30. 5. 2019
ID: 109312upozornění pro uživatele
Nový zákon o zpracování osobních údajů
Dlouho očekávaný zákon č. 110/2019 Sb., o zpracování osobních údajů (dále pouze jako „Adaptační zákon“) upřesňující Obecné nařízení o ochraně osobních údajů (dále pouze jako „Nařízení GDPR“) vešel ke dni 24. 4. 2019 vyhlášením ve sbírce zákonů v účinnost. Vejitím Adaptačního zákona v účinnost bylo do českého právního řádu zakotveno několik desítek ustanovení, jejichž cílem je upřesnit práva a povinnosti vyplývající z Nařízení GDPR, přičemž je nezbytné uvést, že jedním z důsledků jeho vejití v účinnost, je zrušení dosud účinného zákona č. 101/2000 Sb., o ochraně osobních údajů.
Na úvod považujeme za nezbytné uvést, že dikce Nařízení GDPR umožňuje členským státům úpravu některých právních institutů vnitrostátní legislativou, přičemž dává rovněž možnost upřesnit či jinak rozvést již v Nařízení GDPR zakotvená ustanovení a umožňuje tak zákonodárci odchýlit se od obecné úpravy a přijmout určité národní výjimky, které jsou lépe uzpůsobeny konkrétnímu právnímu prostředí. Adaptační zákon je tedy výsledkem této vnitrostátní snahy o zpřesnění právní úpravy v oblasti ochrany osobních údajů. Je nutné také zdůraznit, že nařízení GDPR, jakožto přímo účinný právní předpis, bude i nadále aplikováno, avšak již ve světle výjimek a upřesnění stanovených novým Adaptačním zákonem. Přijetím nového zákona došlo také k ukotvení pozice Úřadu pro ochranu osobních údajů (dále pouze jako „Úřad“ nebo „ÚOOÚ“), který má nyní jasně vymezené pravomoci k vymáhání postihů za nedodržování pravidel stanovených legislativou v oblasti ochrany osobních údajů.
Co se týče obsahu Adaptačního zákona, tento nový zákon konkretizuje především některá obecná ustanovení Nařízení GDPR, která se týkají věkové hranice k udělení souhlasu se zpracováním osobních údajů nebo ustanovení týkající se výše pokut nebo informační povinnosti správce osobních údajů. Zároveň s Adaptačním zákonem vešel v účinnost také doprovodný zákon č. 111/2019 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o zpracování osobních údajů, kdy tento zákon dopadá pouze na orgány veřejné moci při výkonu veřejné moci.
Adaptační zákon
V následujících odstavcích si dovolujeme stručně nastínit hlavní změny, které nový Adaptační zákon do českého právního řádu přinesl. Zároveň si dovolujeme v hrubých obrysech naznačit, jaké mohou být dopady těchto změn pro praxi v oblasti ochrany osobních údajů.
Přijetím Adaptačního zákona došlo k upřesnění věkové hranice u dětí, které jsou způsobilé k udělení souhlasu se zpracováním osobních údajů. Hranici způsobilosti dítěte udělit takovýto souhlas snížil zákonodárce oproti Nařízení GDPR o 1 rok, tedy na 15 let, přičemž se zároveň jedná o hranici, od které již není zapotřebí udělení souhlasu zákonným zástupcem. V této souvislosti je nezbytné rovněž poznamenat, že uvedenou věkovou hranici je nezbytné vykládat v souvislosti s ustanoveními zákona č. 89/2012 Sb., občanský zákoník[1], a to vzhledem k rozumové a volní vyspělosti nezletilého a také vzhledem k povaze účelu zpracování poskytnutých osobních údajů. Z předchozího vyplývá, že souhlas udělený dítětem může být v některých případech neplatný, a to i při překročení věkové hranice 15 let. O neplatný souhlas dítěte staršího 15 let se může jednat například v situacích, kdy je souhlas udělen k dlouhodobému zpracování jeho osobních údajů.
Vejitím adaptačního zákona v účinnost byly také upřesněny informační povinnosti správce osobních údajů zpracovávajícího osobní údaje na základě zákonné povinnosti nebo ve veřejném zájmu či při výkonu veřejné moci. Takový správce splní podle Adaptačního zákona svou informační povinnost obsaženou v článku 13 a 14 Nařízení GDPR zveřejněním potřebných informací na svých internetových stránkách.
Adaptační zákon dále zmírňuje povinnost správce stanovenou ve čl. 35 Nařízení GDPR, která spočívá v povinnosti vypracovat posouzení vlivu na ochranu osobních údajů v případě pravděpodobnosti rizika při systematickém a rozsáhlém zpracování osobních údajů.[2] Tuto povinnost podle Adaptačního zákona nemá správce, který zpracovává osobní údaje na základě zákonné povinnosti.
Velmi důležitou novinkou je, že Adaptační zákon specifikuje zpracování osobních údajů na základě novinářské, akademické, umělecké, nebo literární licence a posuzování přiměřenosti takového zpracování. Zákon při zpracování na základě výše popsaných licencí stanovuje výjimku z poučovací a informační povinnosti správce, kdy stačí, aby byl subjekt údajů informován o identitě správce pouze v grafické podobě, tedy průkazem nebo označením, a to například ústně či jiným vhodným způsobem. Takovéto stručné poučení je však dostatečné pouze v případech, kdy jsou zásady ochrany osobních údajů (privacy policy) informující o právech subjektů údajů zveřejněny na internetových stránkách správce. Tyto informace je však možno v odůvodněných případech neposkytnout. Takovým případem může být například situace, kdy subjekt údajů již takové informace má nebo v případech, kdy takovéto poskytnutí vyžaduje nepřiměřené úsilí.[3]
V souvislosti se zpracováním osobních údajů na základě výše popsaných licencí došlo rovněž k omezení práva subjektu údajů na vznesení námitky proti zpracování osobních údajů. Na rozdíl od Nařízení GDPR, ve kterém je v případě vznesení námitky další zpracování osobních údajů podmíněno prokázáním jeho oprávněnosti ze strany správce, zakotvuje Adaptační zákon povinnost namítajícího subjektu údajů uvedení konkrétních důvodů neoprávněnosti zpracování. Správce pak v případě vznesení námitky pouze posuzuje, zda subjekt údajů námitkou osvědčil, že jeho zájem převažuje nad zájmem na uveřejnění osobních údajů, které se jej týkají.
Přestupky
Vejitím Adaptačního zákona v účinnost došlo také ke změně systému správního trestání v případě neplnění některé z povinností nebo porušení některého ze zákazů v oblasti ochrany osobních údajů. Český zákonodárce v novém zákoně očekávaným způsobem snížil horní hranice správních pokut, které lze za jednotlivá porušení právních předpisů uložit.
Za přestupek spočívající v porušení zákazu zveřejnění osobních údajů stanoveného jiným právním předpisem[4], je možné uložit pokutu do maximální výše 1 000 000 Kč, popřípadě 5 000 000 Kč, v případech, kdy se jedná o přestupek spáchaný prostřednictvím tisku, filmu, rozhlasu, televizí, veřejně přístupnou počítačovou sítí nebo jiným obdobně účinným způsobem. Z této odpovědnosti jsou vyňaty orgány veřejné moci, u kterých ÚOOÚ upustí od uložení pokuty v případě, že se takového přestupku dopustí.
Za přestupky specifikované v Adaptačním zákoně, lze uložit pokuty s horní hranicí 10 000 000 Kč, tudíž došlo ke značnému snížení výše sankcí oproti sankcím v Nařízení GDPR, jejichž horní hranice činily u nejzávažnějších porušení až 20 000 000 EUR nebo 4 % celosvětového ročního obratu. Pro úplnost je nezbytné zmínit, že přestupky ve smyslu Adaptačního zákona projednává a ÚOOÚ, přičemž za ně, jakožto ústřední správní orgán, vybírá pokuty. Tuto skutečnost rovněž český zákonodárce zakotvil explicitně v § 64 Adaptačního zákona.
