27. 6. 2019
ID: 109542upozornění pro uživatele

Zákon o zpracování osobních údajů - prováděcí úprava k GDPR z pohledu českého zákonodárce

Zdroj: shutterstock.com

Dne 24. dubna 2019 nabyl účinnosti zákon č. 110/2019 Sb., o zpracování osobních údajů (dále jen „zákon o zpracování osobních údajů“), kterým mimo jiné došlo ke zrušení zákona č. 101/2000 Sb., o ochraně osobních údajů (dále jen „zákon o ochraně osobních údajů“) či k přijetí podrobnější úpravy zpracování osobních údajů podle nařízení Evropského parlamentu a Rady (EU) 2016/679 (dále jen „GDPR“ nebo „nařízení GDPR“) na úrovni České republiky jakožto členského státu Evropské unie.

Původně měl tento právní předpis nabýt účinnosti současně s nařízením GDPR (tedy dne 25. května 2018). Vlivem velkého počtu pozměňovacích návrhů a kontroverzi některých navrhovaných ustanovení se však přijetí tohoto zákona oproti GDPR opozdilo o více než třičtvrtě roku.

Zákon o zpracování osobních údajů dotváří celý právní rámec a obsahuje jak povolené odchylky, tak zvláštní úpravu k GDPR. Tento článek si klade za cíl seznámit čtenáře s nejvýznamnějšími ustanoveními nového zákona o zpracování osobních údajů se zaměřením na ta ustanovení, kde byly členské státy nařízením GDPR zmocněny k možnosti přijetí vlastní právní úpravy.

Způsobilost dítěte pro udělení souhlasu se zpracováním osobních údajů

Článek 8 GDPR zakotvuje věkovou hranici pro samostatné udělení souhlasu se zpracováním osobních údajů nezletilým následovně:

Článek 8 GDPR

Podmínky použitelné na souhlas dítěte v souvislosti se službami informační společnosti

1. Pokud se použije čl. 6 odst. 1 písm. a) v souvislosti s nabídkou služeb informační společnosti přímo dítěti, je zpracování osobních údajů dítěte zákonné, je-li dítě ve věku nejméně 16 let. Je-li dítě mladší 16 let, je takové zpracování zákonné pouze tehdy a do té míry, pokud byl tento souhlas vyjádřen nebo schválen osobou, která vykonává rodičovskou zodpovědnost k dítěti. Členské státy mohou pro uvedené účely právním předpisem stanovit nižší věk, ne však nižší než 13 let.

Zákon o zpracování osobních údajů provádí článek 8 GDPR v § 7, kde stanoví, že dítě je způsobilé samostatně udělit souhlas se zpracováním osobních údajů v souvislosti s nabídkou služeb informační společnosti přímo jemu okamžikem dovršení patnáctého roku věku. Službami informační společnosti jsou přitom takové služby, které jsou poskytovány elektronickými prostředky na individuální žádost jejich uživatele podanou elektronickými prostředky (tj. především na internetu), poskytované zpravidla za úplatu. Jako příklad lze uvést sociální sítě (Facebook, Linkedln), úložiště (uložto, rajče), vyhledávače (Google), i WI-FI sítě. Zákonodárce v důvodové zprávě[1] k zákonu o zpracování osobních údajů odůvodnil snížení věkové hranice z 16 na 15 let snahou o nalezení určitého rozumného kompromisu, kdy takto nastavená věková hranice by měla zajistit dostatečnou ochranu nezletilých před problémy a riziky hrozícími v souvislosti s informačními technologiemi (nelegální obsah, kyberšikana aj.), zároveň by však měla zajistit nezletilým možnost samostatného fungování v reálném životě, a to včetně využívání e-mailových služeb, sociálních sítí nebo obdobných způsobů komunikace.

Výjimka z povinnosti posouzení vlivu zpracování osobních údajů na ochranu osobních údajů

Ustanovení § 10 zákona o zpracování osobních údajů reaguje na článek 35 GDPR, který zakotvuje povinnost správce údajů provést posouzení vlivu na ochranu osobních údajů v případě, kdy je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií a s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování, bude mít za následek vysoké riziko pro práva a svobody fyzických osob. Odstavec 10 předmětného článku 35 GDPR míří na situace, kdy je povinnost správce zpracovávat osobní údaje v konkrétním případě založena právním předpisem členského státu (jako příklad lze uvést zpracování osobních údajů zaměstnanců zaměstnavatelem pro účely sociálního pojištění) – v takovém případě není správce povinen provést posouzení vlivu zpracování na ochranu osobních údajů, ledaže by členský stát považoval takovou povinnost za nezbytnou a z toho důvodu ji správcům výslovně stanovil. Zákon o zpracování osobních údajů staví najisto, že správce osobních údajů v tomto případě takovou povinnost nemá, když explicitně uvádí, že:

