Zákon č. 101/2000 Sb.,

o ochraně osobních údajů a o změně některých zákonů,

ve znění zákona č. 227/2000 Sb., zákona č. 177/2001 Sb.,

zákona č. 450/2001 Sb., zákona č. 107/2002 Sb.,

zákona č. 310/2002 Sb., zákona č. 517/2002 Sb.,  

zákona č. 439/2004 Sb., zákona č. 480/2004 Sb.,

zákona č. 626/2004 Sb., zákona č. 413/2005 Sb.,

zákona č. 444/2005 Sb., zákona č. 109/2006 Sb.

a zákona č. 112/2006 Sb.

 

(komentář)

 

Vladimír Šmíd

 

Úvod

Aktuální etapa vývoje lidské civilizace bývá často nazývána informačním věkem. Znamená to, že si člověk uvědomuje nezastupitelnost úlohy informací pro kvalitu svého života a snad i život vůbec. Čím je tak důležitý onen „libovolný druh poznání nebo zprávy, který lze použít pro umožnění nebo zlepšení rozhodnutí nebo činnosti“[1]? A proč právě na přelomu 2. a 3. tisíciletí?

Jako nejpravděpodobnější se ukazuje skutečnost, že lidstvo si začíná skutečně vážně uvědomovat (byť často jen implicitně) vyčerpatelnost disponibilních zdrojů ve vztahu ke svým realizovaným či potenciálním potřebám. Civilizace jako celek tak celkem přirozeně zjišťuje, že jediným jejím opravdu nevyčerpatelným zdrojem jsou právě informace, a to s ohledem na jejich téměř nekonečnou zmnožitelnost a generovatelnost dalších informací ze sebe sama.

Prohlásíme-li však informace obecně za to nejcennější, co tato planeta má, nezbude nám, než je začít chránit z hlediska jejich hodnoty i nebezpečí zneužití. Zjednodušeně by se snad dalo říci, že informace je určitým druhem majetku nebo snad dokonce zboží, zpravidla má svého vlastníka, a tak by se celý problém mohl zúžit čistě na ochranu takového vlastnického vztahu. Jenomže informace mají natolik unikátní charakter, že s tak jednoduchým přístupem nevystačíme. Nehledě na to, že vždy budou zřejmě existovat takové informace, které se budou šířit zcela nekontrolovaně a bez možnosti (a často i potřeby) ochrany, a pak informace, které za jistých podmínek a jistými způsoby chránit lze (a je nutno chránit).

            Zejména nové informační a komunikační technologie, které překonávají bariéry prostoru a času, umožňují efektivní uchovávání a opětovné vyhledávání údajů. Zároveň však tento vývoj přináší dříve neznámá potenciální nebezpečí, respektive nárůst těch nebezpečí již známých. A proto zase musí společnost stanovit pravidla, která by naopak zabránila tomu, aby nesporné výhody, které přinášejí nové technologie, nebyly provázeny oslabením pozice osob, o kterých údaje vypovídají. Znamená to vymezit nové hranice soukromí, které nahradí čas a prostor a které ochrání člověka před diskriminujícím mechanizujícím a počítačovým použitím údajů, které se k němu vztahují. Takové vymezení je pak předpokladem pro to, aby moderní informační a komunikační technologie, které jsou objektivně pro lidstvo přínosem, nepůsobily v jeho neprospěch.

Informace jsou více či méně a lépe či hůře sbírány tak dlouho, kam až lidská paměť sahá. V oněch dávných dobách nebylo třeba se příliš bránit existenci obrovských „smetišť“ obsahujících „hromady“ údajů, kde najít požadovanou informaci v požadovaném čase se rovnalo malému zázraku. Zcela jiná situace nastává v okamžiku, kdy s revoluční změnou informačních technologií lze tyto informace mnohořádově rychleji třídit, vybírat a analyzovat. Další dimenze tohoto problému spočívá i v tom, že pokud dříve měl finanční a technické možnosti s rozsáhlými údajovými základnami nakládat zpravidla pouze stát, s rozvojem počítačové techniky tyto možnosti se stávají dostupné v podstatě komukoliv, kdo vlastní běžný počítač vybavený běžným softwarem a navíc disponuje byť jen obecným právem na získávání informací v kontextu základních lidských práv. A tedy již odtud by přirozeně mohla vycházet nutnost právně omezovat okruh subjektů oprávněných informace daného typu shromažďovat.

Nicméně, ještě speciálnější charakter mají osobní údaje. Jedním z důvodů je to, že se jedná o neoddělitelné a nezcizitelné vlastnictví naprosto každého člověka bez ohledu na jeho ekonomickou situaci a společenské postavení. Druhou zásadní odlišností je fakt, že pokud takové informace získá někdo jiný, může si vytvořit takový profil osoby, který souvisí nejen obecně s důstojností a pověstí člověka v jistém společenství lidí, ale může mít zcela přirozené pozitivní i negativní následky z hlediska nejrůznějších konkrétních aktivit.

Teoretické extrémní přístupy k řešení těchto otázek by mohly být v zásadě dva:

·        umožnit shromažďovat veškeré informace o jedinci na jednom místě s cílem jakoukoliv stránku jeho osobnosti informačně podchytit tak, aby držitel oněch informací mohl mít přehled o tom, co ho zajímá, a to jak ve smyslu působit ve prospěch daného člověka (například zdravotnické informace), tak ve smyslu bránit se před jeho negativní činností (například informace o trestné činnosti);

·        neshromažďovat vůbec žádné informace, protože všechno, co se týká jedince, je jeho výlučnou záležitostí a nikdo nemá právo jakkoliv do jeho soukromí zasahovat.

V každém případě je jasné, že volba jednoho či druhého extrému není udržitelná a že jádro souvisejících problémů spočívá v nalezení vhodného a přijatelného kompromisu mezi nimi.

 

1. Ústavní základy

Moderní demokratická společnost musí být schopna dostát své základní povinnosti, kterou je ochrana práv občana včetně ochrany informací, zejména údajů vztahujících se k osobnosti a soukromí občana.

Vnitrostátní normou České republiky nejvyšší právní síly v této oblasti je Listina základních práv a svobod[2] vyhlášená pro Českou republiku 16. prosince 1992 jako součást ústavního pořádku České republiky. Ta již od svého prvního znění[3] účinného pro Českou a Slovenskou Federativní Republiku od 8. února 1991 v čl. 7 odst. 1 zaručuje nedotknutelnost osoby a jejího soukromí s tím, že toto právo může být omezeno jen v případech stanovených zákonem. Dále pak v souladu s čl. 10 má každý právo, aby byla zachována jeho lidská důstojnost, osobní čest, dobrá pověst a chráněno jeho jméno (odst. 1), má právo na ochranu před neoprávněným zasahováním do soukromého a rodinného života (odst. 2) a konečně pak zejména má právo na ochranu před neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním údajů o své osobě (odst. 3). Všechna dosud uvedená práva jsou zařazena v oddílu první hlavy druhé mezi základní lidská práva a svobody.

Svým způsobem z opačného směru pohlíží na uvedené otázky ve druhém oddílu mezi politická práva zařazený čl. 17, dle nějž je zaručena svoboda projevu a právo na informace (odst. 1) a kde se současně uvádí, že svobodu projevu a právo vyhledávat a šířit informace lze omezit zákonem, jde-li o opatření v demokratické společnosti nezbytná pro ochranu práv a svobod druhých, bezpečnost státu, veřejnou bezpečnost, ochranu veřejného zdraví a mravnosti. Zároveň v souladu s čl. 36 je každému dána možnost domáhat se stanoveným postupem svého práva u nezávislého a nestranného soudu a ve stanovených případech u jiného orgánu (odst. 1), respektive, každý, kdo tvrdí, že byl na svých právech zkrácen rozhodnutím orgánu veřejné správy, se může obrátit na soud, aby přezkoumal zákonnost takového rozhodnutí, nestanoví-li zákon jinak (odst. 2).

Poznamenejme že z věcného hlediska tato práva nejsou omezena co do formy zacházení s osobními údaji. Proto se nepochybně vztahují zejména na jakékoliv neoprávněné zásahy vůči osobním údajům, jejich utajením počínaje a libovolnými způsoby manipulace s nimi konče. Rovněž není v této souvislosti zásadní historie toků takových dat, a proto je ochrana obecně poskytována jak údajům, které nejsou veřejně známy, tak i těm, které již byly zveřejněny (jsou součástí veřejných seznamů či byly zveřejněny ve sdělovacích prostředcích libovolného druhu). Obecnou zásadou pak je, že buď o disponování s vlastními údaji je osoba oprávněna rozhodovat sama nebo její souhlas musí být nahrazen zmocněním na základě zákona.

Uvedená úprava je v souladu se základními dokumenty mezinárodního práva upravujícími tuto problematiku. Na prvním místě je třeba zmínit Všeobecnou deklaraci lidských práv přijatou dne 10. prosince 1948 Organizací spojených národů, kde se v čl. 12 praví: „Nikdo nesmí být vystaven svévolnému zasahování do soukromého života, do rodiny, domova nebo korespondence, ani útokům na svou čest a pověst. Každý má právo na zákonnou ochranu proti takovým zásahům nebo útokům.“ O poznání silněji a podrobněji je totéž upraveno v konvenci iniciované Radou Evropy, Úmluvě o ochraně lidských práv a základních svobod[4] sjednané v Římě dne 4. listopadu 1950, podepsané jménem ČSFR 21. února 1991 a po ratifikaci účinné pro ČSFR od 18. března 1992. Zde se v čl. 8 uvádí obdobná obecná formulace, že „každý má právo na respektování svého soukromého a rodinného života, obydlí a korespondence“ (odst. 1) a současně je (v odst. 2) upřesněna možnost stanovení výjimek, kdy „státní orgán nemůže do výkonu tohoto práva zasahovat kromě případů, kdy je to v souladu se zákonem a nezbytné v demokratické společnosti v zájmu národní bezpečnosti, veřejné bezpečnosti, hospodářského blahobytu země, předcházení nepokojům a zločinnosti, ochrany zdraví nebo morálky nebo ochrany práv a svobod jiných“. Prakticky se v takovém případě jedná o to, že zmiňovaná práva mohou vůbec být smluvními stranami omezena. Taková omezení však musí vyhovovat těmto podmínkám:

·        omezení musí být stanoveno zákonem, jímž se rozumí jakýkoli pramen práva, včetně soudního precedentu, pokud jde o zákon dostupný, přesný a předvídatelný;

·        omezení musí sledovat některý z cílů, které jsou taxativně uvedeny v restriktivních klauzulích, například bezpečnost, ochranu zdraví nebo morálky, předcházení trestné činnosti apod.;

·        rovněž pak smluvní strany mohou derivovat práva a svobody zaručené touto Úmluvou v případě války nebo jakéhokoli jiného veřejného ohrožení státní existence (viz čl. 15 odst. 1 Úmluvy).

Úmluva o ochraně lidských práv a základních svobod je dle čl. 10 Ústavy České republiky[5] jako vyhlášená mezinárodní smlouva, k jejíž ratifikaci dal Parlament souhlas a jíž je Česká republika vázána, součástí právního řádu a má přednost před vnitrostátním právem.

Na právní úpravu obsaženou v Listině základních práv a svobod navazují a konkretizují ji ustanovení Občanského zákoníku[6] upravující ochranu osobnosti. V ustanovení § 11 je mimo jiné uvedeno právo každé fyzické osoby na ochranu své osobnosti, zejména života a zdraví, občanské cti a lidské důstojnosti, jakož i soukromí, svého jména a projevů osobní povahy. Prostředky právní ochrany jsou obsaženy v § 13, kdy fyzická osoba má právo se domáhat, aby bylo upuštěno od neoprávněných zásahů do práva na ochranu její osobnosti, aby byly odstraněny následky těchto zásahů a aby jí bylo dáno přiměřené zadostiučinění. Pokud by se nejevilo postačujícím zadostiučinění zejména proto, že byla ve značné míře snížena důstojnost fyzické osoby nebo její vážnost ve společnosti, má fyzická osoba též právo na náhradu nemajetkové újmy v penězích. Ustanovení § 16 upravuje odpovědnost za škodu způsobenou zásahem do práva na ochranu osobnosti, pro níž se užije ustanovení uvedeného zákona o odpovědnosti za škodu.

Klíčová role v oblasti ochrany osobních údajů je v českém právu v posledních deseti letech svěřena zvláštním zákonům, které opět vycházejí z Listiny základních práv a svobod a jako ucelené právní předpisy komplexně upravují zacházení s osobními údaji. Prvním z nich byl zákon č. 256/1992 Sb., o ochraně osobních údajů v informačních systémech (účinným byl od 1. června 1992 do 1. června 2000), který byl následován zákonem č. 101/2000 Sb., o ochraně osobních údajů. Tyto zákony působí jako svého druhu lex generalis pro ochranu osobních údajů v České republice. Vedle nich však existuje řada speciálních norem upravujících zpravidla oblast života společnosti či dokonce konkrétní informační systém a stanoví zvláštní pravidla pro související zpracování osobních údajů. V. Smejkal, T. Sokol a M. Vlček[7] uvádějí k datu 1. 1. 1994 celkem 43 takové předpisy o síle zákona (podzákonných předpisů je podle nich řádově více). P. Mates a K. Neuwirt[8] o pět let později vyjmenovávají 75 zákonů upravujících zpracování osobních údajů.

 

2. Mezinárodněprávní úpravy

Přestože první mezinárodně závazné dokumenty vztahující se ochraně soukromí jednotlivce a jeho osobních údajů zvláště se objevují (jak bylo zmíněno v předchozí kapitole) již na konci 40. let, trvalo i vyspělým demokraciím nejméně dalších 20 let, než se pod vlivem rychlého a masivního technologického vývoje prostředků, schopných umožnit vznik velkých databází, nárůst sběru, zpracování a přenosu dat a tak současně zvýšit možnosti zpracovávání údajů o soukromí osob, začaly skutečně vážně zabývat konstruováním odpovídajícího právního prostředí. Současně je také třeba hned úvodem ocenit, že jednotlivé státy si při vytváření vnitrostátních norem dobře a včas uvědomovaly, že informace s ohledem na svůj vlastní charakter téměř neomezeného dosahu a průniku nelze účinně chránit na čistě teritoriálním principu. S tímto vědomím pak velmi brzy začaly vznikat konvence různých druhů, které nejen že byly schopny šetřit práci národním legislativcům s vymýšlením vymyšleného, ale především se tak přirozeně začalo vytvářet svým způsobem jednotné mezinárodní prostředí, kde se dodržují stejná pravidla bez ohledu na státní hranice. Dokonce zde došlo k méně obvyklé situaci, že mnohé vnitrostátní zákony obecně upravující ochranu osobních údajů byly přijímány později (zejména uveďme příslušné české zákony) a tedy již za existence těchto mezinárodních koordinačních norem. Na druhou stranu je třeba objektivně přiznat, že se jednalo o možnost, která ne vždy byla národními parlamenty správně a důsledně využita a výsledkem rozhodně nebyly uniformní zákony ve všech státech.

Historicky prvními příklady v tomto smyslu jsou dvě usnesení, kterými se na popud Parlamentního shromáždění rozhodla Rada Evropy vytvořit zvláštní pravidla pro zabránění nečestnému zpracování osobních údajů ve veřejné i soukromé sféře. Jednalo se o Resolution (73) 22[9] a Resolution (74) 29[10], které stanovily principy týkající se ochrany soukromí osob při vytváření elektronických databank ve veřejném a soukromém sektoru. Jejich vlastním cílem tehdy bylo povzbudit vytvoření národních legislativních opatření pro vytváření elektronických datových souborů. Mezi prvními státy, které reagovaly na uvedené impulsy přijetím svých vnitrostátních zákonů na ochranu osobních dat bylo Švédsko (1973), Spolková republika Německo (1977), Rakousko (1978) a dále pak v krátkém čase Dánsko, Francie, Norsko a Lucembursko. Právě v této fázi se ukázalo, že národní opatření a mezinárodní spolupráce budou muset být nahrazeny mezinárodními standardy.

První pokus o stanovení opravdu komplexních standardizačních pravidel ve smyslu sjednocení národních pravidel na ochranu osobních dat a zejména pak odstranění bariér pro jejich předávání mezi jednotlivými státy však není spojen s Radou Evropy, ale s Organizací pro hospodářskou spolupráci a rozvoj (OECD). Ta vydala dne 1. října 1980 „Doporučení pro ochranu soukromí a toky osobních údajů přes hranice[11]. OECD v něm zejména doporučuje členským státům, aby:

1.    do svého vnitrostátního práva zahrnuly principy vztahující se k ochraně soukromí a svobody jednotlivce tak, jak jsou obsaženy v tomto materiálu; a

2.    odstranily překážky, které v zájmu ochrany osobnosti brání přeshraničnímu toku osobních dat.

Dokument z hlediska právní závaznosti a okruhu působnosti nelze počítat k dostatečně významným. Zajímavé na něm jsou však právě ony výše zmiňované principy, které jsou na nadnárodní úrovni použity poprvé. Jedná se o:

a)    princip omezení sběru osobních dat (správnost a legálnost);

b)   princip kvality osobních dat (adekvátnost účelu, přesnost, úplnost a aktuálnost); princip specifikace účelu sběru osobních dat (stanovení účelu musí předcházet začátku sběru dat);

c)    princip omezení užití osobních dat (mohou být zpřístupněna nebo užita jinak pouze se souhlasem subjektu dat nebo na základě zákona);

d)   princip záruk bezpečnosti osobních dat (musí být chráněna před ztrátou či neoprávněným přístupem, zničením, užitím, změnou nebo zveřejněním);

e)    princip otevřenosti (veřejnost informací o povaze a účelu zpracovávaných osobních dat a o jejich správci);

f)     princip účasti subjektu osobních dat (právo na informaci o datech o něm sbíraných, právo na zpřístupnění jeho dat, právo na výmaz, opravu a doplnění);

g)    princip odpovědnosti správce osobních dat (odpovídá za dodržování všech výše uvedených principů).

Přestože uvedené Doporučení OECD má pouze formu tezí vnášejících do praxe vyspělých zemí obecně ale nezávazně uplatňovaná kritéria ochrany osobních údajů, principy zde uvedené byly později v zásadě převzaty a precizovány v dalších dokumentech, které jim daly navíc skutečnou právní závaznost.

 

2.1 Aktivity Rady Evropy

Dne 28. ledna 1981 schválila Rady Evropy Úmluvu ETS č. 108 o ochraně osob s ohledem na automatizované zpracování osobních dat[12]. Tato Úmluva se stala prvním uceleným mezinárodním právním dokumentem v oblasti ochrany osobních údajů. Úmluvě ETS č. 108 byla dána vysoká důležitost i tím, že byla zahrnuta do sféry lidských práv a základních svobod člověka.          Jejím účelem je zabezpečit na území každého členského státu pro každého člověka bez ohledu na národnost a místo pobytu respektování jeho práv a základních svobod, zejména práva na soukromí se zvláštním důrazem na automatizované zpracování osobních dat vztahujících se k němu. Je otevřena k přistoupení členským státům Rady Evropy (případně dalším nečlenským státům, které budou k přistoupení vyzvány Výborem ministrů Rady Evropy), přičemž ze 44 členských států ji dosud 33 států podepsalo a z nich 29 ratifikovalo, čímž se pro ně stala závazná[13]. S ohledem na poměrně složitý legislativní vývoj v této oblasti v České republice trvalo téměř dalších 20 let, než mohla být Úmluva ETS č. 108 dne 8. 9. 2000 jménem České republiky podepsána. Konkrétně se tak stalo až poté, kdy nabyl účinnosti v pořadí druhý zákon upravující ochranu osobních údajů, tedy zákon č. 101/2000 Sb. Úmluvu ETS č. 108 schválila 28. 2. 2001 Poslanecká sněmovna Parlamentu ČR, 28. 3. 2001 Senát Parlamentu ČR a následně ji 29. 5. 2001 podepsal prezident republiky. Ratifikační listina České republiky pak byla uložena u generálního tajemníka Rady Evropy, depozitáře Úmluvy ETS č. 108, dne 9. 7. 2001. Úmluva ETS č. 108 na základě svého článku 22 odst. 3 vstoupila pro Českou republiku v platnost dne 1. 11. 2001[14]. (Poznamenejme pro zajímavost, že vzhledem k poněkud odlišnému legislativnímu vývoji trval tento proces ve Slovenské republice o poznání kratší dobu, takže Úmluva ETS č. 108 mohla být pro Slovenskou republiku ratifikována 24. 8. 2000 a vstoupila v platnost 1. 1. 2001.)

Úmluva ETS č. 108 stanovila nezbytné zásady, které by jednotlivé státy měly aplikovat ve svých právních řádech pro ochranu základních práv svých občanů při zpracování osobních údajů. V čl. 2 jsou poprvé na této úrovni definovány pojmy „osobní údaje“, „subjekt osobních údajů“, „automatizovaný soubor dat“, „automatizované zpracování“ a „správce osobních údajů“. Podle čl. 3 se Úmluva ETS č. 108 aplikuje na automatizované soubory dat a automatizované zpracování osobních dat ve veřejném i soukromém sektoru. Členské státy jsou oprávněny ji rozšířit obecně vzato na skupiny osob bez ohledu na jejich právní status, stejně jako na soubory osobních dat, které nejsou zpracovávány automaticky. Poznamenejme, že právě ta posledně jmenovaná podmínka, respektive oprávnění, se v dalším vývoji stalo jedním z největších problémů. Především proto, že jednotliví účastníci Úmluvy ETS č. 108 zpravidla nevyužívaly nabízené výzvy k rozšíření jejich působnosti na veškerá zpracování osobních údajů a přijímali národní zákony pouze vztažené na automatizovaně zpracovávaná data, takže se nakonec tato skutečnost stala jedním z hlavních důvodů pro de facto vynucenou druhou vlnu modifikací národní legislativy v 90. letech minulého století.

Princip omezení sběru osobních dat a princip omezení užití osobních dat (ve smyslu Doporučení OECD) zde našel své vyjádření v čl. 5 odst. a), podle nějž osobní údaje, které jsou předmětem automatizovaného zpracování, musejí být „získány a zpracovány poctivě a v souladu se zákony“.

Principy kvality osobních dat a specifikace účelu sběru osobních dat byly rozpracovány v podstatě v celém čl. 5, který nese pojem „Kvalita údajů“ ve svém názvu a zahrnuje podmínky:

·        shromažďování osobních údajů za určeným a legitimním účelem, aniž by byla dále používána způsobem neodpovídajícím tomuto účelu,

·        adekvátnosti shromážděných dat účelu, pro nějž jsou sbírána,

přesnosti a, pokud je to potřebné, udržování v aktuálním stavu.

Poslední podmínka je vlastně konkretizací původního obecně pojatého požadavku na „přesnost, úplnost a aktuálnost“, kde je zřejmě i z praktického hlediska těžko realizovatelné udržovat v aktuální podobě data, která v daném okamžiku již nejsou pro naplnění svého účelu potřebná. Proto byla tato formulace zeslabena a naopak doplněna o další podmínku stanovující povinnost uchovávat osobní data ve formě umožňující identifikaci subjektu dat pouze po dobu odpovídající účelu, pro nějž byla data shromážděna.

Zvláštní režim Úmluva ETS č. 108 přiznává speciálním typům osobních údajů, které se posléze začaly označovat termínem „citlivé“ údaje. Podle čl. 6 mohou být data prozrazující rasový původ, politické názory, náboženské nebo jiné přesvědčení, jakož i osobní údaje týkající se zdraví nebo sexuálního života automaticky zpracovávána jen tehdy, stanoví-li vnitrostátní právo odpovídající záruky. Totéž platí i pro osobní data, která se týkají trestních odsouzení. Poznamenejme, že se jedná o podmínky, které zde nejsou zcela explicitně definovány, ale implicitně se předpokládá, že budou do vztahu mezi subjektem dat a správcem souboru údajů vloženy zvenčí zákonem a mimo jiné se nároku na jejich splnění subjekt dat sám nemůže vzdát.

Princip záruk bezpečnosti osobních dat je konkretizován v čl. 7, který zavazuje k přijetí odpovídajících bezpečnostních opatření na ochranu osobních dat uložených v automatizovaných datových souborech před náhodným nebo neoprávněným zničením, náhodnou ztrátou, jakož i proti neoprávněnému přístupu, změnám či šíření.

Principu otevřenosti a principu účasti subjektu osobních dat odpovídá čl. 8, podle nějž má každá osoba právo:

a)    zjistit existenci automatizovaného souboru dat, jeho hlavní účel, jakož i totožnost a obvyklé bydliště nebo hlavní pracoviště správce souboru údajů;

b)   získávat v přiměřených intervalech a bez přílišných průtahů či nákladů potvrzení skutečnosti, že v automatizovaném souboru dat jsou uložena data o ní, jakož i sdělení těchto údajů ve srozumitelné formě;

c)    dosáhnout, podle povahy případu, opravy nebo vymazání takových dat, která byla zpracovávána v rozporu s vnitrostátními normami uplatňujícími základní zásady uvedené v této úmluvě;

d)   mít opravný prostředek v případě, že nebylo vyhověno žádosti o potvrzení nebo případně o sdělení, opravu či vymazání.

Současně v čl. 9 se stanoví možný rozsah výjimek z předchozích ustanovení za předpokladu, je-li taková odchylka stanovena zákonem a představuje opatření v demokratické společnosti nezbytné v zájmu:

a)    ochrany bezpečnosti státu, veřejné bezpečnosti, měnových zájmů státu nebo potírání trestné činnosti;

b)   ochrany subjektu dat nebo práv a svobod jiných osob.

Omezení výkonu některých práv mohou být stanovena zákonem pro automatizované soubory dat užívané pro statistické účely nebo vědecký výzkum, jestliže zřejmě neexistuje nebezpečí porušení soukromého života subjektů dat.

Princip odpovědnosti správce osobních dat byl pojat dokonce v obecnějším a širším měřítku v čl. 10 a 11,             dle nichž se strany Úmluvy ETS č. 108 zavazují ve vnitrostátním právu stanovit sankce a opravné prostředky při porušení základních principů ochrany osobních dat a rovněž mohou přijímat vlastní pravidla rozšiřující ochranu osobních dat na rámec Úmluvy ETS č. 108.

Dále se podle čl. 12 předpokládá předávání automatizovaně zpracovávaných osobních dat bez dalších omezení na území jiných smluvních stran a konečně i určení jednoho nebo více úřadů v každé zemi (straně úmluvy), které budou působit v oblasti ochrany osobních údajů a při spolupráci mezi stranami Úmluvy ETS č. 108. V této souvislosti je třeba poznamenat, že zejména reálná existence takového úřadu byla jedním z hlavních problémů, který dlouho znemožňoval podpis a ratifikaci Úmluvy ETS č. 108 Českou republikou.

Zásady stanovené Úmluvou ETS č. 108 byly dále rozpracovány v řadě Doporučení (Recommendation), která se zabývají ochranou osobních údajů ve specifických oblastech. Dosud bylo takto vydáno 13 takových Doporučení:

1)      R(81) 1 o opatřeních pro automatizované zdravotnické databanky[15] (23. 1. 1981).

2)      R(83) 10 o ochraně osobních údajů používaných pro vědecký výzkum a statistiku[16] (23. 9. 1983), které bylo nahrazeno doporučením R(97) 18

3)      R(85) 20 o ochraně osobních údajů používaných pro účely přímého marketingu[17] (25. 10. 1985)

4)      R(86) 1 o ochraně osobních údajů používaných pro účely sociálního zabezpečení[18] (23. 1. 1986)

5)      R(87) 15 usměrňující použití osobních údajů v policejním sektoru[19] (17. 9. 1987)

6)      R(89) 2 o ochraně osobních údajů používaných pro účely zaměstnanosti[20] (18. 1. 1989)

7)      R(90) 19 o ochraně osobních údajů používaných v platebním styku a souvisejících operacích[21] (13. 9. 1990)

8)      R(91) 10 o sdělování osobních údajů z veřejného sektoru třetím stranám[22] (9. 9. 1991)

9)      R(95) 4 o ochraně osobních údajů v oblasti telekomunikačních služeb, zejména pokud jde o telefonní službu[23] (7. 2. 1995)

10)  R(97) 5 o ochraně zdravotních dat[24] (13. 2. 1997)

11)  R(97) 18 týkající se ochrany osobních údajů shromažďovaných a zpracovávaných pro statistické účely[25] (30. 9. 1997)

12)  R(99) 5 na ochranu soukromí v internetu[26] (23. 2. 1999)

13)  R(2002) 9 o ochraně osobních údajů shromažďovaných a zpracovávaných pro účely pojišťovnictví[27] (18. 9. 2002).

Dne 8. listopadu 2001 byl pak otevřen Dodatkový protokol k Úmluvě o ochraně osob s ohledem na automatizované zpracování osobních dat o dozorčích orgánech a toku údajů přes hranice (ETS 181)[28] a téměř paralelně byl zahájen proces jeho ratifikace pro Českou republiku.

Současně Rada Evropy průběžně monitoruje proces přistupování jednotlivých států k Úmluvě ETS č. 108 a úroveň jejich ochrany osobních údajů, a to zejména z hledisek:

·        zda byla Úmluva ETS č. 108 podepsána (ratifikována),

·        existence specifické národní legislativy v oblasti ochrany osobních údajů,

·        rozsah aplikační oblasti (manuální či automatizované zpracování), působnosti legislativy (právnické či fyzické osoby, veřejný a soukromý sektor),

·        provádění oznamovací povinnosti či registrace a v jakém rozsahu, uplatňování institutu žádostí o přenos dat do zahraničí a

·        existence orgánu pro ochranu osobních údajů.

Výsledky tohoto monitoringu pak mimo jiné využívá i český Úřad pro ochranu osobních údajů pro vyhodnocování přiměřenosti legislativy jednotlivých států při povolovacím řízení pro předávání osobních údajů do zahraničí podle § 27 zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů.

2.2 Legislativa Evropské unie

Celosvětově patrný trend zpracovávání osobních údajů v různých oblastech ekonomické a společenské aktivity občanů, pokrok v informačních technologiích a ve vytváření nových telekomunikačních sítí, který výrazně usnadňuje zpracování osobních údajů a jejich výměnu a přenos mezi jednotlivými státy, má pro Evropskou unii jakožto integrované spojení státních celků podstatně větší význam, než je tomu v rámci běžné mezinárodní spolupráce. Hospodářská a sociální integrace, která se rozvíjí v duchu Smlouvy o Evropské unii[29] (Maastrichtská smlouva ze 7. února 1992) a posilování hodnot občanské společnosti podle Amsterodamské smlouvy (1997) nutně vedou k dalšímu podstatnému nárůstu toku osobních údajů přes hranice jednotlivých evropských států, stejně jako roste objem předávaných údajů mezi podniky v různých členských státech Evropské unie, respektive jako se rozvíjí spolupráce mezi státy Evropské unie na poli výzkumu a vývoje. Naopak však integrační aktivity v Evropě nesmějí snížit úroveň ochrany základních práv a svobod občanů, což v rámci integračního uskupení představujícího v cílovém stavu společenství s více než 350 miliony obyvatel není zřejmě jednoduchá úloha.

Legislativním základem pro právo Evropské unie v této oblasti je již výše zmiňovaná Úmluva o ochraně lidských práv a základních svobod z roku 1950, na níž se přímo odvolává Zakládací smlouva Evropské unie. V obdobném duchu se k otázkám ochrany osobnosti a osobních údajů zvlášť vyjadřuje i Listina základních práv Evropské unie[30] ze 7. prosince 2000, což je opět velmi podstatný dokument, přestože mu na rozdíl od ostatních jmenovaných chybí bezprostřední právní závaznost. Ochrana osobních údajů zmiňována v závěrečné části všeobecné povahy, a to jak v souvislosti s tradičním právem na ochranu osobnosti, tak ve spojitosti s vývojem moderních informačních a komunikačních technologií.

Situace v Evropské unii až do roku 1995 však byla taková, že přestože by národní zákony o ochraně údajů měly být do značné míry podobné, existovala mezi nimi celá řada rozdílů. Míra ochrany, zajištěná občanům v členských státech, tak nebyla stejná a to v praxi vytvářelo potenciální překážky volnému toku informací, představovalo břemeno pro provozovatele i občany a v některých členských státech navíc zakládalo potřebu složité registrace, respektive získání oprávnění ke zpracování údajů u dozorčích orgánů, potřebu přizpůsobit se různým normám a konečně i ne zřídka absolutní omezení přenosu údajů do jiných členských států vůbec.

2.2.1 Směrnice Evropského parlamentu a Rady č. 95/46/EC

Klíčovou úlohu obecného právního předpisu upravujícího ochranu osobních údajů v současnosti má Směrnice Evropského parlamentu a Rady č. 95/46/EC, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a volném pohybu těchto údajů[31]. Tato směrnice byla Evropským parlamentem a Radou schválena 24. října 1995 a jakožto acquis je součástí primárního práva Evropské unie podle Amsterodamské smlouvy. Význam Směrnice č. 95/46/EC pro Českou republiku je mimo jiné dán i tím, že je na seznamu povinných právních předpisů, které musí přijmout kandidátské státy před vstupem do Evropské unie. Pro účely rozhovorů o přistoupení České republiky do Evropské unie je harmonizace legislativy o ochraně osobních údajů se Směrnicí č. 95/46/EC projednávána v kapitole 24 - Volný pohyb služeb (tematické rozhovory s Evropskou unií jsou přitom rozděleny do 30 kapitol). Směrnice č. 95/46/EC svým článkem č. 29 zřídila Pracovní skupinu (Working Party 29) pro ochranu jednotlivců se zřetelem na zpracování osobních dat, v níž je zastoupen každý členský stát Evropské unie a která má za úkol koordinovat a posuzovat stav ochrany osobních údajů v Evropské unii. Tato Pracovní skupina zkoumá veškeré otázky týkající se aplikace národních opatření přijatých při realizaci Směrnice č. 95/46/EC a předkládá Evropské komisi stanoviska o stavu ochrany osobních údajů ve státech Evropské unie a ve třetích zemích (nečlenských státech Evropské unie). Poznamenejme, že podle výsledků přístupových rozhovorů lze usuzovat, že se s požadavky Směrnice č. 95/46/EC Česká republika vyrovnala přijetím zákona č.101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů. Tento zákon byl již předán Evropské komisi k posouzení z hlediska harmonizace, nicméně konečné rozhodnutí v tomto smyslu dosud učiněno nebylo. (Evropská komise dosud navrhla přiznat statut slučitelnosti se Směrnicí č. 95/46/EC pouze dvěma nečlenským státům Evropské unie – Maďarsku a Švýcarsku.) Za úspěch však lze považovat, že Pracovní skupina vydala Rozhodnutí I/2001 o účasti zástupců orgánů dozoru pro ochranu osobních údajů z kandidátských států na zasedáních pracovní skupiny pro ochranu osobních údajů přijaté dne 13. 12. 2001 (WP 52). To znamená, že český Úřad pro ochranu osobních údajů, stejně jako obdobné instituce z dalších dvanácti kandidátských států, budou nejen lépe informovány o současném a chystaném dění v oblasti ochrany osobních údajů v Evropské unii, ale budou se moci i podílet na procesu rozhodování tohoto významného poradního orgánu, byť pouze prezentací svých názorů z pozice pozorovatele.

Vlastní Směrnice č. 95/46/EC obsahuje 34 článků, které upravují práva a povinnosti při zpracování osobních údajů.

Čl. 2 této směrnice definuje základní pojmy „osobní údaje“, „subjekt údajů“ a „správce osobních údajů“ obdobným způsobem jako Úmluva ETS č. 108. S ohledem na podstatné rozšíření věcné působnosti v této části podstatně mění definice „automatizovaného soubor dat“, respektive „automatizované zpracování“, na „kartotéku osobních údajů“, respektive „zpracování osobních údajů“, a doplňuje další nezbytné definice pojmů jako „zpracovatel osobních údajů“, „třetí osoba“, „adresát“ a „souhlas subjektu údajů“.      Rozšíření věcného rozsahu Směrnice č. 95/46/EC je specifikováno v čl. 3, přičemž tato směrnice je vztažena na nakládání s osobními údaji zcela či částečně automatickým způsobem, respektive jiným než automatickým způsobem za situace, že taková data jsou nebo mohou být uspořádána. Upřesněno je i negativní vymezení, kdy se tato směrnice nevztahuje na nakládání s osobními daty, je-li již upraveno jinými vyjmenovanými zvláštními typy zpracování nebo jedná-li se o čistě osobní a soukromé aktivity fyzických osob.

Principy kvality osobních dat a specifikace účelu sběru osobních dat byly ve Směrnici č. 95/46/EC pojaty nejméně na té úrovni, jaké požadavky na ně klade Úmluva ETS č. 108. V čl. 6 byla byl rozšířen požadavek na přesnost a aktuálnost osobních údajů o formulaci, že „nepřesné a neúplné údaje s ohledem na účely, pro něž jsou sbírány nebo zpracovávány, musí být vymazány nebo opraveny“.

Principy omezení sběru osobních dat a omezení užití osobních dat však byly velmi znatelně upřesněny v tom smyslu, že osobní údaje mohou být zpracovávány pouze:

a)    dal-li k tomu subjekt údajů nepochybně svůj souhlas; nebo

b)   je-li to nezbytné v souvislosti s uzavíráním a plněním smlouvy, kde je subjekt údajů smluvní stranou; nebo

c)    je-li to nezbytné pro splnění právní povinnosti dané správci osobních údajů; nebo

d)   je-li to nezbytné pro zachování životních zájmů subjektu údajů; nebo

e)    je-li to nezbytné pro výkon úkolu ve veřejném zájmu nebo z výkonu veřejné moci; nebo

f)     vyžadují-li to legitimní zájmy správce nebo třetí strany, jimž se osobní údaje zpřístupňují, pokud tyto zájmy nejsou v rozporu se zájmy vycházejícími z práv a svobod subjektu údajů stanovených zákonem.

V čl. 8 je pak ještě více rozšířen okruh citlivých údajů se zvláštním režimem zacházení o osobní dat vypovídající o národnostním původu a členství v odborových svazech. V následujícím textu je pak stanoveno několik výjimek zpravidla podmíněných souhlasem subjektu dat (za předpokladu, že členský stát svým předpisem nestanoví, že takový souhlas nelze dát) nebo dalšími zákonnými zmocněními.

Dle čl. 9 mohou členské státy stanovit za určitých předpokladů odchylky a výjimky od ustanovení Směrnice č. 95/46/EC, pokud se jedná o zpracování osobních údajů prováděné výlučně pro účely žurnalistiky, umělecké nebo literární, a to pouze je-li to nutné k tomu, aby uvedly v soulad právo na soukromí s předpisy platnými pro svobodu projevu názoru.

Princip otevřenosti a princip účasti subjektu osobních údajů je ve Směrnici č. 95/46/EC pojímán rovněž minimálně v témže rozsahu jako v Úmluvě ETS č. 108. Je zde upřesněn rozsah informací, které mají subjekty údajů obdržet od správců, zpracovatelů, jejich reprezentantů, případně od třetích osob, kteří o nich shromažďují osobní data. Rovněž mají nárok obdržet od správců dat informace o příjemci nebo kategorii příjemců, disponibilní informace o původu dat a logické struktury automatizovaného zpracování dat, jež se jich týkají. Členské státy mohou přijmout v této souvislosti pravidla omezující nároky subjektů dat v případech, kdy se jedná o národní bezpečnost, obranu, veřejnou bezpečnost, prevenci, odhalování a stíhání trestných činů, ochranu důležitých ekonomických a finančních zájmů států i Evropské unie jako celku a ochranu subjektů dat či práv a svobod druhých.

Čl. 15 je ovšem výraznou novinkou. Stanoví, že členské státy jsou povinny poskytnout každé osobě právo, aby nebyla podřízena rozhodnutí, jež má pro ni právní následky nebo jež je pro ni značně nevýhodné, a které je vydáno výlučně na základě automatizovaného zpracování dat za účelem zhodnocení jednotlivých aspektů její osoby jako například pracovní výkon, poskytnutí úvěru, spolehlivosti, chování apod.

Princip záruk bezpečnosti osobních dat a princip odpovědnosti správce je zde opět chápán v šířím pojetí. Většinou technická a organizační opatření požadovaná v Úmluvě ETS č. 108 jsou rozšířena o podmínky, kde dle čl. 16 nesmí nikdo, kdo má od správce či zpracovatele stanoven přístup k osobním datům, včetně zpracovatele samotného, s nimi nakládat v rozporu s pověřením správce, ledaže by k tomu měl zákonné zmocnění, respektive dle čl. 17 zpracování osobních údajů zpracovatelem musí být upraveno upraveno smlouvou nebo právním aktem, který zavazuje zpracovatele zpravidla vůči správci osobních údajů tak, že zpracovatel jedná výlučně podle pokynů správce a vztahují se na něj tytéž povinnosti jako na správce.

Dalším významným ustanovením Směrnice č. 95/46/EC je čl. 18, kde členské státy počítají s hlášením správce dat kontrolním místům dříve než může být zahájeno úplně či částečné automatizované zpracování osobních dat, definují výčet možných výjimek z tohoto ustanovení a následně specifikují minimální rozsah informací předávaných v tomto hlášení. Výjimku tvoří zejména běžná osobní data a manuálně zpracovávané údaje, u kterých může být registrace stanovena jako dobrovolná. Seznam registrovaných organizací má být veden národními kontrolními orgány a má být veřejně přístupný. Podle čl. 20 jsou členské státy povinny určit ta zpracování osobních dat, která mohou obsahovat specifická rizika pro práva a svobody subjektů dat, a postarat se o to, aby tato zpracování byla zkontrolována před jejich zahájením. Registr obsahující informace o ohlášených zpracováních osobních dat musí být zveřejněn a přístupný každému.

Podle čl. 22 musí být každému subjektu osobních údajů poskytnuto právo podat právní námitku v případě porušení jeho práv na ochranu dat, a to zejména před předáním věci soudního orgánu. Podle čl. 23 jsou členské státy povinny každé osobě, které v důsledku protiprávního zpracování nebo každého jiného jednání neslučitelného s právem na ochranu dat v jednotlivých státech vznikne škoda, poskytnout právo požadovat náhradu škody od správce dat. Ten se může úplně či částečně zbavit odpovědnosti za způsobenou škodu, dokáže-li, že ji nezavinil. Čl. 24 pak zavazuje členské státy stanovit sankce za porušení povinností podle souvisejících právních norem.

Směrnice č. 95/46/EC dále podrobně upravuje podmínky předávání osobních dat do třetích zemí. Zejména povoluje tento transfer v případě, že třetí země zaručuje odpovídající úroveň ochrany osobním datům s tím, že adekvátnost ochrany se posuzuje podle všech okolností souvisejících s předáváním dat, zejména s ohledem na povahu dat, účel a dobu trvání nakládání s daty a právní normy platné v třetí zemi. Nestačí tedy pouze soulad v symbolických hodnotách proklamovaných v národních zákonech, ale je třeba se zaměřit především na jejich uplatnění v cílovém státě. Členské státy se vzájemně informují o případech, kdy pociťují ve třetích zemích rizika vůči odpovídající úrovni ochrany osobních dat. Čl. 26 pak stanoví rozsah povolených výjimek z těchto ustanovení:

·        občan dal jednoznačný souhlas s převodem svých osobních údajů;

·        převod je nezbytný k naplnění smlouvy mezi dotčeným občanem a organizací, která zpracovává jeho data, nebo mezi touto organizací a třetí stranou;

·        převod údajů je vyžádán důležitým veřejným zájmem nebo právními nároky třetích subjektů;

·        převod je nutný pro ochranu vitálních zájmů dotčené osoby;

·        převáděné údaje jsou již registrovány ve veřejném informačním systému.

Podle čl. 28 jsou členské státy povinny pověřit jedno nebo několik veřejných míst tím, aby na jejich výsostném území sledovala aplikaci předpisů o ochraně dat vydaných členskými státy k realizaci Směrnice č. 95/46/EC. Tato místa musí být organizována tak, aby mohla zcela nezávisle plnit úkoly jim svěřené.

Přijetím Směrnice č. 95/46/EC bylo završeno pětileté úsilí o kodifikaci této závažné otázky. Pro tuto směrnicí hlasovaly všechny členské státy s výjimkou Velké Británie, která se hlasování zdržela. Členské státy Evropské unie dostaly tříletou lhůtu na harmonizaci svých národních norem s touto směrnicí. Další tříletý odklad mohl být uplatněn u těch osobních údajů, jejichž zpracování započalo před platností nové legislativy. Navíc platí až devítiletá legisvakance pro údaje uchované mimo automatizované systémy (zde se jedná o papírové databanky a kartotéky apod.).

Směrnici č. 95/46/EC lze hodnotit jako velmi obsáhlou, přísnou a nikoliv jednoduše aplikovatelnou pro legislativní systémy členských států Evropské unie (z nichž ještě některé z nich se s ní dodnes plně nevyrovnaly[32]) a o to více i pro kandidátské země, pro něž znamená ve většině případů nastavení nových podmínek podmiňujících vstup do Evropské unie.

 

2.2.2. Směrnice Evropského parlamentu a Rady č. 97/66/EC

Směrnici č. 95/46/EC brzy následovala speciální norma – Směrnice 97/66/EC Evropského parlamentu a Rady z 15. prosince 1997, týkající se zpracování osobních údajů a ochrany soukromí v sektoru telekomunikací[33]. Vývoj v této oblasti se však ukázal tak rychlým, že ji v horizontu pěti let nahradila nová Směrnice 2002/58/EC Evropského parlamentu a rady ze dne 10. července 2002 o zpracování osobních údajů a ochraně soukromí v oblasti elektronické komunikace[34]. Její přijetí bylo motivováno především zaváděním nových pokrokových digitálních technologií do veřejných telekomunikačních sítí, nových telekomunikačních služeb jako video na přání či interaktivní televize a zejména pak digitální sítě integrovaných služeb (ISDN) a digitálních mobilních sítí.

Poskytovatelé veřejně dostupných telekomunikačních služeb jsou tak zavázáni k přijetí příslušných technických a organizačních opatření k zajištění bezpečnosti svých služeb, v případě nutnosti společně s poskytovatelem veřejné telekomunikační sítě, ve vztahu k bezpečnosti sítě. S ohledem na vyspělost a náklady jejich implementace, tato opatření musí zajistit úroveň bezpečnosti odpovídající existujícímu riziku.

Členské státy jsou povinny prostřednictvím národních předpisů zajistit důvěrnost komunikace prostřednictvím veřejné telekomunikační sítě a veřejně dostupných telekomunikačních služeb. Obzvláště pak vyloučit naslouchání, nahrávání, ukládání, nebo jiné druhy intercepce nebo sledování komunikace, někým jiným než uživateli, bez souhlasu příslušných uživatelů, kromě legálně povolených případů (když takovéto omezení představuje nezbytné opatření k ochraně národní bezpečnosti, obraně, veřejné bezpečnosti, prevenci, vyšetřování, zjišťování a stíhání trestných činů, nebo ochraně před neoprávněným použitím telekomunikačního systému).

Rovněž pak provozní data, týkající se předplatitelů a uživatelů, zpracovaná ke spojení hovorů a uložená poskytovatelem veřejné telekomunikační sítě a/nebo veřejně dostupné telekomunikační služby, musí být vymazána, nebo učiněna anonymními, při ukončení hovoru. Pro účely fakturace předplatiteli a spojovacích poplatků stanoví rozsah dat, která mohou být zpracována.

Při nabídnutí identifikace volající linky musí mít volající uživatel možnost pomocí jednoduchých prostředků a zdarma eliminovat prezentaci identifikace volající linky pro jednotlivé hovory. Současně jsou stanoveny výjimky z předchozího ustanovení tak, že členské státy musí zajistit, aby existovaly transparentní postupy, kterými se řídí způsob, jak poskytovatel telekomunikační sítě a/nebo veřejně dostupné telekomunikační služby může zrušit zabránění prezentaci identifikace volající linky:

a)    přechodně, na žádost předplatitele požadujícího vysledování zlovolných, nebo obtěžujících hovorů;

b)   k jednotlivým linkám, pro organizace zabývající se tísňovými hovory a uznanými jako takové členským státem, včetně agentur vynucujících dodržování zákona, ambulantních služeb a požárních sborů, pro umožnění reakce na takovéto hovory.

Každému předplatiteli musí být poskytnuta možnost zdarma a pomocí jednoduchých prostředků zastavit automatické přenášení hovorů třetí stranou na koncové zařízení předplatitele.

Rovněž osobní data předplatitelů obsažená v tištěných nebo elektronických seznamech, které jsou k dispozici veřejnosti nebo je možno je získat prostřednictvím dotazových služeb seznamů, by měla být omezena na to, co je nutné k identifikaci konkrétního předplatitele, pokud předplatitel neudělil svůj jednoznačný souhlas se zveřejněním dalších osobních dat. Předplatitel má nárok zdarma být vynechán z tištěného nebo elektronického seznamu na svou vlastní žádost, dále uvést, že jeho nebo její osobní data nesmí být použita pro účely přímého marketingu, mít zčásti vynechánu svou adresu a tu část dat, která indikuje, zda se jedná o muže, nebo ženu, kde je to možné z jazykového hlediska. Současně členské státy smí dovolit provozovatelům požadovat platbu od předplatitelů, kteří si přejí, aby jejich konkrétní údaje nebyly uvedeny v seznamu, za předpokladu, že příslušná suma nebude fungovat jako odrazení od uplatnění tohoto práva.

Použití automatických systémů volání, bez lidské účasti (automaticky volající zařízení), nebo faxových přístrojů (fax) pro účely přímého marketingu, může být dovoleno pouze ve vztahu k předplatitelům, kteří k tomu poskytli svůj předchozí souhlas.

 

2.2.3 Nařízení Evropského parlamentu a Rady č. 45/2001

Další významnou vnitřní právní normou Evropské unie v úzkém slova smyslu je Nařízení Evropského Parlamentu a Rady č. 45/2001 z 18. prosince 2000 o ochraně jednotlivců s ohledem na zpracování osobních údajů institucemi a orgány Společenství a o volném pohybu takovýchto údajů[35]. Jedná se v něm především o konkretizaci pravidel ochrany osobních údajů zpracovávaných samotným aparátem Evropské unie. Současně se zde zavádí nový institut nezávislého evropského „dohlížitele“ (Supervisor) nad ochranou dat jmenovaného na pět let společně Evropským parlamentem a Radou a dále má každá instituce a orgán Evropské unie povinnost určit alespoň jednu osobu pověřenou ochranou dat (Data Protection Officer).

2.2.4 „Bezpečný přístav“

Nejen jednotný trh Evropské unie, ale i unifikace prostředí pro další společenské fenomény si přirozeně vyžadují i volný pohyb osobních údajů a je pravdou, že jednotné standardy jej v současně době v rámci Evropské unie umožňují. Současně mezi jejich vedlejší efekty patří například i taková skutečnost, že státy, kde donedávna vládly autoritářské režimy (například Řecko či Španělsko) dnes v podstatě mají velmi dobré standardy na ochranu soukromí. Problémy, které se podařilo vyřešit v rámci Evropské unie, se však mohou znásobovat v komunikaci mimo ni, přičemž paradoxně nejvýznamnějším problémovým partnerem v tomto smyslu se staly Spojené státy americké. Na bázi obecného rozporu mezi tradiční svobodou slova a právem na soukromí, zejména pak z pohledů práva občanů na informace i z pohledu veřejného zájmu se tak mezi Evropskou unií a Spojenými státy americkými odehrával dlouhodobý spor mezi o pojetí ochrany osobních údajů s v podstatě mezinárodně obchodními důsledky.

Nutno poznamenat, že Američané vždy spíše spoléhali více na samoregulaci než na centralizované pravidla. A jistě i z tohoto důvodu v USA neexistuje jednotný zákon na ochranu privátních dat, ale pouze několik dílčích zákonů. Prakticky se pak jednalo především o neochotu Evropské unie uznat americkou legislativu, nezakládající žádné specifické institucionální zázemí, jako dostatečnou pro povolování převodů osobních dat ze svých členských států do USA. Evropská unie přitom vycházela z interpretace Směrnice č. 95/46/EC. Spojené státy proti tomu stavěly princip vyspělé seberegulace soukromé sféry, evropskému partneru vytýkaly přehnanou institucionalizaci a tím i byrokratizaci problému či zastávání pozic přílišného státního i nadstátního paternalismu.

Spor byl vyřešen v roce 2000 do jisté míry kompromisem, byť nedokonalým a z hlediska praktického uplatňování i poměrně komplikovaným. Stalo se jím Rozhodnutí Komise z 26. července 2000 č. 2000/520/EC[36] o adekvátnosti ochrany poskytované dle principů bezpečného přístavu, které přímo navazuje na Směrnici 95/46/EC. Zde definovaný pojem tzv. „bezpečného přístavu“ (Safe Harbor) znamená zahraniční subjekty označené za spolehlivé z hlediska ochrany osobních údajů. Zmiňované Rozhodnutí se ovšem vztahuje jen na omezený okruh jednotlivých amerických firem spadajících do kompetence Federální obchodní komise a Departmentu dopravy USA, a to ještě pouze, pokud se výslovně přihlásily k dodržování určitých zásad. Z kategorie „bezpečného přístavu“ jsou tedy dosud vyňaty i například pro obchod nezbytné instituce bankovního sektoru.

 

 

3. Vývoj právní úpravy v České republice

3.1 Zákon č. 256/1992 Sb., o ochraně osobních údajů v informačních systémech

Tento zákon byl první ucelenou obecnou normou České republiky (přesněji České a Slovenské Federativní Republiky), která upravovala práva a povinnosti provozovatelů (respektive dalších zúčastněných osob) při provozování informačních systémů, které nakládají s osobními údaji, směřující k ochraně těchto informací (tedy českým „informačním zákonem“). Ideovým východiskem pro jeho text byla Úmluva ETS č. 108 o ochraně osob s ohledem na automatizované zpracování osobních dat, která v dané době byla doplněna celkem osmi dodatečnými speciálními Doporučeními (viz 3.1.), a to je jednoznačně patrné na jeho struktuře i obsahu.

Zákon č. 256/1992 Sb. jednak v našem zákonodárství poprvé právně definuje některé zásadní pojmy z informatiky, jednak stanovuje pravidla nakládání s informacemi. Tato pravidla byla stanovena obecně jako minimální požadavky pro veškeré informační systémy takového typu bez ohledu na to, kdo je jejich provozovatelem a týkala se i těch informačních systémů, které vznikly již dříve na základě jiných zákonů.

V § 1 je stanoven věcný rozsah zákona ve smyslu ochrany osobních údajů, zejména povinnosti související s ochranou informací při provozování informačního systému, který nakládá s osobními údaji, a odpovědnosti provozovatele informačního systému a dalších fyzických a právnických osob, které se účastní provádění činností souvisejících s provozováním takového informačního systému.

Z aktuálního pohledu jsou snad nejcennější částí tohoto zákona definice jednotlivých pojmů vyplňující v podstatě celou jeho první polovinu. Jsou zde tak definovány nejen pojmy ekvivalentní Úmluvě ETS č. 108 „osobní údaje“, „dotčená osoba“ (tj. „subjekt údajů“) a „provozovatel“ (tj. správce osobních údajů“), ale i další pojmy jako „informační služba“, „zpracování informace“, „likvidace informace“, „účastník výměny informací“, „uživatel“, „zprostředkovatel“, „náležitý způsob sběru informací“ a „zveřejněná informace“.

Jisté komplikace ovšem v praxi způsobovaly dvě z těchto definic – „informační systém“ (měl být ekvivalentní pojmu „automatizovaný soubor dat“) a „provozování informačního systému“ (měl být ekvivalentní pojmu „automatizované zpracování“). Informační systém je zde chápán jako „funkční celek zabezpečující cílevědomé a systematické shromažďování, zpracovávání, uchovávání a zpřístupňování informací s tím, že každý informační systém zahrnuje informační základnu, technické a programové prostředky, technologie a procedury a pracovníky“. Provozováním informačního systému se rozumí „provádění činností směřujících ke shromažďování (sběru) informací, jejich vstupnímu zpracování, ukládání informací do údajové základny, zpracování informací pro vnitřní potřeby systému nebo pro poskytování informační služby, kdy provozování zahrnuje všechny nebo jen některé z uvedených činností“. Adjektiva „informační“ v těchto pojmech sice odpovídala jistému pojmovému posunu od původního „automatizovaného zpracování“, ovšem ani z těchto uvedených definic nebylo zcela jasné, zda se informačním systémem rozumí pouze počítačový informační systém či nikoli. Tato nejasnost dala vzniknout debatám v odborné veřejnosti. Někteří autoři se domnívali, že takto definovaný informační systém musí být počítačový, respektive automatizovaný, jiná část literatury zastávala opačné stanovisko. Faktem je, že v definicích v tomto zákoně se skutečně pojmy „počítačový“ či „elektronický“ výslovně nepoužívaly. Pojmy jako „informační základna“ nebo či „technické prostředky a procedury“ se mohou týkat i ručně spravovaných informačních systémů. Programové prostředky by sice zdánlivě mohly implikovat počítačový informační systém, avšak pojem program je širší než počítačový program a nemusí nutně být vázán jen na počítačové systémy. Jenže žádné upřesnění, výklad ani alespoň soudní rozhodnutí za dobu účinnosti tohoto zákona nebyly vydány, mimo jiné i proto, že tato norma vlastně nebyla důsledně v praxi aplikována.