Pokuty, které již Úřad udělil
Z informací zveřejňovaných ÚOOÚ, a to nejen ve vztahu k jeho dozorové činnosti lze dojít k závěru[5], že si Úřad obecně při udělování pokut dosud zachovával zdrženlivost, a to i po přijetí Nařízení GDPR v loňském roce. V poslední měsících však lze vysledovat ze strany Úřadu změnu v přístupu. ÚOOÚ již za nesoulad s GDPR udělil nejméně 8 pokut, přičemž některé z těchto pokut se pohybují dokonce v řádech stovek tisíc korun.
S ohledem na předchozí odstavec lze v souvislosti s účinností Adaptačního zákona, který výslovně upravuje pravomoc ÚOOÚ k vymáhání sankcí, očekávat vzrůstající tendenci, co do výše a četnosti udělovaných pokut. V této souvislosti je ovšem není možné nezmínit institut opatření k odstranění následků, který ponechává Úřadu možnost uložit v konkrétních případech správcům opatření k odstranění zjištěných nedostatků a stanovit k odstranění těchto nedostatků přiměřenou lhůtu. Pokutu Úřad uděluje až následně, a to pouze při nedodržení stanoveného opatření. Popsaný institut tedy slouží jako jakási forma „varování“. Je rovněž nezbytné doplnit, že Úřad dosud postupoval při kontrolách spíše zdrženlivě a snaží se správce, případně zpracovatele, spíše napravovat pomocí upozornění a výzev, než je okamžitě trestat, zejména pak v bagatelních záležitostech.[6] V tomto přístupu zamýšlí Úřad podle slov svého vedení pokračovat.
Závěr
Čerstvě účinný Adaptační zákon společně s Doprovodným zákonem zakotvují zpřesňující ustanovení obecné úpravy obsažené v Nařízení GDPR. Mezi nejdůležitější změny patří především zesílení pozice veřejného zájmu na úkor práv subjektů údajů, což se promítá zejména v omezení práva na námitku a omezení informační povinnosti správce osobních údajů, u něhož se při zpracování osobních údajů projevuje veřejný zájem. Zákon také upravuje věkovou hranici pro souhlas se zpracováním u nezletilých a zakotvuje rovněž nové skutkové podstaty přestupků za porušení pravidel při zpracování osobních údajů. Jako pozitivní změnu lze označit zlepšení pozice správců, kteří zpracovávají osobní údaje při plnění právní povinnosti nebo při výkonu veřejné moci, jejichž povinnosti jsou Adaptačním zákonem omezeny v souvislosti s již zmíněným posílením veřejného zájmu. Jako přínosné lze vnímat zakotvení výjimky z informační povinnosti pro novináře, kdy nově postačí pouze krátké poučení subjektu údajů.
Úplným závěrem je nezbytné shrnout, že dopady Adaptačního zákona budou s největší pravděpodobností pro praxi pouze marginální, kdy jeho dikce pouze převážně upřesňuje již Nařízením GDPR stanovená práva a povinnosti.
Mgr. Tomáš Chlebus,
advokátní koncipient
Jakub Dostál,
právní asistent
Adaptační zákon
V následujících odstavcích si dovolujeme stručně nastínit hlavní změny, které nový Adaptační zákon do českého právního řádu přinesl. Zároveň si dovolujeme v hrubých obrysech naznačit, jaké mohou být dopady těchto změn pro praxi v oblasti ochrany osobních údajů.