§ 10 zákona o zpracování osobních údajů

Výjimka z povinnosti posouzení vlivu zpracování osobních údajů na ochranu osobních údajů

Správce nemusí provádět posouzení vlivu zpracování na ochranu osobních údajů před jeho zahájením, pokud mu právní předpis stanoví povinnost takové zpracování osobních údajů provést.

Výjimky z poučovací a informační povinnosti správce

Obecně má správce osobních údajů nařízením GDPR stanovené povinnosti poskytovat subjektu údajů informace o všech skutečnostech a právech souvisejících se zpracováním (například informace o totožnosti a kontaktních údajích správce, o účelech zpracování, o příjemcích osobních údajů, o právu subjektu údajů podat námitku, aj.), a to v okamžiku získání osobních údajů dotčeného subjektu.

V některých případech, a to zejména u novinářské činnosti (ale například i při zpracování osobních údajů pro účely akademického, uměleckého nebo literárního projevu), je pro řádný výkon této činnosti nezbytné chránit zdroj informací. Na tuto skutečnost reflektuje ustanovení § 18 zákona o zpracování osobních údajů, které stanoví, že správce může v těchto případech splnit svou informační povinnost také jakýmkoliv vhodným informováním subjektu údajů o identitě správce, přičemž informovat o identitě správce lze také vhodným přihlášením se k identitě správce, které může být provedeno grafickým označením, ústně či jiným vhodným způsobem. Informace o identitě správce je dostačující tehdy, je-li poučení správce o právech subjektu údajů a dalších skutečnostech veřejně dostupné způsobem umožňujícím dálkový přístup.

Odstavec 2 stejného paragrafu zakotvuje dále demonstrativně (příkladmo) případy, kdy není správce informace o své identitě povinen poskytnout vůbec – toto ustanovení míří na situace, kdy by poskytnutí informací o všech právech souvisejících se zpracováním osobních údajů v praxi přinášelo problémy, například pokud by poskytnutí takové informace vyžadovalo nepřiměřené úsilí.

Přestupky a sankce

Zákon o zpracování osobních údajů přinesl také nové skutkové podstaty přestupků na úseku ochrany osobních údajů, přičemž v ustanovení § 61 a násl. zákonodárce přistoupil k distinkci mezi soukromoprávními a veřejnoprávními subjekty. Maximální výše pokuty za spáchání přestupků zakotvených zákonem o zpracování osobních údajů může u soukromoprávních subjektů dosáhnout až 10 000 000,- Kč. U orgánů veřejné moci a veřejných subjektů usazených v členském státě je však situace odlišná – zákonodárce využil článku 83 odst. 7 GDPR, který členským státům umožňuje stanovit vlastní pravidla týkající se toho, zda a do jaké míry je možno ukládat správní pokuty orgánům veřejné moci a veřejným subjektům usazeným v daném členském státě, a v ustanovení § 61 odst. 3 a § 62 odst. 5 zákona o zpracování osobních údajů[2] zakotvil povinnost Úřadu pro ochranu osobních údajů upustit od uložení správního trestu, pokud se jich dopustil orgán veřejné moci nebo veřejný subjekt usazený v České republice, ať již jako fyzická osoba, právnická osoba, správce či zpracovatel osobních údajů:

§ 62 odst. 5 zákona o zpracování osobních údajů

Úřad upustí od uložení správního trestu také tehdy, jde-li o správce a zpracovatele uvedené v čl. 83 odst. 7 nařízení Evropského parlamentu a Rady (EU) 2016/679.

Za přestupky zakotvené v ustanovení § 61 a násl. zákona o zpracování osobních údajů tedy nelze orgánům veřejné moci a veřejným subjektům usazeným v České republice vůbec udělit pokutu.

