, zákon č.61/1966 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a o změně a doplnění některých zákonů, ve znění pozdějších předpisů a zákon č.283/1991 Sb., o Policii České republiky, ve znění pozdějších předpisů.] stanoví, že není povinen osobní údaje poskytovat,

d)  zpracovává výlučně zveřejněné osobní údaje, nebo

e)  zpracovává osobní údaje se souhlasem subjektu údajů podle § 5 odst. 5 a § 9 písm. a).

(6)   Rozhodnutí orgánu veřejné moci nelze bez ověření tímto orgánem vydat na základě výlučně automatizovaného zpracování osobních údajů. To neplatí v případě, že takové rozhodnutí bylo učiněno ve prospěch subjektu údajů.

 

Nelze vydat jakékoliv (zpravidla pro subjekt údajů nevýhodné) rozhodnutí orgánu veřejné moci pouze na základě automatizovaného zpracování osobních údajů bez individuálního ověření.

 

(7)   Předchozími ustanoveními nejsou dotčena práva subjektu údajů požadovat informace podle zvláštních zákonů [Například zákon č.123/1998 Sb., o právu na informace o životním prostředí, zákon č.367/1990 Sb., o obcích, ve znění pozdějších předpisů, zákon č.106/1999 Sb., o svobodném přístupu k informacím.]

(8)   Při zpracování osobních údajů podle § 5 odst. 2 písm. e) je správce povinen bez zbytečného odkladu subjekt údajů informovat o tomto postupu.

 

§ 12

 

(1)   Správce nemusí splnit informační povinnost podle § 11 odst. 1 v případě, že tyto informace jsou součástí poučení podle právního předpisu.

(2)   Správce je povinen jednou za kalendářní rok bezplatně, jinak kdykoli za přiměřenou úhradu nepřevyšující náklady nezbytné na poskytnutí informace, subjektu údajů na základě písemné žádosti poskytnout informace o osobních údajích o něm zpracovávaných, pokud zákon nestanoví jinak.

 

Informace jsou zásadně poskytovány na základě žádosti subjektu údajů. Jestliže jsou již obsaženy v poučení, které je poskytováno podle zákona nebo pokud bude jeho obsah stanoven prováděcím předpisem, není již poskytováno na základě písemné žádosti (např. poučení pacientů). V případech, kdy subjekt údajů žádá o informace častěji než jednou ročně, může správce požadovat přiměřenou úplatu. Výši této úplaty stanoví správce, nesmí však překročit skutečné náklady nezbytné na vyhledání, sestavení či jiné zpracování informace a na úkony potřebné k poskytnutí informace (poštovné a pod.).

 

Povinnosti osob při zabezpečení osobních údajů

§ 13

 

Správce a zpracovatel jsou povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů.

 

Tímto ustanovením se stanoví obecné povinnosti pro všechny správce, pokud se týče zajištění ochrany osobních údajů a jejich bezpečnosti. Opatřeními, která je správce povinen učinit, se rozumí opatření technická, organizační, právní a jiná. Údaje musí být chráněny jak vůči zaměstnancům, tak jiným osobám, které s nimi oprávněně přicházejí do styku, tak např. vůči hackerům. Tento zákon však nestanoví jaká konkrétní opatření má správce učinit. Konkrétní opatření budou záviset na rozsahu a použití technických prostředků, které správce při zpracování použije. Nicméně některé návody bude možno vydat např. metodickými sděleními nebo vyhlášením standardů. Subsidiárně lze využít vyhlášek Národního bezpečnostního úřadu č.12/1999 Sb., o zajištění technické bezpečnosti utajovaných skutečností a certifikací technických prostředků a vyhlášky č.56/1999 Sb., o zajištění bezpečnosti informačních systémů nakládajících s utajovanými skutečnostmi, provádění jejich certifikace a náležitostech certifikátů.

 

§ 14

 

Zaměstnanci správce nebo zpracovatele a jiné osoby, které zpracovávají osobní údaje na základě smlouvy se správcem nebo zpracovatelem, mohou zpracovávat osobní údaje pouze za podmínek a v rozsahu správcem nebo zpracovatelem stanoveném.

 

Tímto ustanovením je vyloučeno, aby osoby, kterým nedá správce nebo zpracovatel souhlas, jakkoli zpracovávaly osobní údaje. Správce, resp. zpracovatel musí stanovit též rozsah oprávnění, v němž určitá osoba má k osobním údajům přístup a může je zpracovávat. Osobami jsou zde míněny jak fyzické osoby, které vůči správci či zpracovateli vykonávají činnost na základě pracovněprávního vztahu, tak právnické osoby, které tuto činnost vykonávají na základě jakéhokoliv smluvního vztahu.

 

§ 15

 

(1)   Zaměstnanci správce nebo zpracovatele, jiné fyzické osoby, které zpracovávají osobní údaje na základě smlouvy se správcem nebo zpracovatelem a další osoby, které v rámci plnění zákonem stanovených oprávnění a povinností přicházejí do styku s osobními údaji u správce nebo zpracovatele, jsou povinny zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů. Povinnost mlčenlivosti trvá i po skončení zaměstnání nebo příslušných prací.

 

Oproti zákonu č. 256/1992 Sb. je toto ustanovení rozšířeno o povinnost zachovávat mlčenlivost o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení údajů.

 

(2)   Ustanovením předchozího odstavce není dotčena povinnost zachovávat mlčenlivost podle zvláštních zákonů [Například zákon č.148/1998 Sb., o ochraně utajovaných skutečností a o změně některých zákonů, ve znění pozdějších předpisů, zákon č.89/1995 Sb., o státní statistické službě, zákon č.20/1966 Sb., o péči o zdraví lidu, ve znění pozdějších předpisů, zákon č.15/1998 Sb., o komisi pro cenné papíry a o změně a doplnění dalších zákonů.].

(3)   Povinnost zachovávat mlčenlivost se nevztahuje na informační povinnost podle zvláštních zákonů [Například § 167 a § 168 zákona č.140/1961 Sb., trestní zákon, ve znění pozdějších předpisů, zákon č.21/1992 Sb., o bankách, ve znění pozdějších předpisů, zákon č.20/1966 Sb., o péči o zdraví lidu, ve znění pozdějších předpisů].

 

§ 16

Oznamovací povinnost

 

(1)   Ten, kdo hodlá zpracovávat osobní údaje, je povinen tuto skutečnost oznámit Úřadu před započetím zpracovávání osobních údajů. Oznámení je povinen učinit i správce, jestliže hodlá změnit zpracování osobních údajů. Oznámení musí být učiněno písemně.

(2)   Oznámení musí obsahovat následující informace:

a)  název správce, adresu jeho sídla a identifikační číslo, pokud bylo přiděleno,

b)  účel nebo účely zpracování,

c)  kategorie subjektů údajů a osobních údajů, které se těchto subjektů týkají,

d)  zdroje osobních údajů,

e)  popis způsobu zpracování osobních údajů,

f)   příjemce nebo kategorie příjemců, kterým uvedené osobní údaje mohou být zpřístupněny či sdělovány,

g)  předpokládané přenosy osobních údajů do jiných států,

h)  popis opatření k zajištění požadované ochrany osobních údajů podle § 13,

i)   propojení na jiné správce.

Podrobnosti o obsahu oznámení Úřad stanoví vyhláškou.

(3)   Úřad je povinen do 30 dnů od doručení oznámení Úřadu oznamovateli sdělit, že jeho oznámení registruje, nebo vydat rozhodnutí podle § 17.

(4)   Pokud Úřad oznámení zaregistroval, může dnem registrace oznamovatel zahájit zpracování osobních údajů.

(5)   Jestliže Úřad ve lhůtě stanovené v odstavci 3 oznamovateli nesdělí, že oznámení zaregistroval, ani nevydá rozhodnutí, má se za to, že oznámení zaregistroval.

 

Smyslem oznamovací povinnosti je zajistit výkon dozoru ze strany Úřadu. Ukládá se povinnost informovat Úřad před zahájením zamýšleného zpracování osobních údajů. Tento režim výslovně vyžaduje Směrnice EU, která také stanovuje minimální rozsah údajů v tomto oznámení. Pokud Úřad oznámení zaregistroval, nevydává rozhodnutí podle správního řádu, ale pouze tuto skutečnost oznámí. Rozhodnutí se vydává pouze v případě, že Úřad nepovoluje nebo zakazuje osobní údaje zpracovávat. V zájmu právní jistoty oznamovatele se stanoví, jaké následky má sdělení i marné uplynutí lhůty.

 

§ 17

 

(1)   Zjistí-li Úřad, že oznamovatel nesplňuje podmínky stanovené tímto zákonem, zpracování osobních údajů nepovolí.

(2)   Jestliže oznámení neobsahuje všechny požadované informace, vyzve Úřad oznamovatele, aby je ve stanovené lhůtě doplnil.

(3)   Vznikne-li z oznámení důvodná obava, že při zpracování osobních údajů by mohlo dojít k porušení tohoto zákona, vyzve Úřad oznamovatele, aby oznámení ve stanovené lhůtě doplnil, popřípadě může sám provést šetření na místě samém.

 

Obava, že při zpracování osobních údajů mohou být porušena ustanovení tohoto zákona, musí být důvodná. Může tak být dáno jak povahou osobních údajů (např. tím, že jde o údaje citlivé), tak s ohledem na to, jak mají být zpracovávány, technickou úrovní vybavení oznamovatele, nelegálním účelem a dalšími okolnostmi. Ponechává se Úřadu, aby posoudil míru rizika zpracování osobních údajů a v případě potřeby před provedením registrace provedl šetření u oznamovatele.

 

(4)   Po uplynutí lhůty stanovené podle odstavce 2 Úřad oznámení zaregistruje nebo vydá rozhodnutí, jímž zpracování osobních údajů nepovolí.

 

§ 17a

 

(1)   Zjistí-li Úřad, že správce zpracovává osobní údaje na základě zaregistrovaného oznámení podle § 16 a v rozporu s podmínkami stanovenými tímto zákonem, rozhodne o zrušení registrace.

(2)   Zjistí-li Úřad, že správce, jehož oznámení bylo zaregistrováno postupem podle § 16 odst. 3 nebo § 17 odst. 4, porušuje podmínky stanovené tímto zákonem, registraci zruší.

(3)   Pomine-li účel, pro který bylo zpracování zaregistrováno, Úřad z vlastního podnětu nebo na žádost správce registraci zruší.

 

Zde se jedná o ustanovení do zákona doplněná novelou č. 450/2001 Sb. V původním znění byly podrobně řešeny mechanismy registrace zpracování osobních údajů, ale opačný směr zde chyběl.

 

§ 18

 

Oznamovací povinnost podle § 16 se nevztahuje na zpracování osobních údajů:

a)      které jsou součástí evidencí veřejně přístupných,

b)      jejichž zpracování je správci uloženo zákonem nebo kterých je třeba k uplatnění práv vyplývajících ze zvláštních zákonů, [Například zákon č.153/1994 Sb., o zpravodajských službách,ve znění pozdějších předpisů, zákon č.61/1966 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a o změně a doplnění některých zákonů,ve znění pozdějších předpisů a zákon č.283/1991 Sb., o Policii České republiky, ve znění pozdějších předpisů, zákon č.158/1999 Sb., o sčítání lidu, domů a bytů v roce 2001] nebo

c)      prováděné politickými stranami, politickými hnutími, odborovými organizacemi, církvemi, náboženskými společnostmi, občanskými sdruženími, popřípadě jinými právnickými osobami nevýdělečné povahy, které sledují politické, filozofické, náboženské nebo odborové cíle, pokud zpracovávají osobní údaje o svých členech a tyto údaje slouží pro jejich vnitřní potřebu.

 

Z oznamovací povinnosti jsou vyčleněna některá zpracování, která se nemusí oznamovat. Jsou to zejména ta, která jsou správci uložena zákonem a tudíž jejich kontrola Úřadem není oznámením ovlivněna. Toto ovšem platí pouze tehdy, pokud správce shromažďuje osobní údaje pouze v tom rozsahu, který určí zákon. Jakýkoliv sběr údajů nad rámec takového ustanovení zákona již registraci podléhá. Okruh osobních údajů, které nepodléhají oznamovací povinnosti, je určen praktickými potřebami a požadavky na zajištění dozoru nad nimi.

 

§ 19

 

Jestliže správce hodlá ukončit svoji činnost, je povinen Úřadu neprodleně oznámit, jak naložil s osobními údaji, pokud se na jejich zpracování vztahuje oznamovací povinnost.

 

§ 20

Likvidace osobních údajů

 

(1)   Správce nebo na základě jeho pokynu zpracovatel je povinen provést likvidaci osobních údajů, jakmile pomine účel, pro který byly osobní údaje zpracovány, nebo na základě žádosti subjektu údajů podle § 21.

(2)   Zvláštní zákon stanoví výjimky týkající se uchovávání osobních údajů pro účely archivnictví a uplatňování práv v občanském soudním řízení, trestním řízení a správním řízení.

 

Ochrana práv subjektů údajů

 

§ 21

 

(1)   Pokud subjekt údajů zjistí, že došlo k porušení povinností správcem nebo zpracovatelem, má právo obrátit se na Úřad s žádostí o zajištění opatření k nápravě.