§ 16 zákona č. 256/1992 Sb. šel v netriviální míře nad rámec Úmluvy ETS č. 108, když tento pojem v českém právu rozšířil o údaje, které vypovídají o osobnosti a soukromí dotčené osoby (což nijak neupřesnil, ale ponechal v této velmi nejasné obecné poloze) a její národnosti, ochranu informací o politických postojích blíže specifikoval rovněž ve smyslu členství v politických stranách a navíc doplnil i ochranu údajů o majetkových poměrech. Tyto údaje bylo možné zpracovávat pouze, stanoví-li tak zvláštní zákon, nebo se souhlasem žijící dotčené osoby, pokud je možné, aby tento projev vůle učinila. Jestliže nelze podmínku souhlasu splnit, bylo možno s informacemi nakládat jen za předpokladu, že bude zachována lidská důstojnost, osobní čest, dobrá pověst a chráněno dobré jméno dotčené osoby.

Princip omezení sběru osobních dat, omezení užití osobních dat, kvality osobních dat a specifikace účelu sběru osobních dat byly do § 17 určujícího povinnosti provozovatele přejaty v odpovídajícím rozsahu a navíc byly rozšířeny či upřesněny o ustanovení ukládající provozovateli:

·        označit náležitým způsobem v informačním systému nepřesné nebo neověřené informace a

·        zamezit sdružování informací a informačních systémů sloužících k rozdílným účelům, pokud zvláštní zákon nestanoví jinak.

Z hlediska principu záruk bezpečnosti osobních dat je tentýž paragraf doplněn o podmínky:

·        stanovit práva a povinnosti fyzických a právnických osob, které mají přístup k informačnímu systému a

·        učinit opatření, aby po skončení pracovního nebo obdobného poměru mezi fyzickou osobou a provozovatelem nemohly být informace, s nimiž nakládá příslušný informační systém, touto osobou využity; obdobná opatření je povinen učinit i vůči osobám, které při plnění svých úkolů u provozovatele přicházejí nebo mohou přicházet do styku s informacemi, s nimiž nakládá příslušný informační systém.

Upřesněna jsou zde i opatření (§ 18), která je při ukončení provozu informačního systému provozovatel povinen provést, aby informace, s nimiž informační systém nakládal, nemohly být zneužity.

Poněkud nepochopitelně je zde však nadmíru stručně pojat princip otevřenosti a princip účasti subjektu osobních údajů. Z požadavků dle Úmluvy ETS č. 108 se zde objevil pouze požadavek na poskytnutí zprávy o informacích o subjektu údajů uchovávaných v informačním systému, a to jedenkrát do roka bezplatně, nebo za přiměřenou úplatu kdykoli, pokud zvláštní zákon nestanoví jinak. Ostatní požadavky jako zjištění existence takového systému vůbec, respektive související opravné prostředky zde zcela chybí nebo jsou obecně chápány nikoliv jako přirozený požadavek, ale pouze jako sekundární povinnost při porušení primární povinnosti z tohoto zákona.

S ohledem na princip bezpečnosti jsou zde stanoveny povinnosti odpovídající Úmluvě ETS č. 108 doplněné, respektive upřesněné o:

·        běžné odpovědnostní tituly korespondující s obdobnými kategoriemi chráněných informací v českém právu (například ochrana osobnosti nebo obchodní tajemství) a

·        zamezení přístupu k informacím v průběhu sporu, pokud orgán příslušný pro rozhodnutí sporu výjimečně nestanoví jinak (přičemž nárok se týká pouze sporem dotčených informací).

Zákon č. 256/1992 Sb. stanovil podmínky a způsob registrace informačních systémů a dozor nad jejich provozováním. Podle § 24 k provedení registrace a provádění dozoru nad provozem informačních systémů byly příslušné orgány, zřízené zvláštními zákony. Tento orgán měl evidovat registrované informační systémy po dobu jejich provozu. Taková evidence měla být veřejně přístupná a úředně zveřejňována tímto orgánem vždy k 31. prosinci. Provozovatel byl povinen bez zbytečného odkladu informovat orgán uvedený v § 24 o ukončení provozu informačního systému s uvedením data, ke kterému se provoz informačního systému ukončuje. Toto se netýkalo informačních systémů, na něž se nevztahovala povinnost registrace. Rovněž povinnosti registrovat se podléhaly pouze informační systémy nakládající s informacemi uvedenými v § 16, pokud nesloužily výhradně pro vnitřní potřebu provozovatele s tím, že výjimky z povinnosti registrace měl stanovit zvláštní zákon. Registraci nepodléhaly také informační systémy nakládající výhradně se zveřejněnými informacemi.

Zásadním problémem bylo, že zmiňované předpokládané návazné právní normy se nikdy nerealizovaly a předpokládaný státní orgán pověřený dohledem nad provozováním informačních systémů, které nakládají s citlivými osobními údaji, tedy nikdy nevznikl. Současně práva případně postižených osob tak nebyla dostatečně chráněna v souladu s Úmluvou ETS č. 108 (potažmo přirozeně i se Směrnicí č. 95/46/EC) a z toho mimo jiné plynulo, že státy Evropské unie by ani nebyly oprávněny povolit přenos dat do České republiky.

 

3.2 Srovnání zákona č 256/1992 Sb. s požadavky Směrnice 95/46/EC

Jak bylo konstatováno v předchozím textu, zákon č. 256/1992 Sb. nedostál zcela stoprocentně požadavkům stanoveným v Úmluvě ETS č. 108, a to již z hlediska vlastního textu normy. K tomu se navíc přidružily aplikační problémy, kdy chyběly nejen případné prováděcí podzákonné normy, ale zejména předpokládaná blanketová norma o síle zákona, na jejíž existenci byly závislé některé aspekty jeho praktické realizace. Indikátorem nedostatečné pozornosti legislativy i společnosti uvedeném smyslu může být i skutečnost, že tento zákon za 8 let své účinnosti nebyl ani jednou novelizován a dočkal se pouze dvou rezortních prováděcích pokynů. Přitom těžko hledat důvody uvedeného stavu pouze v tom, že téměř okamžitě po nabytí účinnosti tohoto zákona se zákonodárné sbory obou republik soustředily na legislativu související se vznikem dvou samostatných států a vytvořením jejich ústavněprávních základů.

V roce 1995 však byla navíc přijata již zmiňovaná Směrnice Evropského parlamentu a Rady č. 95/46/ES, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a s volným pohybem těchto údajů, která ve srovnání s Úmluvou ETS č. 108 zpřísnila podmínky ochrany osobních údajů a se stala rozhodnou nejen pro právní řády členských států, ale i kompatibilitu právních řádů tzv. kandidátských zemí. A tento impuls zvenčí vyjádřený konstatováním expertů Evropské unie, že český právní řád není, pokud se týče ochrany osobních údajů, kompatibilní s právem komunitárním, předznamenal vážné zadání směřující ke zcela nové komplexní právní úpravě.[37] Posudek Komise Evropské unie k žádosti České republiky o přijetí do Evropské unie z 15. července 1997 v kapitole Kritéria členství v odstavci 3.1 mimo jiné konstatoval, že se Česká republika dosud nestala smluvní stranou Úmluvy ETS č. 108 a je nutno vytvořit nezávislý orgán, který by odpovídal za dohled nad prováděním zákona o ochraně osobních údajů a dalších relevantních právních předpisů a zavést sankce proti osobám nezákonně využívajícím tyto údaje. Dále ještě v kapitole Soudnictví a vnitřní bezpečnost státu se uvádí, že ústava zaručuje ochranu osobních údajů, ale bude nutno novelizovat zákony České republiky tak, aby byly plně v souladu s požadavky Evropské unie.

Zákon č. 256/1992 Sb. byl postaven pouze na aplikaci ochrany osobních údajů při automatizovaném zpracování údajů, a to pouze v rámci systematické činnosti, jíž je provozování informačního systému, přičemž u manuálního zpracování bylo třeba zákon přiměřeně aplikovat. Mimo působnost zákona tak zůstalo nakládání s osobními údaji vně informačních systémů.

Pojem „osobní údaj“ byl vymezen pouze jako informace vztahující se k určité osobě. Směrnice č. 95/46/EC se však vztahuje rovněž na data o „určitelných fyzických osobách“, tj. těch, které nejsou přímo a jednoznačně označeny, ale jejichž identitu lze na základě dodatečných údajů nebo dodatečných znalostí zjistit.

Směrnice č. 95/46/EC omezuje přípustnost zpracování osobních údajů na určité přípustné účely a stanoví, že nesmějí být dále zpracovány způsobem, který se neslučuje se zamýšlenými cíli. Speciálně se tato ustanovení týkají citlivých osobních údajů. Současně jsou v zákoně č. 256/1992 Sb. uvedena vágní označení osobních údajů vypovídajících o osobnosti a soukromí, respektive majetkových poměrech subjektu údajů, které jsou svým způsobem na rámec Směrnice č. 95/46/EC.

Směrnice č. 95/46/EC připouští za určitých předpokladů odchylky a výjimky, jedná-li se o zpracování osobních dat samotných pro novinářské, umělecké nebo literární účely. Předpokladem pro to je, aby se odchylka ukázala jako nutná k tomu, aby uvedla v soulad právo na soukromí s předpisy platnými pro svobodu projevu názoru, protože v opačném případě by následkem bezvýhradného dodržování obecných pravidel mohla být negativně ovlivněna svoboda tisku.

V zákoně č. 256/1992 Sb. zcela chyběla povinnost toho, kdo shromažďuje osobní údaje, informovat občana o jeho právech a o jiných pro něj významných skutečnostech.

Podle Směrnice č. 95/46/EC musí být subjektu údajů pro případ, že uložená data jsou nesprávná, poskytnut nárok na opravu. Dosavadní česká právní úprava však zaručovala pouze nárok na vymazání, což však nemusí být v zájmu dotčené osoby. Obdobně zde kolidovalo ustanovení o označování neověřených informací, které by z logiky věci měly být spíše nahrazeny informacemi správnými.

Dosavadní právní úprava naprosto neobsahovala řešení požadavku Směrnice č. 95/46/EC, kdy jsou členské státy povinny poskytnout každé osobě právo, aby nebyla podřízena rozhodnutí, jež má pro ni právní následky nebo jež je pro ni značně nevýhodné, a které je vydáno výlučně na základě automatizovaného zpracování dat za účelem zhodnocení jednotlivých aspektů její osoby.

V rámci Směrnice č. 95/46/EC členské státy Evropské unie počítají s hlášením osoby odpovědné za zpracování kontrolním místům[38] dříve, než může být zahájeno automatizované zpracování. Dosavadní česká právní úprava stanovila registrační povinnost pouze pro informační systémy, a to takové, které zpracovávají citlivé informace, neslouží výhradně pro vnitřní potřebu provozovatele (což je značně nejasná formulace) a připouštěla výjimky z registrační povinnosti zvláštním zákonem (který navíc neexistoval). Směrnice č. 95/46/EC navíc ještě podrobně předepisuje, které údaje musí obsahovat hlášení kontrolnímu místu, a dále povinnost stanovit zpracování, která mohou obsahovat specifická rizika pro práva a svobody osob, a postarat se o to, aby tato zpracování byla zkontrolována ještě před jejich zahájením.

Podle Směrnice č. 95/46/EC musí být každému subjektu údajů poskytnuto právo podat u soudu právní námitku v případě porušení jeho práv na ochranu dat.   Stávající zákon však zejména neobsahoval možnost podávat zvláštní právní námitku na prosazení nároků dotčené osoby na informace, opravu, zablokování a vymazání dat.

Podle Směrnice č. 95/46/EC jsou členské státy povinny každé osobě, které v důsledku protiprávního zpracování nebo každého jiného jednání neslučitelného s právem na ochranu dat v jednotlivých státech vznikne škoda, poskytnout právo požadovat náhradu škody od osoby odpovědné za zpracování. To znamená, že vnitrostátní právo musí počítat s ručením za ohrožení nezávislém na zavinění, respektive namísto ručení za ohrožení počítat s ručením za zavinění, při němž se až do exkulpace osobou odpovědnou za zpracování vychází z jejího zavinění (obrácení důkazního břemene). Zákon č. 256/1992 Sb. ovšem zahrnoval pouze případy, v nichž je negativně ovlivněno právo dotyčné osoby na zachování lidské důstojnosti, osobní cti, dobré pověsti a dobrého jména.

Sankce za porušování zákona č. 256/1992 Sb. se předpokládaly pouze v rovině občanskoprávní či trestněprávní, ale chyběla možnost operativnější správněprávní sankce.

Podle Směrnice č. 95/46/EC členské státy neomezují nebo nezakazují volný pohyb osobních dat mezi členskými státy z důvodů právní ochrany dat a povolují předávání dat členským státům Evropské unie za stejných podmínek, jež platí pro předávání dat tuzemským místům. Naopak stanoví poměrně tvrdé podmínky pro předávání dat do třetích zemí. V zákoně č. 256/1992 Sb. toto nebylo důsledně vyřešeno.

S vědomím skutečností výše uvedených Vláda ČR na svém zasedání dne 1. 7. 1998 konstatovala, že nezbytnost ochrany občanů ve vztahu k nakládání s osobními daty jak v rámci veřejné, tak i soukromé sféry, je dána vnitřními potřebami České republiky i jejími mezinárodními závazky a směřováním. Současně schválila předložené Teze zavádění účinné ochrany osobních údajů, rozhodla o nutnosti připravit zcela novou právní normu o síle zákona, která bude především vycházet z výše uvedených mezinárodních dokumentů, a v rámci něj koncipovat úřad na ochranu osobních údajů jako nezávislý kontrolní orgán pro dodržování zásad ochrany osobních údajů při jejich shromažďování a dalším nakládání s nimi ve vztahu k ochraně práv a svobod občanů. Úřad pro státní informační systém byl pověřen gestorstvím připravované právní normy.[39]

 

4. Zákon č. 101/2000 Sb., o ochraně osobních údajů

Text zákona byl zpracován a průběžně konzultován v průběhu následujícího roku. Obsah této normy byl především orientován na dosažení plné kompatibility s Úmluvou ETS č. 108 a Směrnicí č. 95/46/EC a je možné konstatovat, že zejména plně reflektoval odstranění odlišností dosavadního zákona uvedená v předchozí podkapitole.

Nová předloha tak zahrnula ochranu osobních údajů při jakémkoli nakládání s nimi prostřednictvím automatizovaných prostředků i manuálně. Nově upravila povinnost toho, kdo shromažďuje osobní údaje, informovat občana o jeho právech a o jiných pro něj významných skutečnostech. Upřesněno bylo právo občana na opravu nesprávných osobních údajů. Byl precizován rozsah citlivých údajů a zejména z jejich výčtu byly vypuštěny nedefinované (lépe řečeno téměř nedefinovatelné) pojmy jako například „osobnost a soukromí dotčené osoby“ a „majetkové poměry“. Bylo konkretizováno ustavení kontrolního orgánu, Úřadu pro ochranu osobních údajů, vybaveného kontrolními, vyšetřovacími, registračními a metodickými funkcemi, kterému byla mimo jiné dána možnost zásahu před zahájením takového nakládání s osobními údaji, které by z hlediska ochrany osobních údajů mohlo představovat určitá rizika. Byla zde zdůrazněna mnohem větší role občana, který má mít k dispozici mechanismy na ochranu údajů, které o něm vypovídají, má právo, aby s nimi byl v okamžicích, kdy se v souladu s nimi má rozhodovat, opakovaně seznámen, ale současně musí (a to zejména udělením či neudělením souhlasu se zpracováním, prohlášením určitých údajů za veřejné, vyžádáním informace o údajích, které o něm byly shromážděny, požadavky na opravy či výmazy) s nimi reálně disponovat.

Nový zákon o ochraně osobních údajů[40] Vláda ČR schválila 22. 9. 1999 a Poslanecké sněmovně Parlamentu ČR jej předložila 28. 9. 1999. Jeho význam byl mimo jiné zdůrazněn i tím, že byl zahrnut mezi právní normy, které explicitně směřují k harmonizaci práva České republiky s právem Evropské unie. Návrh zákona byl přikázán k projednání Petičnímu výboru, projednán s řadou připomínek ve třech čteních a 27. 1. 2000 byl návrh zákona schválen.

Schválený zákon pak směřoval do Senátu Parlamentu ČR. Zde bylo dáno celkem 24 pozměňovacích návrhů, a to různé váhy. Zejména se jednalo o:

·        v § 1 novou formulaci předmětu zákona s tím, že výslovně uvádí ochranu osobních údajů v procesech zpracování jako součást práva na soukromí;

·        v § 3, odst. 7 návrh na odsunutí policejní evidence, evidence Ministerstva financí ve věcech praní peněz, Národního bezpečnostního úřadu ve věcech bezpečnostních prověrek a Ministerstva vnitra ve věcech lustračního osvědčení z režimu osvobození do speciálního režimu, ve kterém se má zpracování osobních údajů řídit zvláštní úpravou mající přednost před úpravou zákonem o ochraně osobních údajů;

·        návrh, aby z této úpravy bylo vyňato předávání údajů do jiných států podle § 27 s tím, aby vláda předložila pozitivní speciální úpravu pravidel pro zpracování osobních údajů v této oblasti;

·        v § 18 osvobodit dobrovolná seskupení osob, strany, církve, sdružení od ohlašovací povinnosti v případech, kdy zpracovávají osobní údaje členstva a toto zpracování má pouze vnitřní užití;

·        definici citlivých údajů podle § 4 rozšířit o termín genetické vybavení.

V této upravené podobě byl pak návrh zákona 1. 3. 2000 vrácen předkladateli.

Pak následovala zpáteční cesta do Poslanecké sněmovny. Ta měla v podstatě dvě možnosti:

·        přijmout text ve znění schváleném Senátem nebo

·        uvedené připomínky ignorovat a schválit zákon znovu kvalifikovanou většinou, tj. nadpoloviční většinou zvolených poslanců.

Při jednání o připomínkách se jak vláda, tak Petiční výbor vyslovily pro přijetí první varianty. Převážil však protiargument k výše zmíněné úpravě § 3 za situace, že normy upravující onen speciální režim v dané chvíli neexistují (zčásti jsou ve stádiu věcného návrhu) a uvedené orgány by se dostaly do absurdní situace, kdy by buď musely žádat vyšetřované o jejich souhlas se zpracováním osobních údajů nebo se vystavovaly nebezpečí pokuty až v částce 10 mil. Kč. Za této situace hlasováním v plénu 4. 4. 2000 Poslanecká sněmovna setrvala na původním návrhu zákona.

17. 4. 2000 pak již následoval podpis prezidenta a 25. 4. 2000 byl zákon vyhlášen ve Sbírce zákonů ČR v částce 32 pod číslem 101/2000 Sb. Na základě ustanovení v něm obsažených nabyl účinnosti ve dvou vlnách:

1.      obecně nabyl účinnosti 1. 6. 2000

2.      §§ 16, 17 a 35 jsou účinnými až od 1. 6. 2001 (jedná se zde u ustanovení v souvislosti s oznamovací povinností a registrací zpracování osobních údajů, kde je nutné ponechat určitý čas pro konstituování a zahájení práce Úřadu pro ochranu osobních údajů). To platilo rovněž o ustanoveních § 47 odst. 2, podle nichž bylo nutno uvést zpracování osobních údajů prováděná před účinností tohoto zákona do souladu s tímto zákonem.

Skutečnost, že nový zákon nabyl účinnosti, umožnila rovněž, aby dne 8. 9. 2000 byla jménem České republiky  ve Štrasburku podepsána Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních dat (Úmluva Rady Evropy č. 108 z 28. ledna 1981). Úmluvu schválila 28. 2. 2001 Poslanecká sněmovna Parlamentu ČR, 28. 3. 2001 Senát Parlamentu ČR a následně prezident republiky Úmluvu ratifikoval. Ratifikační listina České republiky pak byla uložena u generálního tajemníka Rady Evropy, depozitáře Úmluvy, dne 9. 7. 2001. Úmluva na základě svého článku 22 odst. 3 vstoupila pro Českou republiku v platnost dne 1. 11. 2001. Sdělení o jejím přijetí bylo vyhlášeno ve Sbírce mezinárodních smluv ČR pod č. 115/2001 Sb.m.s. dne 15. 11. 2001.

 

5. Novely zákona č. 101/2000 Sb., o ochraně osobních údajů

 

5.1 První novela

Zákon byl novelizován v podstatě okamžitě po čtvrt roce své platnosti. Tato novela je však svým způsobem technickou, protože pouze rozšířila působnost Úřadu pro ochranu osobních údajů, původně stanovenou v § 29 zákona č. 101/2000 Sb., o další práva a povinnosti doplněné zákonem č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu). Poslanecká sněmovna Parlamentu ČR ji schválila 24. 5. 2000, Senát Parlamentu ČR 30. 6. 2000, 12. 7. 2000 ji podepsal prezident, 26. 7. 2000 byla vyhlášena ve Sbírce zákonů ČR a účinnosti nabyla dnem 1. 10. 2000.

             

5.2 Druhá novela

Další novela zákona byla věcně i procesně mnohem komplikovanější než předchozí. S ní související proces byl zahájen návrhem skupiny poslanců z 12. 12. 2000, který v podstatě obsahoval jediný článek a jehož smyslem bylo částečně z působnosti zákona vyjmout zpracování osobních údajů prováděná politickými stranami, politickými hnutími, církvemi, náboženskými společnostmi a občanskými sdruženími za podmínky, že zpracování údajů se vztahuje pouze na jejich členy a osobní údaje slouží pro jejich vnitřní potřebu a činnost vyplývající z účelu, pro který byly založeny[41]. Současně byl podán návrh na projednání zákona tak, aby s ním sněmovna mohla vyslovit souhlas již v prvním čtení.

Poznamenejme, že v podstatě paralelně proběhla také poněkud kontroverzní diskuse[42] na stránkách Bulletinu advokacie, která vyústila v oficiální stanovisko Představenstva České advokátní komory ze dne 10. 10. 2000, že „zákon č. 101/2000 Sb. se na výkon advokacie, tj. poskytování právních služeb advokáty, nevztahuje“. To ovšem na prvotní návrh této druhé novely ještě přímý vliv nemělo.

Nicméně skutečný průběh tohoto procesu byl mnohem složitější. Nejprve s poslaneckým návrhem jako takovým vyslovila nesouhlas Vláda ČR. Následně Poslanecká sněmovna v rámci prvního čtení 22. 2. 2001 odmítla zákon projednat ve zkrácené lhůtě a přikázala jej k projednání Petičnímu výboru a Ústavně právnímu výboru. Zatímco Petiční výbor se omezil na stručné doporučující usnesení, Ústavně právní výbor vlastně sám vytvořil poměrně netriviální novelu zákona, kterou předložil k dalšímu projednání. Připomínky pokračovaly i ve druhém čtení 10. 4. 2001 a po jejich projednání byl zákon ve třetím čtení Poslaneckou sněmovnou schválen 12. 4. 2001.

Další novela zákona byla věcně i procesně mnohem komplikovanější než předchozí. S ní související proces byl zahájen návrhem skupiny poslanců z 12. 12. 2000, který v podstatě obsahoval  jediný článek a jehož smyslem bylo částečně z působnosti zákona vyjmout zpracování osobních údajů prováděná politickými stranami, politickými hnutími, církvemi, náboženskými společnostmi a občanskými sdruženími za podmínky, že zpracování údajů se vztahuje pouze na jejich členy a osobní údaje slouží pro jejich vnitřní potřebu a činnost vyplývající z účelu, pro který byly založeny. Současně byl podán návrh na projednání zákona tak, aby s ním sněmovna mohla vyslovit souhlas již v prvním čtení.

            Ovšem skutečný průběh byl mnohem složitější. Nejprve s tímto návrhem jako takovým vyslovila nesouhlas vláda. Následně poslanecká sněmovna v rámci prvního čtení 22. 2. 2001 odmítla zákon projednat ve zkrácené lhůtě a přikázala jej k projednání Petičnímu výboru a Ústavně právnímu výboru. Zatímco Petiční výbor se omezil na stručné doporučující usnesení, Ústavně právní výbor vlastně sám vytvořil poměrně netriviální novelu zákona, kterou předložil k dalšímu projednání. Připomínky pokračovaly i ve druhém čtení 10. 4. 2001 a po jejich projednání byl zákon ve třetím čtení Poslaneckou sněmovnou Parlamentu ČR schválen 12. 4. 2001.

 

            Vlastních změn v zákoně bylo celkem 28:

·        V § 2 byl dosavadní text označen jako odstavec 1 a doplněn odstavec 2, který včetně poznámky pod čarou č. 1) zní:
„(2) Úřadu jsou svěřeny kompetence ústředního správního úřadu pro oblast ochrany osobních údajů v rozsahu stanoveném tímto zákonem a pro oblast elektronického podpisu v rozsahu stanoveném zvláštním právním předpisem.1)
_____________________________
1) Zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu).“.

 

·        V § 3 se na konci odstavce 4 doplnila věta, která včetně poznámky pod čarou č. 1a) zní: „Dále se zákon nevztahuje na nahodilé shromažďování osobních údajů v rozsahu nezbytném pro výkon nezávislého povolání, které není živností ani jiným podnikáním podle zvláštních zákonů,1a) které stanoví povinnost mlčenlivosti.
_____________________________
1a) Například zákon č. 85/1996 Sb., o advokacii, ve znění pozdějších předpisů, zákon č. 358/1992 Sb., o notářích a jejich činnosti, ve znění pozdějších předpisů, zákon č. 237/1991 Sb., o patentových zástupcích, ve znění zákona č. 14/1993 Sb., zákon č. 523/1992 Sb., o daňovém poradenství a Komoře daňových poradců České republiky, zákon č. 254/2000 Sb., o auditorech, zákon č. 36/1967 Sb., o znalcích a tlumočnících.“.

 

·        V § 4 písm. b) se slova „členství v politických stranách či hnutích nebo odborových či zaměstnaneckých organizacích" nahradila slovy "členství v odborových organizacích“.

·        V § 5 odst. 2 se tečka na konci písmene e) nahradila textem „, nebo“ a doplnilo se písmeno f), které zní:

„f) pokud je to nezbytné pro výkon oprávněné činnosti politických stran, politických hnutí, občanských sdružení, odborových organizací, církví nebo náboženských společností.“.

 

·        V § 5 odst. 5 věta druhá zní: „Ze souhlasu musí být patrné, v jakém rozsahu je poskytován, komu a k jakému účelu, na jaké období a kdo jej poskytuje.“.

·        V § 5 odst. 5 se ve větě třetí tečka nahradila čárkou a doplnila se slova „pokud se subjekt údajů se správcem výslovně nedohodne jinak.“.

 

·        V § 5 odst. 5 se v poslední větě slovo „uschovat“ nahradilo slovem „prokázat“.

 

·        V § 5 se doplnily odstavce 7 až 10, které znějí:
„(7) Správce, který zpracovává osobní údaje podle odstavce 6, může tyto údaje předat jinému správci pouze za splnění těchto podmínek:
a) údaje subjektu údajů byly získány v souvislosti s činností správce nebo se jedná o zveřejněné osobní údaje,

b) údaje budou využívány pouze za účelem nabízení obchodu a služeb,

c) subjekt údajů byl o tomto postupu správce předem informován a nevyslovil s tímto postupem nesouhlas.

(8) Jiný správce, kterému byly předány údaje podle odstavce 7, nesmí tyto údaje předávat jiné osobě.
(9) Nesouhlas se zpracováním podle odstavce 7 písm. c) musí subjekt údajů učinit písemně. Správce je povinen informovat každého správce, kterému předal jméno, příjmení a adresu subjektu údajů, o tom, že subjekt údajů vyslovil nesouhlas se zpracováním.
(10) Za účelem vyloučení možnosti, že jméno, příjmení a adresa subjektu údajů budou opakovaně použity k nabídce obchodu a služeb, je správce oprávněn dále zpracovávat pro svoji vlastní potřebu jméno, příjmení a adresu subjektu údajů přesto, že subjekt údajů vyslovil nesouhlas podle odstavce 6.“.

 

·        V § 9 se v návětí za slova „je možné zpracovávat,“ vložilo slovo „jen“.

 

·        V § 9 písm. c) se na konci doplnilo slovo „nebo“.

 

·        V § 11 odstavec 1 zní:
„(1) Správce je před zahájením zpracování osobních údajů povinen subjekt údajů řádně a včas písemně informovat o tom, v jakém rozsahu a pro jaký účel budou osobní údaje zpracovávány, kdo a jakým způsobem bude osobní údaje zpracovávat a komu mohou být osobní údaje zpřístupněny či komu jsou určeny, nejsou-li subjektu údajů tyto informace již známy.“.

 

·        V § 11 odstavec 4 zní:
„(4) Jestliže správce nezískal osobní údaje od subjektu údajů, je povinen bezodkladně poskytnout subjektu údajů na základě písemné žádosti informace o tom, kdo správci osobní údaje poskytl (zdroj osobních údajů).“.

 

·        V § 11 odst. 5 se v návětí slova „Údaje podle odstavce 1“ nahradila slovy „Informace podle odstavců 1 až 4“.

 

·        V § 11 odst. 5 písm. b) se za slovo „zákon“ doplnila slova „nebo je takových údajů třeba k uplatnění práv a povinností vyplývajících ze zvláštních zákonů“.

 

·        V § 11 odst. 5 se tečka na konci písmene c) nahradila čárkou a doplnila se písmena d) a e), která znějí:
“d) zpracovává výlučně zveřejněné osobní údaje, nebo

e) zpracovává osobní údaje se souhlasem subjektu údajů podle § 5 odst. 5 a § 9 písm. a).“.

 

·        V § 12 odstavec 1 zní:

„(1) Správce nemusí splnit informační povinnost podle § 11 odst. 1 v případě, že tyto informace jsou součástí poučení podle právního předpisu.“.

 

·        V § 12 odst. 2 se slova „tento zákon nebo zvláštní“ včetně poznámky pod čarou č. 17) zrušila.

 

·        V § 18 písm. b) se za slovo „zákonem“ doplnila slova „nebo kterých je třeba k uplatnění práv vyplývajících ze zvláštních zákonů“.

 

·        V § 18 se na konci písmene b) tečka nahradila textem „, nebo“ a doplňuje se písmeno c), které zní:
„c) prováděné politickými stranami, politickými hnutími, odborovými organizacemi, církvemi, náboženskými společnostmi, občanskými sdruženími, popřípadě jinými právnickými osobami nevýdělečné povahy, které sledují politické, filozofické, náboženské nebo odborové cíle, pokud zpracovávají osobní údaje o svých členech a tyto údaje slouží pro jejich vnitřní potřebu.“.

 

·        V § 27 odst. 2 se tečka na konci písmene f) nahradila čárkou a doplnilo se písmeno g), které včetně poznámky pod čarou č. 24a) zní:
„g) tak stanoví zvláštní zákon.24a)

____________________________
24a) Zákon č. 227/2000 Sb.“.

 

·        V § 27 odst. 6 se na konci doplnila slova „nebo předávání vyplývá z mezinárodní smlouvy, kterou je Česká republika vázána“.

 

·        V § 29 odst. 1 se za písmeno d) vložilo nové písmeno e), které zní:
„e) vydává prováděcí právní předpisy podle zvláštního zákona,24a)".

Dosavadní písmena e) až i) se označila jako písmena f) až j).

·        V § 30 odstavec 1 zní:

„(1) Zaměstnanci Úřadu jsou předseda, inspektoři a další zaměstnanci.“.

·        V § 30 odst. 3 se slova „předsedu Úřadu, inspektory a zaměstnance“ nahradila slovy „zaměstnance Úřadu“.

·        V § 46 odst. 1 se slova „uloženou mu podle tohoto zákona“ nahradila slovy „stanovenou tímto zákonem při zpracování osobních údajů“.

·        V § 46 odst. 2 se slova „uložené mu tímto zákonem“ nahradila slovy „stanovené tímto zákonem při zpracování osobních údajů“.

·        V § 47 odst. 2 se slova „do 1 roku od účinnosti tohoto zákona“ nahradila slovy „do 31. prosince 2001“.

·        V § 47 se doplnil odstavec 3, který zní:
„(3) V případě, že kontrolující zjistí porušení povinnosti podle odstavce 2, ustanovení § 46 odst. 1 a 2 se v takovém případě do 31. prosince 2002 nepoužijí.“.

Další změna se pak týkala zákona  č. 65/1965 Sb., zákoník práce, ve znění pozdějších předpisů, kde se v § 73 odst. 2, upravujícího speciální povinnosti zaměstnanců orgánů státní správy a dalších vyjmenovaných subjektů, se za slova „Nejvyššího kontrolního úřadu,“ vložila slova „Úřadu pro ochranu osobních údajů,“.

Poté již celkem hladce novelu 17. 5. 2001 schválil Senát Parlamentu ČR, 25. 5. 2001 podepsal prezident, 31. 5. 2001 byla vyhlášena ve Sbírce zákonů ČR pod číslem 177/2001 Sb. a účinnosti nabyla týmž dnem.

 

5.3 Třetí novela

Oč byla třetí novela zákona obsahově jednodušší, o to složitější byla procesní cesta k ní. V tomto smyslu vznikla do jisté míry kuriózně, když Rozpočtový výbor Poslanecké sněmovny Parlamentu ČR, kterému byl přikázán v té době již téměř půl roku starý poslanecký návrh novel zákonů o rozpočtech obcí, krajů a hlavním městě Praze, na své schůzi 12. 9. 2001 mezi prvním a druhým čtení uvedeného návrhu právě do tohoto návrhu doplnil 3 body vztahující se k zákonu o ochraně osobních údajů. Při dalším projednávání ve sněmovně pak byly ještě rozšířeny o jeden bod a 21. 9. 2001 byl celý zákon schválen.

 

Jednalo se o následující změny:

 

·        Za § 17 se vkládá nový § 17a, který zní:

"§ 17a

(1) Zjistí-li Úřad, že správce zpracovává osobní údaje na základě zaregistrovaného oznámení podle § 16 a v rozporu s podmínkami stanovenými tímto zákonem, rozhodne o zrušení registrace.
(2) Zjistí-li Úřad, že správce, jehož oznámení bylo zaregistrováno postupem podle § 16 odst. 3 nebo § 17 odst. 4, porušuje podmínky stanovené tímto zákonem, registraci zruší.
(3) Pomine-li účel, pro který bylo zpracování zaregistrováno, Úřad z vlastního podnětu nebo na žádost správce registraci zruší.".

 

·        V § 30 se za odstavec 3 vkládají nové odstavce 4 a 5, které včetně poznámky pod čarou č. 26a) znějí:

 

"(4) Předseda Úřadu má nárok na plat, další plat, náhradu výdajů a naturální plnění jako prezident Nejvyššího kontrolního úřadu podle zvláštního zákona.26a)
(5) Inspektoři Úřadu mají nárok na plat, další plat, náhradu výdajů a naturální plnění jako členové Nejvyššího kontrolního úřadu podle zvláštního zákona.26a)
_____________________________
26a) Zákon č. 236/1995 Sb., o platu a dalších náležitostech spojených s výkonem funkce představitelů státní moci a některých státních orgánů a soudců, ve znění pozdějších předpisů.".

Dosavadní odstavce 4 a 5 se označují jako odstavce 6 a 7.

 

·        V § 30 odst. 6 se za slova „zaměstnanců Úřadu“ vkládají slova „, s výjimkou předsedy a inspektorů,“.

 

·        V § 30 odst. 7 se za slova „zaměstnancům Úřadu“ vkládají slova „, s výjimkou předsedy a inspektorů,“.

 

Nevýhodou těchto nijak problematických ustanovení se ovšem brzy ukázal kontext, v jakém se v legislativním procesu ocitly. Senát Parlamentu ČR totiž hned v dalším kroku  normu jako celek odmítl a dne 30. 10. 2001 ji vrátil poslanecké sněmovně. Ta pak 27. 11. 2001 senátní „veto“ přehlasovala, 7. 12. 2001 zákon podepsal prezident, 31. 12. 2001 byl vyhlášen ve Sbírce zákonů ČR pod číslem 450/2001 Sb. a účinnosti nabyl téhož dne.

 

 

5.4 Čtvrtá novela

Situace související s touto novelou byla v jistém smyslu obdobou novely předchozí. Tentokrát Ústavně právní výbor Poslanecké sněmovny Parlamentu ČR při projednávání senátního návrhu zákona o zpřístupnění svazků vzniklých z činnosti bývalé Státní bezpečnosti na své schůzi 17. 1. 2002 mezi prvním a druhým čtení uvedeného návrhu doplnil jeden v podstatě technický bod vztahující se k zákonu o ochraně osobních údajů. Zákon byl posléze 8. 2. 2002 Poslaneckou sněmovnou schválen.

 

            Uvedené ustanovení spočívalo v tom, že v § 3 odst. 6 písm. e) se tečka na konci nahrazuje čárkou a doplňuje se písmeno f), které včetně poznámky pod čarou č. 10a) zní:
„f) orgány příslušnými ke zpřístupňování svazků vzniklých činností bývalé Státní bezpečnosti podle zvláštního zákona,10a) pokud tento zvláštní zákon nestanoví jinak.

_____________________________
10a) Zákon č. 140/1996 Sb., o zpřístupnění svazků vzniklých činností bývalé Státní bezpečnosti, ve znění zákona č. 107/2002 Sb.“.

Senát Parlamentu ČR tento zákon schválil 12. 3. 2002, 15. 3. 2002 jej podepsal prezident, 20. 3. 2002 byl vyhlášen ve Sbírce zákonů ČR pod číslem 107/2002 Sb. a účinnosti nabyl téhož dne.

 

 

5.5 Pátá novela

Tato novela byla v podstatě drobnou součástí velké novely zákona č. 148/1998 Sb., o ochraně utajovaných skutečností. Byla provedena zákonem, kterým se mění zákon č. 148/1998 Sb., o ochraně utajovaných skutečností a o změně některých zákonů, ve znění pozdějších předpisů, zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů, zákon č. 18/1997 Sb., o mírovém využití jaderné energie a ionizujícího záření (atomový zákon) a o změně a doplnění některých zákonů, ve znění pozdějších předpisů, zákon č. 38/1994 Sb., o zahraničním obchodu s vojenským materiálem a o doplnění zákona č. 455/1991 Sb., o živnostenském podnikání (živnostenský zákon), ve znění pozdějších předpisů, a zákona č. 140/1961 Sb., trestní zákon, ve znění pozdějších předpisů, zákon č. 283/1993 Sb., o státním zastupitelství, ve znění pozdějších předpisů, a zákon č. 42/1992 Sb., o úpravě majetkových vztahů a vypořádání majetkových nároků v družstvech, ve znění pozdějších předpisů. Tento zákon byl schválen Poslaneckou sněmovnou Parlamentu ČR dne 27. 3. 2002.

 

            Uvedené ustanovení měnící zákona č. 101/2000 Sb. spočívalo pouze v tom, že v § 3 odst. 6 písm. d) se za slova „bezpečnostních prověrek“ vkládají slova „a ověřování bezpečnostní způsobilosti fyzických osob“.

 

Senát Parlamentu ČR tento zákon Poslanecké sněmovně 6. 5. 2002 vrátil. Ta však v hlasování dne 13. 6. 2002 setrvala na původním stanovisku a 28. 6. 2002 jej podepsal prezident. 12. 7. 2002 byl zákon vyhlášen ve Sbírce zákonů ČR pod číslem 310/2002 Sb. a účinnosti nabyl téhož dne.

 

 

5.6 Šestá novela

Tato novela souvisela s poměrně výraznou změnou v organizaci ústředních úřadů provedenou zákonem č. 517/2002 Sb., kterým se provádějí některá opatření v soustavě ústředních orgánů státní správy. Podstatou této změny bylo vytvoření zcela nového ministerstva informatiky, na něž byly z Úřadu pro ochranu osobních údajů převedeny kompetence týkající se oblasti elektronického podpisu. Tento zákon byl schválen Poslaneckou sněmovnou Parlamentu ČR dne 17. 10. 2002.

 

Jednalo se o následující změny:

 

1. V § 2 odst. 2 se slova "a pro oblast elektronického podpisu v rozsahu stanoveném zvláštním právním předpisem1)" včetně poznámky pod čarou č. 1) zrušují.

 

2. V § 29 odst. 1 se písmeno e) včetně odkazu na poznámku pod čarou č. 24a) zrušuje.

 

3. V § 29 odst. 1 se dosavadní písmena f), g), h), i) a j) označují jako písmena e), f), g), h) a i).

 

4. V § 29 se odstavec 4 zrušuje.

 

Senát Parlamentu ČR tento zákon schválil 15. 11. 2002 a 29. 11. 2002 jej podepsal prezident. 13. 12. 2002 byl zákon vyhlášen ve Sbírce zákonů ČR pod číslem 517/2002 Sb. a účinnosti nabyl 1. 1. 2003.

 

 

5.7 Sedmá novela

Jednalo se o vládní návrh komplexní novely zákona, který Vláda ČR předložila 11.11.2003. Jejím smyslem bylo ještě větší sblížení s právem ES a změny vycházející z dosavadní aplikační praxe a zkušeností Úřadu pro ochranu osobních údajů, především v rozsahu:

·        deklarování vztahu zákona k právu Evropských společenství a k mezinárodním smlouvám,

·        zpřesnění některých užívaných pojmů a zavedení nových pojmů korespondujících se Směrnicí 95/46/ES,

·        zpřesnění podmínek, obsahujících výjimky z režimu práv a povinností správce nebo zpracovatele spojených se zpracováním osobních údajů podle zákona o ochraně osobních údajů,

·        nová úprava některých práv a povinností správce a zpracovatele při zpracování osobních údajů v souvislosti s uplatňováním práva subjektu údajů na přístup k informacím,

·        nová úprava práv a povinností týkajících se nápravy stavu, kdy se subjekt údajů domáhá svého práva na ochranu soukromí před neoprávněným zpracováním osobních údajů o jeho osobě,

·        změna v přístupu České republiky – Úřadu v oblasti předávání osobních údajů do členských států EU nebo do států tzv. třetích zemí, pokud  jsou tyto státy smluvní stranou Úmluvy 108,

·        zpřesnění některých kompetencí Úřadu,

·        splnění požadavku na ještě větší přiblížení zákona o ochraně osobních údajů s právem ES,

·        novelizovaná ustanovení o sankcích, navržená v souladu s koncepcí správního trestání,

·        změna zákona č. 21/1992 Sb., o bankách, ve znění pozdějších předpisů.

 

Tento zákon byl schválen Poslaneckou sněmovnou Parlamentu ČR dne 8. 4. 2004.

 

Jednalo se o následující změny:

 

1. § 1 včetně nadpisu a poznámek pod čarou č. 1) a 1a) zní:

"§ 1

Předmět úpravy


Tento zákon v souladu s právem Evropských společenství,1) mezinárodními smlouvami, kterými je Česká republika vázána,1a) a k naplnění práva každého na ochranu před neoprávněným zasahováním do soukromí upravuje práva a povinnosti při zpracování osobních údajů a stanoví podmínky, za nichž se uskutečňuje předání osobních údajů do jiných států.
___________________________________
1) Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně jednotlivců v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.

1a) Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních dat č. 108, vyhlášená pod č. 115/2001 Sb. m. s.".

 

2. V § 3 odstavec 1 zní:
"(1) Tento zákon se vztahuje na osobní údaje, které zpracovávají státní orgány, orgány územní samosprávy, jiné orgány veřejné moci, jakož i fyzické a právnické osoby.".

3. V § 3 odst. 2, 3 a 4 se slovo "Zákon" nahradilo slovy "Tento zákon".

4. V § 3 odst. 4 se věta druhá včetně poznámky pod čarou č. 1a) zrušila.

5. V § 3 odstavec 5 zní:

"(5) Tento zákon se dále vztahuje na zpracování osobních údajů,
a) jestliže se právní řád České republiky použije přednostně na základě mezinárodního práva veřejného, i když správce není usazen na území České republiky,

b) jestliže správce, který je usazen mimo území Evropské unie, provádí zpracování na území České republiky a nejedná se pouze o předání osobních údajů přes území Evropské unie; v tomto případě je správce povinen zmocnit postupem podle § 6 na území České republiky zpracovatele.

Jestliže zpracování provádí správce prostřednictvím svých organizačních jednotek umístěných na území Evropské unie, musí zajistit, že tyto organizační jednotky budou zpracovávat osobní údaje v souladu s národním právem příslušného členského státu Evropské unie.".

6. V § 3 odstavec 6 včetně poznámek pod čarou č. 4) až 10) zní:

"(6) Ustanovení § 5 odst. 1 a § 11 a 12 se nepoužijí pro zpracování osobních údajů nezbytných pro plnění povinností správce stanovených zvláštními zákony pro zajištění
a) bezpečnosti České republiky,4)

b) obrany České republiky,5)

c) veřejného pořádku a vnitřní bezpečnosti,6)vh

d) předcházení, vyhledávání, odhalování trestné činnosti a stíhání trestných činů,7)

e) významného hospodářského zájmu České republiky nebo Evropské unie,8)

f) významného finančního zájmu České republiky nebo Evropské unie, kterým je zejména stabilita finančního trhu a měny, fungování peněžního oběhu a platebního styku, jakož i rozpočtová a daňová opatření,9)

g) výkonu kontroly, dozoru, dohledu a regulace spojených s výkonem veřejné moci v případech uvedených v písmenech c), d), e) a f),10) nebo

h) činností spojených se zpřístupňováním svazků bývalé Státní bezpečnosti.10a)

___________________________________
4) Například ústavní zákon č. 110/1998 Sb., o bezpečnosti České republiky, ve znění zákona č. 300/2000 Sb., zákon č. 219/1999 Sb., o ozbrojených silách České republiky, ve znění pozdějších předpisů, zákon č. 238/2000 Sb., o Hasičském záchranném sboru České republiky a o změně některých zákonů, ve znění pozdějších předpisů, zákon č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon), ve znění zákona č. 320/2002 Sb., zákon č. 153/1994 Sb., o zpravodajských službách České republiky, ve znění pozdějších předpisů, zákon č. 154/1994 Sb., o Bezpečnostní informační službě, ve znění pozdějších předpisů, a zákon č. 148/1998 Sb., o ochraně utajovaných skutečností a o změně některých zákonů, ve znění pozdějších předpisů.

5) Například zákon č. 222/1999 Sb., o zajišťování obrany České republiky, ve znění zákona č. 320/2002 Sb., zákon č. 218/1999 Sb., o rozsahu branné povinnosti a o vojenských správních úřadech (branný zákon), ve znění pozdějších předpisů, zákon č. 219/1999 Sb., o ozbrojených silách České republiky, ve znění pozdějších předpisů, a zákon č. 124/1992 Sb., o Vojenské policii, ve znění pozdějších předpisů.

6) Například zákon č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon), ve znění zákona č. 320/2002 Sb., zákon č. 283/1991 Sb., o Policii České republiky, ve znění pozdějších předpisů, a zákon č. 553/1991 Sb., o obecní policii, ve znění pozdějších předpisů.

7) Například zákon č. 61/1996 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a o změně a doplnění souvisejících zákonů, ve znění pozdějších předpisů, zákon č. 141/1961 Sb., o trestním řízení soudním (trestní řád), ve znění pozdějších předpisů, a zákon č. 200/1990 Sb., o přestupcích, ve znění pozdějších předpisů.

8) Například zákon č. 241/2000 Sb., o hospodářských opatřeních pro krizové stavy a o změně některých souvisejících zákonů, ve znění pozdějších předpisů, zákon č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon), ve znění zákona č. 320/2002 Sb., a zákon č. 148/1998 Sb., o ochraně utajovaných skutečností a o změně některých zákonů, ve znění pozdějších předpisů.

9) Například zákon č. 218/2000 Sb., o rozpočtových pravidlech a o změně některých souvisejících zákonů (rozpočtová pravidla), ve znění pozdějších předpisů, zákon č. 250/2000 Sb., o rozpočtových pravidlech územních rozpočtů, ve znění pozdějších předpisů, zákon č. 6/1993 Sb., o České národní bance, ve znění pozdějších předpisů, a zákon č. 212/1992 Sb., o soustavě daní, ve znění zákona č. 302/1993 Sb.

10) Například zákon č. 166/1993 Sb., o Nejvyšším kontrolním úřadu, ve znění pozdějších předpisů, zákon č. 337/1992 Sb., o správě daní a poplatků, ve znění pozdějších předpisů, a zákon č. 552/1991 Sb., o státní kontrole, ve znění pozdějších předpisů.".

 

7. V § 4 písmeno a) zní:

"a) osobním údajem jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu,".

 

8. V § 4 písm. b) se slova "trestné činnosti" nahradila slovy "odsouzení za trestný čin" a na konci se doplnila slova "a jakýkoliv biometrický nebo genetický údaj subjektu údajů".

9. V § 4 se na konci písmene l) tečka nahradila čárkou a doplnila se písmena m) až o), která znějí:

"m) evidencí nebo datovým souborem osobních údajů (dále jen "datový soubor") jakýkoliv soubor osobních údajů uspořádaný nebo zpřístupnitelný podle společných nebo zvláštních kritérií,

n) souhlasem subjektu údajů svobodný a vědomý projev vůle subjektu údajů, jehož obsahem je svolení subjektu údajů se zpracováním osobních údajů,

o) příjemcem každý subjekt, kterému jsou osobní údaje zpřístupněny; za příjemce se nepovažuje subjekt, který zpracovává osobní údaje podle § 3 odst. 6 písm. g).".

 

10. V § 5 odst. 1 písmeno c) včetně poznámky pod čarou č. 11) zní:

"c) zpracovat pouze přesné osobní údaje, které získal v souladu s tímto zákonem. Je-li to nezbytné, osobní údaje aktualizuje. Zjistí-li správce, že jím zpracované osobní údaje nejsou s ohledem na stanovený účel přesné, provede bez zbytečného odkladu přiměřená opatření, zejména zpracování blokuje a osobní údaje opraví nebo doplní, jinak osobní údaje zlikviduje. Nepřesné osobní údaje lze zpracovat pouze v mezích uvedených v § 3 odst. 6.11) Nepřesné osobní údaje se musí označit. Informaci o blokování, opravě, doplnění nebo likvidaci osobních údajů je správce povinen bez zbytečného odkladu předat všem příjemcům,

__________________________________
11) Například zákon č. 13/1993 Sb., celní zákon, ve znění pozdějších předpisů.".

 

11. V § 5 odst. 1 písm. e) se slova "statistické, vědecké" nahradila slovy "státní statistické služby, pro účely vědecké".

12. V § 5 odst. 1 se na konci textu písmene e) doplnila slova "a osobní údaje anonymizovat, jakmile je to možné,".

13. V § 5 odst. 1 písm. f) se slova ", pokud zvláštní zákon nestanoví jinak" zrušila.

14. V § 5 odst. 1 písm. f) se slova "údaj, jen pokud k tomu dal subjekt údajů" nahradila slovy "údaje jen v mezích ustanovení § 3 odst. 6, nebo pokud k tomu dal subjekt údajů předem".

15. V § 5 odst. 1 písm. g) se slova ",pokud zvláštní zákon nestanoví jinak" zrušila.

16. V § 5 odst. 1 písm. h) se slova ", pokud zvláštní zákon netanoví jinak" zrušila.

17. V § 5 odst. 2 písmeno a) včetně poznámky pod čarou č. 12) zní:

"a) jestliže provádí zpracování nezbytné pro dodržení právní povinnosti správce,12)".

________________________________
12) Například zákon č. 111/1998 Sb., o vysokých školách a o změně a doplnění dalších zákonů (zákon o vysokých školách), ve znění pozdějších předpisů, zákon č. 564/1990 Sb., o státní správě a samosprávě ve školství, ve znění pozdějších předpisů, zákon č. 153/1994 Sb., o zpravodajských službách České republiky, ve znění pozdějších předpisů, zákon č. 154/2000 Sb., o šlechtění, plemenitbě a evidenci hospodářských zvířat a o změně některých souvisejících zákonů (plemenářský zákon), ve znění pozdějších předpisů, zákon č. 166/1999 Sb., o veterinární péči a o změně některých souvisejících zákonů (veterinární zákon), ve znění pozdějších předpisů, zákon č. 246/1992 Sb., na ochranu zvířat proti týrání, ve znění pozdějších předpisů, zákon č. 147/1996 Sb., o rostlinolékařské péči a změnách některých souvisejících zákonů, ve znění pozdějších předpisů, a zákon č. 219/2003 Sb., o uvádění do oběhu osiva a sadby pěstovaných rostlin a o změně některých zákonů (zákon o oběhu osiva a sadby).".

 

18. V § 5 odst. 2 písmeno b) zní:

"b) jestliže je zpracování nezbytné pro plnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro jednání o uzavření nebo změně smlouvy uskutečněné na návrh subjektu údajů,".

 

19. V § 5 odst. 2 písm. c) se za slovo "ochraně" vložilo slovo "životně".

20. V § 5 odst. 2 písmeno e) zní:

"e) pokud je to nezbytné pro ochranu práv a právem chráněných zájmů správce, příjemce nebo jiné dotčené osoby; takové zpracování osobních údajů však nesmí být v rozporu s právem subjektu údajů na ochranu jeho soukromého a osobního života,".

 

21. V § 5 odst. 2 písmeno f) zní:

"f) pokud poskytuje osobní údaje o veřejně činné osobě, funkcionáři či zaměstnanci veřejné správy, které vypovídají o jeho veřejné anebo úřední činnosti, o jeho funkčním nebo pracovním zařazení, nebo,".

 

22. V § 5 odst. 2 písmeno g) zní:

"g) jedná-li se o zpracování výlučně pro účely archivnictví podle zvláštního zákona.".

 

23. V § 5 odstavec 4 zní:

"(4) Subjekt údajů musí být při udělení souhlasu informován o tom, pro jaký účel zpracování a k jakým osobním údajům je souhlas dáván, jakému správci a na jaké období. Souhlas subjektu údajů se zpracováním osobních údajů musí být správce schopen prokázat po celou dobu zpracování.".

24. V § 5 se odstavec 5 zrušil.

Dosavadní odstavce 6 až 10 se označily jako odstavce 5 až 9.

25. V § 5 odst. 6 se číslo "6" nahradilo číslem "5".

26. V § 5 odst. 7 a 8 se číslo "7" nahradilo číslem "6".

27. V § 5 odst. 9 se číslo "6" nahradilo číslem "5".

28. V § 6 se slovo "může" nahradilo slovem "musí", za slovo "uzavírá" se vložila slova "a musí obsahovat záruky zpracovatele o technickém a organizačním zabezpečení ochrany osobních údajů", slova ", jinak je neplatná" a věta "Jestliže zpracovatel ve smlouvě neposkytne dostatečné záruky o technickém a organizačním zabezpečení ochrany osobních údajů, je taková smlouva neplatná." se zrušila.

29. V § 9 písmeno a) zní:

"a) subjekt údajů dal ke zpracování výslovný souhlas. Subjekt údajů musí být při udělení souhlasu informován o tom, pro jaký účel zpracování a k jakým osobním údajům je souhlas dáván, jakému správci a na jaké období. Existenci souhlasu subjektu údajů se zpracováním osobních údajů musí být správce schopen prokázat po celou dobu zpracování. Správce je povinen předem subjekt údajů poučit o jeho právech podle § 12 a 21,".

 

30. V § 9 písmeno c) včetně poznámek pod čarou č. 15) a 15a) zní:

"c) se jedná o zpracování při zajišťování zdravotní péče, ochrany veřejného zdraví, zdravotního pojištění a výkon státní správy v oblasti zdravotnictví podle zvláštního zákona15) nebo se jedná o posuzování zdravotního stavu v jiných případech stanovených zvláštním zákonem,15a)

___________________________________
15) Například zákon č. 20/1966 Sb., o péči o zdraví lidu, ve znění pozdějších předpisů, zákon č. 258/2000 Sb., o ochraně veřejného zdraví a o změně některých souvisejících zákonů, ve znění pozdějších předpisů, zákon č. 48/1997 Sb., o veřejném zdravotním pojištění a o změně a doplnění některých souvisejících zákonů, ve znění pozdějších předpisů, zákon č. 280/1992 Sb., o resortních, oborových, podnikových a dalších zdravotních pojišťovnách, ve znění pozdějších předpisů, zákon č. 551/1991 Sb., o Všeobecné zdravotní pojišťovně České republiky, ve znění pozdějších předpisů, a zákon č. 592/1992 Sb., o pojistném na všeobecné zdravotní pojištění, ve znění pozdějších předpisů.

15a) Například zákon č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení, ve znění pozdějších předpisů.".

 

31. V § 9 písmeno d) včetně poznámky pod čarou č. 16) zní:

"d) je zpracování nezbytné pro dodržení povinností a práv správce odpovědného za zpracování v oblasti pracovního práva a zaměstnanosti, stanovené zvláštním zákonem.16)

__________________________________
16) Například zákon č. 65/1965 Sb., zákoník práce, ve znění pozdějších předpisů, zákon č. 1/1992 Sb., o mzdě, odměně za pracovní pohotovost a o průměrném výdělku, ve znění pozdějších předpisů, zákon č. 218/2002 Sb., o službě státních zaměstnanců ve správních úřadech a o odměňování těchto zaměstnanců a ostatních zaměstnanců ve správních úřadech (služební zákon), ve znění pozdějších předpisů, a zákon č. 1/1991 Sb., o zaměstnanosti, ve znění pozdějších předpisů.".

 

32. V § 9 se na konci písmene d) tečka nahradila čárkou a doplnila se písmena e) až ch), která znějí:

"e) jde o zpracování, které sleduje politické, filosofické, náboženské nebo odborové cíle, prováděné v rámci oprávněné činnosti občanského sdružení, nadace nebo jiné právnické osoby nevýdělečné povahy (dále jen "sdružení"), a které se týká pouze členů sdružení nebo osob, se kterými je sdružení v opakujícím se kontaktu souvisejícím s oprávněnou činností sdružení, a osobní údaje nejsou zpřístupňovány bez souhlasu subjektu údajů,

f) se jedná o údaje podle zvláštního zákona nezbytné pro provádění nemocenského pojištění, důchodového pojištění (zabezpečení), státní sociální podpory a dalších státních sociálních dávek, sociální péče a sociálně-právní ochrany dětí, a při zajištění ochrany těchto údajů v souladu se zákonem,

g) se zpracování týká osobních údajů zveřejněných subjektem údajů,

h) je zpracování nezbytné pro zajištění a uplatnění právních nároků, nebo

ch) jsou zpracovány výlučně pro účely archivnictví podle zvláštního zákona.".

 

33. § 11 a 12 znějí:

"§ 11

 

(1) Správce je při shromažďování osobních údajů povinen subjekt údajů informovat o tom, v jakém rozsahu a pro jaký účel budou osobní údaje zpracovány, kdo a jakým způsobem bude osobní údaje zpracovávat a komu mohou být osobní údaje zpřístupněny, nejsou-li subjektu údajů tyto informace již známy. Správce musí subjekt údajů informovat o jeho právu přístupu k osobním údajům, právu na opravu osobních údajů, jakož i o dalších právech stanovených v § 21.

(2) V případě, kdy správce zpracovává osobní údaje získané od subjektu údajů, musí subjekt údajů poučit o tom, zda je poskytnutí osobního údaje povinné či dobrovolné. Je-li subjekt údajů povinen podle zvláštního zákona osobní údaje pro zpracování poskytnout, poučí jej správce o této skutečnosti, jakož i o následcích odmítnutí poskytnutí osobních údajů.

(3) Informace a poučení podle odstavce 1 není povinen správce poskytovat v případech, kdy osobní údaje nezískal od subjektu údajů, pokud

a) zpracovává osobní údaje výlučně pro účely výkonu státní statistické služby, vědecké nebo archivní účely a poskytnutí takových informací by vyžadovalo neúměrné úsilí nebo nepřiměřeně vysoké náklady; nebo pokud ukládání na nosiče informací nebo zpřístupnění je výslovně stanoveno zvláštním zákonem. V těchto případech je správce povinen přijmout potřebná opatření proti neoprávněnému zasahování do soukromého a osobního života subjektu údajů,

b) zpracování osobních údajů mu ukládá zvláštní zákon nebo je takových údajů třeba k uplatnění práv a povinností vyplývajících ze zvláštních zákonů,

c) zpracovává výlučně oprávněně zveřejněné osobní údaje, nebo

d) zpracovává osobní údaje získané se souhlasem subjektu údajů.

 

(4) Předchozími ustanoveními nejsou dotčena práva subjektu údajů požadovat informace podle zvláštních zákonů.18)

(5) Při zpracování osobních údajů podle § 5 odst. 2 písm. e) a § 9 písm. h) je správce povinen bez zbytečného odkladu subjekt údajů informovat o zpracování jeho osobních údajů.

(6) Žádné rozhodnutí správce nebo zpracovatele, jehož důsledkem je zásah do právních a právem chráněných zájmů subjektu údajů, nelze bez ověření vydat nebo učinit výlučně na základě automatizovaného zpracování osobních údajů. To neplatí v případě, že takové rozhodnutí bylo učiněno ve prospěch subjektu údajů a na jeho žádost.

(7) Informační povinnost upravenou v § 11 může za správce plnit zpracovatel.

§ 12

Přístup subjektu údajů k informacím

 

(1) Požádá-li subjekt údajů o informaci o zpracování svých osobních údajů, je mu správce povinen tuto informaci bez zbytečného odkladu předat.

(2) Obsahem informace je vždy sdělení o
a) účelu zpracování osobních údajů,

b) osobních údajích, případně kategoriích osobních údajů, které jsou předmětem zpracování, včetně veškerých dostupných informací o jejich zdroji,

c) povaze automatizovaného zpracování v souvislosti s jeho využitím pro rozhodování, jestliže jsou na základě tohoto zpracování činěny úkony nebo rozhodnutí, jejichž obsahem je zásah do práva a oprávněných zájmů subjektu údajů,

d) příjemci, případně kategoriích příjemců.

 

(3) Správce má právo za poskytnutí informace požadovat přiměřenou úhradu nepřevyšující náklady nezbytné na poskytnutí informace.

(4) Povinnost správce poskytnout informace subjektu údajů upravenou v § 12 může za správce plnit zpracovatel.".

Poznámka pod čarou č. 17) se zrušuje.

34. V § 13 se dosavadní text označil jako odstavec 1 a doplnil se odstavec 2, který zní:

"(2) Správce nebo zpracovatel je povinen zpracovat a dokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany osobních údajů v souladu se zákonem a jinými právními předpisy.".

35. § 16 až 17a znějí:

"§ 16

Oznamovací povinnost

 

(1) Ten, kdo hodlá jako správce zpracovávat osobní údaje nebo změnit registrované zpracování podle tohoto zákona, s výjimkou zpracování uvedených v § 18, je povinen tuto skutečnost písemně oznámit Úřadu před zpracováváním osobních údajů.

(2) Oznámení musí obsahovat tyto informace:
a) identifikační údaje správce, u fyzické osoby, která není podnikatelem, jméno, popřípadě jména, příjmení, datum narození a adresu místa trvalého pobytu, u jiných subjektů obchodní firmu nebo název, sídlo a identifikační číslo, pokud bylo přiděleno, a jméno, popřípadě jména, a příjmení osob, které jsou jejich statutárními zástupci,

b) účel nebo účely zpracování,

c) kategorie subjektů údajů a osobních údajů, které se těchto subjektů týkají,

d) zdroje osobních údajů,

e) popis způsobu zpracování osobních údajů,

f) místo nebo místa zpracování osobních údajů,

g) příjemce nebo kategorie příjemců,

h) předpokládaná předání osobních údajů do jiných států,

i) popis opatření k zajištění ochrany osobních údajů podle § 13.

 

(3) Obsahuje-li oznámení všechny náležitosti podle odstavce 2 a není-li zahájeno řízení podle § 17 odst. 1, lze po uplynutí lhůty 30 dnů ode dne doručení oznámení zahájit zpracování osobních údajů. Úřad v takovém případě zapíše informace uvedené v oznámení do registru.

(4) Neobsahuje-li oznámení všechny náležitosti podle odstavce 2, Úřad neprodleně zašle oznamovateli výzvu, v níž upozorní na chybějící nebo nedostatečné informace a stanoví lhůtu k doplnění oznámení. V případě doplnění oznámení začíná běžet lhůta podle odstavce 3 dnem doručení doplnění oznámení. V případě, že Úřad neobdrží doplnění oznámení ve stanovené lhůtě, nahlíží na učiněné oznámení tak, jako by nebylo podáno.

(5) O provedení registrace vydá Úřad na žádost správce osvědčení, které obsahuje datum vyhotovení, číslo jednací, jméno, příjmení a podpis osoby, která osvědčení vydala, otisk úředního razítka, identifikační údaje správce a účel zpracování.

(6) Na postup Úřadu podle odstavců 1 až 5 se nevztahuje správní řád.

§ 17

 

(1) Vznikne-li z oznámení důvodná obava, že při zpracování osobních údajů by mohlo dojít k porušení tohoto zákona, zahájí Úřad z vlastního podnětu řízení.

(2) Zjistí-li Úřad, že oznámeným zpracováním neporušuje správce podmínky stanovené tímto zákonem, řízení zastaví a provede zápis podle § 16 odst. 3. Nejdříve dnem následujícím po provedení zápisu lze zahájit zpracování osobních údajů. V případě, že oznámené zpracování nesplňuje podmínky stanovené tímto zákonem, zpracování osobních údajů Úřad nepovolí.

§ 17a

 

(1) Zjistí-li Úřad, že správce, jehož oznámení bylo zapsáno do registru, porušuje podmínky stanovené tímto zákonem, rozhodne o zrušení registrace.

(2) Pomine-li účel, pro který bylo zpracování zaregistrováno, Úřad z vlastního podnětu nebo na žádost správce rozhodne o zrušení registrace.".

36. § 18 zní:

"§ 18

(1) Oznamovací povinnost podle § 16 se nevztahuje na zpracování osobních údajů,
a) které jsou součástí datových souborů veřejně přístupných na základě zvláštního zákona,

b) které správci ukládá zvláštní zákon nebo je takových osobních údajů třeba k uplatnění práv a povinností vyplývajících ze zvláštního zákona, nebo

c) jde-li o zpracování, které sleduje politické, filosofické, náboženské nebo odborové cíle, prováděné v rámci oprávněné činnosti sdružení, a které se týká pouze členů sdružení, nebo osob, se kterými je sdružení v opakujícím se kontaktu souvisejícím s oprávněnou činností sdružení, a osobní údaje nejsou zpřístupňovány bez souhlasu subjektu údajů.

 

(2) Správce, který provádí zpracování podle § 18 odst. 1 písm. b), je povinen zajistit, aby informace, týkající se zejména účelu zpracování, kategorií osobních údajů, kategorií subjektů údajů, kategorií příjemců a doby uchování, které by byly jinak přístupné prostřednictvím registru vedeného Úřadem podle § 35, byly zpřístupněny, a to i dálkovým přístupem nebo jinou vhodnou formou.".

37. § 21 včetně poznámky pod čarou č. 22) zní:

"§ 21

(1) Každý subjekt údajů, který zjistí nebo se domnívá, že správce nebo zpracovatel provádí zpracování jeho osobních údajů, které je v rozporu s ochranou soukromého a osobního života subjektu údajů nebo v rozporu se zákonem, zejména jsou-li osobní údaje nepřesné s ohledem na účel jejich zpracování, může
a) požádat správce nebo zpracovatele o vysvětlení,

b) požadovat, aby správce nebo zpracovatel odstranil takto vzniklý stav. Zejména se může jednat o blokování, provedení opravy, doplnění nebo likvidaci osobních údajů.

 

(2) Je-li žádost subjektu údajů podle odstavce 1 shledána oprávněnou, správce nebo zpracovatel odstraní neprodleně závadný stav.

(3) Nevyhoví-li správce nebo zpracovatel žádosti subjektu údajů podle odstavce 1, má subjekt údajů právo obrátit se přímo na Úřad.

(4) Postup podle odstavce 1 nevylučuje, aby se subjekt údajů obrátil se svým podnětem na Úřad přímo.

(5) Pokud vznikla v důsledku zpracování osobních údajů subjektu údajů jiná než majetková újma, postupuje se při uplatňování jejího nároku podle zvláštního zákona.22)

(6) Došlo-li při zpracování osobních údajů k porušení povinností uložených zákonem u správce nebo u zpracovatele, odpovídají za ně společně a nerozdílně.

(7) Správce je povinen bez zbytečného odkladu informovat příjemce o žádosti subjektu údajů podle odstavce 1 a o blokování, opravě, doplnění nebo likvidaci osobních údajů. To neplatí, pokud je informování příjemce nemožné nebo by vyžadovalo neúměrné úsilí.
__________________________________
22) § 13 občanského zákoníku.".

 

38. § 22, 23 a 24 se zrušily.

39. Nadpis hlavy III zní: "Předání osobních údajů do jiných států".

40. § 27 včetně poznámky pod čarou č. 25) zní:

"§ 27

(1) Volný pohyb osobních údajů nemůže být omezován, pokud jsou údaje předány do členského státu Evropské unie.

(2) Do třetích zemí mohou být osobní údaje předány, pokud zákaz omezování volného pohybu osobních údajů vyplývá z mezinárodní smlouvy, k jejíž ratifikaci dal Parlament souhlas, a kterou je Česká republika vázána,1a) nebo jsou osobní údaje předány na základě rozhodnutí orgánu Evropské unie. Informace o těchto rozhodnutích zveřejňuje Úřad ve Věstníku.

(3) Není-li podmínka podle odstavců 1 a 2 splněna, může být předání osobních údajů uskutečněno, jestliže správce prokáže, že
a) předání údajů se děje se souhlasem nebo na základě pokynu subjektu údajů,

b) jsou v třetí zemi, kde mají být osobní údaje zpracovány, vytvořeny dostatečné zvláštní záruky ochrany osobních údajů, například prostřednictvím jiných právních nebo profesních předpisů a bezpečnostních opatření. Takové záruky mohou být upřesněny zejména smlouvou uzavřenou mezi správcem a příjemcem, pokud tato smlouva zajišťuje uplatnění těchto požadavků nebo pokud smlouva obsahuje smluvní doložky pro předání osobních údajů do třetích zemí zveřejněné ve Věstníku Úřadu,

c) jde o osobní údaje, které jsou na základě zvláštního zákona součástí datových souborů veřejně přístupných nebo přístupných tomu, kdo prokáže právní zájem; v takovém případě lze osobní údaje zpřístupnit jen v rozsahu a za podmínek stanovených zvláštním zákonem,

d) je předání nutné pro uplatnění důležitého veřejného zájmu vyplývajícího ze zvláštního zákona nebo z mezinárodní smlouvy, kterou je Česká republika vázána,

e) je předání nezbytné pro jednání o uzavření nebo změně smlouvy, uskutečněné z podnětu subjektu údajů, nebo pro plnění smlouvy, jejíž smluvní stranou je subjekt údajů,

f) je předání nezbytné pro plnění smlouvy uzavřené v zájmu subjektu údajů mezi správcem a třetí stranou, nebo pro uplatnění jiných právních nároků, nebo

g) je předání nezbytné pro ochranu práv nebo životně důležitých zájmů subjektu údajů, zejména pro záchranu života nebo pro poskytnutí zdravotní péče.

 

(4) Před předáním osobních údajů do třetích zemí podle odstavce 3 je správce povinen požádat Úřad o povolení k předání, nestanoví-li zvláštní zákon jinak.25) Při posuzování žádosti Úřad přezkoumá všechny okolnosti související s předáním osobních údajů, zejména zdroj, konečné určení a kategorie předávaných osobních údajů, účel a dobu zpracování, s přihlédnutím k dostupným informacím o právních nebo jiných předpisech upravujících zpracování osobních údajů ve třetí zemi. V povolení k předání Úřad stanoví dobu, po kterou může správce předání provádět. Pokud dojde ke změně podmínek, za kterých bylo povolení vydáno, zejména na základě rozhodnutí orgánu Evropské unie, Úřad toto povolení změní nebo zruší.
__________________________________
25) Například § 5c zákona č. 1/1991 Sb., o zaměstnanosti, ve znění zákona č. 167/1999 Sb., zákona č. 155/2000 Sb. a zákona č. 220/2002 Sb., § 71a zákona č. 325/1999 Sb., o azylu a o změně zákona č. 283/1991 Sb., o Policii České republiky, ve znění pozdějších předpisů, (zákon o azylu), ve znění zákona č. 2/2002 Sb., § 35 odst. 3 zákona č. 359/1999 Sb., o sociálně-právní ochraně dětí, ve znění pozdějších předpisů, a § 4a odst. 3 zákona č. 13/1993 Sb., celní zákon, ve znění zákona č. 1/2002 Sb.".

Poznámka pod čarou č. 24a) se zrušuje.

41. V § 29 odst. 1 písm. a) se slova "při zpracování osobních údajů" zrušila.

42. V § 29 odst. 1 písmeno b) zní:

"b) vede registr zpracování osobních údajů,".

 

43. V § 29 odst. 1 písm. c) se slovo "občanů" zrušilo a na konci textu písmene c) se doplnila slova "a informuje o jejich vyřízení".

44. V § 29 odst. 1 se na konci textu písmene i) doplnila slova, která včetně poznámky pod čarou č. 25a) znějí: ", s orgány Evropské unie a s orgány mezinárodních organizací působícími v oblasti ochrany osobních údajů. Úřad v souladu s právem Evropských společenství plní oznamovací povinnost vůči orgánům Evropské unie.25a)

Poznámka pod čarou č. 25a) zní:
__________________________________
"25a) Článek 8 odst. 6 a článek 26 odst. 3 Směrnice č. 95/46/ES.".

 

45. V § 31 se slovo "občanů" zrušilo.

46. § 35 zní:

"§ 35

 

Registr

 

(1) Do registru zpracování osobních údajů se k osobám správců zapisují informace z oznámení podle § 16 odst. 2 a datum provedení, případně zrušení registrace.

(2) Informace zapsané do registru, s výjimkou informací uvedených v § 16 odst. 2 písm. e) a i), jsou veřejně přístupné, zejména způsobem umožňujícím dálkový přístup.

(3) Zrušení registrace podle § 17a oznamuje Úřad ve Věstníku Úřadu.".

47. V § 36 odst. 2 se slova "ve Věstníku Úřadu" zrušila.

48. V § 38 odst. 5 písm. a) se slovo "kontrolora" nahradilo slovy "jehož vzor upraví nařízení vlády".

49. V § 39 se dosavadní text označil jako odstavec 1 a doplnil se odstavec 2, který zní:

"(2) Tomu, kdo neposkytne Úřadu při výkonu kontroly potřebnou součinnost, může být uložena pořádková pokuta do výše 25 000 Kč, a to i opakovaně. Za neposkytnutí součinnosti se považuje i nesplnění opatření uložených k nápravě zjištěného stavu ve stanovené lhůtě.".

50. Hlava VII zní:

"HLAVA VII

 

SANKCE

 

§ 44

 

Přestupky


(1) Fyzická osoba, která
a) je ke správci nebo zpracovateli v pracovním nebo jiném obdobném poměru,

b) vykonává pro správce nebo zpracovatele činnosti na základě dohody, nebo

c) v rámci plnění zvláštním zákonem uložených oprávnění a povinností přichází u správce nebo zpracovatele do styku s osobními údaji,

se dopustí přestupku tím, že poruší povinnost mlčenlivosti (§ 15).

(2) Fyzická osoba se jako správce nebo zpracovatel dopustí přestupku tím, že při zpracování osobních údajů
a) nestanoví účel, prostředky nebo způsob zpracování [§ 5 odst. 1 písm. a) a b)] nebo stanoveným účelem zpracování poruší povinnost nebo překročí oprávnění vyplývající ze zvláštního zákona,

b) zpracovává nepřesné osobní údaje [§ 5 odst. 1 písm. c)],

c) shromažďuje nebo zpracovává osobní údaje v rozsahu nebo způsobem, který neodpovídá stanovenému účelu [§ 5 odst. 1 písm. d), f) až h)],

d) uchovává osobní údaje po dobu delší než nezbytnou k účelu zpracování [§ 5 odst. 1 písm. e)],

e) zpracovává osobní údaje bez souhlasu subjektu údajů mimo případy uvedené v zákoně (§ 5 odst. 2 a § 9),

f) neposkytne subjektu údajů informace v rozsahu nebo zákonem stanoveným způsobem (§ 11),

g) odmítne subjektu údajů poskytnout požadované informace (§ 12 a 21),

h) nepřijme nebo neprovede opatření pro zajištění bezpečnosti zpracování osobních údajů (§ 13),

i) nesplní oznamovací povinnost podle tohoto zákona (§ 16 a 27).

 

(3) Fyzická osoba se jako správce nebo zpracovatel dopustí přestupku tím, že při zpracování osobních údajů některým ze způsobů podle odstavce 2
a) ohrozí větší počet osob svým neoprávněným zasahováním do soukromého a osobního života, nebo

b) poruší povinnosti pro zpracování citlivých údajů (§ 9).

 

(4) Za přestupek podle odstavce 1 lze uložit pokutu do výše 100 000 Kč.

(5) Za přestupek podle odstavce 2 lze uložit pokutu do výše 1 000 000 Kč.

(6) Za přestupek podle odstavce 3 lze uložit pokutu do výše 5 000 000 Kč.

§ 45

 

Jiné správní delikty


(1) Právnická osoba nebo fyzická osoba podnikající podle zvláštních předpisů se jako správce nebo zpracovatel dopustí správního deliktu tím, že při zpracování osobních údajů
a) nestanoví účel, prostředky nebo způsob zpracování [§ 5 odst. 1 písm. a) a b)], nebo stanoveným účelem zpracování poruší povinnost nebo překročí oprávnění vyplývající ze zvláštního zákona,

b) zpracovává nepřesné osobní údaje [§ 5 odst. 1 písm. c)],

c) shromažďuje nebo zpracovává osobní údaje v rozsahu nebo způsobem, který neodpovídá stanovenému účelu [§ 5 odst. 1 písm. d), f) až h)],

d) uchovává osobní údaje po dobu delší než nezbytnou k účelu zpracování [§ 5 odst. 1 písm. e)],

e) zpracovává osobní údaje bez souhlasu subjektu údajů mimo případy uvedené v zákoně (§ 5 odst. 2 a § 9),

f) neposkytne subjektu údajů informace v rozsahu nebo zákonem stanoveným způsobem (§ 11),

g) odmítne subjektu údajů poskytnout požadované informace (§ 12 a 21),

h) nepřijme nebo neprovede opatření pro zajištění bezpečnosti zpracování osobních údajů (§ 13),

i) nesplní oznamovací povinnost podle tohoto zákona (§ 16 a 27).

 

(2) Právnická osoba jako správce nebo zpracovatel se dopustí správního deliktu tím, že při zpracování osobních údajů některým ze způsobů podle odstavce 1
a) ohrozí větší počet osob svým neoprávněným zasahováním do soukromého a osobního života, nebo

b) poruší povinnosti pro zpracování citlivých údajů (§ 9).

 

(3) Za správní delikt podle odstavce 1 se uloží pokuta do výše 5 000 000 Kč.

(4) Za správní delikt podle odstavce 2 se uloží pokuta do výše 10 000 000 Kč.

§ 46


(1) Právnická osoba za správní delikt neodpovídá, jestliže prokáže, že vynaložila veškeré úsilí, které bylo možno požadovat, aby porušení právní povinnosti zabránila.

(2) Při rozhodování o výši pokuty se přihlíží zejména k závažnosti, způsobu, době trvání a následkům protiprávního jednání a k okolnostem, za nichž bylo protiprávní jednání spácháno.

(3) Odpovědnost právnické osoby za správní delikt zaniká, jestliže správní orgán o něm nezahájil řízení do 1 roku ode dne, kdy se o něm dozvěděl, nejpozději však do 3 let ode dne, kdy byl spáchán.

(4) Porušení povinností podle § 44 a 45 projednává Úřad.

(5) Na odpovědnost za jednání, k němuž došlo při podnikání fyzické osoby nebo v přímé souvislosti s ním, se použijí ustanovení o odpovědnosti a postihu právnické osoby.

(6) Pokuta je splatná do 30 dnů ode dne, kdy rozhodnutí o jejím uložení nabylo právní moci.

(7) Pokutu vybírá Úřad a vymáhá místně příslušný územní finanční úřad podle zvláštního zákona.34) Výnos z pokut je příjmem státního rozpočtu.
__________________________________
34) Zákon č. 337/1992 Sb., o správě daní a poplatků.".

Podle přechodných ustanovení:

1. Oznámení a rozhodnutí ve věci registrace zpracování osobních údajů podle § 16, 17 a 17a zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění zákona č. 450/2001 Sb., podaná a vydaná přede dnem nabytí účinnosti tohoto zákona zůstávají v platnosti.
2. Povolení k předání nebo předávání osobních údajů do jiného státu vydané přede dnem nabytí účinnosti tohoto zákona pozbývá dnem nabytí účinnosti tohoto zákona platnosti, pokud státem, pro který bylo povolení určeno, je členský stát Evropské unie nebo stát, pro který zákaz omezování volného pohybu osobních údajů vyplývá z vyhlášené mezinárodní smlouvy, k jejíž ratifikaci dal Parlament souhlas, a kterou je Česká republika vázána. Povolení k předání nebo předávání osobních údajů do státu, který není uveden v předchozí větě, vydané přede dnem nabytí účinnosti tohoto zákona zůstává v platnosti.
3. Řízení zahájené a neskončené přede dnem nabytí účinnosti tohoto zákona se dokončí podle dosavadních právních předpisů, s výjimkou řízení o povolení k předání nebo předávání osobních údajů do členského státu Evropské unie nebo státu, pro který zákaz omezování volného pohybu osobních údajů vyplývá z vyhlášené mezinárodní smlouvy, k jejíž ratifikaci dal Parlament souhlas, a kterou je Česká republika vázána, které se zastaví.
4. Správce provádějící zpracování osobních údajů, ke kterému podle dosavadních právních předpisů nebylo zapotřebí registrace, a které ode dne nabytí účinnosti tohoto zákona registraci podléhá, musí takové zpracování osobních údajů oznámit Úřadu pro ochranu osobních údajů do 6 měsíců ode dne nabytí účinnosti tohoto zákona.

Dále byl změněn zákon č. 21/1992 Sb., o bankách, ve znění zákona č. 264/1992 Sb., zákona č. 292/1993 Sb., zákona č. 156/1994 Sb., zákona č. 83/1995 Sb., zákona č. 84/1995 Sb., zákona č. 61/1996 Sb., zákona č. 306/1997 Sb., zákona č. 16/1998 Sb., zákona č. 127/1998 Sb., zákona č. 165/1998 Sb., zákona č. 120/2001 Sb., zákona č. 239/2001 Sb., zákona č. 319/2001 Sb. a zákona č. 126/2002 Sb.:

 

1. V § 37 se odstavce 3, 4 a 5, včetně poznámek pod čarou 7c), 7d), 7e) zrušují a odstavec 2 zní:

"(2) Banky a pobočky zahraničních bank jsou povinny pro účely bankovních obchodů zjišťovat a zpracovávat údaje o osobách, vyjma citlivých údajů o fyzických osobách, potřebné k tomu, aby bylo možné bankovní obchod uskutečnit bez nepřiměřených právních a věcných rizik pro banku. Údaje musí být přiměřené právním a věcným rizikům bankovního obchodu se subjektem údajů a relevantní pro posouzení těchto rizik. Na takto získané a zpracovávané údaje se vztahují ustanovení o bankovním tajemství (§ 38).".

Poznámka pod čarou 7b) se zrušuje.

2. V § 38 se na konci odstavce 10 doplňuje věta, která včetně poznámky pod čarou č. 10b) zní: "Ustanovení zvláštního zákona10b) tím nejsou dotčena.".

Poznámka pod čarou č. 10b) zní:
___________________________________
"10b) Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů.".

 

3. V § 38a odst. 1 se slova "Banky a pobočky zahraničních bank se mohou vzájemně informovat" nahrazují slovy "V rámci plnění povinnosti postupovat při výkonu své činnosti obezřetně se banky a pobočky zahraničních bank mohou vzájemně informovat".

4. V § 38b odst. 1 se slovo "právnická" zrušuje a za slovo "sídla" se vkládají slova "nebo místa podnikání".

Předseda vlády byl dále zmocněn, aby ve Sbírce zákonů vyhlásil úplné znění zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, jak vyplývá ze zákonů jej měnících.

 

Senát Parlamentu ČR tento zákon Poslanecké sněmovně 13. 5. 2004 s pozměňovacími návrhy vrátil. Ta jej ve znění navrženém Senátem 24. 6. 2004 schválila a 14. 7. 2004 jej podepsal prezident. 26. 7. 2004 byl zákon vyhlášen ve Sbírce zákonů ČR pod číslem 439/2004 Sb. a účinnosti nabyl téhož dne s výjimkou ustanovení bodů 49 a 50, které nabývají účinnosti 1.1.2005.

 

5.8 Osmá novela

Tato novela souvisela s přijetím zcela nové právní normy, zákonem o některých službách informační společnosti a o změně některých zákonů (zákon o některých službách informační společnosti), který Vláda ČR předložila 28.1.2004. Tento zákon ve svém § 10 odst. 1 ustanovil  Úřad pro ochranu osobních údajů orgánem příslušným k výkonu dozoru nad dodržováním tohoto zákona (ve definitorické zkrace "orgán dozoru") v oblasti šíření obchodních sdělení podle § 7 zákona. Tento zákon byl schválen Poslaneckou sněmovnou Parlamentu ČR dne 29. 6. 2004.

 

Novela vlastního textu zákona spočívala pouze v tom, že se na konci textu odstavce 2 § 2 doplnila slova "a další kompetence stanovené zvláštním právním předpisem.1)", přičemž zde odkázaná poznámka pod čarou č. 1) (označení „1) bylo dáno zjevně omylem, protože v původním textu právní normy se taková poznámka již vyskytuje) zní:

__________________________________

"1) § 10 odst. 1 písm. a) zákona č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů (zákon o některých službách informační společnosti).".

 

Senát Parlamentu ČR se po projednání návrhem zákona nezabýval a postoupil jej prezidentovi, který jej podepsal 19. 8. 2004. 7. 9. 2004 byl zákon vyhlášen ve Sbírce zákonů ČR pod číslem 517/2004 Sb. a účinnosti nabyl téhož dne.

 

5.9 Devátá novela

Tato v podstatě opět technická novela byla provedena zákonem o změně některých zákonů v návaznosti na realizaci reformy veřejných financí v oblasti odměňování. Jednalo se vlastně o souhrn 22 drobných novel jednotlivých dílčích zákonů.

 

Uvedené ustanovení měnící zákon č. 101/2000 Sb. spočívalo pouze v tom, že v § 30 odst. 4 a 5 zrušila slova „další plat“. Tento zákon byl schválen Poslaneckou sněmovnou Parlamentu ČR dne 13. 10. 2004.

 

Senát Parlamentu ČR tento zákon Poslanecké sněmovně 11. 11. 2004 vrátil. Ta dne 26. 11. 2004 schválila jeho text ve znění s pozměňovacími návrhy Senátu a 29. 11. 2004 jej podepsal prezident. 10. 12. 2004 byl zákon vyhlášen ve Sbírce zákonů ČR pod číslem 626/2004 Sb.a účinnosti nabyl 1. 1 2005.

 

5.10 Desátá novela

Tato v podstatě opět technická novela byla provedena zákonem o změně zákonů v souvislosti s přijetím zákona o ochraně utajovaných informací a o bezpečnostní způsobilosti. Jednalo se vlastně o souhrn 67 drobných novel jednotlivých dílčích zákonů.

 

Uvedené ustanovení měnící zákon č. 101/2000 Sb. spočívalo pouze v tom, že

1. V § 37 písm. c) se slovo "skutečnostmi" nahrazuje slovem "informacemi".
2. Poznámka pod čarou č. 31 zní: "31) Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti.". Tento zákon byl schválen Poslaneckou sněmovnou Parlamentu ČR dne 29. 6. 2005.

 

Senát Parlamentu ČR tento zákon Poslanecké sněmovně 5. 8. 2005 vrátil. Ta jej dne 21. 9. 2005 znovu schválila v původní podobě a 3. 10. 2005 jej podepsal prezident. 18. 10. 2005 byl zákon vyhlášen ve Sbírce zákonů ČR pod číslem 413/2005 Sb.a účinnosti nabyl 1. 1 2006.

 

5.11 Jedenáctá novela

Tato v podstatě opět technická novela byla provedena zákonem, kterým se mění zákon č. 513/1990 Sb., o územních finančních orgánech, ve znění pozdějších předpisů, a některé další zákony. Jednalo se vlastně o souhrn 64 drobných novel jednotlivých dílčích zákonů.

 

Uvedené ustanovení měnící zákon č. 101/2000 Sb. spočívalo pouze v tom, že v § 46 odst. 7 se slova "územní finanční úřad" nahrazují slovy "celní úřad". Tento zákon byl schválen Poslaneckou sněmovnou Parlamentu ČR dne 22. 6. 2005.

 

Senát Parlamentu ČR tento zákon 5. 8. 2005 zamítl. Poslanecká sněmovna Parlamentu ČR jej dne 12. 10. 2005 znovu schválila v původní podobě a 27. 10. 2005 jej podepsal prezident. 11. 11. 2005 byl zákon vyhlášen ve Sbírce zákonů ČR pod číslem 444/2005 Sb.a účinnosti nabyl 1. 1 2006.

 

5.12 Dvanáctá novela

Tato v podstatě opět technická novela byla provedena zákonem, kterým se mění některé zákony v souvislosti s přijetím zákona o sociálních službách. Jednalo se vlastně o souhrn 16 drobných novel jednotlivých dílčích zákonů.

 

Uvedené ustanovení měnící zákon č. 101/2000 Sb. spočívalo pouze v tom, že v § 9 písm. f) se za slova "státních sociálních dávek," vkládají slova "sociálních služeb,". Tento zákon byl schválen Poslaneckou sněmovnou Parlamentu ČR dne 21. 12. 2005.

 

Senát Parlamentu ČR tento zákon 15. 2. 2006 vrátil sněmovně. Ta jej dne 14. 3. 2006 znovu schválila v původní podobě a 24. 3. 2006 jej podepsal prezident. 31. 3. 2006 byl zákon vyhlášen ve Sbírce zákonů ČR pod číslem 109/2006 Sb. a účinnosti nabyl 1. 1 2007.

 

5.13 Třináctá novela

Tato v podstatě opět technická novela byla provedena zákonem, kterým se mění některé zákony v souvislosti s přijetím zákona o životním a existenčním minimu a zákona o pomoci v hmotné nouzi. Jednalo se vlastně o souhrn 46 drobných novel jednotlivých dílčích zákonů.

 

Uvedené ustanovení měnící zákon č. 101/2000 Sb. spočívalo pouze v tom, že v § 9 písm. f) se za slova "sociální péče" vkládají slova ", pomoci v hmotné nouzi". Tento zákon byl schválen Poslaneckou sněmovnou Parlamentu ČR dne 21. 12. 2005.

 

Senát Parlamentu ČR tento zákon 15. 2. 2006 vrátil sněmovně. Ta jej dne 14. 3. 2006 znovu schválila v původní podobě a 27. 3. 2006 jej podepsal prezident. 31. 3. 2006 byl zákon vyhlášen ve Sbírce zákonů ČR pod číslem 112/2006 Sb. a účinnosti nabyl 1. 1 2007.

 

6. Současná podoba zákona č. 101/2000 Sb., o ochraně osobních údajů

 

Současná podoba zákona je následující:

 

 

ČÁST PRVNÍ

OCHRANA OSOBNÍCH ÚDAJŮ

 

HLAVA I

ÚVODNÍ USTANOVENÍ

 

§ 1

Předmět úpravy


Tento zákon v souladu s právem Evropských společenství,1) mezinárodními smlouvami, kterými je Česká republika vázána,1a) a k naplnění práva každého na ochranu před neoprávněným zasahováním do soukromí upravuje práva a povinnosti při zpracování osobních údajů a stanoví podmínky, za nichž se uskutečňuje předání osobních údajů do jiných států.

Uvedený zákona plní v právním řádu ČR roli obecné právní normy v oblasti zajištění ochrany osobních údajů, způsobu jejich zpracovávání jak v České republice, tak pro přenos do zahraničí a regulace vztahů, které v souvislosti s nimi vznikají. Přestože v určitých případech zákon upravuje nezbytný zvláštní režim (např. Policie ČR, zpravodajské služby, Armáda ČR, Ministerstvo financí apod.), který stanoví zvláštní zákony, nelze ani tyto subjekty absolutně z působnosti tohoto zákona vyčlenit, protože by tato skutečnost odporovala Úmluvě a následně by zabránila např. mezinárodní spolupráci v rámci Schengenských dohod.

 

§ 2

 

(1) Zřizuje se Úřad pro ochranu osobních údajů se sídlem v Praze (dále jen "Úřad").

(2) Úřadu jsou svěřeny kompetence ústředního správního úřadu pro oblast ochrany osobních údajů v rozsahu stanoveném tímto zákonem a další kompetence stanovené zvláštním právním předpisem.1)*

§ 3

Působnost zákona


(1) Tento zákon se vztahuje na osobní údaje, které zpracovávají státní orgány, orgány územní samosprávy, jiné orgány veřejné moci, jakož i fyzické a právnické osoby.

Z věcného hlediska se zákon vztahuje na veškeré osobní údaje, tedy nikoli jen na ty, které jsou vedeny automatizovaně v informačních systémech (viz předchozí právní norma). Z hlediska osobní působnosti se zákon obecně vztahuje na veškeré subjekty práv (fyzické i právnické osoby).


(2) Tento zákon se vztahuje na veškeré zpracovávání osobních údajů, ať k němu dochází automatizovaně nebo jinými prostředky.

 

Zákon se vztahuje na veškeré zpracovávání osobních údajů bez ohledu na to, zda se tak děje prostředky výpočetní techniky nebo jinými automatickými prostředky či manuálně.

 

(3) Tento zákon se nevztahuje na zpracování osobních údajů, které provádí fyzická osoba výlučně pro osobní potřebu.

 

Zde má zákonodárce na mysli různé adresáře, soubory údajů, které tato osoba shromáždí v rámci své záliby apod. Limitem termínu “osobní potřeba” je skutečnost, že údaje takto shromážděné však nesmějí být předmětem obchodních aktivit a nesmějí být zveřejňovány.

 

(4) Tento zákon se nevztahuje na nahodilé shromažďování osobních údajů, pokud tyto údaje nejsou dále zpracovávány.

 

Zákon se rovněž nevztahuje na ty osobní údaje, které jsou shromažďovány nahodile, zpravidla individuálně a jednoúčelově a zejména pak nejsou nijak dále zpracovávány. Příkladem zde může být např. o záznam adresy zákazníka při poskytování konkrétní služby a rovněž pak speciální povolání, s nimiž je spojena povinnost mlčenlivosti. Protipříkladem však v tomto smyslu jsou systematicky vedené adresáře zákazníků, kterým je pak např. následně zasílána nabídka jiných služeb a pod.


(5) Tento zákon se dále vztahuje na zpracování osobních údajů,

a) jestliže se právní řád České republiky použije přednostně na základě mezinárodního práva veřejného, i když správce není usazen na území České republiky,

b) jestliže správce, který je usazen mimo území Evropské unie, provádí zpracování na území České republiky a nejedná se pouze o předání osobních údajů přes území Evropské unie; v tomto případě je správce povinen zmocnit postupem podle § 6 na území České republiky zpracovatele.

Jestliže zpracování provádí správce prostřednictvím svých organizačních jednotek umístěných na území Evropské unie, musí zajistit, že tyto organizační jednotky budou zpracovávat osobní údaje v souladu s národním právem příslušného členského státu Evropské unie.

 

(6) Ustanovení § 5 odst. 1 a § 11 a 12 se nepoužijí pro zpracování osobních údajů nezbytných pro plnění povinností správce stanovených zvláštními zákony pro zajištění

a) bezpečnosti České republiky,4)

b) obrany České republiky,5)

c) veřejného pořádku a vnitřní bezpečnosti,6)

d) předcházení, vyhledávání, odhalování trestné činnosti a stíhání trestných činů,7)

e) významného hospodářského zájmu České republiky nebo Evropské unie,8)

f) významného finančního zájmu České republiky nebo Evropské unie, kterým je zejména stabilita finančního trhu a měny, fungování peněžního oběhu a platebního styku, jakož i rozpočtová a daňová opatření,9)

g) výkonu kontroly, dozoru, dohledu a regulace spojených s výkonem veřejné moci v případech uvedených v písmenech c), d), e) a f),10) nebo

h) činností spojených se zpřístupňováním svazků bývalé Státní bezpečnosti.10a)

Zákon se explicitně stanoví výjimky kterých subjektů se která konkrétní ustanovení zákona netýkají. V komentáři zde současně zákonodárce vysvětluje, že pod pojmem odhalování trestné činnosti rozumí také “vyšetřování či prevenci trestných činů”.

 

§ 4

Vymezení pojmů

 

Pro účely tohoto zákona se rozumí

a) osobním údajem jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu,

b) citlivým údajem osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním životě subjektu údajů a jakýkoliv biometrický nebo genetický údaj subjektu údajů,

c) anonymním údajem takový údaj, který buď v původním tvaru nebo po provedeném zpracování nelze vztáhnout k určenému nebo určitelnému subjektu údajů,

d) subjektem údajů fyzická osoba, k níž se osobní údaje vztahují,

e) zpracováním osobních údajů jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Zpracováním osobních údajů se rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace,

f) shromažďováním osobních údajů systematický postup nebo soubor postupů, jehož cílem je získání osobních údajů za účelem jejich dalšího uložení na nosič informací pro jejich okamžité nebo pozdější zpracování,

g) uchováváním osobních údajů udržování údajů v takové podobě, která je umožňuje dále zpracovávat,

h) blokováním osobních údajů vytvoření takového stavu, při kterém je osobní údaj určitou dobu nepřístupný a nelze jej jinak zpracovávat,

i) likvidací osobních údajů se rozumí fyzické zničení jejich nosiče, jejich fyzické vymazání nebo jejich trvalé vyloučení z dalších zpracování,

j) správcem každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. Zpracováním osobních údajů může správce zmocnit nebo pověřit zpracovatele, pokud zvláštní zákon nestanoví jinak,

 

Definice je převzata ze Směrnice. Správcem se rozumí jednak státní nebo jiný orgán, případně subjekt, jemuž je zákonem uloženo, aby zpracovával osobní údaje, jednak soukromý subjekt či fyzická osoba, který zpracovává osobní údaje pro účely podnikatelské nebo pro jakékoliv jiné účely. Státním a jiným orgánům stanoví zákon, jak mají osobní údaje zpracovávat. Pokud jde o soukromé subjekty, mohou osobní údaje zpracovávat, jen pokud to zákon nezakazuje. Správce může pověřit(/např. smluvně, služebním pokynem), aby osobní údaje zpracovával jiný subjekt, tj. zpracovatel, ledaže by mu zákon ukládal, aby je zpracovával sám nebo mu ukládá, aby zpracováváním pověřil zpracovatele. Vztah mezi správcem a zpracovatelem však musí mít právní náležitosti (tj. zákon, nebo právně platná smlouva). Dikce návrhu odlišuje případy, kdy postavení správce je určeno přímo zákonem (např. obecní úřad při vedení matriky) a kdy vyvíjí činnost v souladu se zákonem resp. podle zákona.

 

k) zpracovatelem každý subjekt, který na základě zvláštního zákona nebo pověření správcem zpracovává osobní údaje podle tohoto zákona,

 

Zpracovatel může zpracovávat údaje buď na základě výslovného zákonného zmocnění nebo je-li k tomu zmocněn správcem nebo na základě smluvního ujednání. Zpracovatel, na rozdíl od správce, neurčuje účel a prostředky zpracování osobních údajů. Zpracovatelem se rozumí také jakýkoliv jiný subjekt, který provádí jen některou (či některé) činnost související se zpracováním. Nemusí tedy jít vždy o subjekt, který osobní údaje shromáždil.

 

l) zveřejněným osobním údajem osobní údaj zpřístupněný zejména hromadnými sdělovacími prostředky, jiným veřejným sdělením nebo jako součást veřejného seznamu,

 

Taxativní výčet všech prostředků, jimiž může k publikovaní osobního údaje dojít, se nejeví možný, ale ani potřebný. Podané vymezení dává možnost reagovat na případné změny, k nimž může, pokud se týče způsobu zveřejňování v budoucnu dojít. Nejčastěji bude osobní údaj zveřejňován tiskem, televizí, Internetem a jinými masovými médii a dále jakožto součást veřejně přístupných seznamů (obchodní rejstřík, letecký rejstřík). Může se stát veřejným i ako součást různých seznamů vydávaných pro komerční účely, ale také jeho sdělením na veřejné schůzi. Není přitom rozhodné, zda k publikaci došlo legálně nebo v rozporu se zákonem.

 

m) evidencí nebo datovým souborem osobních údajů (dále jen "datový soubor") jakýkoliv soubor osobních údajů uspořádaný nebo zpřístupnitelný podle společných nebo zvláštních kritérií,

n) souhlasem subjektu údajů svobodný a vědomý projev vůle subjektu údajů, jehož obsahem je svolení subjektu údajů se zpracováním osobních údajů,

o) příjemcem každý subjekt, kterému jsou osobní údaje zpřístupněny; za příjemce se nepovažuje subjekt, který zpracovává osobní údaje podle § 3 odst. 6 písm. g).

 

HLAVA II

PRÁVA A POVINNOSTI PŘI ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

 

§ 5

 

(1) Správce je povinen

a) stanovit účel, k němuž mají být osobní údaje zpracovány,

b) stanovit prostředky a způsob zpracování osobních údajů,

c) zpracovat pouze přesné osobní údaje, které získal v souladu s tímto zákonem. Je-li to nezbytné, osobní údaje aktualizuje. Zjistí-li správce, že jím zpracované osobní údaje nejsou s ohledem na stanovený účel přesné, provede bez zbytečného odkladu přiměřená opatření, zejména zpracování blokuje a osobní údaje opraví nebo doplní, jinak osobní údaje zlikviduje. Nepřesné osobní údaje lze zpracovat pouze v mezích uvedených v § 3 odst. 6.11) Nepřesné osobní údaje se musí označit. Informaci o blokování, opravě, doplnění nebo likvidaci osobních údajů je správce povinen bez zbytečného odkladu předat všem příjemcům,

d) shromažďovat osobní údaje odpovídající pouze stanovenému účelu a v rozsahu nezbytném pro naplnění stanového účelu,

e) uchovávat osobní údaje pouze po dobu, která je nezbytná k účelu jejich zpracování. Po uplynutí této doby mohou být osobní údaje uchovávány pouze pro účely státní statistické služby, pro účely vědecké a pro účely archivnictví. Při použití pro tyto účely je třeba dbát práva na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů, a osobní údaje anonymizovat, jakmile je to možné,

f) zpracovávat osobní údaje pouze v souladu s účelem, k němuž byly shromážděny. Zpracovávat k jinému účelu lze osobní údaje jen v mezích ustanovení § 3 odst. 6, nebo pokud k tomu dal subjekt údajů předem souhlas,

g) shromažďovat osobní údaje pouze otevřeně; je vyloučeno shromažďovat údaje pod záminkou jiného účelu nebo jiné činnosti,

h) nesdružovat osobní údaje, které byly získány k rozdílným účelům.

 

(2) Správce může zpracovávat osobní údaje pouze se souhlasem subjektu údajů. Bez tohoto souhlasu je může zpracovávat,

a) jestliže provádí zpracování nezbytné pro dodržení právní povinnosti správce,12)

b) jestliže je zpracování nezbytné pro plnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro jednání o uzavření nebo změně smlouvy uskutečněné na návrh subjektu údajů,

c) pokud je to nezbytně třeba k ochraně životně důležitých zájmů subjektu údajů. V tomto případě je třeba bez zbytečného odkladu získat jeho souhlas. Pokud souhlas není dán, musí správce ukončit zpracování a údaje zlikvidovat,

d) jedná-li se o oprávněně zveřejněné osobní údaje v souladu se zvláštním právním předpisem.13) Tím však není dotčeno právo na ochranu soukromého a osobního života subjektu údajů,

e) pokud je to nezbytné pro ochranu práv a právem chráněných zájmů správce, příjemce nebo jiné dotčené osoby; takové zpracování osobních údajů však nesmí být v rozporu s právem subjektu údajů na ochranu jeho soukromého a osobního života,

f) pokud poskytuje osobní údaje o veřejně činné osobě, funkcionáři či zaměstnanci veřejné správy, které vypovídají o jeho veřejné anebo úřední činnosti, o jeho funkčním nebo pracovním zařazení, nebo,

g) jedná-li se o zpracování výlučně pro účely archivnictví podle zvláštního zákona.

 

(3) Provádí-li správce zpracování osobních údajů na základě zvláštního zákona,12) je povinen dbát práva na ochranu soukromého a osobního života subjektu údajů.

(4) Subjekt údajů musí být při udělení souhlasu informován o tom, pro jaký účel zpracování a k jakým osobním údajům je souhlas dáván, jakému správci a na jaké období. Souhlas subjektu údajů se zpracováním osobních údajů musí být správce schopen prokázat po celou dobu zpracování.

(5) Provádí-li správce nebo zpracovatel zpracování osobních údajů za účelem nabízení obchodu nebo služeb subjektu údajů, lze pro tento účel použít jméno, příjmení a adresu subjektu údajů, pokud tyto údaje byly získány z veřejného seznamu nebo v souvislosti se svojí činností jakožto správce nebo zpracovatele. Správce nebo zpracovatel však nesmí uvedené údaje dále zpracovávat, pokud s tím subjekt údajů vyslovil nesouhlas. Nesouhlas se zpracováním je nutné vyjádřit písemně. Bez souhlasu subjektu údajů nelze k uvedeným údajům přiřazovat další osobní údaje.

(6) Správce, který zpracovává osobní údaje podle odstavce 5, může tyto údaje předat jinému správci pouze za splnění těchto podmínek:

a) údaje subjektu údajů byly získány v souvislosti s činností správce nebo se jedná o zveřejněné osobní údaje,

b) údaje budou využívány pouze za účelem nabízení obchodu a služeb,

c) subjekt údajů byl o tomto postupu správce předem informován a nevyslovil s tímto postupem nesouhlas.

 

(7) Jiný správce, kterému byly předány údaje podle odstavce 6, nesmí tyto údaje předávat jiné osobě.

(8) Nesouhlas se zpracováním podle odstavce 6 písm. c) musí subjekt údajů učinit písemně. Správce je povinen informovat každého správce, kterému předal jméno, příjmení a adresu subjektu údajů, o tom, že subjekt údajů vyslovil nesouhlas se zpracováním.

(9) Za účelem vyloučení možnosti, že jméno, příjmení a adresa subjektu údajů budou opakovaně použity k nabídce obchodu a služeb, je správce oprávněn dále zpracovávat pro svoji vlastní potřebu jméno, příjmení a adresu subjektu údajů přesto, že subjekt údajů vyslovil nesouhlas podle odstavce 5.

V odstavcích 5 až 9 jsou zvláště podrobně popsány povinnosti správců osobních údajů, kteří je zpracovávají za účelem nabízení obchodu a služeb tak, aby těmto správcům zákon nadmíru nebránil v jejich podnikatelské činnosti, ale současně byla výrazně  omezena možnost zneužití osobních údajů zákazníků.

 

§ 6

Pokud zmocnění nevyplývá z právního předpisu, musí správce se zpracovatelem uzavřít smlouvu o zpracování osobních údajů. Smlouva musí mít písemnou formu. Musí v ní být zejména výslovně uvedeno, v jakém rozsahu, za jakým účelem a na jakou dobu se uzavírá a musí obsahovat záruky zpracovatele o technickém a organizačním zabezpečení ochrany osobních údajů.

Zde se rozlišují výrazy “zmocnit” a “pověřit”, které odlišují případy, kdy je správcem údajů orgán veřejné moci, který “zmocňuje” a kdy je jím soukromý subjekt, který “pověřuje”.

 

§ 7


Povinnosti stanovené v § 5 platí obdobně také pro zpracovatele.

§ 8


Jestliže zpracovatel zjistí, že správce porušuje povinnosti stanovené tímto zákonem, je povinen jej na to neprodleně upozornit a ukončit zpracování osobních údajů. Pokud tak neučiní, odpovídá za škodu, která subjektu údajů vznikla, společně a nerozdílně se správcem údajů. Tím není dotčena jeho odpovědnost podle tohoto zákona.

Zjistí-li zpracovatel, že správce porušuje svoje povinnosti, musí ho na to upozornit a přestat nakládat s údaji. Učiní-li tak, nevzniká mu odpovědnost, v opačném případě je odpovědný za škodu, která vznikla subjektu údajů v rozsahu, v němž v důsledku tohoto opomenutí ke škodě došlo. Z důvodu zajištění ochrany práv subjektu údajů, zakotvuje se zvláštní režim solidární odpovědnosti.

 

§ 9

Citlivé údaje

 

Citlivé údaje je možné zpracovávat, jen jestliže

a) subjekt údajů dal ke zpracování výslovný souhlas. Subjekt údajů musí být při udělení souhlasu informován o tom, pro jaký účel zpracování a k jakým osobním údajům je souhlas dáván, jakému správci a na jaké období. Existenci souhlasu subjektu údajů se zpracováním osobních údajů musí být správce schopen prokázat po celou dobu zpracování. Správce je povinen předem subjekt údajů poučit o jeho právech podle § 12 a 21,

b) je to nezbytné v zájmu zachování života nebo zdraví subjektu údajů nebo jiné osoby nebo odvrácení bezprostředního závažného nebezpečí hrozícího jejich majetku, pokud není možno jeho souhlas získat zejména z důvodů fyzické, duševní či právní nezpůsobilosti, v případě, že je nezvěstný nebo z jiných podobných důvodů. Správce musí ukončit zpracování údajů, jakmile pominou uvedené důvody, a údaje musí zlikvidovat, ledaže by subjekt údajů dal k dalšímu zpracování souhlas,

c) se jedná o zpracování při zajišťování zdravotní péče, ochrany veřejného zdraví, zdravotního pojištění a výkon státní správy v oblasti zdravotnictví podle zvláštního zákona15) nebo se jedná o posuzování zdravotního stavu v jiných případech stanovených zvláštním zákonem,15a)

d) je zpracování nezbytné pro dodržení povinností a práv správce odpovědného za zpracování v oblasti pracovního práva a zaměstnanosti, stanovené zvláštním zákonem,16)

e) jde o zpracování, které sleduje politické, filosofické, náboženské nebo odborové cíle, prováděné v rámci oprávněné činnosti občanského sdružení, nadace nebo jiné právnické osoby nevýdělečné povahy (dále jen "sdružení"), a které se týká pouze členů sdružení nebo osob, se kterými je sdružení v opakujícím se kontaktu souvisejícím s oprávněnou činností sdružení, a osobní údaje nejsou zpřístupňovány bez souhlasu subjektu údajů,

f) se jedná o údaje podle zvláštního zákona nezbytné pro provádění nemocenského pojištění, důchodového pojištění (zabezpečení), státní sociální podpory a dalších státních sociálních dávek, sociálních služeb, sociální péče, pomoci v hmotné nouzi a sociálně-právní ochrany dětí, a při zajištění ochrany těchto údajů v souladu se zákonem,

g) se zpracování týká osobních údajů zveřejněných subjektem údajů,

h) je zpracování nezbytné pro zajištění a uplatnění právních nároků, nebo

ch) jsou zpracovány výlučně pro účely archivnictví podle zvláštního zákona.

§ 10

 

Při zpracování osobních údajů správce a zpracovatel dbá, aby subjekt údajů neutrpěl újmu na svých právech, zejména na právu na zachování lidské důstojnosti, a také dbá na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů.

§ 11

 

(1) Správce je při shromažďování osobních údajů povinen subjekt údajů informovat o tom, v jakém rozsahu a pro jaký účel budou osobní údaje zpracovány, kdo a jakým způsobem bude osobní údaje zpracovávat a komu mohou být osobní údaje zpřístupněny, nejsou-li subjektu údajů tyto informace již známy. Správce musí subjekt údajů informovat o jeho právu přístupu k osobním údajům, právu na opravu osobních údajů, jakož i o dalších právech stanovených v § 21.

(2) V případě, kdy správce zpracovává osobní údaje získané od subjektu údajů, musí subjekt údajů poučit o tom, zda je poskytnutí osobního údaje povinné či dobrovolné. Je-li subjekt údajů povinen podle zvláštního zákona osobní údaje pro zpracování poskytnout, poučí jej správce o této skutečnosti, jakož i o následcích odmítnutí poskytnutí osobních údajů.

(3) Informace a poučení podle odstavce 1 není povinen správce poskytovat v případech, kdy osobní údaje nezískal od subjektu údajů, pokud

a) zpracovává osobní údaje výlučně pro účely výkonu státní statistické služby, vědecké nebo archivní účely a poskytnutí takových informací by vyžadovalo neúměrné úsilí nebo nepřiměřeně vysoké náklady; nebo pokud ukládání na nosiče informací nebo zpřístupnění je výslovně stanoveno zvláštním zákonem. V těchto případech je správce povinen přijmout potřebná opatření proti neoprávněnému zasahování do soukromého a osobního života subjektu údajů,

b) zpracování osobních údajů mu ukládá zvláštní zákon nebo je takových údajů třeba k uplatnění práv a povinností vyplývajících ze zvláštních zákonů,

c) zpracovává výlučně oprávněně zveřejněné osobní údaje, nebo

d) zpracovává osobní údaje získané se souhlasem subjektu údajů.

 

(4) Předchozími ustanoveními nejsou dotčena práva subjektu údajů požadovat informace podle zvláštních zákonů.18)

(5) Při zpracování osobních údajů podle § 5 odst. 2 písm. e) a § 9 písm. h) je správce povinen bez zbytečného odkladu subjekt údajů informovat o zpracování jeho osobních údajů.

(6) Žádné rozhodnutí správce nebo zpracovatele, jehož důsledkem je zásah do právních a právem chráněných zájmů subjektu údajů, nelze bez ověření vydat nebo učinit výlučně na základě automatizovaného zpracování osobních údajů. To neplatí v případě, že takové rozhodnutí bylo učiněno ve prospěch subjektu údajů a na jeho žádost.

Nelze vydat jakékoliv (zpravidla pro subjekt údajů nevýhodné) rozhodnutí orgánu veřejné moci pouze na základě automatizovaného zpracování osobních údajů bez individuálního ověření.


(7) Informační povinnost upravenou v § 11 může za správce plnit zpracovatel.

§ 12

Přístup subjektu údajů k informacím

 

(1) Požádá-li subjekt údajů o informaci o zpracování svých osobních údajů, je mu správce povinen tuto informaci bez zbytečného odkladu předat.

(2) Obsahem informace je vždy sdělení o

a) účelu zpracování osobních údajů,

b) osobních údajích, případně kategoriích osobních údajů, které jsou předmětem zpracování, včetně veškerých dostupných informací o jejich zdroji,

c) povaze automatizovaného zpracování v souvislosti s jeho využitím pro rozhodování, jestliže jsou na základě tohoto zpracování činěny úkony nebo rozhodnutí, jejichž obsahem je zásah do práva a oprávněných zájmů subjektu údajů,

d) příjemci, případně kategoriích příjemců.

 

(3) Správce má právo za poskytnutí informace požadovat přiměřenou úhradu nepřevyšující náklady nezbytné na poskytnutí informace.

(4) Povinnost správce poskytnout informace subjektu údajů upravenou v § 12 může za správce plnit zpracovatel.

Povinnosti osob při zabezpečení osobních údajů

§ 13

 

(1) Správce a zpracovatel jsou povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů.

(2) Správce nebo zpracovatel je povinen zpracovat a dokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany osobních údajů v souladu se zákonem a jinými právními předpisy.

Tímto ustanovením se stanoví obecné povinnosti pro všechny správce, pokud se týče zajištění ochrany osobních údajů a jejich bezpečnosti. Opatřeními, která je správce povinen učinit, se rozumí opatření technická, organizační, právní a jiná. Údaje musí být chráněny jak vůči zaměstnancům, tak jiným osobám, které s nimi oprávněně přicházejí do styku, tak např. vůči hackerům. Tento zákon však nestanoví jaká konkrétní opatření má správce učinit. Konkrétní opatření budou záviset na rozsahu a použití technických prostředků, které správce při zpracování použije. Nicméně některé návody bude možno vydat např. metodickými sděleními nebo vyhlášením standardů. Subsidiárně lze využít vyhlášek Národního bezpečnostního úřadu č.12/1999 Sb., o zajištění technické bezpečnosti utajovaných skutečností a certifikací technických prostředků a vyhlášky č.56/1999 Sb., o zajištění bezpečnosti informačních systémů nakládajících s utajovanými skutečnostmi, provádění jejich certifikace a náležitostech certifikátů.

 

§ 14

 

Zaměstnanci správce nebo zpracovatele a jiné osoby, které zpracovávají osobní údaje na základě smlouvy se správcem nebo zpracovatelem, mohou zpracovávat osobní údaje pouze za podmínek a v rozsahu správcem nebo zpracovatelem stanoveném.

Tímto ustanovením je vyloučeno, aby osoby, kterým nedá správce nebo zpracovatel souhlas, jakkoli zpracovávaly osobní údaje. Správce, resp. zpracovatel musí stanovit též rozsah oprávnění, v němž určitá osoba má k osobním údajům přístup a může je zpracovávat. Osobami jsou zde míněny jak fyzické osoby, které vůči správci či zpracovateli vykonávají činnost na základě pracovněprávního vztahu, tak právnické osoby, které tuto činnost vykonávají na základě jakéhokoliv smluvního vztahu.

 

§ 15

 

(1) Zaměstnanci správce nebo zpracovatele, jiné fyzické osoby, které zpracovávají osobní údaje na základě smlouvy se správcem nebo zpracovatelem, a další osoby, které v rámci plnění zákonem stanovených oprávnění a povinností přicházejí do styku s osobními údaji u správce nebo zpracovatele, jsou povinni zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů. Povinnost mlčenlivosti trvá i po skončení zaměstnání nebo příslušných prací.

(2) Ustanovením předchozího odstavce není dotčena povinnost zachovávat mlčenlivost podle zvláštních zákonů.19)

(3) Povinnost zachovávat mlčenlivost se nevztahuje na informační povinnost podle zvláštních zákonů.20)

§ 16

Oznamovací povinnost

 

(1) Ten, kdo hodlá jako správce zpracovávat osobní údaje nebo změnit registrované zpracování podle tohoto zákona, s výjimkou zpracování uvedených v § 18, je povinen tuto skutečnost písemně oznámit Úřadu před zpracováváním osobních údajů.

(2) Oznámení musí obsahovat tyto informace:

a) identifikační údaje správce, u fyzické osoby, která není podnikatelem, jméno, popřípadě jména, příjmení, datum narození a adresu místa trvalého pobytu, u jiných subjektů obchodní firmu nebo název, sídlo a identifikační číslo, pokud bylo přiděleno, a jméno, popřípadě jména, a příjmení osob, které jsou jejich statutárními zástupci,

b) účel nebo účely zpracování,

c) kategorie subjektů údajů a osobních údajů, které se těchto subjektů týkají,

d) zdroje osobních údajů,

e) popis způsobu zpracování osobních údajů,

f) místo nebo místa zpracování osobních údajů,

g) příjemce nebo kategorie příjemců,

h) předpokládaná předání osobních údajů do jiných států,

i) popis opatření k zajištění ochrany osobních údajů podle § 13.

 

(3) Obsahuje-li oznámení všechny náležitosti podle odstavce 2 a není-li zahájeno řízení podle § 17 odst. 1, lze po uplynutí lhůty 30 dnů ode dne doručení oznámení zahájit zpracování osobních údajů. Úřad v takovém případě zapíše informace uvedené v oznámení do registru.

(4) Neobsahuje-li oznámení všechny náležitosti podle odstavce 2, Úřad neprodleně zašle oznamovateli výzvu, v níž upozorní na chybějící nebo nedostatečné informace a stanoví lhůtu k doplnění oznámení. V případě doplnění oznámení začíná běžet lhůta podle odstavce 3 dnem doručení doplnění oznámení. V případě, že Úřad neobdrží doplnění oznámení ve stanovené lhůtě, nahlíží na učiněné oznámení tak, jako by nebylo podáno.

(5) O provedení registrace vydá Úřad na žádost správce osvědčení, které obsahuje datum vyhotovení, číslo jednací, jméno, příjmení a podpis osoby, která osvědčení vydala, otisk úředního razítka, identifikační údaje správce a účel zpracování.

(6) Na postup Úřadu podle odstavců 1 až 5 se nevztahuje správní řád.

§ 17


(1) Vznikne-li z oznámení důvodná obava, že při zpracování osobních údajů by mohlo dojít k porušení tohoto zákona, zahájí Úřad z vlastního podnětu řízení.

(2) Zjistí-li Úřad, že oznámeným zpracováním neporušuje správce podmínky stanovené tímto zákonem, řízení zastaví a provede zápis podle § 16 odst. 3. Nejdříve dnem následujícím po provedení zápisu lze zahájit zpracování osobních údajů. V případě, že oznámené zpracování nesplňuje podmínky stanovené tímto zákonem, zpracování osobních údajů Úřad nepovolí.

§ 17a

 

(1) Zjistí-li Úřad, že správce, jehož oznámení bylo zapsáno do registru, porušuje podmínky stanovené tímto zákonem, rozhodne o zrušení registrace.

(2) Pomine-li účel, pro který bylo zpracování zaregistrováno, Úřad z vlastního podnětu nebo na žádost správce rozhodne o zrušení registrace.

§ 18

 

(1) Oznamovací povinnost podle § 16 se nevztahuje na zpracování osobních údajů,

a) které jsou součástí datových souborů veřejně přístupných na základě zvláštního zákona,

b) které správci ukládá zvláštní zákon nebo je takových osobních údajů třeba k uplatnění práv a povinností vyplývajících ze zvláštního zákona, nebo

c) jde-li o zpracování, které sleduje politické, filosofické, náboženské nebo odborové cíle, prováděné v rámci oprávněné činnosti sdružení, a které se týká pouze členů sdružení, nebo osob, se kterými je sdružení v opakujícím se kontaktu souvisejícím s oprávněnou činností sdružení, a osobní údaje nejsou zpřístupňovány bez souhlasu subjektu údajů.

 

(2) Správce, který provádí zpracování podle § 18 odst. 1 písm. b), je povinen zajistit, aby informace, týkající se zejména účelu zpracování, kategorií osobních údajů, kategorií subjektů údajů, kategorií příjemců a doby uchování, které by byly jinak přístupné prostřednictvím registru vedeného Úřadem podle § 35, byly zpřístupněny, a to i dálkovým přístupem nebo jinou vhodnou formou.

§ 19


Jestliže správce hodlá ukončit svoji činnost, je povinen Úřadu neprodleně oznámit, jak naložil s osobními údaji, pokud se na jejich zpracování vztahuje oznamovací povinnost.

§ 20

Likvidace osobních údajů


(1) Správce nebo na základě jeho pokynu zpracovatel je povinen provést likvidaci osobních údajů, jakmile pomine účel, pro který byly osobní údaje zpracovány, nebo na základě žádosti subjektu údajů podle § 21.

(2) Zvláštní zákon stanoví výjimky týkající se uchovávání osobních údajů pro účely archivnictví a uplatňování práv v občanském soudním řízení, trestním řízení a správním řízení.

Ochrana práv subjektů údajů

§ 21

 

(1) Každý subjekt údajů, který zjistí nebo se domnívá, že správce nebo zpracovatel provádí zpracování jeho osobních údajů, které je v rozporu s ochranou soukromého a osobního života subjektu údajů nebo v rozporu se zákonem, zejména jsou-li osobní údaje nepřesné s ohledem na účel jejich zpracování, může

a) požádat správce nebo zpracovatele o vysvětlení,

b) požadovat, aby správce nebo zpracovatel odstranil takto vzniklý stav. Zejména se může jednat o blokování, provedení opravy, doplnění nebo likvidaci osobních údajů.

 

(2) Je-li žádost subjektu údajů podle odstavce 1 shledána oprávněnou, správce nebo zpracovatel odstraní neprodleně závadný stav.

(3) Nevyhoví-li správce nebo zpracovatel žádosti subjektu údajů podle odstavce 1, má subjekt údajů právo obrátit se přímo na Úřad.

(4) Postup podle odstavce 1 nevylučuje, aby se subjekt údajů obrátil se svým podnětem na Úřad přímo.

(5) Pokud vznikla v důsledku zpracování osobních údajů subjektu údajů jiná než majetková újma, postupuje se při uplatňování jejího nároku podle zvláštního zákona.22)

(6) Došlo-li při zpracování osobních údajů k porušení povinností uložených zákonem u správce nebo u zpracovatele, odpovídají za ně společně a nerozdílně.

(7) Správce je povinen bez zbytečného odkladu informovat příjemce o žádosti subjektu údajů podle odstavce 1 a o blokování, opravě, doplnění nebo likvidaci osobních údajů. To neplatí, pokud je informování příjemce nemožné nebo by vyžadovalo neúměrné úsilí.

§ 22 až 24

 

zrušeny zákonem č. 439/2004 Sb.

 

§ 25

Náhrada škody


V otázkách neupravených tímto zákonem se použije obecná úprava odpovědnosti za škodu.23)24)

§ 26

 

Povinnosti podle § 21 až 25 se obdobně vztahují i na osoby, které shromáždily osobní údaje neoprávněně.

 

HLAVA III

PŘEDÁNÍ OSOBNÍCH ÚDAJŮ DO JINÝCH STÁTŮ

 

§ 27


(1) Volný pohyb osobních údajů nemůže být omezován, pokud jsou údaje předány do členského státu Evropské unie.

(2) Do třetích zemí mohou být osobní údaje předány, pokud zákaz omezování volného pohybu osobních údajů vyplývá z mezinárodní smlouvy, k jejíž ratifikaci dal Parlament souhlas, a kterou je Česká republika vázána,1a) nebo jsou osobní údaje předány na základě rozhodnutí orgánu Evropské unie. Informace o těchto rozhodnutích zveřejňuje Úřad ve Věstníku.

(3) Není-li podmínka podle odstavců 1 a 2 splněna, může být předání osobních údajů uskutečněno, jestliže správce prokáže, že

a) předání údajů se děje se souhlasem nebo na základě pokynu subjektu údajů,

b) jsou v třetí zemi, kde mají být osobní údaje zpracovány, vytvořeny dostatečné zvláštní záruky ochrany osobních údajů, například prostřednictvím jiných právních nebo profesních předpisů a bezpečnostních opatření. Takové záruky mohou být upřesněny zejména smlouvou uzavřenou mezi správcem a příjemcem, pokud tato smlouva zajišťuje uplatnění těchto požadavků nebo pokud smlouva obsahuje smluvní doložky pro předání osobních údajů do třetích zemí zveřejněné ve Věstníku Úřadu,

c) jde o osobní údaje, které jsou na základě zvláštního zákona součástí datových souborů veřejně přístupných nebo přístupných tomu, kdo prokáže právní zájem; v takovém případě lze osobní údaje zpřístupnit jen v rozsahu a za podmínek stanovených zvláštním zákonem,

d) je předání nutné pro uplatnění důležitého veřejného zájmu vyplývajícího ze zvláštního zákona nebo z mezinárodní smlouvy, kterou je Česká republika vázána,

e) je předání nezbytné pro jednání o uzavření nebo změně smlouvy, uskutečněné z podnětu subjektu údajů, nebo pro plnění smlouvy, jejíž smluvní stranou je subjekt údajů,

f) je předání nezbytné pro plnění smlouvy uzavřené v zájmu subjektu údajů mezi správcem a třetí stranou, nebo pro uplatnění jiných právních nároků, nebo

g) je předání nezbytné pro ochranu práv nebo životně důležitých zájmů subjektu údajů, zejména pro záchranu života nebo pro poskytnutí zdravotní péče.

 

(4) Před předáním osobních údajů do třetích zemí podle odstavce 3 je správce povinen požádat Úřad o povolení k předání, nestanoví-li zvláštní zákon jinak.25) Při posuzování žádosti Úřad přezkoumá všechny okolnosti související s předáním osobních údajů, zejména zdroj, konečné určení a kategorie předávaných osobních údajů, účel a dobu zpracování, s přihlédnutím k dostupným informacím o právních nebo jiných předpisech upravujících zpracování osobních údajů ve třetí zemi. V povolení k předání Úřad stanoví dobu, po kterou může správce předání provádět. Pokud dojde ke změně podmínek, za kterých bylo povolení vydáno, zejména na základě rozhodnutí orgánu Evropské unie, Úřad toto povolení změní nebo zruší.

 

HLAVA IV

POSTAVENÍ A PŮSOBNOST ÚŘADU

 

§ 28

 

(1) Úřad je nezávislý orgán. Ve své činnosti postupuje nezávisle a řídí se pouze zákony a jinými právními předpisy.

(2) Do činnosti Úřadu lze zasahovat jen na základě zákona.

(3) Činnost Úřadu je hrazena ze samostatné kapitoly státního rozpočtu České republiky.

 

 

§ 29

 

(1) Úřad

a) provádí dozor nad dodržováním povinností stanovených tímto zákonem,

b) vede registr zpracování osobních údajů,

c) přijímá podněty a stížnosti na porušení tohoto zákona a informuje o jejich vyřízení,

d) zpracovává a veřejnosti zpřístupňuje výroční zprávu o své činnosti,

e) vykonává další působnosti stanovené mu zákonem,

f) projednává přestupky a jiné správní delikty a uděluje pokuty podle tohoto zákona,

g) zajišťuje plnění požadavků vyplývajících z mezinárodních smluv, jimiž je Česká republika vázána,

h) poskytuje konzultace v oblasti ochrany osobních údajů,

i) spolupracuje s obdobnými úřady jiných států, s orgány Evropské unie a s orgány mezinárodních organizací působícími v oblasti ochrany osobních údajů. Úřad v souladu s právem Evropských společenství plní oznamovací povinnost vůči orgánům Evropské unie.25a)

 

(2) Při výkonu dozoru ve formě kontroly se postupuje podle zvláštního právního předpisu.26)

(3) Dozor nad zpracováním osobních údajů, které provádějí zpravodajské služby, stanoví zvláštní právní předpis.27)

 

HLAVA V

ORGANIZACE ÚŘADU

 

§ 30


(1) Zaměstnanci Úřadu jsou předseda, inspektoři a další zaměstnanci.

(2) Kontrolní činnost Úřadu provádějí inspektoři a pověření zaměstnanci (dále jen "kontrolující").

(3) Na zaměstnance Úřadu se vztahují ustanovení zákoníku práce, pokud tento zákon nestanoví jinak.

(4) Předseda Úřadu má nárok na plat, náhradu výdajů a naturální plnění jako prezident Nejvyššího kontrolního úřadu podle zvláštního zákona.26a)

(5) Inspektoři Úřadu mají nárok na plat, náhradu výdajů a naturální plnění jako členové Nejvyššího kontrolního úřadu podle zvláštního zákona.26a)

 

(6) Platové poměry zaměstnanců Úřadu, s výjimkou předsedy a inspektorů, se řídí právními předpisy upravujícími platové poměry zaměstnanců orgánů státní správy.28)

 

(7) Zaměstnancům Úřadu, s výjimkou předsedy a inspektorů, přísluší náhrada cestovních výdajů podle zvláštního právního předpisu.29)

 

§ 31

 

Kontrolní činnost Úřadu se provádí na základě kontrolního plánu nebo na základě podnětů a stížností.

§ 32

Předseda Úřadu


(1) Úřad řídí předseda, kterého jmenuje a odvolává prezident republiky na návrh Senátu Parlamentu České republiky.

(2) Předseda Úřadu je jmenován na dobu 5 let. Může být jmenován maximálně na 2 po sobě jdoucí období.

(3) Předsedou Úřadu může být jmenován pouze občan České republiky, který

a) je způsobilý k právním úkonům,

b) je bezúhonný, splňuje podmínky stanovené zvláštním právním předpisem30) a jeho znalosti, zkušenosti a morální vlastnosti jsou předpokladem, že bude svoji funkci řádně zastávat,

c) má ukončené vysokoškolské vzdělání.

 

(4) Bezúhonnou je pro účel tohoto zákona fyzická osoba, která nebyla pravomocně odsouzena pro úmyslný trestný čin nebo i trestný čin spáchaný z nedbalosti v souvislosti se zpracováním osobních údajů.

(5) S výkonem funkce předsedy Úřadu je neslučitelná funkce poslance nebo senátora, soudce, státního zástupce, jakákoliv funkce ve veřejné správě, funkce člena orgánů územní samosprávy a členství v politických stranách a hnutích.

(6) Předseda Úřadu nesmí zastávat jinou placenou funkci, být v dalším pracovním poměru ani vykonávat výdělečnou činnost s výjimkou správy vlastního majetku a činnosti vědecké, pedagogické, literární, publicistické a umělecké, pokud tato činnost nenarušuje důstojnost nebo neohrožuje důvěru v nezávislost a nestrannost Úřadu.

(7) Z funkce je předseda Úřadu odvolán, přestal-li splňovat některou z podmínek pro jeho jmenování.

(8) Z funkce může být předseda odvolán také tehdy, jestliže nevykonává po dobu 6 měsíců svoji funkci.

Inspektoři Úřadu

§ 33

(1) Inspektora jmenuje a odvolává prezident republiky na návrh Senátu Parlamentu České republiky.

(2) Inspektor je jmenován na období 10 let. Může být jmenován opakovaně.

(3) Inspektor vykonává kontrolu, řídí kontrolu, vypracovává kontrolní protokol a provádí další úkony, jež souvisejí s úkoly Úřadu.

(4) Činnosti podle odstavce 3 vykonává 7 inspektorů Úřadu.

 

§ 34


(1) Inspektorem může být jmenován občan České republiky, který je způsobilý k právním úkonům, bezúhonný, splňuje podmínky stanovené zvláštním právním předpisem30) a má ukončené odborné vysokoškolské vzdělání.

(2) S výkonem funkce inspektora je neslučitelná funkce poslance nebo senátora, soudce, státního zástupce, jakákoliv funkce ve veřejné správě, funkce člena orgánů územní samosprávy a členství v politických stranách a hnutích. Inspektor nesmí zastávat jinou placenou funkci, být v pracovním poměru ani vykonávat výdělečnou činnost s výjimkou správy vlastního majetku a činnosti vědecké, pedagogické, literární, publicistické a umělecké, pokud tato činnost nenarušuje důstojnost nebo neohrožuje důvěru v nezávislost a nestrannost Úřadu.

(3) Z funkce je inspektor odvolán, přestal-li splňovat některou z podmínek pro jeho jmenování.

 

HLAVA VI

ČINNOST ÚŘADU

 

§ 35

Registr


(1) Do registru zpracování osobních údajů se k osobám správců zapisují informace z oznámení podle § 16 odst. 2 a datum provedení, případně zrušení registrace.

(2) Informace zapsané do registru, s výjimkou informací uvedených v § 16 odst. 2 písm. e) a i), jsou veřejně přístupné, zejména způsobem umožňujícím dálkový přístup.

(3) Zrušení registrace podle § 17a oznamuje Úřad ve Věstníku Úřadu.

§ 36

Výroční zpráva


(1) Výroční zpráva Úřadu obsahuje zejména informace o provedené kontrolní činnosti a její zhodnocení, informace a zhodnocení stavu v oblasti zpracovávání a ochrany osobních údajů v České republice a zhodnocení ostatní činnosti Úřadu.

(2) Výroční zprávu předkládá předseda Úřadu pro informaci Poslanecké sněmovně a Senátu Parlamentu České republiky a vládě České republiky do 2 měsíců po skončení rozpočtového roku a zveřejňuje ji.

§ 37

Oprávnění kontrolujících


Kontrolující jsou při provádění kontroly oprávněni

a) vstupovat do objektů, zařízení a provozů, na pozemky a do jiných prostor kontrolovaných správců a zpracovatelů nebo každého, kdo zpracovává osobní údaje, (dále jen "kontrolovaný"), pokud to souvisí s předmětem kontroly; do obydlí mohou vstupovat pouze v případě, že tato slouží také k provozování podnikatelské činnosti,

b) požadovat na kontrolovaných a na jiných osobách, aby ve stanovených lhůtách předložily originální doklady a další písemnosti, záznamy dat na paměťových médiích, výpisy a zdrojové kódy programů, pokud je vlastní, výpisy a opisy dat (dále jen "doklady"), pokud to souvisí s předmětem kontroly, a provádět vlastní dokumentaci,

c) seznamovat se s utajovanými informacemi za podmínek stanovených zvláštním právním předpisem,31) jakož i dalšími informacemi, které jsou chráněny povinností mlčenlivosti,

d) požadovat na fyzických i právnických osobách poskytnutí pravdivých a úplných informací o zjišťovaných a souvisejících skutečnostech,

e) zajišťovat v odůvodněných případech doklady; jejich převzetí musí kontrolovanému písemně potvrdit a na jeho žádost mu ponechat kopie převzatých dokladů,

f) pořídit kopie obsahu paměťových médií, obsahujících osobní údaje, nacházejících se u kontrolovaného,

g) požadovat, aby kontrolovaní podali ve stanovené lhůtě písemnou zprávu o odstranění zjištěných nedostatků,

h) používat telekomunikační zařízení kontrolovaných v případech, kdy je jejich použití nezbytné pro zabezpečení kontroly.


§ 38

Povinnosti kontrolujících


(1) Kontrolu nesmějí provádět ti kontrolující, u nichž se zřetelem na jejich vztah ke kontrolovaným nebo k předmětu kontroly jsou důvodné pochybnosti o jejich nepodjatosti.

(2) Kontrolující je povinen bezprostředně po tom, co se dozví o skutečnostech nasvědčujících jeho podjatosti, oznámit to předsedovi Úřadu.

(3) O námitce podjatosti kontrolujícího rozhodne předseda Úřadu bez zbytečného odkladu. Do rozhodnutí o námitce podjatosti činí kontrolující pouze úkony, které nesnesou odkladu.

(4) Proti rozhodnutí o námitce podjatosti se nelze odvolat.

(5) Kontrolující jsou povinni

a) prokázat se kontrolovanému průkazem jehož vzor upraví nařízení vlády,

b) oznámit kontrolovanému zahájení kontroly,

c) šetřit práva a právem chráněné zájmy kontrolovaných,

d) předat neprodleně převzaté doklady, jakož i kopie paměťových médií kontrolovanému, pominou-li důvody jejich převzetí,

e) řádně ochraňovat zajištěné doklady proti jejich ztrátě, zničení, poškození nebo zneužití,

f) pořizovat o výsledcích kontroly kontrolní protokol,

g) zachovávat mlčenlivost o skutečnostech zjištěných při výkonu kontroly a nezneužít znalosti těchto skutečností. Povinností mlčenlivosti není dotčena oznamovací povinnost podle zvláštních zákonů. Povinnost mlčenlivosti přetrvává i po skončení pracovněprávního vztahu k Úřadu. Povinnosti mlčenlivosti může kontrolujícího zbavit předseda Úřadu. Povinnost mlčenlivosti se nevztahuje na anonymizované a zobecněné informace.

 

(6) Kontrolní protokol obsahuje zejména popis zjištěných skutečností s uvedením nedostatků a označení ustanovení právních předpisů, které byly porušeny, a opatření, která byla uložena k nápravě, a stanovení lhůt, do kdy je třeba je učinit. V kontrolním protokolu se uvádí označení Úřadu a jména kontrolujících na kontrole zúčastněných, označení kontrolovaného, místo a čas provedení kontroly, předmět kontroly, skutečný stav, označení dokladů a ostatních dokumentů a zjištění, o které se protokol opírá. Kontrolní protokol podepisují kontrolující, kteří se kontroly zúčastnili.

(7) Povinností kontrolujících je seznámit kontrolované s obsahem kontrolního protokolu a předat jim jeho stejnopis. Seznámení s kontrolním protokolem a jeho převzetí potvrzují kontrolovaní podpisem kontrolního protokolu. Odmítne-li kontrolovaný seznámit se s kontrolním protokolem nebo toto seznámení potvrdit, vyznačí se tyto skutečnosti v kontrolním protokolu.

§ 39

Každý je povinen v souvislosti s výkonem kontroly poskytnout kontrolujícím při výkonu jejich činnosti potřebnou součinnost.

Ukládá se každému poskytnout potřebnou součinnost při výkonu kontroly. Toto ustanovení má zabránit tomu, by např. kontrolovaná osoba nepřenesla některé důležité předměty, dokumenty a jiné materiály důležité pro provedení kontroly na osoby, které nejsou kontrolovány. Povinnost poskytnout potřebnou součinnost je uložena právnickým i fyzickým osobám.

