Poslat článek emailem

*) povinné položky
19. 9. 2017
ID: 106385upozornění pro uživatele

Nový návrh zákona o zpracování osobních údajů: česká adaptace GDPR a dvojí metr při ukládání pokut?

Dne 18. srpna 2017 byl zveřejněn návrh zákona o zpracování osobních údajů („Návrh zákona“) z dílny Ministerstva vnitra, který byl připraven ve spolupráci s Úřadem pro ochranu osobních údajů a má nahradit stávající zákon č. 101/2000 Sb., o ochraně osobních údajů. Jaké zásadní změny přináší Návrh zákona v souvislosti s adaptací českého právního řádu na obecné nařízení o ochraně osobních údajů?

 
 Ambruz & Dark Deloitte Legal s.r.o., advokátní kancelář
 
Návrh zákona reaguje na přijetí Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) („GDPR“). Do návrhu zákona se taky promítla implementace Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně osobních údajů fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV a zavádí i některé změny ve fungování Úřadu pro ochranu osobních údajů („Úřad“).

Návrh zákona neduplikuje jednotlivé články GDPR, ale upravuje vesměs ty instituty, kde byla členským státům dána možnost vlastního uvážení při volbě vhodné právní úpravy. Za nejzásadnější připravované změny v souvislostí s adaptací na požadavky GDPR lze považovat:

  • Souhlas zákonného zástupce se zpracováním osobních údajů v souvislosti s elektronicky poskytovanými službami dítěti mladšímu 13 let. Čl. 8 odst. 1 GDPR stanovuje věkovou hranici 16 let, zároveň však členským státům dává možnost stanovit nižší věkovou hranici, ne však nižší než 13 let. Z ustanovení § 6 Návrhu zákona je patrné, že předkladatel návrhu zákona se rozhodl věkovou hranici snížit na nejnižší možný věk. To znamená, že souhlas zákonného zástupce by byl nově nutný např. v případě, kdy si dítě mladší 13 let založí uživatelský účet na webových stránkách Netflix, Spotify apod.
  • Mlčenlivost pověřence a jemu podřízených osob. Návrh zákona v ustanovení § 12 stanovuje zákonnou povinnost mlčenlivosti pověřence pro ochranu osobních údajů, která by se netýkala pouze pověřence, ale i jemu podřízených osob, které se podílejí na plnění jeho úkolů. Povinnost mlčenlivosti by trvala i po skončení výkonu činnosti. Zprostit pověřence a jemu podřízené osoby mlčenlivosti by byl oprávněn správce, popř. zpracovatel osobních údajů.
  • Definice veřejných subjektů. Problematika vymezení veřejných subjektů byla v posledním období předmětem mnoha debat. Dle ustanovení § 13 Návrhu zákona by za veřejný subjekt byl považován orgán zřízený zákonem nebo na základě zákona v oblasti práva veřejného, který plní zákonem stanovené úkoly ve veřejném zájmu. Definice by tak měla dopadat např. na Českou národní banku, Nejvyšší kontrolní úřad či veřejného ochránce práv. Lze však předpokládat, že v této souvislosti často diskutované další subjekty, na které byla v určitých oblastech delegována veřejná moc, např. stanice technické kontroly (STK), do uvedené definice spadat nejspíše nebudou.
  • Akreditace subjektů splňujících požadavky pro vydání osvědčení o ochraně osobních údajů. GDPR rovněž přineslo pro subjekty zpracující osobní údaje možnost získat osvědčení pro účely prokázání souladu zpracování s GDPR. Čl. 43 GDPR vyžaduje, aby členské státy určily, zda bude subjekty, které budou certifikovat splnění požadavků různých dobrovolných certifikátů ochrany soukromí, akreditovat dozorový úřad nebo akreditační úřad určený v souladu s Nařízením Evropského parlamentu a Rady č. 765/2008 (ES), kterým se stanoví požadavky na akreditaci a dozor nad trhem týkající se uvádění výrobků na trh a kterým se zrušuje nařízení (EHS) č. 339/93. Podle návrhu zákona musí být subjekty vydávající toto osvědčení akreditovány Českým institutem pro akreditaci, o.p.s.
Jak již bylo naznačeno v úvodu, návrh zákona se dotkne i fungování Úřadu. Zaniknout by měly registry zpracování osobních údajů, návrh zákona však stanovuje přechodnou lhůtu 18 měsíců ode dne účinnosti zákona, kdy budou informace zpracovávané v registru i nadále dostupné. To znamená, že povinnost registrace zpracování osobních údajů u Úřadu účinností GDPR zaniká.

Dále se již nepočítá s funkcí inspektorů. Nově budou strukturu Úřadu tvořit pouze předseda a dva místopředsedové. Stávající inspektoři by měli dokončit funkční období podle dosavadních předpisů a následně by měli kontroly řídit příslušně kvalifikovaní státní zaměstnanci Úřadu.

V kontextu ochrany osobních údajů upravuje návrh zákona rovněž problematiku přestupků, jichž se může fyzická nebo právnická osoba dopustit a sankce, které je za jejich spáchání možné uložit. Návrh zákona v ustanovení § 62 počítá s horní hranici pokuty ve výši 10 milionů Kč pro orgány veřejné moci, na rozdíl od podnikatelských subjektů, jímž lze uložit pokutu až do výše 20 milionů Kč. Předkladatel Návrhu zákona takové řešení odůvodňuje skutečností, že finanční prostředky těchto institucí zpravidla plynou z veřejných rozpočtů a zejména v případě institucí s menším rozpočtem by se de facto jednalo o formální přesuny finančních prostředků v rámci státního rozpočtu. Schválením návrhu zákona by tedy došlo k zavedení „dvojího metru“, kdy by podnikatelům za spáchání stejného přestupku mohla být uložená dvojnásobní výše pokuty než ministerstvům, obcím, soudům a dalším představitelům veřejné moci.

V současné době se obdobný zákon připravuje i na Slovensku. Na rozdíl od připravované české právní úpravy, která pouze odkazuje na GDPR a v podstatě toliko upřesňuje některé vybrané instituty, připravovaný slovenský zákon o ochraně osobních údajů jde do výrazně většího detailu, je podstatně obsáhlejší, neboť nejenom přejímá definice a zásady již obsažené v GDPR, ale zavádí vlastní definice (log, logování, šifrování apod.) a rovněž blíže upravuje např. proces podávání stížností pro porušení předpisů o zpracování osobních údajů a řízení o těchto stížnostech. V kontextu volby vlastní právní úpravy upravuje slovenský návrh zákona některé instituty odlišně od českého (např. setrvává na věkové hranici 16 let ani nedefinuje veřejné subjekty).

Oba návrhy zákonů jsou nicméně teprve na počátku legislativního procesu a pro tuto chvíli tak zůstává otevřené, v jaké podobě budou nakonec přijaty.  


Jaroslava Kračúnová

Jaroslava Kračúnová
,
advokátka

Lívia Kuľhová

Lívia Kuľhová
,
advokátní koncipientka


Ambruz & Dark Deloitte Legal s.r.o., advokátní kancelář

Karolinská 654/2
186 00  Praha 8

Tel.:    +420 246 042 100
Fax:    +420 246 042 030
e-mail:    legalcz@deloittece.com


© EPRAVO.CZ – Sbírka zákonů , judikatura, právo | www.epravo.cz