(2)   Došlo-li k porušení povinností správcem nebo zpracovatelem, má subjekt údajů právo požadovat:

a)  aby se správce či zpracovatel zdržel takového jednání, odstranil takto vzniklý stav či poskytl na svoje náklady omluvu nebo jiné zadostiučinění,

b)  aby správce či zpracovatel provedl opravu nebo doplnění osobních údajů tak, aby byly pravdivé a přesné,

c)  aby osobní údaje byly zablokovány nebo zlikvidovány,

d)  zaplacení peněžité náhrady, jestliže tím bylo porušeno jeho právo na lidskou důstojnost, osobní čest, dobrou pověst či právo na ochranu jména.

 

Uplatněním těchto práv není dotčena možnost domáhat se nároků na ochranu osobnosti podle § 11-16 občanského zákoníku. Možnost domáhat se zaplacení peněžité náhrady přichází v úvahu, pokud by nebylo možno se této satisfakce domáhat podle obecných občanskoprávních předpisů.

 

(3)   Odpovědnosti podle odstavce 1 se zprostí ten, kdo prokáže, že porušení povinnosti nebylo možno zabránit ani při vynaložení veškerého úsilí, které lze od něj požadovat. Přesto však může subjekt údajů požadovat, aby se správce nebo zpracovatel zdržel závadného jednání, odstranil závadný stav, provedl opravu, doplnění, blokování nebo likvidaci osobních údajů.

 

Správce a zpracovatel se nacházejí v režimu objektivní odpovědnosti.

 

(4)   Způsobil-li správce nebo zpracovatel subjektu údajů škodu, odpovídají za ni společně a nerozdílně podle zvláštních zákonů [Například zákon č.40/1964 Sb., občanský zákoník, ve znění pozdějších předpisů, zákon č.82/1998 Sb., o odpovědnosti za škodu způsobenou při výkonu veřejné moci rozhodnutím nebo nesprávným úředním postupem, zákon č.358/1992 Sb. o notářích a jejich činnosti, ve znění pozdějších předpisů].

 

Viz § 420 a násl. občanského zákoníku.

 

(5)   Došlo-li k porušení povinností uložených tímto zákonem jak u správce, tak u zpracovatele, odpovídají za ně společně a nerozdílně. Subjekt údajů se může domáhat svých nároků u kteréhokoliv z nich.

 

Je na vůli subjektu údajů, zda se bude dožadovat příslušných nároků na správci nebo na zpracovateli či na obou zároveň.

 

6)  O opatřeních provedených podle odstavce 2 písm. a) až c) je správce povinen bez zbytečného odkladu zajistit informování každého subjektu, jemuž byly v rámci zpracování osobní údaje poskytnuty, s výjimkou informací o poskytnutí omluvy či jiného zadostiučinění.

 

§ 22

 

Právo na zablokování či likvidaci osobních údajů nemůže subjekt údajů požadovat, jestliže je správce povinen osobní údaje zpracovávat na základě zákona, nebo pokud by tím mohla být způsobena újma na právech třetích osob.

 

§ 23

Náprava nemajetkové újmy

 

(1)   Jestliže osoba, která vykonává pro správce či zpracovatele činnosti na základě smlouvy, poruší uložené povinnosti, má subjekt údajů právo požadovat:

a)  aby se zdržela takového jednání, odstranila takto vzniklý stav či poskytla na svoje náklady omluvu nebo jiné zadostiučinění,

b)  aby zlikvidovala osobní údaje, které neoprávněně zpracovává,

c)  aby zaplatila peněžitou náhradu újmy, která vznikla porušením jeho práva na lidskou důstojnost, osobní čest, dobrou pověst či práva na ochranu jména.

(2)   Neposkytne-li tato osoba na svoje náklady omluvu nebo jiné zadostiučinění nebo nezaplatí peněžitou náhradu, je povinen za ni tuto povinnost splnit správce nebo zpracovatel.

(3)   Poruší-li uložené povinnosti osoba, která je ke správci nebo zpracovateli v pracovním poměru, řídí se její odpovědnost zákoníkem práce.

 

Správce či zpracovatel v takovém případě samozřejmě mohou vůči povinnému následně uplatňovat nároky na základě pracovněprávních či občanskoprávních předpisů.

 

§ 24

 

Osoby uvedené v § 23 se odpovědnosti zprostí, pokud prokáží, že porušení předpisů nezavinily. Přesto však může subjekt údajů požadovat, aby se zdržely jednání porušujícího stanovené povinnosti, odstranily stav z takového jednání vzniklý a zlikvidovaly osobní údaje, které neoprávněně zpracovávají.

 

Na rozdíl od objektivní odpovědnosti správce a zpracovatele podle § 21, odst. 2, se zde vychází z odpovědnosti za zavinění, což odpovídá obecné úpravě občanskoprávní.

 

§ 25

Náhrada škody

 

V otázkách neupravených tímto zákonem se použije obecná úprava odpovědnosti za škodu [Občanský zákoník, Obchodní zákoník].

 

§ 26

 

Povinnosti podle § 21 až 25 se obdobně vztahují i na osoby, které shromáždily osobní údaje neoprávněně.

 

Nároky uvedené v předchozích paragrafech může subjekt údajů uplatňovat i vůči těm, kdo získali jeho osobní údaje neoprávněně bez ohledu, zda se tak stalo úmyslně nebo z nedbalosti.

 

Hlava III

Předávání osobních údajů do jiných států

 

§ 27

 

(1)   Do jiných států mohou být osobní údaje předány za podmínky, že právní úprava státu, kde mají být zpracovány, odpovídá požadavkům stanoveným v tomto zákoně.

(2)   Není-li podmínka podle odstavce 1 splněna, může být předávání osobních údajů uskutečněno, jestliže:

a)  předávání údajů se děje se souhlasem nebo na základě pokynu subjektu údajů, který je oprávněn jej učinit,

b)  je to nezbytné k ochraně práv nebo uplatňování nároků subjektu údajů,

c)  jde o osobní údaje, které jsou součástí evidencí veřejně přístupných nebo přístupných těm, kdo prokáží právní zájem, avšak jen pokud se týče individuálně určeného údaje nebo údajů,

d)  předávání vyplývá z mezinárodní smlouvy, jíž je Česká republika vázána,

e)  předávání je nutné pro uzavření smlouvy mezi subjektem údajů a správcem nebo smlouvy, která je uzavírána v zájmu subjektu údajů nebo

f)   je to nezbytné pro záchranu života nebo pro poskytnutí zdravotní péče subjektu údajů,

g) tak stanoví zvláštní zákon. [Zákon č. 227/2000 Sb.]

(3)   Předávání osobních údajů může být uskutečněno v jiných případech, je-li tak činěno ve prospěch subjektu údajů a pokud z dvoustranné smlouvy mezi správcem a přijímacím subjektem vyplývá, že přijímací strana zajistí požadovanou ochranu osobních údajů.

(4)   Správce je povinen požádat Úřad o povolení k předání nebo předávání osobních údajů do jiných států. O žádosti Úřad rozhodne bezodkladně, nejpozději do sedmi kalendářních dnů. Pokud v této lhůtě Úřad nerozhodne, má se za to, že s předáním osobních údajů souhlasí, a to na dobu, která je uvedena v žádosti. Hrozí-li nebezpečí z prodlení, vydá Úřad rozhodnutí neprodleně. Odvolání proti rozhodnutí nemá odkladný účinek.

(5)   Vydá-li Úřad rozhodnutí o předávání osobních údajů, stanoví také dobu, po kterou může správce předávání provádět. Pokud správce poruší povinnosti stanovené tímto zákonem, Úřad toto povolení odejme. Odvolání proti rozhodnutí nemá odkladný účinek.

(6)   Povinnosti podle odstavců 4 a 5 nemá správce v případě, že tak stanoví zvláštní zákon [Například zákon č.153/1994 Sb., o zpravodajských službách, ve znění pozdějších předpisů, zákon č.61/1966 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a o změně a doplnění některých zákonů, ve znění pozdějších předpisů a zákon č.283/1991 Sb., o Policii České republiky, ve znění pozdějších předpisů] nebo předávání vyplývá z mezinárodní smlouvy, kterou je Česká republika vázána.

 

Tato úprava odpovídá požadavkům čl. 25 Směrnice EU. Posouzení stavu právní ochrany v přijímací zemi bude úkolem Úřadu, který bude mít potřebné informace z mezinárodní spolupráce. V případě vstupu ČR do EU bude zástupce Úřadu členem řádného orgánu (Working Party), který byl zřízen na základě ustanovení čl.29 Směrnice.

 

 

Hlava IV

Postavení a působnost Úřadu

 

§ 28

 

(1)   Úřad je nezávislý orgán. Ve své činnosti postupuje nezávisle a řídí se pouze zákony a jinými právními předpisy.

(2)   Do činnosti Úřadu lze zasahovat jen na základě zákona.

(3)   Činnost Úřadu je hrazena ze samostatné kapitoly státního rozpočtu České republiky.

 

Úřad pro ochranu osobních údajů je v souladu se Směrnicí definován jako nezávislý orgán pro provádění dozoru nad zpracováním osobních údajů. Je typicky správním orgánem, kde nepřichází v úvahu kolektivní rozhodování. Z charakteru jeho činností je nutno o některých záležitostech rozhodnout bezodkladně.

 

§ 29

 

(1)   Úřad:

a)  provádí dozor nad dodržováním povinností stanovených tímto zákonem při zpracování osobních údajů,

b)  vede evidenci oznámení učiněných podle § 16 a registr povolených zpracování osobních údajů (dále jen “registr”),

c)  přijímá podněty a stížnosti občanů na porušení tohoto zákona,

d)  zpracovává a veřejnosti zpřístupňuje výroční zprávu o své činnosti,

e)  vykonává další působnosti stanovené mu zákonem,

f)   projednává přestupky a jiné správní delikty a uděluje pokuty podle tohoto zákona,

g)  zajišťuje plnění požadavků vyplývajících z mezinárodních smluv, jimiž je Česká republika vázána,

h)  poskytuje konzultace v oblasti ochrany osobních údajů,

j)   spolupracuje s obdobnými úřady jiných států.

(2)   Při výkonu dozoru ve formě kontroly se postupuje podle zvláštního právního předpisu [Zákon č.552/1991 Sb. o státní kontrole, ve znění zákona č.166/1993 Sb. a zákona č.148/1998 Sb.].

(3)   Dozor nad zpracováním osobních údajů, které provádějí zpravodajské služby, stanoví zvláštní právní předpis [§ 12 zákona č.153/1994 Sb., o zpravodajských službách České republiky].

 

 

Hlava V

Organizace Úřadu

 

§ 30

 

(1)   Zaměstnanci Úřadu jsou předseda, inspektoři a další zaměstnanci.

(2)   Kontrolní činnost Úřadu provádějí inspektoři a pověření zaměstnanci (dále jen “kontrolující”).

(3)   Na zaměstnance Úřadu se vztahují ustanovení zákoníku práce, pokud tento zákon nestanoví jinak.

(4)   Předseda Úřadu má nárok na plat, další plat, náhradu výdajů a naturální plnění jako prezident Nejvyššího kontrolního úřadu podle zvláštního zákona. [Zákon č. 236/1995 Sb., o platu a dalších náležitostech spojených s výkonem funkce představitelů státní moci a některých státních orgánů a soudců, ve znění pozdějších předpisů.]

(5)   Inspektoři Úřadu mají nárok na plat, další plat, náhradu výdajů a naturální plnění jako členové Nejvyššího kontrolního úřadu podle zvláštního zákona. [Zákon č. 236/1995 Sb., o platu a dalších náležitostech spojených s výkonem funkce představitelů státní moci a některých státních orgánů a soudců, ve znění pozdějších předpisů.]

(6)   Platové poměry zaměstnanců Úřadu, s výjimkou předsedy a inspektorů, se řídí právními předpisy upravujícími platové poměry zaměstnanců orgánů státní správy [Zákon č.143/1992 Sb., o platu a odměně za pracovní pohotovost v rozpočtových a některých dalších organizacích a orgánech, ve znění zákona č.590/1992 Sb., zákona č.10/1993 Sb., zákona č.40/1994 Sb., zákona č.118/1995 Sb. a zákona č.201/1997 Sb., Nařízení vlády ČR č.253/1992 Sb., o platových poměrech zaměstnanců orgánů státní správy, některých dalších orgánů a obcí, ve znění nařízení vlády č.43/1993 Sb., nařízení vlády č.78/1994 Sb., nařízení vlády č.142/1995 Sb., nařízení vlády č.71/1996 Sb., nařízení vlády č.326/1996 Sb., nařízení vlády č.163/1997 Sb. a č.248/1998 Sb.].

(7)   Zaměstnancům Úřadu, s výjimkou předsedy a inspektorů, přísluší náhrada cestovních výdajů podle zvláštního právního předpisu [Zákon č.119/1992 Sb., o cestovních náhradách, ve znění zákona č.44/1994 Sb., zákona č.125/1998 Sb. a zákona č.324/1998 Sb.].

 

§ 31

 

Kontrolní činnost Úřadu se provádí na základě kontrolního plánu nebo na základě podnětů a stížností občanů.

 

§ 32

 

Předseda Úřadu

(1)   Úřad řídí předseda, kterého jmenuje a odvolává prezident republiky na návrh Senátu Parlamentu České republiky.

(2)   Předseda Úřadu je jmenován na dobu 5 let. Může být jmenován maximálně na 2 po sobě jdoucí období.

(3)   Předsedou Úřadu může být jmenován pouze občan České republiky, který

a)  je způsobilý k právním úkonům,

b)  je bezúhonný, splňuje podmínky stanovené zvláštním právním předpisem [Zákon č.451/1991 Sb., kterým se stanoví některé další předpoklady pro výkony některých funkcí ve státních orgánech a organizacích ČSFR, ČR a SR, ve znění zákona č.555/1992 Sb. a zákona č.254/1995 Sb.] a jeho znalosti, zkušenosti a morální vlastnosti jsou předpokladem, že bude svoji funkci řádně zastávat,

c)  má ukončené vysokoškolské vzdělání.

(4)   Bezúhonnou je pro účel tohoto zákona fyzická osoba, která nebyla pravomocně odsouzena pro úmyslný trestný čin, nebo i trestný čin spáchaný z nedbalosti v souvislosti se zpracováním osobních údajů.

(5)   S výkonem funkce předsedy Úřadu je neslučitelná funkce poslance nebo senátora, soudce, státního zástupce, jakákoliv funkce ve veřejné správě, funkce člena orgánů územní samosprávy a členství v politických stranách a hnutích.

(6)   Předseda Úřadu nesmí zastávat jinou placenou funkci, být v dalším pracovním poměru ani vykonávat výdělečnou činnost s výjimkou správy vlastního majetku a činnosti vědecké, pedagogické, literární, publicistické a umělecké, pokud tato činnost nenarušuje důstojnost nebo neohrožuje důvěru v nezávislost a nestrannost Úřadu.

(7)   Z funkce je předseda Úřadu odvolán, přestal-li splňovat některou z podmínek pro jeho jmenování.

(8)   Z funkce může být předseda odvolán také tehdy, jestliže nevykonává po dobu 6 měsíců svoji funkci.

 

Inspektoři Úřadu

§ 33

 

(1)   Inspektora jmenuje a odvolává prezident republiky na návrh Senátu Parlamentu České republiky.

(2)   Inspektor je jmenován na období 10 let. Může být jmenován opakovaně.

(3)   Inspektor vykonává kontrolu, řídí kontrolu, vypracovává kontrolní protokol a provádí další úkony, jež souvisejí s úkoly Úřadu.

(4)   Činnosti podle odstavce 2 vykonává 7 inspektorů Úřadu.

 

Počet inspektorů vychází jednak z nového územního členění, jednak ze zvyklostí v zemích EU.

 

§ 34

 

(1)   Inspektorem může být jmenován občan České republiky, který je způsobilý k právním úkonům, bezúhonný, splňuje podmínky stanovené zvláštním právním předpisem a má ukončené odborné vysokoškolské vzdělání.

(2)   S výkonem funkce inspektora je neslučitelná funkce poslance nebo senátora, soudce, státního zástupce, jakákoliv funkce ve veřejné správě, funkce člena orgánů územní samosprávy a členství v politických stranách a hnutích. Inspektor nesmí zastávat jinou placenou funkci, být v pracovním poměru ani vykonávat výdělečnou činnost s výjimkou správy vlastního majetku a činnosti vědecké, pedagogické, literární, publicistické a umělecké, pokud tato činnost nenarušuje důstojnost nebo neohrožuje důvěru v nezávislost a nestrannost Úřadu.

(3)   Z funkce je inspektor odvolán, přestal-li splňovat některou z podmínek pro jeho jmenování.

 

Hlava VI

Činnost Úřadu

 

§ 35

Registrace

 

(1)   Do registru povolených zpracování osobních údajů se zapisují údaje z oznámení podle § 16 odst. 2.

(2)   Registraci nebo její zrušení zveřejňuje Úřad nejdéle do 2 měsíců ve Věstníku Úřadu, nestanoví-li zvláštní zákon, že se registrace nebo její zrušení nezveřejňuje. Oznámení o registraci nebo oznámení o zrušení registrace může Úřad zveřejnit i jiným vhodným způsobem.

(3)   Registr je veřejně přístupný s výjimkou údajů uvedených v § 16 odstavce 2 písm. e) a i).

 

Toto ustanovení stanoví, v souladu se Směrnicí (čl.21), jak bude vytvořen a zveřejněn registr povolených zpracování osobních údajů. Úřad bude zveřejňovat jednak vlastní registr, jednak přehled všech povolených zpracování osobních údajů. Informace o povolených zpracováních budou oznamovány ve Věstníku Úřadu, případně také na Internetu apod. Vlastní registr pak na Internetu či jinou vhodnou formou zveřejnění. Zveřejňování se nebude týkat těch údajů, resp. správců, kde to vylučuje zvláštní zákon. V praxi se tato výjimka bude týkat těch údajů, které jsou utajovanými skutečnostmi. Registr bude mít povahu veřejně přístupného seznamu, vyjímaje ty části, které jsou utajovanými skutečnostmi.

 

§ 36

Výroční zpráva

 

(1)   Výroční zpráva Úřadu obsahuje zejména informace o provedené kontrolní činnosti a její zhodnocení, informace a zhodnocení stavu v oblasti zpracovávání a ochrany osobních údajů v České republice a zhodnocení ostatní činnosti Úřadu.

(2)   Výroční zprávu předkládá předseda Úřadu pro informaci Poslanecké sněmovně a Senátu Parlamentu České republiky a vládě České republiky do 2 měsíců po skončení rozpočtového roku a zveřejňuje ji ve Věstníku Úřadu.

 

§ 37

Oprávnění kontrolujících

 

Kontrolující jsou při provádění kontroly oprávněni:

a)      vstupovat do objektů, zařízení a provozů, na pozemky a do jiných prostor kontrolovaných správců a zpracovatelů nebo každého kdo zpracovává osobní údaje (dále jen “kontrolovaných”), pokud to souvisí s předmětem kontroly; do obydlí mohou vstupovat pouze v případě, že tato slouží také k provozování podnikatelské činnosti,

b)      požadovat na kontrolovaných a na jiných osobách, aby ve stanovených lhůtách předložily originální doklady a další písemnosti, záznamy dat na paměťových médiích, výpisy a zdrojové kódy programů, pokud je vlastní, výpisy a opisy dat (dále jen “doklady”), pokud to souvisí s předmětem kontroly, a provádět vlastní dokumentaci,

c)      seznamovat se s utajovanými skutečnostmi za podmínek stanovených zvláštním zákonem [Zákon č.148/1998 Sb., o ochraně utajovaných skutečností, ve znění zákona č.164/1999 Sb.], jakož i dalšími skutečnostmi, které jsou chráněny povinností mlčenlivosti,

d)      požadovat na fyzických i právnických osobách poskytnutí pravdivých a úplných informací o zjišťovaných a souvisejících skutečnostech,

e)      zajišťovat v odůvodněných případech doklady; jejich převzetí musí kontrolovanému písemně potvrdit a na jeho žádost mu ponechat kopie převzatých dokladů,

f)        pořídit kopie obsahu paměťových médií nacházejících se u kontrolovaného,

g)      požadovat, aby kontrolovaní podali ve stanovené lhůtě písemnou zprávu o odstranění zjištěných nedostatků,

h)      používat telekomunikační zařízení kontrolovaných v případech, kdy je jejich použití nezbytné pro zabezpečení kontroly.

 

§ 38

Povinnosti kontrolujících

 

(1)   Kontrolu nesmějí provádět ti kontrolující, u nichž se zřetelem na jejich vztah ke kontrolovaným nebo k předmětu kontroly jsou důvodné pochybnosti o jejich nepodjatosti.

(2)   Kontrolující je povinen bezprostředně po tom, co se dozví o skutečnostech nasvědčujících jeho podjatosti, oznámit to předsedovi Úřadu.

(3)   O námitce podjatosti kontrolujícího rozhodne předseda Úřadu bez zbytečného odkladu. Do rozhodnutí o námitce podjatosti činí kontrolující pouze úkony, které nesnesou odkladu.

(4)   Proti rozhodnutí o námitce podjatosti se nelze odvolat.

(5)   Kontrolující jsou povinni:

a)  prokázat se kontrolovanému průkazem kontrolora,

b)  oznámit kontrolovanému zahájení kontroly,

c)  šetřit práva a právem chráněné zájmy kontrolovaných,

d)  předat neprodleně převzaté doklady, jakož i kopie paměťových médií kontrolovanému, pominou-li důvody jejich převzetí,

e)  řádně ochraňovat zajištěné doklady proti jejich ztrátě, zničení, poškození nebo zneužití,

f)   pořizovat o výsledcích kontroly kontrolní protokol,

g)  zachovávat mlčenlivost o skutečnostech zjištěných při výkonu kontroly a nezneužít znalosti těchto skutečností. Povinností mlčenlivosti není dotčena oznamovací povinnost podle zvláštních zákonů. Povinnost mlčenlivosti přetrvává i po skončení pracovněprávního vztahu k Úřadu. Povinnosti mlčenlivosti může kontrolujícího zbavit předseda Úřadu. Povinnost mlčenlivosti se nevztahuje na anonymizované a zobecněné informace.

(6)   Kontrolní protokol obsahuje zejména popis zjištěných skutečností s uvedením nedostatků a označení ustanovení právních předpisů, které byly porušeny, a opatření, která byla uložena k nápravě a stanovení lhůt, do kdy je třeba je učinit. V kontrolním protokolu se uvádí označení Úřadu a jména kontrolujících na kontrole zúčastněných, označení kontrolovaného, místo a čas provedení kontroly, předmět kontroly, skutečný stav, označení dokladů a ostatních dokumentů a zjištění, o které se protokol opírá. Kontrolní protokol podepisují kontrolující, kteří se kontroly zúčastnili.

(7)   Povinností kontrolujících je seznámit kontrolované s obsahem kontrolního protokolu a předat jim jeho stejnopis. Seznámení s kontrolním protokolem a jeho převzetí potvrzují kontrolovaní podpisem kontrolního protokolu. Odmítne-li kontrolovaný seznámit se s kontrolním protokolem nebo toto seznámení potvrdit, vyznačí se tyto skutečnosti v kontrolním protokolu.

 

§ 39

 

Každý je povinen v souvislosti s výkonem kontroly poskytnout kontrolujícím při výkonu jejich činnosti potřebnou součinnost.

 

Ukládá se každému poskytnout potřebnou součinnost při výkonu kontroly. Toto ustanovení má zabránit tomu, by např. kontrolovaná osoba nepřenesla některé důležité předměty, dokumenty a jiné materiály důležité pro provedení kontroly na osoby, které nejsou kontrolovány. Povinnost poskytnout potřebnou součinnost je uložena právnickým i fyzickým osobám.

 

Opatření k nápravě

§ 40

 

(1)   Zjistí-li kontrolující, že došlo k porušení povinností uložených tímto zákonem, uloží inspektor, jaká opatření je třeba učinit, aby byly zjištěné nedostatky odstraněny, a stanoví lhůtu pro jejich odstranění.

(2)   Byla-li uložena likvidace osobních údajů, jsou osobní údaje do likvidace blokovány. Proti uložení likvidace může správce podat námitku k předsedovi Úřadu. Do doby, než bude o námitce rozhodnuto, musí být osobní údaje blokovány. Proti rozhodnutí předsedy lze podat žalobu podle předpisů o správním soudnictví. Do doby, než bude soudem rozhodnuto, jsou údaje blokovány.

(3)   Kontrolovaný je povinen ve stanovené lhůtě podat zprávu o přijatých opatřeních.

 

§ 41

 

V řízení ve věcech upravených tímto zákonem se postupuje podle správního řádu [Zákon č.71/1967 Sb., o správním řízení (správní řád), ve znění zákona č.283/1993 Sb.], pokud ustanovení tohoto zákona nestanoví jinak.

 

§ 42

 

Provozováním informačních systémů nakládajících s osobními údaji podle dosavadních předpisů se rozumí zpracování osobních údajů.

 

Oprávnění a povinnosti při dozoru

§ 43

 

Oprávnění a povinnosti kontrolujících a kontrolovaných osob se řídí zvláštním právním předpisem, pokud tento zákon nestanoví jinak.

 

 

Hlava VII

Sankce

 

§ 44

Přestupky

 

(1)   Přestupku se dopustí a pokutou do výše 50 000 Kč bude potrestána osoba, která je ke správci nebo zpracovateli v pracovním nebo jiném obdobném poměru nebo pro něj vykonává činnosti na základě dohody, nebo osoba, která v rámci plnění zákonem uložených oprávnění a povinností přichází do styku s osobními údaji správce nebo zpracovatele, pokud poruší povinnost mlčenlivosti, uloženou podle tohoto zákona.

(2)   Přestupku se dopustí a pokutou do výše 25 000 Kč bude potrestána osoba uvedená v odstavci 1, pokud poruší jinou povinnost stanovenou tímto zákonem.

(3)   Na přestupky a jejich projednávání se vztahuje zvláštní zákon [Zákon č.200/1990 Sb., o přestupcích, ve znění zákona č.337/1992 Sb., zákona č.67/1993 Sb., zákona č.290/1993 Sb., zákona č.134/1994 Sb., zákona č.82/1995 Sb., zákona č.279/1995 Sb., zákona č.237/1995 Sb., zákona č.112/1998 Sb. a zákona č.168/1999 Sb.].

(4)   K projednávání přestupků je příslušný Úřad.

 

§ 45

Pořádková pokuta

 

Osobě, která neposkytne Úřadu při výkonu kontroly potřebnou součinnost, může být uložena pořádková pokuta do výše 25 000 Kč, a to i opakovaně.

 

§ 46

Pokuty správcům a zpracovatelům

 

(1)   Pokutou do výše 10 000 000 Kč bude potrestán správce nebo zpracovatel, který poruší povinnost stanovenou tímto zákonem při zpracování osobních údajů.

(2)   Pokud správce nebo zpracovatel do jednoho roku ode dne, kdy nabylo rozhodnutí o uložení pokuty právní moci, porušil povinnosti stanovené tímto zákonem při zpracování osobních údajů opakovaně, může mu být uložena pokuta do výše 20 000 000 Kč.

(3)   Správce nebo zpracovatel, který maří kontrolu prováděnou Úřadem, může být potrestán pořádkovou pokutou do výše 1 000 000 Kč, a to i opakovaně.

(4)   Porušení povinností projednává Úřad.

(5)   Při ukládání pokuty podle tohoto zákona vychází Úřad zejména z povahy, závažnosti, způsobu jednání, míře zavinění, doby trvání a následků protiprávného jednání.

(6)   Pokutu lze uložit do jednoho roku ode dne, kdy příslušný orgán porušení povinnosti zjistil, nejdéle však do tří let ode dne, kdy k porušení povinnosti došlo.

(7)   Pokutu vybírá Úřad. Pokutu vymáhá územní finanční orgán podle zvláštního zákona [Zákon č.337/1992 Sb., o správě daní a poplatků, ve znění zákona č.35/1993 Sb., zákona č.157/1993 Sb., zákona č.302/1993 Sb., zákona č.85/1994 Sb., zákona č.255/1994 Sb., zákona č.59/1995 Sb., zákona č.118/1995 Sb., zákona č.323/1996 Sb., zákona č.61/1997 Sb., zákona č.242/1997 Sb., zákona č.168/1998 Sb. a zákona č.91/1998 Sb.].

(8)   Výnos pokut je příjmem rozpočtu republiky.

 

Porušení povinností správcem nebo zpracovatelem je tzv. jiným správním deliktem, tj. jeho pachatelem mohou být jak právnické, tak i fyzické osoby. Jednání je postihováno bez ohledu na zavinění. Zvláště je postihováno maření řádného výkonu kontroly. Postih odpovídá obecné úpravě těchto deliktů v našem právním řádu. Projednání porušení povinností, stejně jako vybírání pokut provádí Úřad. Nelze však předem stanovit skupiny činností, které budou pokutovány. K takovému stanovení chybí precedentní případy, protože se jedná o novou problematiku. Při stanovení výše pokuty však bude přihlíženo k závažnosti porušení zákona, době trvání protiprávního jednání apod.

 

 

Hlava VIII

Ustanovení společná, přechodná a závěrečná

 

§ 47

Opatření pro přechodné období

 

(1)   Každý, kdo zpracovává ke dni nabytí účinnosti tohoto zákona osobní údaje a na něhož se vztahuje povinnost oznámení podle § 16, je povinen tak učinit nejpozději do 6 měsíců ode dne nabytí účinnosti tohoto zákona.

(2)   Zpracování osobních údajů prováděné před účinností tohoto zákona je nutno uvést do souladu s tímto zákonem do 31. prosince 2001.

(3)   V případě, že kontrolující zjistí porušení povinnosti podle odstavce 2, ustanovení § 46 odst. 1 a 2 se v takovém případě do 31. prosince 2002 nepoužijí.


 

§ 48

Zrušovací ustanovení

 

Zrušuje se zákon č.256/1992 Sb., o ochraně osobních údajů v informačních systémech.

 

 

 

 

ČÁST DRUHÁ

 

§ 49

Novela trestního zákona

 

Zákon č.140/1961 Sb., trestní zákon, ve znění zákona č.120/1962 Sb., zákona č.53/1963 Sb., zákona č.56/1966 Sb., zákona č.148/1969 Sb., zákona č.45/1973 Sb., zákona č.43/1980 Sb., zákona č.10/1989 Sb., zákona č.159/1989 Sb., zákona č.47/1990 Sb., zákona č.84/1990 Sb., zákona č.175/1990 Sb., zákona č.457/1990 Sb., zákona č.545/1990 Sb., zákona č.490/1991 Sb., zákona č.557/1991 Sb., nálezu Ústavního soudu ČSFR ze 4.9.1992, zákona č.290/1993 Sb., zákona č.38/1994 Sb., zákona č.91/1994 Sb., zákona č.152/1995 Sb., zákona č.19/1997 Sb., zákona č.103/1997 Sb., zákona č.253/1997 Sb., zákona č.92/1998 Sb., zákona č.112/1998 Sb., zákona č.148/1998 Sb., zákona č.167/1998 Sb., zákona č.96/1999 Sb. se mění a doplňuje takto:

V § 178 odstavce 1 a 2 znějí:

 

Ҥ 178

Neoprávněné nakládání s osobními údaji

(1)   Kdo, byť i z nedbalosti, neoprávněně sdělí, zpřístupní, jinak zpracovává nebo si přisvojí osobní údaje o jiném v souvislosti s výkonem veřejné moci, bude potrestán odnětím svobody až na tři léta nebo zákazem činnosti nebo peněžitým trestem.

(2)   V § 178 odst. 2 se za slovo “kdo” vkládá slovo “osobní”.

 

Změna trestního zákona vychází z požadavku dikce (a terminologie) nového zákona. Výše trestní sazby se oproti dosavadní úpravě nemění.

 

 

ČÁST TŘETÍ

 

§ 50

Novela zákona o svobodném přístupu k informacím

 

Zákon č. 106/1999 Sb., o svobodném přístupu k informacím se mění takto:

(1)   V § 2 odst. 3 včetně pozámky pod čarou č. 1) zní:

 

“(3) Zákon se nevztahuje na poskytování osobních údajů a informací podle zvláštního právního předpisu.1)

____________________

1) Například zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, a zákon č. 123/1998 Sb., o právu na informace o životním prostředí.”.

 

(2)   V § 5 odst. 3 se věta druhá nahrazuje větou, která včetně poznámky pod čarou č. 3a) zní: “Na tyto subjekty se pro tento účel nevztahuje povinnost zamezit sdružování informací podle zvláštního právního předpisu.3a)

____________________

 

3a) § 5 odst. 1 písm. h) zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů.”.

 

(3)   V § 8 se odstavce 1 a 2 včetně nadpisu a poznámky pod čarou č. 5) zrušují.

 

 

ČÁST ČTVRTÁ

 

ÚČINNOST

 

§ 51

 

Tento zákon nabývá účinnosti dnem 1. června 2000, s výjimkou ustanovení § 16, 17 a 35, které nabývá účinnosti dnem 1. prosince 2000.

 

 

 

 

V Brně 13. prosince 2002

RNDr. Mgr. Vladimír Šmíd, CSc., 1960, matematik, informatik a právník;
matematik-analytik Ústavu výpočetní techniky MU (1984-1995), vedoucí Útvaru systémového řízení a organizace MU (od 1995), odborný asistent Katedry informačních technologií Fakulty informatiky MU (od 1995);
Masarykova univerzita v Brně, rektorát, Žerotínovo nám. 9, 601 77 Brno, Česká republika
smid@rect.muni.cz

 



[1]Langefors, B.: Teoretická analýza informačných systémov

[2] Ústavní zákon č.2/1993 Sb., usnesení předsednictva České národní rady o vyhlášení LISTINY ZÁKLADNÍCH PRÁV A SVOBOD jako součástí ústavního pořádku České republiky

[3] Ústavní zákon č.23/1991 Sb., kterým se uvozuje LISTINA ZÁKLADNÍCH PRÁV A SVOBOD jako ústavní zákon České a Slovenské Federativní Republiky

[4] Sdělení federálního ministerstva zahraničních věcí České a Slovenské Federativní Republiky č.209/1992 Sb. o sjednání Úmluvy o ochraně lidských práv a základních svobod ve znění protokolů č. 3, 5 a 8 a dalších protokolů na tuto úmluvu navazujících

[5] Ústavní zákon č.1/1993 Sb., Ústava České reoubliky.

[6] Zákon č.40/1964 Sb., občanský zákoník

[7] Smejkal, V. – Sokol. T. – Vlček. M., Počítačové právo, C.H.Beck, Praha, 1995, str. 183.

[8] Mates, P. – Neuwirt, K., Právní úprava ochrany osobních údajů v ČR, IFEC, Praha, 2000, str. 113-116.

[9] Resolution (73) 22 on the protection of privacy of individual vis-à-vis electionic data banks in the private sector.

[10] Resolution (74) 29 on the protection of individual vis-à-vis electionic data banks in the public sector.

[11] Guidelines on the Protection of Privacy and Transborder Flows of Personal Data.

[12] Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data (ETS No.108).

[13] Viz http://www.coe.int/T/E/Legal_affairs/Legal_co-operation/Data_protection/Documents/National_laws/NATIONAlLAWS-EN.asp#TopOfPage v aktuálním znění.

[14] Sdělení o přijetí Úmluvy na ochranu osob s ohledem na automatizované zpracování osobních dat bylo vyhlášeno ve Sbírce mezinárodních smluv pod číslem 115/2001 Sb. m. s. dne 15. 11. 2001.

[15] Recommendation No.R(81) 1 on regulations for automated medical data banks (23 January 1981).

[16] Recommendation No.R(83) 10 on the protection of personal data used for scientific research and statistics (23 September 1983).

[17] Recommendation No.R(85) 20 on the protection of personal data used for the purposes of direct marketing (25 October 1985).

[18] Recommendation No.R(86) 1 on the protection of personal data for social security purposes (23 January 1986).

[19] Recommendation No.R(87) 15 regulating the use of personal data in the police sector (17 September 1987).

[20] Recommendation No.R(89) 2 on the protection of personal data used for employment purposes (18 January 1989).

[21] Recommendation No.R(90) 19 on the protection of personal data used for payment and other operations (13 September 1990).

[22] Recommendation No.R(91) 10 on the communication to third parties of personal data held by public bodies (9 September 1991).

[23] Recommendation No.R(95) 4 on the protection of personal data in the area of telecommunication services, with particular reference to telephone services (7 February 1995).

[24] Recommendation No.R(97) 5 on the protection of medical data (13 February 1997).

[25] Recommendation No.R(97) 18 on the protection of personal data collected and processed for statistical purposes (30 September 1997).

[26] Recommendation No.R(99) 5 for the protection of privacy on the Internet (23 February 1999).

[27] Recommendation No.R(2002) 9 on the protection of personal data collected and processed for insurance purposes (18 September 2002).

[28] Additional Protocol to Convention ETS No. 108 on Supervisory Authorities and Transborder Data Flows (ETS No. 181)

[29] Treaty on European Union signed at Maastricht on 7 February 1992.

[30] European Union Charter of Fundamental Rights.

[31] Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data.

[32] Řecká republika s účinností od 10. 4. 1997

Švédské království s účinností od 24. 10. 1998

Portugalská republika s účinností od 27. 10. 1998

Finská republika s účinností od 1. 6. 1999

Rakouská republika s účinností od 1. ledna 2000

Španělské království s účinností od 14. ledna 2000

Spojené království Velké Británie a Severního Irska s účinností od 1. března 2000

Italská republika s účinností od 8. 5. 2000

Dánské království s účinností od 1. 7. 2000

Spolková republika Německo s účinností od 23. 5. 2001

Belgické království s účinností od 1. 9. 2001

Nizozemské království s účinností od 1. 9. 2001

Lucemburské velkovévodství s účinností od 1. prosince 2002

 

[33] Directive 97/66/EC of the European Parliament and of the Council of 15 December 1997 concerning the processing of personal data and the protection of privacy in the telecommunications sector.

[34] Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications)

[35] Regulation (EC) 45/2001 of the European Parliament and of the Council of 18. December 2000 on the protection of individuals with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data

[36] 2000/520/EC: Commission Decision of 26 July 2000 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the safe harbour privacy principles and related frequently asked questions issued by the US Department of Commerce (notified under document number C(2000) 2441)

[37] Maštalka, J.: Ochrana osobních údajů. Právní rádce 7/1999, Praha, str. 23-24.

[38] Toto byl rovněž hlavní důvod, proč Česká republika nemohla přistoupit k Úmluvě ETS č. 108 a neúčast na ní zase byla důvodem nemožnosti zapojit se do spolupráce v rámci Schengenského informačního systému.

[39] Usnesení vlády České republiky č. 467 ze dne 1. 7. 1998.

[40] Kompletní text viz příloha.

[41] V podstatě se jednalo o obdobu ustanovení, které bylo navrženo k doplnění již při projednávání původního zákona v Senátu.

[42] Mates, P., Ochrana osobních údajů v českém právním řádu, Bulletin advokacie 9/2000, Praha, str. 32-42.

    Sokol, T., Zákon o ochraně osobních údajů se na advokáta nevztahuje, Bulletin advokacie 10/2000, Praha,

    str. 23-35.