 

Opatření k nápravě

§ 40

 

(1) Zjistí-li kontrolující, že došlo k porušení povinností uložených tímto zákonem, uloží inspektor, jaká opatření je třeba učinit, aby byly zjištěné nedostatky odstraněny, a stanoví lhůtu pro jejich odstranění.

(2) Byla-li uložena likvidace osobních údajů, jsou osobní údaje do likvidace blokovány. Proti uložení likvidace může správce podat námitku k předsedovi Úřadu. Do doby, než bude o námitce rozhodnuto, musí být osobní údaje blokovány. Proti rozhodnutí předsedy lze podat žalobu podle předpisů o správním soudnictví. Do doby, než bude soudem rozhodnuto, jsou údaje blokovány.

(3) Kontrolovaný je povinen ve stanovené lhůtě podat zprávu o přijatých opatřeních.

§ 41

 

V řízení ve věcech upravených tímto zákonem se postupuje podle správního řádu,32) pokud ustanovení tohoto zákona nestanoví jinak.

§ 42

 

Provozováním informačních systémů nakládajících s osobními údaji podle dosavadních předpisů se rozumí zpracování osobních údajů.

§ 43

Oprávnění a povinnosti při dozoru


Oprávnění a povinnosti kontrolujících a kontrolovaných osob se řídí zvláštním právním předpisem,26) pokud tento zákon nestanoví jinak.

 

 

HLAVA VII

SANKCE

 

§ 44

Přestupky


(1) Fyzická osoba, která
a) je ke správci nebo zpracovateli v pracovním nebo jiném obdobném poměru,

b) vykonává pro správce nebo zpracovatele činnosti na základě dohody, nebo

c) v rámci plnění zvláštním zákonem uložených oprávnění a povinností přichází u správce nebo zpracovatele do styku s osobními údaji,

se dopustí přestupku tím, že poruší povinnost mlčenlivosti (§ 15).

(2) Fyzická osoba se jako správce nebo zpracovatel dopustí přestupku tím, že při zpracování osobních údajů
a) nestanoví účel, prostředky nebo způsob zpracování [§ 5 odst. 1 písm. a) a b)] nebo stanoveným účelem zpracování poruší povinnost nebo překročí oprávnění vyplývající ze zvláštního zákona,

b) zpracovává nepřesné osobní údaje [§ 5 odst. 1 písm. c)],

c) shromažďuje nebo zpracovává osobní údaje v rozsahu nebo způsobem, který neodpovídá stanovenému účelu [§ 5 odst. 1 písm. d), f) až h)],

d) uchovává osobní údaje po dobu delší než nezbytnou k účelu zpracování [§ 5 odst. 1 písm. e)],

e) zpracovává osobní údaje bez souhlasu subjektu údajů mimo případy uvedené v zákoně (§ 5 odst. 2 a § 9),

f) neposkytne subjektu údajů informace v rozsahu nebo zákonem stanoveným způsobem (§ 11),

g) odmítne subjektu údajů poskytnout požadované informace (§ 12 a 21),

h) nepřijme nebo neprovede opatření pro zajištění bezpečnosti zpracování osobních údajů (§ 13),

i) nesplní oznamovací povinnost podle tohoto zákona (§ 16 a 27).

 

(3) Fyzická osoba se jako správce nebo zpracovatel dopustí přestupku tím, že při zpracování osobních údajů některým ze způsobů podle odstavce 2
a) ohrozí větší počet osob svým neoprávněným zasahováním do soukromého a osobního života, nebo

b) poruší povinnosti pro zpracování citlivých údajů (§ 9).

 

(4) Za přestupek podle odstavce 1 lze uložit pokutu do výše 100 000 Kč.

(5) Za přestupek podle odstavce 2 lze uložit pokutu do výše 1 000 000 Kč.

(6) Za přestupek podle odstavce 3 lze uložit pokutu do výše 5 000 000 Kč.


§ 45

Jiné správní delikty


(1) Právnická osoba nebo fyzická osoba podnikající podle zvláštních předpisů se jako správce nebo zpracovatel dopustí správního deliktu tím, že při zpracování osobních údajů
a) nestanoví účel, prostředky nebo způsob zpracování [§ 5 odst. 1 písm. a) a b)], nebo stanoveným účelem zpracování poruší povinnost nebo překročí oprávnění vyplývající ze zvláštního zákona,

b) zpracovává nepřesné osobní údaje [§ 5 odst. 1 písm. c)],

c) shromažďuje nebo zpracovává osobní údaje v rozsahu nebo způsobem, který neodpovídá stanovenému účelu [§ 5 odst. 1 písm. d), f) až h)],

d) uchovává osobní údaje po dobu delší než nezbytnou k účelu zpracování [§ 5 odst. 1 písm. e)],

e) zpracovává osobní údaje bez souhlasu subjektu údajů mimo případy uvedené v zákoně (§ 5 odst. 2 a § 9),

f) neposkytne subjektu údajů informace v rozsahu nebo zákonem stanoveným způsobem (§ 11),

g) odmítne subjektu údajů poskytnout požadované informace (§ 12 a 21),

h) nepřijme nebo neprovede opatření pro zajištění bezpečnosti zpracování osobních údajů (§ 13),

i) nesplní oznamovací povinnost podle tohoto zákona (§ 16 a 27).

 

(2) Právnická osoba jako správce nebo zpracovatel se dopustí správního deliktu tím, že při zpracování osobních údajů některým ze způsobů podle odstavce 1
a) ohrozí větší počet osob svým neoprávněným zasahováním do soukromého a osobního života, nebo

b) poruší povinnosti pro zpracování citlivých údajů (§ 9).

 

(3) Za správní delikt podle odstavce 1 se uloží pokuta do výše 5 000 000 Kč.

(4) Za správní delikt podle odstavce 2 se uloží pokuta do výše 10 000 000 Kč.

§ 46

 

(1) Právnická osoba za správní delikt neodpovídá, jestliže prokáže, že vynaložila veškeré úsilí, které bylo možno požadovat, aby porušení právní povinnosti zabránila.

(2) Při rozhodování o výši pokuty se přihlíží zejména k závažnosti, způsobu, době trvání a následkům protiprávního jednání a k okolnostem, za nichž bylo protiprávní jednání spácháno.

(3) Odpovědnost právnické osoby za správní delikt zaniká, jestliže správní orgán o něm nezahájil řízení do 1 roku ode dne, kdy se o něm dozvěděl, nejpozději však do 3 let ode dne, kdy byl spáchán.

(4) Porušení povinností podle § 44 a 45 projednává Úřad.

(5) Na odpovědnost za jednání, k němuž došlo při podnikání fyzické osoby nebo v přímé souvislosti s ním, se použijí ustanovení o odpovědnosti a postihu právnické osoby.

(6) Pokuta je splatná do 30 dnů ode dne, kdy rozhodnutí o jejím uložení nabylo právní moci.

(7) Pokutu vybírá Úřad a vymáhá místně příslušný celní úřad podle zvláštního zákona. 34) Výnos z pokut je příjmem státního rozpočtu.

 

HLAVA VIII

USTANOVENÍ SPOLEČNÁ, PŘECHODNÁ A ZÁVĚREČNÁ

 

§ 47

Opatření pro přechodné období


(1) Každý, kdo zpracovává ke dni nabytí účinnosti tohoto zákona osobní údaje a na něhož se vztahuje povinnost oznámení podle § 16, je povinen tak učinit nejpozději do 6 měsíců ode dne nabytí účinnosti tohoto zákona.

(2) Zpracování osobních údajů prováděné před účinností tohoto zákona je nutno uvést do souladu s tímto zákonem do 31. prosince 2001.

(3) V případě, že kontrolující zjistí porušení povinnosti podle odstavce 2, ustanovení § 46 odst. 1 a 2 se v takovém případě do 31. prosince 2002 nepoužijí.

§ 48

Zrušovací ustanovení


Zrušuje se zákon č. 256/1992 Sb., o ochraně osobních údajů v informačních systémech.

ČÁST DRUHÁ

 

§ 49

Novela trestního zákona

 

Zákon č. 140/1961 Sb., trestní zákon, ve znění zákona č. 120/1962 Sb., zákona č. 53/1963 Sb., zákona č. 56/1966 Sb., zákona č. 148/1969 Sb., zákona č. 45/1973 Sb., zákona č. 43/1980 Sb., zákona č. 10/1989 Sb., zákona č. 159/1989 Sb., zákona č. 47/1990 Sb., zákona č. 84/1990 Sb., zákona č. 175/1990 Sb., zákona č. 457/1990 Sb., zákona č. 545/1990 Sb., zákona č. 490/1991 Sb., zákona č. 557/1991 Sb., nálezu Ústavního soudu ČSFR ze 4. 9. 1992, zákona č. 290/1993 Sb., zákona č. 38/1994 Sb., zákona č. 91/1994 Sb., zákona č. 152/1995 Sb., zákona č. 19/1997 Sb., zákona č. 103/1997 Sb., zákona č. 253/1997 Sb., zákona č. 92/1998 Sb., zákona č. 112/1998 Sb., zákona č. 148/1998 Sb., zákona č. 167/1998 Sb., zákona č. 96/1999 Sb., zákona č. 191/1999 Sb., zákona č. 210/1999 Sb., zákona č. 223/1999 Sb., zákona č. 238/1999 Sb., zákona č. 305/1999 Sb., zákona č. 327/1999 Sb., zákona č. 360/1999 Sb. a zákona č. 29/2000 Sb., se mění takto:

1. V § 178 odstavec 1 zní:
"(1) Kdo, byť i z nedbalosti, neoprávněně sdělí, zpřístupní, jinak zpracovává nebo si přisvojí osobní údaje o jiném shromážděné v souvislosti s výkonem veřejné správy, bude potrestán odnětím svobody až na tři léta nebo zákazem činnosti nebo peněžitým trestem.".

2. V § 178 odst. 2 se za slovo "kdo" vkládá slovo "osobní".

ČÁST TŘETÍ

 

§ 50

Novela zákona o svobodném přístupu k informacím


Zákon č. 106/1999 Sb., o svobodném přístupu k informacím, se mění takto:

1. V § 2 odstavec 3 včetně poznámky pod čarou č. 1) zní:

"(3) Zákon se nevztahuje na poskytování osobních údajů a informací podle zvláštního právního předpisu.1)
____________________
1) Například zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, a zákon č. 123/1998 Sb., o právu na informace o životním prostředí.".

 

2. V § 5 odst. 3 se věta druhá nahrazuje větou, která včetně poznámky pod čarou č. 3a) zní: "Na tyto subjekty se pro tento účel nevztahuje povinnost zamezit sdružování informací podle zvláštního právního předpisu.3a)
____________________
3a) § 5 odst. 1 písm. h) zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů.".


3. V § 8 se odstavce 1 a 2 včetně nadpisu a poznámky pod čarou č. 5) zrušují.

ČÁST ČTVRTÁ

ÚČINNOST

 

§ 51


Tento zákon nabývá účinnosti dnem 1. června 2000, s výjimkou ustanovení § 16, 17 a 35, která nabývají účinnosti dnem 1. prosince 2000.
____________________________________________________________

Čl II zákona č. 439/2004 Sb.

Přechodná ustanovení


1. Oznámení a rozhodnutí ve věci registrace zpracování osobních údajů podle § 16, 17 a 17a zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění zákona č. 450/2001 Sb., podaná a vydaná přede dnem nabytí účinnosti tohoto zákona zůstávají v platnosti.


2. Povolení k předání nebo předávání osobních údajů do jiného státu vydané přede dnem nabytí účinnosti tohoto zákona pozbývá dnem nabytí účinnosti tohoto zákona platnosti, pokud státem, pro který bylo povolení určeno, je členský stát Evropské unie nebo stát, pro který zákaz omezování volného pohybu osobních údajů vyplývá z vyhlášené mezinárodní smlouvy, k jejíž ratifikaci dal Parlament souhlas, a kterou je Česká republika vázána. Povolení k předání nebo předávání osobních údajů do státu, který není uveden v předchozí větě, vydané přede dnem nabytí účinnosti tohoto zákona zůstává v platnosti.


3. Řízení zahájené a neskončené přede dnem nabytí účinnosti tohoto zákona se dokončí podle dosavadních právních předpisů, s výjimkou řízení o povolení k předání nebo předávání osobních údajů do členského státu Evropské unie nebo státu, pro který zákaz omezování volného pohybu osobních údajů vyplývá z vyhlášené mezinárodní smlouvy, k jejíž ratifikaci dal Parlament souhlas, a kterou je Česká republika vázána, které se zastaví.


4. Správce provádějící zpracování osobních údajů, ke kterému podle dosavadních právních předpisů nebylo zapotřebí registrace, a které ode dne nabytí účinnosti tohoto zákona registraci podléhá, musí takové zpracování osobních údajů oznámit Úřadu pro ochranu osobních údajů do 6 měsíců ode dne nabytí účinnosti tohoto zákona.

 

 

 

V Brně 31. března 2006



[1]Langefors, B.: Teoretická analýza informačných systémov

[2] Ústavní zákon č.2/1993 Sb., usnesení předsednictva České národní rady o vyhlášení LISTINY ZÁKLADNÍCH PRÁV A SVOBOD jako součástí ústavního pořádku České republiky

[3] Ústavní zákon č.23/1991 Sb., kterým se uvozuje LISTINA ZÁKLADNÍCH PRÁV A SVOBOD jako ústavní zákon České a Slovenské Federativní Republiky

[4] Sdělení federálního ministerstva zahraničních věcí České a Slovenské Federativní Republiky č.209/1992 Sb. o sjednání Úmluvy o ochraně lidských práv a základních svobod ve znění protokolů č. 3, 5 a 8 a dalších protokolů na tuto úmluvu navazujících

[5] Ústavní zákon č.1/1993 Sb., Ústava České reoubliky.

[6] Zákon č.40/1964 Sb., občanský zákoník

[7] Smejkal, V. – Sokol. T. – Vlček. M., Počítačové právo, C.H.Beck, Praha, 1995, str. 183.

[8] Mates, P. – Neuwirt, K., Právní úprava ochrany osobních údajů v ČR, IFEC, Praha, 2000, str. 113-116.

[9] Resolution (73) 22 on the protection of privacy of individual vis-à-vis electionic data banks in the private sector.

[10] Resolution (74) 29 on the protection of individual vis-à-vis electionic data banks in the public sector.

[11] Guidelines on the Protection of Privacy and Transborder Flows of Personal Data.

[12] Convention for the Protection of Individuals with Regard to Automatic Processing of Personal Data (ETS No.108).

[13] Viz http://www.coe.int/T/E/Legal_affairs/Legal_co-operation/Data_protection/Documents/National_laws/NATIONAlLAWS-EN.asp#TopOfPage v aktuálním znění.

[14] Sdělení o přijetí Úmluvy na ochranu osob s ohledem na automatizované zpracování osobních dat bylo vyhlášeno ve Sbírce mezinárodních smluv pod číslem 115/2001 Sb. m. s. dne 15. 11. 2001.

[15] Recommendation No.R(81) 1 on regulations for automated medical data banks (23 January 1981).

[16] Recommendation No.R(83) 10 on the protection of personal data used for scientific research and statistics (23 September 1983).

[17] Recommendation No.R(85) 20 on the protection of personal data used for the purposes of direct marketing (25 October 1985).

[18] Recommendation No.R(86) 1 on the protection of personal data for social security purposes (23 January 1986).

[19] Recommendation No.R(87) 15 regulating the use of personal data in the police sector (17 September 1987).

[20] Recommendation No.R(89) 2 on the protection of personal data used for employment purposes (18 January 1989).

[21] Recommendation No.R(90) 19 on the protection of personal data used for payment and other operations (13 September 1990).

[22] Recommendation No.R(91) 10 on the communication to third parties of personal data held by public bodies (9 September 1991).

[23] Recommendation No.R(95) 4 on the protection of personal data in the area of telecommunication services, with particular reference to telephone services (7 February 1995).

[24] Recommendation No.R(97) 5 on the protection of medical data (13 February 1997).

[25] Recommendation No.R(97) 18 on the protection of personal data collected and processed for statistical purposes (30 September 1997).

[26] Recommendation No.R(99) 5 for the protection of privacy on the Internet (23 February 1999).

[27] Recommendation No.R(2002) 9 on the protection of personal data collected and processed for insurance purposes (18 September 2002).

[28] Additional Protocol to Convention ETS No. 108 on Supervisory Authorities and Transborder Data Flows (ETS No. 181)

[29] Treaty on European Union signed at Maastricht on 7 February 1992.

[30] European Union Charter of Fundamental Rights.

[31] Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data.

[32] Řecká republika s účinností od 10. 4. 1997

Švédské království s účinností od 24. 10. 1998

Portugalská republika s účinností od 27. 10. 1998

Finská republika s účinností od 1. 6. 1999

Rakouská republika s účinností od 1. ledna 2000

Španělské království s účinností od 14. ledna 2000

Spojené království Velké Británie a Severního Irska s účinností od 1. března 2000

Italská republika s účinností od 8. 5. 2000

Dánské království s účinností od 1. 7. 2000

Spolková republika Německo s účinností od 23. 5. 2001

Belgické království s účinností od 1. 9. 2001

Nizozemské království s účinností od 1. 9. 2001

Lucemburské velkovévodství s účinností od 1. prosince 2002

 

[33] Directive 97/66/EC of the European Parliament and of the Council of 15 December 1997 concerning the processing of personal data and the protection of privacy in the telecommunications sector.

[34] Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications)

[35] Regulation (EC) 45/2001 of the European Parliament and of the Council of 18. December 2000 on the protection of individuals with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data

[36] 2000/520/EC: Commission Decision of 26 July 2000 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the safe harbour privacy principles and related frequently asked questions issued by the US Department of Commerce (notified under document number C(2000) 2441)

[37] Maštalka, J.: Ochrana osobních údajů. Právní rádce 7/1999, Praha, str. 23-24.

[38] Toto byl rovněž hlavní důvod, proč Česká republika nemohla přistoupit k Úmluvě ETS č. 108 a neúčast na ní zase byla důvodem nemožnosti zapojit se do spolupráce v rámci Schengenského informačního systému.

[39] Usnesení vlády České republiky č. 467 ze dne 1. 7. 1998.

[40] Kompletní text viz příloha.

[41] V podstatě se jednalo o obdobu ustanovení, které bylo navrženo k doplnění již při projednávání původního zákona v Senátu.

[42] Mates, P., Ochrana osobních údajů v českém právním řádu, Bulletin advokacie 9/2000, Praha, str. 32-42.

    Sokol, T., Zákon o ochraně osobních údajů se na advokáta nevztahuje, Bulletin advokacie 10/2000, Praha,

    str. 23-35.

 

1) Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně jednotlivců v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.

1a) Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních dat č. 108, vyhlášená pod č. 115/2001 Sb. m. s.

1)* § 10 odst. 1 písm. a) zákona č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů (zákon o některých službách informační společnosti).

4) Například ústavní zákon č. 110/1998 Sb., o bezpečnosti České republiky, ve znění zákona č. 300/2000 Sb., zákon č. 219/1999 Sb., o ozbrojených silách České republiky, ve znění pozdějších předpisů, zákon č. 238/2000 Sb., o Hasičském záchranném sboru České republiky a o změně některých zákonů, ve znění pozdějších předpisů, zákon č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon), ve znění zákona č. 320/2002 Sb., zákon č. 153/1994 Sb., o zpravodajských službách České republiky, ve znění pozdějších předpisů, zákon č. 154/1994 Sb., o Bezpečnostní informační službě, ve znění pozdějších předpisů, a zákon č. 148/1998 Sb., o ochraně utajovaných skutečností a o změně některých zákonů, ve znění pozdějších předpisů.

5) Například zákon č. 222/1999 Sb., o zajišťování obrany České republiky, ve znění zákona č. 320/2002 Sb., zákon č. 218/1999 Sb., o rozsahu branné povinnosti a o vojenských správních úřadech (branný zákon), ve znění pozdějších předpisů, zákon č. 219/1999 Sb., o ozbrojených silách České republiky, ve znění pozdějších předpisů, a zákon č. 124/1992 Sb., o Vojenské policii, ve znění pozdějších předpisů.

6) Například zákon č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon), ve znění zákona č. 320/2002 Sb., zákon č. 283/1991 Sb., o Policii České republiky, ve znění pozdějších předpisů, a zákon č. 553/1991 Sb., o obecní policii, ve znění pozdějších předpisů.

7) Například zákon č. 61/1996 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a o změně a doplnění souvisejících zákonů, ve znění pozdějších předpisů, zákon č. 141/1961 Sb., o trestním řízení soudním (trestní řád), ve znění pozdějších předpisů, a zákon č. 200/1990 Sb., o přestupcích, ve znění pozdějších předpisů.

8) Například zákon č. 241/2000 Sb., o hospodářských opatřeních pro krizové stavy a o změně některých souvisejících zákonů, ve znění pozdějších předpisů, zákon č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon), ve znění zákona č. 320/2002 Sb., a zákon č. 148/1998 Sb., o ochraně utajovaných skutečností a o změně některých zákonů, ve znění pozdějších předpisů.

9) Například zákon č. 218/2000 Sb., o rozpočtových pravidlech a o změně některých souvisejících zákonů (rozpočtová pravidla), ve znění pozdějších předpisů, zákon č. 250/2000 Sb., o rozpočtových pravidlech územních rozpočtů, ve znění pozdějších předpisů, zákon č. 6/1993 Sb., o České národní bance, ve znění pozdějších předpisů, a zákon č. 212/1992 Sb., o soustavě daní, ve znění zákona č. 302/1993 Sb.

10) Například zákon č. 166/1993 Sb., o Nejvyšším kontrolním úřadu, ve znění pozdějších předpisů, zákon č. 337/1992 Sb., o správě daní a poplatků, ve znění pozdějších předpisů, a zákon č. 552/1991 Sb., o státní kontrole, ve znění pozdějších předpisů.

10a) Zákon č. 140/1996 Sb., o zpřístupnění svazků vzniklých činností bývalé Státní bezpečnosti, ve znění zákona č. 107/2002 Sb.

11) Například zákon č. 13/1993 Sb., celní zákon, ve znění pozdějších předpisů.

12) Například zákon č. 111/1998 Sb., o vysokých školách a o změně a doplnění dalších zákonů (zákon o vysokých školách), ve znění pozdějších předpisů, zákon č. 564/1990 Sb., o státní správě a samosprávě ve školství, ve znění pozdějších předpisů, zákon č. 153/1994 Sb., o zpravodajských službách České republiky, ve znění pozdějších předpisů, zákon č. 154/2000 Sb., o šlechtění, plemenitbě a evidenci hospodářských zvířat a o změně některých souvisejících zákonů (plemenářský zákon), ve znění pozdějších předpisů, zákon č. 166/1999 Sb., o veterinární péči a o změně některých souvisejících zákonů (veterinární zákon), ve znění pozdějších předpisů, zákon č. 246/1992 Sb., na ochranu zvířat proti týrání, ve znění pozdějších předpisů, zákon č. 147/1996 Sb., o rostlinolékařské péči a změnách některých souvisejících zákonů, ve znění pozdějších předpisů, a zákon č. 219/2003 Sb., o uvádění do oběhu osiva a sadby pěstovaných rostlin a o změně některých zákonů (zákon o oběhu osiva a sadby).

13) Zákon č. 81/1966 Sb., o periodickém tisku a o ostatních hromadných informačních prostředcích, ve znění pozdějších předpisů.

 

15) Například zákon č. 20/1966 Sb., o péči o zdraví lidu, ve znění pozdějších předpisů, zákon č. 258/2000 Sb., o ochraně veřejného zdraví a o změně některých souvisejících zákonů, ve znění pozdějších předpisů, zákon č. 48/1997 Sb., o veřejném zdravotním pojištění a o změně a doplnění některých souvisejících zákonů, ve znění pozdějších předpisů, zákon č. 280/1992 Sb., o resortních, oborových, podnikových a dalších zdravotních pojišťovnách, ve znění pozdějších předpisů, zákon č. 551/1991 Sb., o Všeobecné zdravotní pojišťovně České republiky, ve znění pozdějších předpisů, a zákon č. 592/1992 Sb., o pojistném na všeobecné zdravotní pojištění, ve znění pozdějších předpisů.

15a) Například zákon č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení, ve znění pozdějších předpisů.

16) Například zákon č. 65/1965 Sb., zákoník práce, ve znění pozdějších předpisů, zákon č. 1/1992 Sb., o mzdě, odměně za pracovní pohotovost a o průměrném výdělku, ve znění pozdějších předpisů, zákon č. 218/2002 Sb., o službě státních zaměstnanců ve správních úřadech a o odměňování těchto zaměstnanců a ostatních zaměstnanců ve správních úřadech (služební zákon), ve znění pozdějších předpisů, a zákon č. 1/1991 Sb., o zaměstnanosti, ve znění pozdějších předpisů.

18) Například zákon č. 123/1998 Sb., o právu na informace o životním prostředí, zákon č. 367/1990 Sb., o obcích (obecní zřízení), ve znění pozdějších předpisů, zákon č. 106/1999 Sb., o svobodném přístupu k informacím.

19) Například zákon č. 148/1998 Sb., ve znění pozdějších předpisů, zákon č. 89/1995 Sb., zákon č. 20/1966 Sb., ve znění pozdějších předpisů, zákon č. 15/1998 Sb., o Komisi pro cenné papíry a o změně a doplnění dalších zákonů.

20) Například § 167 a 168 zákona č. 140/1961 Sb., trestní zákon, ve znění pozdějších předpisů, zákon č. 21/1992 Sb., o bankách, ve znění pozdějších předpisů, zákon č. 20/1966 Sb., ve znění pozdějších předpisů.

22) § 13 občanského zákoníku.

23) Zákon č. 40/1964 Sb., ve znění pozdějších předpisů.

24) Zákon č. 513/1991 Sb., obchodní zákoník, ve znění pozdějších předpisů.

1a) Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních dat č. 108, vyhlášená pod č. 115/2001 Sb. m. s.

25) Například § 5c zákona č. 1/1991 Sb., o zaměstnanosti, ve znění zákona č. 167/1999 Sb., zákona č. 155/2000 Sb. a zákona č. 220/2002 Sb., § 71a zákona č. 325/1999 Sb., o azylu a o změně zákona č. 283/1991 Sb., o Policii České republiky, ve znění pozdějších předpisů, (zákon o azylu), ve znění zákona č. 2/2002 Sb., § 35 odst. 3 zákona č. 359/1999 Sb., o sociálně-právní ochraně dětí, ve znění pozdějších předpisů, a § 4a odst. 3 zákona č. 13/1993 Sb., celní zákon, ve znění zákona č. 1/2002 Sb.

25a) Článek 8 odst. 6 a článek 26 odst. 3 Směrnice č. 95/46/ES.

26) Zákon č. 552/1991 Sb., o státní kontrole, ve znění pozdějších předpisů.

27) § 12 zákona č. 153/1994 Sb.

26a) Zákon č. 236/1995 Sb., o platu a dalších náležitostech spojených s výkonem funkce představitelů státní moci a některých státních orgánů a soudců, ve znění pozdějších předpisů.

 

28) Zákon č.143/1992 Sb., o platu a odměně za pracovní pohotovost v rozpočtových a některých dalších organizacích a orgánech, ve znění zákona č.590/1992 Sb., zákona č.10/1993 Sb., zákona č.40/1994 Sb., zákona č.118/1995 Sb. a zákona č.201/1997 Sb., Nařízení vlády ČR č.253/1992 Sb., o platových poměrech zaměstnanců orgánů státní správy, některých dalších orgánů a obcí, ve znění nařízení vlády č.43/1993 Sb., nařízení vlády č.78/1994 Sb., nařízení vlády č.142/1995 Sb., nařízení vlády č.71/1996 Sb., nařízení vlády č.326/1996 Sb., nařízení vlády č.163/1997 Sb. a č.248/1998 Sb.

29) Zákon č.119/1992 Sb., o cestovních náhradách, ve znění zákona č.44/1994 Sb., zákona č.125/1998 Sb. a zákona č.324/1998 Sb.

30) Zákon č. 451/1991 Sb.

30) Zákon č. 451/1991 Sb.

31) Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti.

32) Zákon č. 71/1967 Sb., o správním řízení (správní řád), ve znění zákona č. 29/2000 Sb.

26) Zákon č. 552/1991 Sb., o státní kontrole, ve znění pozdějších předpisů.

34) Zákon č. 337/1992 Sb., o správě daní a poplatků.