Přijetím Adaptačního zákona došlo k upřesnění věkové hranice u dětí, které jsou způsobilé k udělení souhlasu se zpracováním osobních údajů. Hranici způsobilosti dítěte udělit takovýto souhlas snížil zákonodárce oproti Nařízení GDPR o 1 rok, tedy na 15 let, přičemž se zároveň jedná o hranici, od které již není zapotřebí udělení souhlasu zákonným zástupcem. V této souvislosti je nezbytné rovněž poznamenat, že uvedenou věkovou hranici je nezbytné vykládat v souvislosti s ustanoveními zákona č. 89/2012 Sb., občanský zákoník[1], a to vzhledem k rozumové a volní vyspělosti nezletilého a také vzhledem k povaze účelu zpracování poskytnutých osobních údajů. Z předchozího vyplývá, že souhlas udělený dítětem může být v některých případech neplatný, a to i při překročení věkové hranice 15 let. O neplatný souhlas dítěte staršího 15 let se může jednat například v situacích, kdy je souhlas udělen k dlouhodobému zpracování jeho osobních údajů.
Vejitím adaptačního zákona v účinnost byly také upřesněny informační povinnosti správce osobních údajů zpracovávajícího osobní údaje na základě zákonné povinnosti nebo ve veřejném zájmu či při výkonu veřejné moci. Takový správce splní podle Adaptačního zákona svou informační povinnost obsaženou v článku 13 a 14 Nařízení GDPR zveřejněním potřebných informací na svých internetových stránkách.
Adaptační zákon dále zmírňuje povinnost správce stanovenou ve čl. 35 Nařízení GDPR, která spočívá v povinnosti vypracovat posouzení vlivu na ochranu osobních údajů v případě pravděpodobnosti rizika při systematickém a rozsáhlém zpracování osobních údajů.[2] Tuto povinnost podle Adaptačního zákona nemá správce, který zpracovává osobní údaje na základě zákonné povinnosti.
Velmi důležitou novinkou je, že Adaptační zákon specifikuje zpracování osobních údajů na základě novinářské, akademické, umělecké, nebo literární licence a posuzování přiměřenosti takového zpracování. Zákon při zpracování na základě výše popsaných licencí stanovuje výjimku z poučovací a informační povinnosti správce, kdy stačí, aby byl subjekt údajů informován o identitě správce pouze v grafické podobě, tedy průkazem nebo označením, a to například ústně či jiným vhodným způsobem. Takovéto stručné poučení je však dostatečné pouze v případech, kdy jsou zásady ochrany osobních údajů (privacy policy) informující o právech subjektů údajů zveřejněny na internetových stránkách správce. Tyto informace je však možno v odůvodněných případech neposkytnout. Takovým případem může být například situace, kdy subjekt údajů již takové informace má nebo v případech, kdy takovéto poskytnutí vyžaduje nepřiměřené úsilí.[3]
V souvislosti se zpracováním osobních údajů na základě výše popsaných licencí došlo rovněž k omezení práva subjektu údajů na vznesení námitky proti zpracování osobních údajů. Na rozdíl od Nařízení GDPR, ve kterém je v případě vznesení námitky další zpracování osobních údajů podmíněno prokázáním jeho oprávněnosti ze strany správce, zakotvuje Adaptační zákon povinnost namítajícího subjektu údajů uvedení konkrétních důvodů neoprávněnosti zpracování. Správce pak v případě vznesení námitky pouze posuzuje, zda subjekt údajů námitkou osvědčil, že jeho zájem převažuje nad zájmem na uveřejnění osobních údajů, které se jej týkají.
Přestupky
Vejitím Adaptačního zákona v účinnost došlo také ke změně systému správního trestání v případě neplnění některé z povinností nebo porušení některého ze zákazů v oblasti ochrany osobních údajů. Český zákonodárce v novém zákoně očekávaným způsobem snížil horní hranice správních pokut, které lze za jednotlivá porušení právních předpisů uložit.
Za přestupek spočívající v porušení zákazu zveřejnění osobních údajů stanoveného jiným právním předpisem[4], je možné uložit pokutu do maximální výše 1 000 000 Kč, popřípadě 5 000 000 Kč, v případech, kdy se jedná o přestupek spáchaný prostřednictvím tisku, filmu, rozhlasu, televizí, veřejně přístupnou počítačovou sítí nebo jiným obdobně účinným způsobem. Z této odpovědnosti jsou vyňaty orgány veřejné moci, u kterých ÚOOÚ upustí od uložení pokuty v případě, že se takového přestupku dopustí.
Za přestupky specifikované v Adaptačním zákoně, lze uložit pokuty s horní hranicí 10 000 000 Kč, tudíž došlo ke značnému snížení výše sankcí oproti sankcím v Nařízení GDPR, jejichž horní hranice činily u nejzávažnějších porušení až 20 000 000 EUR nebo 4 % celosvětového ročního obratu. Pro úplnost je nezbytné zmínit, že přestupky ve smyslu Adaptačního zákona projednává a ÚOOÚ, přičemž za ně, jakožto ústřední správní orgán, vybírá pokuty. Tuto skutečnost rovněž český zákonodárce zakotvil explicitně v § 64 Adaptačního zákona.
Pokuty, které již Úřad udělil
Z informací zveřejňovaných ÚOOÚ, a to nejen ve vztahu k jeho dozorové činnosti lze dojít k závěru[5], že si Úřad obecně při udělování pokut dosud zachovával zdrženlivost, a to i po přijetí Nařízení GDPR v loňském roce. V poslední měsících však lze vysledovat ze strany Úřadu změnu v přístupu. ÚOOÚ již za nesoulad s GDPR udělil nejméně 8 pokut, přičemž některé z těchto pokut se pohybují dokonce v řádech stovek tisíc korun.
S ohledem na předchozí odstavec lze v souvislosti s účinností Adaptačního zákona, který výslovně upravuje pravomoc ÚOOÚ k vymáhání sankcí, očekávat vzrůstající tendenci, co do výše a četnosti udělovaných pokut. V této souvislosti je ovšem není možné nezmínit institut opatření k odstranění následků, který ponechává Úřadu možnost uložit v konkrétních případech správcům opatření k odstranění zjištěných nedostatků a stanovit k odstranění těchto nedostatků přiměřenou lhůtu. Pokutu Úřad uděluje až následně, a to pouze při nedodržení stanoveného opatření. Popsaný institut tedy slouží jako jakási forma „varování“. Je rovněž nezbytné doplnit, že Úřad dosud postupoval při kontrolách spíše zdrženlivě a snaží se správce, případně zpracovatele, spíše napravovat pomocí upozornění a výzev, než je okamžitě trestat, zejména pak v bagatelních záležitostech.[6] V tomto přístupu zamýšlí Úřad podle slov svého vedení pokračovat.
Závěr
Čerstvě účinný Adaptační zákon společně s Doprovodným zákonem zakotvují zpřesňující ustanovení obecné úpravy obsažené v Nařízení GDPR. Mezi nejdůležitější změny patří především zesílení pozice veřejného zájmu na úkor práv subjektů údajů, což se promítá zejména v omezení práva na námitku a omezení informační povinnosti správce osobních údajů, u něhož se při zpracování osobních údajů projevuje veřejný zájem. Zákon také upravuje věkovou hranici pro souhlas se zpracováním u nezletilých a zakotvuje rovněž nové skutkové podstaty přestupků za porušení pravidel při zpracování osobních údajů. Jako pozitivní změnu lze označit zlepšení pozice správců, kteří zpracovávají osobní údaje při plnění právní povinnosti nebo při výkonu veřejné moci, jejichž povinnosti jsou Adaptačním zákonem omezeny v souvislosti s již zmíněným posílením veřejného zájmu. Jako přínosné lze vnímat zakotvení výjimky z informační povinnosti pro novináře, kdy nově postačí pouze krátké poučení subjektu údajů.
Úplným závěrem je nezbytné shrnout, že dopady Adaptačního zákona budou s největší pravděpodobností pro praxi pouze marginální, kdy jeho dikce pouze převážně upřesňuje již Nařízením GDPR stanovená práva a povinnosti.
Mgr. Tomáš Chlebus,
advokátní koncipient
Jakub Dostál,
právní asistent
Jurečkova 643/20
702 00 Ostrava
Tel: +420 597 822 461
e-mail: info@v4legal.sk
© EPRAVO.CZ – Sbírka zákonů , judikatura, právo | www.epravo.cz