Výše uvedená distinkce mezi soukromoprávními a veřejnoprávními subjekty je velmi kontroverzní a diskutabilní. Zákonodárce sice využil své možnosti k přijetí vlastní právní úpravy sankcionování orgánů veřejné moci a veřejných subjektů usazených v České republice, zároveň tím však téměř rezignoval na dodržování zásad zpracování osobních údajů malými obcemi, dobrovolnými svazky obcí, jejich školami, školkami a příspěvkovými organizacemi, a to i přesto, že množství osobních údajů zpracovávaných například ve školách je velmi rozsáhlé, navíc se jedná o osobní údaje dětí. Pozměňovacími návrhy přijatými Senátem došlo k rezignaci úplné, navíc se diskutovaná problematika netýká již jen malých obcí, škol, školek a příspěvkových organizací, nýbrž všech orgánů veřejné moci a veřejných subjektů usazených v České republice. Úřad pro ochranu osobních údajů má v případě spáchání přestupku orgánem veřejné moci či veřejným subjektem usazeným v České republice možnost využít nápravné pravomoci podle článku 58 odst. 2 GDPR (například napomenutí, uložení dočasného nebo trvalého omezení zpracování, uložení správní pokuty za porušení povinností podle článku 83 GDPR aj.). Tato nápravná opatření se však jeví jako nedostatečná, neboť možnost uložení peněžitých sankcí pokrývá pouze správní delikty podle článku 83 GDPR, nikoliv však již přestupky podle zákona o zpracování osobních údajů. V současné době tedy neexistuje citelná sankce, která by byla schopna vynutit dodržování některých zákonných povinností při zpracování osobních údajů orgány veřejné moci a veřejnými subjekty usazenými v České republice. Zakotvení povinnosti Úřadu pro ochranu osobních údajů obligatorně a bezpodmínečně upustit od uložení správního trestu u všech těchto subjektů vzhledem k výše uvedenému tedy považujeme za neracionální a nesystematické.

Souhlas subjektů udělený podle zákona o ochraně osobních údajů

Ustanovení § 66 odst. 7 zákona o zpracování osobních údajů stanoví, že souhlas subjektů údajů, udělený podle zákona o ochraně osobních údajů, se považuje za souhlas podle GDPR, ledaže způsob jeho udělení nebyl v souladu s tímto nařízením. Zákon tímto ustanovením umožnil plynulý přechod na novou právní úpravu a odstranil tak právní nejistotu některých správců, kteří si nebyli jisti tím, zda mohou souhlasy získané od subjektů údajů využívat i po nabytí účinnosti GDPR, či zda musí od subjektů údajů získávat souhlasy nové.

Mgr. Miroslava Machová,
advokátní koncipientka
 

MACH LEGAL, advokátní kancelář s.r.o.

Viktora Huga 377/4
150 00 Praha 5

Tel.:       +420 245 008 552
E-mail:  praha@machlegal.eu
 

___________________________________________
[1] Důvodová zpráva k vládnímu návrhu zákona č. 110/2019 Sb., o zpracování osobních údajů, sněmovní tisk č. 138/0, 8. volební období, od 2017.
[2] Přijetí nové právní úpravy na úseku ochrany osobních údajů s sebou přineslo zajímavou diskuzi. Vládní návrh zákona původně počítal se situací, že správcům a zpracovatelům, které jsou orgány veřejné moci nebo veřejnými subjekty usazenými v České republice, nelze uložit pokutu vyšší než 10 000 000,- Kč. Při projednávání pozměňovacích návrhů v Poslanecké sněmovně došlo navíc ke schválení výjimky pro malé obce, které nevykonávají přenesenou působnost, pro dobrovolné svazky těchto obcí, jejich školy a školky a příspěvkové organizace. U těchto subjektů měla horní hranice sazby pokut činit 15 000,- Kč a v některých případech dokonce jen 5 000,- Kč.  V tomto znění byl také návrh zákona postoupen Senátu, který však ustanovení o limitaci pokut jak pro orgány veřejné moci nebo veřejné subjekty usazené v daném členském státě, tak i pro malé obce, které nevykonávají přenesenou působnost, pro dobrovolné svazky těchto obcí, jejich školy a školky a příspěvkové organizace, vypustil. Zároveň však Senát doplnil ustanovení § 61 zákona o zpracování osobních údajů o nový odstavec 3 a ustanovení § 62 zákona o zpracování osobních údajů o nový odstavec 5, které zakotvují povinnost Úřadu pro ochranu osobních údajů upustit od uložení správního trestu, pokud se jich dopustil orgán veřejné moci nebo veřejný subjekt usazený v České republice, ať již jako fyzická osoba, právnická osoba, správce či zpracovatel osobních údajů.


© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz