Hlavním cílem zákona o zpracování osobních údajů je transpozice směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV (dále jen „Trestněprávní směrnice“). Zákon o zpracování osobních údajů rovněž adaptuje český právní řád na relevantní ustanovení Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „Nařízení“) a zajišťuje tak soulad vnitrostátní právní úpravy s Nařízením. Přestože je Nařízení účinné již od 25. května 2018, adaptační právní předpis, tj. zákon o zpracování osobních údajů, dosud nebyl schválen.

V této souvislosti považuji za důležité zdůraznit, že na rozdíl od Směrnice o ochraně osobních údajů,[1] která byla Nařízením zrušena, však Nařízení nepředpokládá a ani neumožňuje jeho provedení v rámci národní legislativy, pokud tak není Nařízením výslovně umožněno. V důsledku přijetí tohoto zákona tak dojde ke zpřesnění určitých případů zpracování osobních údajů, u nichž to Nařízení výslovně umožňuje.

V tomto článku bych ráda poukázala na některé z nejdůležitějších bodů vycházejících z návrhu zákona o zpracování osobních údajů ve znění schváleném Poslaneckou sněmovnou České republiky.

Nařízení umožňuje v ustanovení čl. 8 členským státům stanovit právním předpisem nižší věk než jím určených šestnáct let pro způsobilost dítěte k udělení on-line souhlasu se zpracováním osobních údajů. V ustanovení § 7 návrhu zákona o zpracování osobních údajů je uvedeno, že dítě získává způsobilost k udělení on-line souhlasu se zpracováním osobních údajů v souvislosti s nabídkou služeb informační společnosti dovršením patnáctého roku věku. V Poslanecké sněmovně však bylo diskutováno snížení této hranice na třináct let (tj. nejnižší povolená spodní hranice dle Nařízení), nakonec však tato navrhovaná změna nebyla schválena.

Důvodová zpráva k návrhu zákona o zpracování osobních údajů poukazuje na problémy a rizika hrozící dětem v souvislosti s informačními technologiemi jako kyberšikana či neuvážené poskytování, případně zveřejňování některých osobních údajů ze strany dětí. Z těchto důvodů byla zachována původně navrhovaná věková hranice patnácti let.

V této souvislosti podotýkám, že Nařízení se nezabývá v souvislosti se službami informační společnosti způsobilostí dítěte pro odvolání on-line souhlasu a pro uplatnění dalších základních práv subjektů údajů daných Nařízením. Je však nesporné, že dítě způsobilé k udělení on-line souhlasu bude způsobilé i k jeho odvolání a stejně tak k uplatnění všech jeho práv (právo na opravu, výmaz, omezení zpracování, atd.) ve vztahu k těm zpracováním osobních údajů, k nimž dítě dalo souhlas.[2]

Ustanovení § 11 návrhu zákona o zpracování osobních údajů stanoví výjimky pro uplatnění práv subjektů údajů dle Nařízení (a tomu odpovídající omezení povinností subjektů údajů). Toto oprávnění limitace základních práv subjektů údajů vychází z čl. 23 odst. 1 Nařízení. Každý správce osobních údajů tak bude oprávněn omezit své povinnosti ve vztahu k ustanovením čl. 12 až 22 Nařízení, aby zajistil chráněné zájmy specifikované v ustanovení § 6 odst. 2 návrhu zákona o zpracování osobních údajů[3], je-li to nezbytné a přiměřené. Přistoupí-li správce nebo zpracovatel osobních údajů k limitaci těchto povinností, je povinen toto omezení oznámit neprodleně Úřadu pro ochranu osobních údajů.

Ustanovení článku 85 Nařízení ukládá členským státům povinnost uvést prostřednictvím právních předpisů právo na ochranu osobních údajů podle Nařízení do souladu s právem na svobodu projevu a informací, včetně zpracování pro novinářské účely a pro účely akademického, uměleckého či literárního projevu. Ustanovení § 17 až § 23 návrhu zákona o zpracování osobních údajů jsou koncipována tak, že je respektována potřeba ochrany osobních údajů, zároveň však zohledňují specifika zejména novinářské práce. Avizovaným cílem předmětné úpravy dle důvodové zprávy k tomuto návrhu je „v mezích možností zachovat dosavadní stav a standard zejména novinářské práce, nikoliv rozšiřovat, ale ani zužovat, prostor svobody tisku.“[4]

V důsledku pozměňovacích návrhů poslanců jsou v ustanovení § 18 (v původním návrhu v ustanovení § 17) návrhu zákona o zpracování osobních údajů posíleny výjimky z povinnosti správce osobních údajů poskytnout informace o jeho identitě. Nově tak správce nemusí poskytnout informaci o své identitě také tehdy, pokud subjekt údajů může zpracování pro dané účely očekávat nebo by poskytnutí informace o identitě správce ohrozilo nebo zmařilo účel zpracování osobních údajů, je-li takový postup nutný k dosažení oprávněného účelu zpracování osobních údajů, zejména v záležitostech veřejného zájmu.

Pokud jde o informace, které nebyly správcem uveřejněny a jsou zpracovány pouze za novinářským účelem, tak v tomto případě pro správce neplatí povinnost informovat na základě žádosti subjektu údajů, jíž uplatňuje právo na přístup k osobním údajům představující jedno z nejdůležitějších práv subjektů údajů vyplývajících z Nařízení.

Ochrana novinářského zdroje vyplývá z ustanovení 19 odst. 3 návrhu zákona o zpracování osobních údajů, dle něhož se na zpracování osobních údajů pro daný účel nevztahuje povinnost správce osobních údajů informovat subjekt údajů o zdroji osobních údajů.

Návrh zákona o zpracování osobních údajů umožňuje v ustanovení § 10 správcům osobních údajů neprovádět posuzování vlivu na ochranu osobních údajů (DPIA) za předpokladu, že právní předpis stanoví povinnost provést takové zpracování osobních údajů.

Čl. 83 odst. 7 Nařízení umožňuje členským státům snížit horní hranici pokuty udělované orgánům veřejné moci a veřejným subjektům usazeným v členském státě. Česká republika tohoto oprávnění využila a v ustanovení § 62 odst. 5 návrhu zákona o zpracování osobních údajů snížila horní hranici správních pokut udělovaných orgánům veřejné moci a veřejným subjektům na částku 10 000 000 Kč.

Návrh zákona o zpracování osobních údajů využívá možnosti stanovené Nařízením a přistupuje ještě k nižší výši správních pokut, jež mají být udělovány obcím, které nevykonávají přenesenou působnost v rozsahu obecního úřadu obce s rozšířenou působností, dobrovolným svazům takových obcí a jimi zřizovaným příspěvkovým organizacím a právnickým osobám vykonávajícím činnost školy nebo školského zařízení.

[1] Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.

[2] Srov. důvodovou zprávu k § 7 návrhu zákona o zpracování osobních údajů.

[3] Např. obranné nebo bezpečnostní zájmy České republiky, veřejný pořádek a vnitřní bezpečnost, ochrana nezávislosti soudů a soudců, aj.

[4] Důvodová zpráva k § 18 návrhu zákona o zpracování osobních údajů.

© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz