Dne 24.4.2019 vstoupil v platnost nový národní zákon o zpracování osobních údajů následujícího znění:
110
ZÁKON
ze dne 12. března 2019
o zpracování osobních údajů
Parlament se usnesl na tomto zákoně České republiky:
ČÁST PRVNÍZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
HLAVA I
ZÁKLADNÍ USTANOVENÍ
§ 1
Předmět úpravy
Tento zákon zapracovává příslušné předpisy Evropské unie1), zároveň navazuje na přímo použitelný předpis Evropské unie2) a k naplnění práva každého na ochranu soukromí upravuje práva a povinnosti při zpracování osobních údajů.
§ 2
Působnost zákona
Tento zákon upravuje
a)
zpracování osobních údajů podle nařízení Evropského parlamentu a Rady (EU) 2016/6792),
b)
zpracování osobních údajů příslušnými orgány za účelem
předcházení, vyhledávání nebo odhalování trestné činnosti, stíhání
trestných činů, výkonu trestů a ochranných opatření, zajišťování
bezpečnosti České republiky nebo zajišťování veřejného pořádku a vnitřní
bezpečnosti, včetně pátrání po osobách a věcech,
c)
zpracování osobních údajů při zajišťování obranných a bezpečnostních zájmů České republiky,
d)
další zpracování osobních údajů, které mají být nebo jsou
zařazeny do evidence nebo jejichž zpracování probíhá zcela nebo částečně
automatizovaně, nejde-li o zpracování osobních údajů fyzickou osobou v
průběhu výlučně osobních nebo domácích činností, a
e)
postavení a pravomoc Úřadu pro ochranu osobních údajů (dále jen „Úřad“).
§ 3
Subjekt údajů
Subjektem údajů se rozumí fyzická osoba, k níž se osobní údaje vztahují.
HLAVA II
ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ PODLE PŘÍMO POUŽITELNÉHO
PŘEDPISU EVROPSKÉ UNIE
Díl 1
Obecná ustanovení
§ 4
Působnost
(1) Ustanovení této hlavy se použijí při zpracování osobních údajů podle nařízení Evropského parlamentu a Rady (EU) 2016/679.
(2) Ustanovení
této hlavy a nařízení Evropského parlamentu a Rady (EU) 2016/679 se
použijí i při zpracování osobních údajů, které mají být nebo jsou
zařazeny do evidence, a při zpracování osobních údajů, které probíhá
zcela nebo částečně automatizovaně, nejde-li o zpracování osobních údajů
fyzickou osobou v průběhu výlučně osobních nebo domácích činností,
a)
při výkonu činností, které nespadají do oblasti působnosti práva Evropské unie nebo do působnosti hlavy III nebo IV, nebo
b)
při výkonu činností, které spadají do oblasti působnosti hlavy V kapitoly 2 Smlouvy o Evropské unii.
§ 5
Oprávnění ke zpracování osobních údajů při plnění právnípovinnosti nebo výkonu působnosti
Správce je oprávněn zpracovávat osobní údaje, pokud je to nezbytné pro splnění
a)
povinnosti, která je správci uložena právním předpisem, nebo
b)
úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen.
§ 6
Výjimka z povinnosti posuzování slučitelnosti účelů
(1) Nestanoví-li
jiný právní předpis jinak, správce není povinen při zajišťování
chráněného zájmu posuzovat před zpracováním osobních údajů k jinému
účelu, než ke kterému byly shromážděny, slučitelnost těchto účelů, je-li
toto zpracování nezbytné a přiměřené pro splnění
a)
povinnosti, která je správci uložena, nebo
b)
úkolu ve veřejném zájmu stanoveného právním předpisem nebo při výkonu veřejné moci, kterým je správce pověřen.
(2) Chráněným zájmem podle odstavce 1 se rozumí
a)
obranné nebo bezpečnostní zájmy České republiky,
b)
veřejný pořádek a vnitřní bezpečnost, předcházení, vyhledávání
nebo odhalování trestné činnosti, stíhání trestných činů, výkon trestů a
ochranných opatření, zajišťování bezpečnosti České republiky nebo
zajišťování veřejného pořádku a vnitřní bezpečnosti, včetně pátrání po
osobách a věcech,
c)
jiný důležitý cíl veřejného zájmu Evropské unie nebo členského
státu Evropské unie, zejména důležitý hospodářský nebo finanční zájem
Evropské unie nebo členského státu Evropské unie, včetně záležitostí
měnových, peněžních, rozpočtových, daňových a finančního trhu, veřejného
zdraví nebo sociálního zabezpečení,
d)
ochrana nezávislosti soudů a soudců,
e)
předcházení, vyhledávání, odhalování nebo stíhání porušování etických pravidel regulovaných povolání,
f)
dohledové, kontrolní nebo regulační funkce spojené s výkonem veřejné moci v případech uvedených v písmenech a) až e),
g)
ochrana práv a svobod osob, nebo
h)
vymáhání soukromoprávních nároků.
§ 7
Způsobilost dítěte pro souhlas se zpracováním osobních údajů
Dítě nabývá
způsobilosti k udělení souhlasu se zpracováním osobních údajů v
souvislosti s nabídkou služeb informační společnosti přímo jemu
dovršením patnáctého roku věku.
§ 8
Informační povinnost pro zpracování osobních údajůupravená zákonem
Pokud správce
provádí zpracování osobních údajů podle § 5 a je povinen subjektu údajů
poskytnout informace podle čl. 13 nebo čl. 14 odst. 1, 2 a 4 nařízení
Evropského parlamentu a Rady (EU) 2016/679, může tyto informace v
rozsahu odpovídajícím jím obvykle prováděnému zpracování osobních údajů
poskytnout zveřejněním způsobem umožňujícím dálkový přístup.
§ 9
Oznámení formou změny výchozí evidence
Je-li správce
povinen oznámit příjemci provedenou opravu, omezení zpracování nebo
výmaz osobních údajů, může tak učinit změnou osobních údajů v evidenci,
pokud příjemci pravidelně zpřístupňuje její platný obsah.
§ 10
Výjimka z povinnosti posouzení vlivu zpracování osobních údajůna ochranu osobních údajů
Správce nemusí
provádět posouzení vlivu zpracování na ochranu osobních údajů před jeho
zahájením, pokud mu právní předpis stanoví povinnost takové zpracování
osobních údajů provést.
§ 11
Omezení některých práv a povinností
(1) Nestanoví-li
jiný právní předpis jinak, čl. 12 až 22 a v jim odpovídajícím rozsahu
též článek 5 nařízení Evropského parlamentu a Rady (EU) 2016/679 se
použijí přiměřeně nebo se splnění povinností správce nebo zpracovatele
nebo uplatnění práva subjektu údajů stanovených těmito články odloží,
je-li to nezbytné a svým rozsahem přiměřené k zajištění chráněného zájmu
uvedeného v § 6 odst. 2.
(2) Omezení
některých práv nebo povinností podle odstavce 1 správce nebo zpracovatel
bez zbytečného odkladu oznámí Úřadu, přitom uvede v přiměřeném rozsahu
skutečnosti podle čl. 23 odst. 2 nařízení Evropského parlamentu a Rady
(EU) 2016/679; to neplatí pro soudy provádějící zpracování osobních
údajů podle čl. 55 odst. 3 nařízení Evropského parlamentu a Rady (EU)
2016/679.
§ 12
Výjimka z povinnosti oznámení porušení zabezpečení osobníchúdajů subjektu údajů
Pokud je správce
povinen oznámit porušení zabezpečení osobních údajů subjektu údajů, toto
oznámení provede v omezeném rozsahu nebo jej odloží, je-li to nezbytné a
svým rozsahem přiměřené k zajištění chráněného zájmu uvedeného v § 6
odst. 2. Pro oznámení takového postupu Úřadu se § 11 odst. 2 použije
obdobně.
§ 13
Osobní údaje s omezeným zpracováním
Pokud bylo
zpracování osobních údajů omezeno podle čl. 18 odst. 1 nařízení
Evropského parlamentu a Rady (EU) 2016/679, není tím dotčena povinnost
správce nebo zpracovatele tyto osobní údaje předat nebo zpřístupnit,
je-li tato povinnost stanovena právním předpisem. Tyto údaje se při
předání nebo zpřístupnění označí jako údaje uvedené v čl. 18 odst. 1
nařízení Evropského parlamentu a Rady (EU) 2016/679.
§ 14
Jmenování pověřence pro ochranu osobních údajů
Povinnost
jmenovat pověřence pro ochranu osobních údajů podle čl. 37 odst. 1 písm.
a) nařízení Evropského parlamentu a Rady (EU) 2016/679 mají kromě
orgánů veřejné moci také orgány zřízené zákonem, které plní zákonem
stanovené úkoly ve veřejném zájmu.
§ 15
Akreditace subjektů pro vydávání osvědčení
Osoby oprávněné k
vydávání osvědčení o ochraně osobních údajů jsou akreditovány osobou
pověřenou k výkonu působnosti akreditačního orgánu podle zákona
upravujícího akreditaci subjektů posuzování shody3).
§ 16
Zpracování osobních údajů za účelem vědeckéhonebo historického výzkumu nebo pro statistické účely
(1) Správce nebo
zpracovatel při zpracování osobních údajů za účelem vědeckého nebo
historického výzkumu nebo pro statistické účely zajistí dodržování
konkrétních opatření k ochraně zájmů subjektu údajů, která odpovídají
stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a
účelům zpracování i různě pravděpodobným a závažným rizikům pro práva a
svobody fyzických osob. Taková opatření mohou zahrnovat zejména
a)
technická a organizační opatření zaměřená na důsledné uplatnění
povinnosti podle čl. 5 odst. 1 písm. c) nařízení Evropského parlamentu a
Rady (EU) 2016/679,
b)
pořizování záznamů alespoň o všech operacích shromáždění,
vložení, pozměnění a výmazu osobních údajů, které umožní určit a ověřit
totožnost osoby provádějící operaci, a uchovávání těchto záznamů nejméně
po dobu 2 let od provedení operace,
c)
informování osob zpracovávajících osobní údaje o povinnostech v oblasti ochrany osobních údajů,
d)
jmenování pověřence,
e)
zvláštní omezení přístupu k osobním údajům v rámci správce nebo zpracovatele,
f)
pseudonymizaci osobních údajů,
g)
šifrování osobních údajů,
h)
opatření k zajištění trvalé důvěrnosti, integrity, dostupnosti a odolnosti systémů a služeb zpracování,
i)
opatření umožňující obnovení dostupnosti osobních údajů a včasný přístup k těmto údajům v případě incidentů,
j)
proces pravidelného testování, posuzování a hodnocení účinnosti
zavedených technických a organizačních opatření pro zajištění
bezpečnosti zpracování,
k)
zvláštní omezení přenosu osobních údajů do třetí země, nebo
l)
zvláštní omezení zpracování osobních údajů pro jiné účely.
(2) Pokud to
umožňuje dosáhnout účelu uvedeného v odstavci 1, osobní údaje uvedené v
čl. 9 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2016/679
správce nebo zpracovatel dále zpracovává v podobě, která neumožňuje
identifikaci subjektu údajů, ledaže tomu brání oprávněné zájmy subjektu
údajů.
(3) Nestanoví-li
jiný právní předpis jinak, čl. 15, 16, 18 a 21 a v jim odpovídajícím
rozsahu též článek 5 nařízení Evropského parlamentu a Rady (EU) 2016/679
se použijí přiměřeně nebo se splnění povinností správce nebo
zpracovatele nebo uplatnění práva subjektu údajů stanovených těmito
články odloží, je-li to nezbytné a svým rozsahem přiměřené k naplnění
účelu zpracování uvedeného v odstavci 1. Článek 15 a v jemu
odpovídajícím rozsahu též článek 5 nařízení Evropského parlamentu a Rady
(EU) 2016/679 se nepoužije, pokud je zpracování nezbytné pro účely
vědeckého výzkumu a poskytnutí informací by vyžadovalo nepřiměřené
úsilí.
Díl 2
Zpracování osobních údajů prováděné pro novinářské účely
nebo pro účely akademického, uměleckého
nebo literárního projevu
§ 17
Zákonnost zpracování
(1) Osobní údaje
lze zpracovávat také tehdy, slouží-li to přiměřeným způsobem pro
novinářské účely nebo pro účely akademického, uměleckého nebo
literárního projevu. Při posouzení přiměřenosti podle věty první se
přihlédne také k tomu, jestli zpracování zahrnuje osobní údaje uvedené v
čl. 9 odst. 1 nebo čl. 10 nařízení Evropského parlamentu a Rady (EU)
2016/679.
(2) Zpracování
osobních údajů pro účely uvedené v odstavci 1 není podmíněno povolením
nebo schválením Úřadu a požívá práva na ochranu zdroje a obsahu
informací, a to i v případě zpracování osobních údajů způsobem
umožňujícím dálkový přístup.
§ 18
Výjimky z poučovací a informační povinnosti správce
(1) Správce může
při zpracování osobních údajů pro účely uvedené v § 17 odst. 1 své
povinnosti, vyplývající z čl. 12 odst. 1 a 2, čl. 13 odst. 1 až 3 a čl.
21 odst. 4, a v jim odpovídajícím rozsahu též z čl. 5 nařízení
Evropského parlamentu a Rady (EU) 2016/679, splnit také jakýmkoliv
vhodným informováním subjektu údajů o identitě správce. Informovat o
identitě správce lze také vhodným přihlášením se k identitě správce,
které může být provedeno grafickým označením, ústně či jiným vhodným
způsobem. Informace o identitě správce je dostačující tehdy, je-li
poučení správce o právech subjektu údajů a dalších skutečnostech
potřebných pro ochranu jeho práv v rozsahu odpovídajícím jím obvykle
prováděnému zpracování osobních údajů veřejně dostupné způsobem
umožňujícím dálkový přístup.
(2) Informaci o identitě správce není třeba poskytnout v odůvodněných případech, zejména pokud:
a)
to není možné nebo by to vyžadovalo nepřiměřené úsilí,
b)
subjekt údajů může zpracování uvedené v § 17 odst. 1 oprávněně očekávat,
c)
subjekt údajů takové informace má, nebo
d)
by poskytnutí takové informace ohrozilo nebo zmařilo účel
zpracování osobních údajů, je-li takový postup nutný k dosažení
oprávněného účelu zpracování osobních údajů, zejména v záležitostech
veřejného zájmu.
Namísto vyloučení poskytnutí informace o identitě správce může správce poskytnutí této informace odložit.
§ 19
Ochrana zdroje a obsahu informací
(1) Povinnost
informovat podle čl. 14 odst. 1 až 4 a čl. 21 odst. 4 a v jim
odpovídajícím rozsahu též čl. 5 nařízení Evropského parlamentu a Rady
(EU) 2016/679, jakož i o ostatních právech subjektu údajů, lze splnit
také uveřejněním těchto informací způsobem umožňujícím dálkový přístup; v
takovém případě postačí informovat o správcem obvykle prováděném
zpracování osobních údajů.
(2) Právo na
přístup k osobním údajům podle čl. 15 a v jemu odpovídajícím rozsahu též
podle čl. 5 nařízení Evropského parlamentu a Rady (EU) 2016/679 se
nepoužije, pokud se jedná o osobní údaje, které nebyly správcem
uveřejněny a jsou zpracovávány pouze za účelem uvedeným v § 17 odst. 1. V
ostatních případech může správce přístup k osobním údajům vyloučit v
odůvodněných případech, zejména pokud by jinak došlo k ohrožení nebo
zmaření oprávněného účelu zpracování osobních údajů nebo by to
vyžadovalo nepřiměřené úsilí.
(3) Ustanovení
čl. 14 odst. 2 písm. f) a čl. 15 odst. 1 písm. g) a v jim odpovídajícím
rozsahu též čl. 5 nařízení Evropského parlamentu a Rady (EU) 2016/679 se
na zpracování osobních údajů pro účely uvedené v § 17 odst. 1
nepoužije.
(4) Pokud je
správce povinen oznámit porušení zabezpečení osobních údajů podle čl. 33
odst. 1 nebo čl. 34 odst. 1 nařízení Evropského parlamentu a Rady (EU)
2016/679, nemusí oznamovat informace umožňující určení zdroje nebo
obsahu osobních údajů, jejichž zabezpečení bylo porušeno.
§ 20
Výjimka z práv na opravu, na výmaz a na omezenízpracování osobních údajů
(1) V případě
uplatnění práv na výmaz nebo na opravu osobních údajů, které jsou
zpracovávány pro účely uvedené v § 17 odst. 1, se postupuje podle jiných
právních předpisů4).
(2) Jde-li o
zpracování osobních údajů k účelům uvedeným v § 17 odst. 1, má subjekt
údajů právo na omezení zpracování osobních údajů podle čl. 18 a v jemu
odpovídajícím rozsahu též podle čl. 5 nařízení Evropského parlamentu a
Rady (EU) 2016/679 pouze tehdy, pokud správce již osobní údaje
nepotřebuje pro účely zpracování, ale subjekt údajů tyto údaje požaduje
pro určení, výkon nebo obhajobu právních nároků. To neplatí, pokud by to
vyžadovalo nepřiměřené úsilí.
§ 21
Informování o opravě, výmazu a omezení zpracování
(1) Je-li správce
v souvislosti se zpracováním osobních údajů pro účely uvedené v § 17
odst. 1, uskutečňovaným také způsobem umožňujícím dálkový přístup,
povinen oznámit příjemcům opravu, výmaz nebo omezení zpracování osobních
údajů podle čl. 17 odst. 2 nebo čl. 19 a v jim odpovídajícím rozsahu
též podle čl. 5 nařízení Evropského parlamentu a Rady (EU) 2016/679,
může tuto povinnost splnit také uvedením údaje o okamžiku poslední
aktualizace obsahu, v němž jsou nebo byly osobní údaje uvedeny, nebo
jiným vhodným opatřením.
(2) Oprava, výmaz
nebo omezení zpracování podle čl. 19 a v jemu odpovídajícím rozsahu též
podle čl. 5 nařízení Evropského parlamentu a Rady (EU) 2016/679 se
oznamuje tomu, komu správce osobní údaje zpracovávané pro účely uvedené v
§ 17 odst. 1 předal, je-li to potřebné k ochraně práv nebo oprávněných
zájmů subjektu údajů a nevyžaduje-li to nepřiměřené úsilí.
(3) Správce může
informovat subjekt údajů pouze o kategoriích příjemců, pokud v
souvislosti se zpracováním osobních údajů pro účely uvedené v § 17 odst.
1 vyžaduje informování subjektu údajů o příjemcích podle čl. 19 a v
jemu odpovídajícím rozsahu též podle čl. 5 nařízení Evropského
parlamentu a Rady (EU) 2016/679 nepřiměřené úsilí, nebo pokud by došlo k
ohrožení nebo zmaření oprávněného účelu zpracování.
§ 22
Omezení práva na námitku
(1) Námitku podle
čl. 21 a v jemu odpovídajícím rozsahu též podle čl. 5 nařízení
Evropského parlamentu a Rady (EU) 2016/679 lze v souvislosti se
zpracováním osobních údajů pro účely uvedené v § 17 odst. 1 vznést jen
proti konkrétnímu zpřístupnění nebo uveřejnění osobních údajů; přitom
subjekt údajů uvede konkrétní důvody nasvědčující, že v daném případě
převažuje oprávněný zájem na ochraně jeho práv a svobod nad zájmem na
takovém zpřístupnění nebo uveřejnění.
(2) Byla-li
podána námitka podle odstavce 1, je správce povinen takové zpřístupnění
nebo uveřejnění ukončit, pokud má za to, že subjekt údajů osvědčil, že
nad zájmem na tomto uveřejnění v daném případě převažuje oprávněný zájem
na ochraně jeho práv a svobod. Správce bez zbytečného odkladu informuje
subjekt údajů o tom, zda jeho námitce vyhověl.
§ 23
Další výjimky pro zvláštní případy
(1) Ustanovení §
18 až 22 a ustanovení čl. 12 až 19, 21, 33 a 34 a v jim odpovídajícím
rozsahu též podle čl. 5 nařízení Evropského parlamentu a Rady (EU)
2016/679 se nepoužijí, použijí přiměřeně nebo se splnění povinností
správce nebo zpracovatele nebo uplatnění práva subjektu údajů v nich
stanovených odloží,
a)
je-li takový postup potřebný ke splnění účelu zpracování uvedeného v § 17 odst. 1, a
b)
nepovede-li takový postup pravděpodobně k vysokému riziku pro oprávněné zájmy subjektu údajů.
(2) Ustanovení
kapitoly VII nařízení Evropského parlamentu a Rady (EU) 2016/679 se při
zpracování uvedeném v § 17 odst. 1 nepoužijí. Ustanovení čl. 20, 22, 56 a
58 odst. 1 písm. a), b), e) a f) a čl. 58 odst. 2 písm. d), f) a g) a
kapitol II, IV, V a IX nařízení Evropského parlamentu a Rady (EU)
2016/679 se nepoužijí, použijí přiměřeně nebo se splnění povinností
správce nebo zpracovatele nebo uplatnění práva subjektu údajů
stanovených těmito ustanoveními odloží, je-li to nezbytné ke splnění
účelu zpracování uvedeného v § 17 odst. 1.
(3) Pokud by
vyloučení nebo omezení některých práv nebo povinností podle odstavce 2
vedlo pravděpodobně k vysokému riziku pro oprávněné zájmy subjektu
údajů, správce nebo zpracovatel bez zbytečného odkladu přijme a
dokumentuje vhodná opatření ke zmírnění takového nebo obdobného rizika.
HLAVA III
OCHRANA OSOBNÍCH ÚDAJŮ PŘI JEJICH ZPRACOVÁNÍ ZA ÚČELEM
PŘEDCHÁZENÍ, VYHLEDÁVÁNÍ NEBO ODHALOVÁNÍ TRESTNÉ ČINNOSTI,
STÍHÁNÍ TRESTNÝCH ČINŮ, VÝKONU TRESTŮ A OCHRANNÝCH OPATŘENÍ,
ZAJIŠŤOVÁNÍ BEZPEČNOSTI ČESKÉ REPUBLIKY NEBO ZAJIŠŤOVÁNÍ
VEŘEJNÉHO POŘÁDKU A VNITŘNÍ BEZPEČNOSTI
§ 24
Obecná ustanovení
(1) Nestanoví-li
zákon jinak, ustanovení této hlavy se použijí při zpracování osobních
údajů, které je nezbytné pro plnění úkolu a výkon veřejné moci
spravujícího orgánu stanovených jinými zákony5) za účelem
předcházení, vyhledávání a odhalování trestné činnosti, stíhání
trestných činů, výkonu trestů a ochranných opatření, zajišťování
bezpečnosti České republiky nebo zajišťování veřejného pořádku a vnitřní
bezpečnosti, včetně pátrání po osobách a věcech.
(2) Pro účely
této hlavy se použije čl. 4 body 1 až 6, 8, 9, 12 až 15 a 26 nařízení
Evropského parlamentu a Rady (EU) 2016/679 obdobně.
(3) Spravujícím
orgánem se rozumí orgán veřejné moci příslušný k plnění úkolu uvedeného v
odstavci 1, který není zpravodajskou službou nebo obecní policií.
(4) Ustanovení
této hlavy se použijí na zpracování osobních údajů, které jsou nebo mají
být zařazeny do evidence, nebo pokud toto zpracování probíhá zcela nebo
částečně automatizovaně.
§ 25
Zásady zpracování osobních údajů
(1) Při zpracování osobních údajů spravující orgán
a)
stanoví konkrétní účel zpracování osobních údajů v souvislosti s plněním úkolu uvedeného v § 24 odst. 1,
b)
přijímá opatření zajišťující, aby osobní údaje byly přesné ve vztahu k povaze a účelu zpracování, a
c)
uchovává osobní údaje v podobě umožňující identifikaci subjektu údajů jen po dobu nezbytnou k dosažení účelu jejich zpracování.
(2) Pro účel
nesouvisející s plněním úkolu uvedeného v § 24 odst. 1 lze osobní údaje
zpracovávat, pouze pokud je k tomu spravující orgán oprávněn a tento
účel není neslučitelný se stanoveným konkrétním účelem jejich
zpracování.
§ 26
Kategorie subjektů údajů a kvalita osobních údajů
Je-li to možné, spravující orgán
a)
připojí ke zpracovávaným osobním údajům informaci o postavení
subjektu údajů v trestním řízení, popřípadě také informaci o
pravomocných rozhodnutích orgánů činných v trestním řízení, která se
těchto údajů týkají, je-li to odůvodněné účelem jejich zpracování, a
b)
označí nepřesné osobní údaje, popřípadě osobní údaje, které se zakládají na osobních hodnoceních.
§ 27
Informace pro subjekt údajů
Spravující orgán zveřejní způsobem umožňujícím dálkový přístup informace o
a)
svém názvu a kontaktních údajích,
b)
kontaktních údajích pověřence pro ochranu osobních údajů (dále jen „pověřenec“),
c)
účelu zpracování osobních údajů,
d)
právu podat stížnost k Úřadu a kontaktních údajích Úřadu a
e)
právu na přístup k osobním údajům, jejich opravu, omezení zpracování nebo výmaz.
§ 28
Právo na přístup k osobním údajům
(1) Spravující
orgán na žádost subjektu údajů sdělí, zda zpracovává osobní údaje
vztahující se k jeho osobě. Jestliže takové údaje spravující orgán
zpracovává, předá je subjektu údajů a sdělí mu informace o
a)
účelu zpracování osobních údajů,
b)
právních předpisech, na základě kterých tyto údaje převážně zpracovává,
c)
příjemcích, popřípadě kategoriích příjemců,
d)
předpokládané době uchování nebo způsobu jejího určení,
e)
právu požádat o opravu, omezení zpracování nebo výmaz osobních údajů a
f)
zdroji těchto údajů.
(2) Spravující orgán žádosti podle odstavce 1 nevyhoví, popřípadě vyhoví pouze částečně, pokud by vyhověním došlo k ohrožení
a)
plnění úkolu v oblasti předcházení, vyhledávání a odhalování
trestné činnosti, stíhání trestných činů, výkonu trestů a ochranných
opatření, zajišťování bezpečnosti České republiky nebo zajišťování
veřejného pořádku a vnitřní bezpečnosti, včetně pátrání po osobách a
věcech,
b)
průběhu řízení o přestupku, kázeňském přestupku nebo jednání, které má znaky přestupku,
c)
ochrany utajovaných informací, nebo
d)
oprávněných zájmů třetí osoby.
(3) Pokud by
vyhověním žádosti nebo sdělením o nevyhovění žádosti, včetně odůvodnění,
došlo k ohrožení podle odstavce 2, spravující orgán informuje subjekt
údajů stejně jako ty žadatele, jejichž osobní údaje nezpracovává.
(4) Spravující orgán vede o důvodech pro postup podle odstavců 2 a 3 dokumentaci, kterou uchovává nejméně 3 roky.
§ 29
Právo na opravu, omezení zpracování nebo výmaz osobních údajů
(1) Spravující
orgán na žádost subjektu údajů provede opravu nebo doplnění osobních
údajů vztahujících se k jeho osobě. Vyžaduje-li to účel zpracování
osobních údajů, může spravující orgán namísto opravy osobní údaje
doplnit nebo k nim připojit dodatečné prohlášení.
(2) Spravující
orgán na žádost subjektu údajů provede výmaz osobních údajů vztahujících
se k jeho osobě, pokud spravující orgán porušil zásady zpracování
osobních údajů podle § 25 nebo jiného právního předpisu5) nebo omezení zpracování některých kategorií osobních údajů, nebo pokud má spravující orgán povinnost tyto údaje vymazat.
(3) Namísto opravy nebo výmazu osobních údajů může spravující orgán omezit zpracování osobních údajů jejich zvláštním označením,
a)
popírá-li subjekt údajů jejich přesnost, přičemž nelze zjistit, zda jsou tyto údaje přesné, nebo
b)
musí-li být tyto údaje uchovány pro účely dokazování.
(4) Je-li
zpracování osobních údajů omezeno podle odstavce 3 písm. a), spravující
orgán informuje subjekt údajů před zrušením takového omezení; spravující
orgán rovněž subjekt údajů informuje, má-li být omezení zrušeno na
základě rozhodnutí Úřadu nebo příslušného soudu.
(5) Spravující
orgán žádosti podle odstavců 1 až 3 nevyhoví, popřípadě vyhoví pouze
částečně, pokud by vyhověním došlo k ohrožení podle § 28 odst. 2. Pokud
by sdělením o nevyhovění žádosti, včetně odůvodnění, došlo k ohrožení
podle § 28 odst. 2, spravující orgán žadatele informuje tak, aby
takovému ohrožení předcházel.
(6) Spravující orgán vede o důvodech pro postup podle odstavce 5 dokumentaci, kterou uchovává nejméně 3 roky.
§ 30
Společné ustanovení o žádostech subjektu údajů
(1) Spravující orgán vyřídí žádost podle § 28 nebo 29 bez zbytečného odkladu, nejdéle však do 60 dnů ode dne jejího podání.
(2) Pokud
spravující orgán doloží, že žádost podle § 28 nebo 29 je zjevně
nedůvodná nebo nepřiměřená, zejména proto, že se v krátké době v téže
věci opakuje, nemusí žádosti vyhovět.
(3) Spravující orgán v rámci vyřízení žádosti podle § 28 nebo 29 informuje subjekt údajů o možnosti
a)
požádat o ověření zákonnosti zpracování osobních údajů prostřednictvím Úřadu a o kontaktních údajích Úřadu,
b)
podat stížnost Úřadu a
c)
žádat o soudní ochranu.
(4) O vyřízení
žádosti podle § 28 nebo 29 spravující orgán subjekt údajů písemně
informuje. Informace o vyřízení žádosti obsahuje odůvodnění, s výjimkou
případů, kdy se žádosti vyhovuje v plném rozsahu. Je-li subjekt údajů
zastoupen, může spravující orgán požadovat, aby byl podpis na písemné
plné moci úředně ověřen; úřední ověření není třeba, pokud byla plná moc
udělena před spravujícím orgánem.
(5) Ustanovení odstavce 3 písm. a) a b) se nepoužijí, je-li spravujícím orgánem soud nebo státní zastupitelství.
§ 31
Podnět subjektu údajů o ověření zákonnosti zpracováníosobních údajů
(1) Úřad může na základě podnětu subjektu údajů ověřit zákonnost zpracování osobních údajů.
(2) Úřad nemusí
podnětu podle odstavce 1 vyhovět zejména, pokud doloží, že podnět je
zjevně nedůvodný nebo nepřiměřený, například proto, že se v krátké době v
téže věci opakuje.
(3) Úřad do 4
měsíců ode dne podání podnětu o ověření zákonnosti zpracování osobních
údajů informuje subjekt údajů, zda ověřil zákonnost jejich zpracování či
nikoliv; pokud tak neučinil, připojí k informaci odůvodnění svého
postupu.
(4) Úřad rovněž informuje subjekt údajů o možnosti žádat o soudní ochranu.
§ 32
Obecné povinnosti spravujícího orgánu a záměrná ochranaosobních údajů
(1) Spravující
orgán s přihlédnutím k povaze, rozsahu, okolnostem, účelům a rizikům
zpracování osobních údajů přijme taková technická a organizační
opatření, aby zajistil a doložil splnění svých povinností při ochraně
osobních údajů.
(2) Spravující
orgán s přihlédnutím k povaze, rozsahu, okolnostem, účelům a rizikům
zpracování osobních údajů, vývoji techniky a nákladům přijímá technická a
organizační opatření s cílem
a)
co nejúčinněji chránit osobní údaje,
b)
omezovat nepřiměřené zpracování osobních údajů,
c)
omezovat zpracování osobních údajů, které není nezbytné kvůli
svému rozsahu, množství údajů, době jejich uložení nebo jejich
dostupnosti,
d)
poskytovat nezbytné záruky práv subjektu údajů a
e)
předcházet automatickému zveřejňování osobních údajů.
(3) Spravující
orgán vede o opatřeních přijatých podle odstavců 1 a 2 dokumentaci,
kterou uchovává po dobu zpracování osobních údajů.
(4) Spravující orgán vede písemné přehledy o všech typových činnostech zpracování osobních údajů, které obsahují
a)
název a kontaktní údaje spravujícího orgánu a pověřence,
b)
účel zpracování osobních údajů,
c)
kategorie příjemců nebo budoucích příjemců,
d)
kategorie subjektů údajů a kategorie osobních údajů,
e)
informaci, zda a jak je použito profilování,
f)
kategorie přenosů do třetích zemí nebo mezinárodních organizací,
g)
právní základ pro operace zpracování, pro něž jsou osobní údaje určeny,
h)
lhůty pro výmaz nebo přezkum potřebnosti kategorií osobních údajů a
i)
obecný popis zabezpečení osobních údajů.
(5) Dojde-li k
nesprávnému předání nebo k předání nepřesných osobních údajů, spravující
orgán o tom bez zbytečného odkladu informuje příjemce těchto údajů a
orgán příslušný pro plnění účelu uvedeného v § 24 odst. 1, který je
jejich původcem. Pokud spravující orgán provedl opravu, doplnění,
omezení zpracování nebo výmaz osobních údajů, vyrozumí o nutnosti
takového postupu rovněž příjemce těchto údajů.
§ 33
Společně spravující orgány
Stanoví-li více
spravujících orgánů účely a prostředky zpracování osobních údajů
společně, uzavřou písemnou dohodu, ve které mezi sebou upraví způsob
plnění povinností podle této části a kontaktní místo pro příjem žádostí
subjektů údajů, nestanoví-li zákon jinak.
§ 34
Zpracovatel
(1) Spravující
orgán pověří zpracováním osobních údajů pouze zpracovatele, který je
schopen přijetím opatření podle § 32 odst. 1 účinně zajistit plnění
povinností při ochraně osobních údajů.
(2) Pokud
pověření zpracovatele nevyplývá z právního předpisu, spravující orgán se
zpracovatelem uzavře písemnou smlouvu o zpracování osobních údajů.
Nevyplývá-li to přímo z právního předpisu, smlouva především určí
a)
předmět a dobu trvání zpracování osobních údajů,
b)
povahu a účel zpracování osobních údajů,
c)
typ osobních údajů, které budou zpracovávány,
d)
kategorie subjektů údajů a
e)
práva a povinnosti spravujícího orgánu.
(3) Smlouva o zpracování osobních údajů dále určí, nevyplývá-li to přímo z právního předpisu, že zpracovatel
a)
jedná pouze podle pokynů spravujícího orgánu,
b)
zajistí, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti,
c)
pomáhá spravujícímu orgánu v plnění povinností podle této hlavy,
d)
na základě pokynu spravujícího orgánu po ukončení své činnosti
osobní údaje předá spravujícímu orgánu nebo je vymaže, ledaže zákon
ukládá jiný postup, a
e)
poskytne spravujícímu orgánu informace nezbytné pro doložení splnění povinností podle písmen a) až d) a odstavců 1 a 2.
(4) Zpracovatel vede písemné přehledy o všech typových činnostech zpracování osobních údajů, které obsahují
a)
název a kontaktní údaje spravujícího orgánu, zpracovatele a pověřence,
b)
kategorie zpracování osobních údajů pro jednotlivé spravující orgány,
c)
informace o předání osobních údajů do konkrétních třetích zemí nebo mezinárodních organizací a
d)
obecný popis zabezpečení osobních údajů.
(5) Zpracovatel bez zbytečného odkladu oznámí spravujícímu orgánu porušení zabezpečení osobních údajů.
(6) Zpracovatel
může pověřit dalšího zpracovatele jen s předchozím písemným souhlasem
spravujícího orgánu. Je-li souhlas spravujícího orgánu udělen obecně pro
blíže neurčeného dalšího zpracovatele, zpracovatel, se kterým
spravující orgán uzavřel smlouvu o zpracování osobních údajů, informuje
předem spravující orgán o všech připravovaných pověřeních dalších
zpracovatelů. Na vztah mezi zpracovatelem, se kterým spravující orgán
uzavřel smlouvu o zpracování osobních údajů, a dalším zpracovatelem se
použijí odstavce 1 až 3 obdobně.
§ 35
Závaznost pokynů spravujícího orgánu
Zpracovatel nebo
fyzická osoba, která jedná z pověření spravujícího orgánu nebo
zpracovatele, může osobní údaje zpracovávat pouze podle pokynů
spravujícího orgánu, nestanoví-li zákon jinak.
§ 36
Automatizované pořizování záznamů
(1) Provádí-li
spravující orgán automatizované zpracování osobních údajů, pořizuje
záznamy alespoň o operacích shromáždění, vložení, pozměnění,
kombinování, nahlédnutí, předání, sdělení a výmazu osobních údajů.
(2) Záznamy o
operacích shromáždění, vložení, nahlédnutí nebo sdělení podle odstavce 1
umožňují určit a ověřit důvod a čas těchto operací, totožnost osoby
provádějící operaci a totožnost příjemce, ledaže zjištění totožnosti
těchto osob není z technických důvodů možné.
(3) Záznamy podle
odstavce 1 lze využít pouze pro účely trestního řízení, ověření
zákonnosti zpracování osobních údajů, zajištění neporušenosti
zabezpečení osobních údajů a zajištění plnění úkolů spravujícího orgánu
nebo zpracovatele a povinností osob, kterým se poskytuje přístup k
osobním údajům.
(4) Záznamy podle odstavce 1 jsou uchovávány po dobu 3 let od výmazu osobních údajů, ke kterým se vztahují.
(5) Povinnosti spravujícího orgánu stanovené v odstavcích 1 až 4 platí pro zpracovatele obdobně.
§ 37
Posouzení vlivu na ochranu osobních údajů
Je-li
pravděpodobné, že určitý druh připravovaného zpracování osobních údajů
povede vzhledem k jeho povaze, rozsahu, okolnostem nebo účelu k vysokému
riziku neoprávněného zásahu do práv a svobod subjektů údajů, vypracuje
spravující orgán posouzení vlivu takového zpracování na ochranu osobních
údajů, které obsahuje alespoň
a)
obecný popis připravovaného zpracování osobních údajů a jeho operací,
b)
posouzení rizika neoprávněného zásahu do práv a svobod subjektů údajů a
c)
plánovaná opatření a vhodné záruky ke zmenšení rizika podle písmene b) a splnění povinností podle této hlavy.
§ 38
Projednání s Úřadem
(1) Má-li
připravovaným zpracováním osobních údajů vzniknout nová evidence,
spravující orgán podá Úřadu žádost o projednání takového zpracování,
pokud
a)
z posouzení podle § 37 vyplývá vysoké riziko neoprávněného zásahu do práv a svobod subjektů údajů, nebo
b)
druh zpracování osobních údajů, s přihlédnutím k využití nových
technologií nebo postupů, vede k vysokému riziku zásahu do práv a
svobod subjektů údajů.
(2) Součástí
žádosti podle odstavce 1 je posouzení vlivu podle § 37; na vyžádání
Úřadu spravující orgán poskytne i jiné související informace.
(3) Úřad může
vydat seznam zpracování osobních údajů, která je spravující orgán
povinen projednat s Úřadem. O takových zpracováních Úřad spravující
orgán informuje.
(4) Má-li Úřad za
to, že by připravované zpracování osobních údajů porušilo ustanovení
této hlavy nebo ustanovení jiného právního předpisu upravujícího
zpracování osobních údajů, upozorní na to spravující orgán do 6 týdnů
ode dne podání žádosti podle odstavce 1, popřípadě uplatní další své
pravomoci. Tuto lhůtu může Úřad s ohledem na složitost věci prodloužit o
1 měsíc; o prodloužení lhůty Úřad informuje spravující orgán do 1
měsíce ode dne podání žádosti.
§ 39
Zásah na základě automatizovaného zpracování
Spravující orgán
může na základě výhradně automatizovaného zpracování osobních údajů
zasáhnout do práv a právem chráněných zájmů subjektu údajů nebo způsobit
jiný obdobně závažný následek pro subjekt údajů, jen pokud to výslovně
stanoví jiný zákon.
§ 40
Zabezpečení zpracování osobních údajů
(1) Spravující
orgán přijme taková organizační a technická opatření, aby zajistil
úroveň zabezpečení osobních údajů odpovídající povaze, rozsahu,
okolnostem, účelu a riziku jejich zpracování.
(2) Jsou-li osobní údaje zpracovávány automatizovaně, spravující orgán přijme nezbytná opatření, aby
a)
tyto osobní údaje zabezpečil před neoprávněným přístupem,
přenosem, změnou, zničením, ztrátou, odcizením, zneužitím nebo jiným
neoprávněným zpracováním,
b)
zajistil obnovitelnost těchto osobních údajů,
c)
zajistil možnost určit a ověřit osobu, která tyto osobní údaje
vložila nebo které byly prostřednictvím zařízení pro přenos údajů
předány nebo zpřístupněny,
d)
zajistil bezpečnost a spolehlivost informačního systému, který tyto osobní údaje obsahuje, včetně hlášení výskytu chyb, a
e)
zabránil v neoprávněném přístupu k nosiči těchto osobních údajů nebo zařízení užívanému k jejich zpracování.
(3) Povinnosti spravujícího orgánu stanovené v odstavcích 1 a 2 platí pro zpracovatele obdobně.
§ 41
Ohlašování porušení zabezpečení osobních údajů Úřadu
(1) Spravující
orgán ohlásí bez zbytečného odkladu porušení zabezpečení osobních údajů
Úřadu, ledaže je riziko neoprávněného zásahu do práv a svobod subjektu
údajů nízké.
(2) Pokud
spravující orgán provede ohlášení po více než 72 hodinách od okamžiku,
kdy se o něm dozvěděl, připojí k němu odůvodnění tohoto prodlení.
(3) V ohlášení podle odstavce 1 spravující orgán uvede, pokud jsou mu tyto údaje známy, alespoň
a)
popis povahy porušení zabezpečení osobních údajů,
b)
kategorie a přibližný počet subjektů údajů a záznamů osobních údajů, kterých se porušení zabezpečení týká,
c)
jméno a kontaktní údaje pověřence nebo jiného pracoviště, které poskytne bližší informace k porušení zabezpečení osobních údajů,
d)
popis pravděpodobných důsledků porušení zabezpečení osobních údajů a
e)
popis opatření přijatých nebo navržených spravujícím orgánem k
nápravě nebo zmírnění újmy způsobené porušením zabezpečení osobních
údajů.
(4) Skutečnosti
podle odstavce 3, které mu nebyly v době ohlášení známy, spravující
orgán doplní bez zbytečného odkladu poté, co se o nich dozví.
(5) Skutečnosti
podle odstavce 3 sdělí spravující orgán též osobě nebo orgánu jiného
členského státu Evropské unie, který osobní údaje poskytl nebo obdržel.
(6) Spravující
orgán vede o každém porušení zabezpečení osobních údajů, jeho důsledcích
a přijatých nápravných opatřeních dokumentaci, kterou uchovává nejméně 3
roky.
§ 42
Oznamování porušení zabezpečení osobních údajů subjektu údajů
(1) Spravující
orgán oznámí bez zbytečného odkladu porušení zabezpečení osobních údajů
subjektu údajů, pokud je riziko neoprávněného zásahu do práv a svobod
subjektu údajů plynoucí z tohoto porušení vysoké.
(2) V oznámení spravující orgán uvede alespoň údaje uvedené v § 41 odst. 3 písm. a) a c) až e).
(3) Pokud by
oznámení subjektu údajů podle odstavce 1 vyžadovalo nepřiměřené úsilí,
spravující orgán oznámení vhodným způsobem zveřejní.
(4) Spravující orgán není povinen porušení zabezpečení osobních údajů oznámit, pokud
a)
provedená technická a organizační opatření zajišťují, že dotčené osobní údaje nelze zneužít, nebo
b)
následná opatření spravujícího orgánu významně snížila riziko neoprávněného zásahu do práv a svobod subjektu údajů.
(5) O existenci
vysokého rizika neoprávněného zásahu do práv a svobod subjektu údajů
nebo o splnění podmínek podle odstavce 4 může rozhodnout také Úřad.
(6) Spravující
orgán porušení zabezpečení osobních údajů neoznámí, popřípadě oznámí
pouze částečně, pokud by oznámením došlo k ohrožení podle § 28 odst. 2.
HLAVA IV
OCHRANA OSOBNÍCH ÚDAJŮ PŘI ZAJIŠŤOVÁNÍ OBRANNÝCH
A BEZPEČNOSTNÍCH ZÁJMŮ ČESKÉ REPUBLIKY
§ 43
(1) Ustanovení
této hlavy se použijí při zpracování osobních údajů k zajišťování
obranných a bezpečnostních zájmů České republiky, pokud jiný právní
předpis6) nestanoví jinak.
(2) Pro účely této hlavy se použije čl. 4 body 1, 2, 6 až 8, 9 a 11 nařízení Evropského parlamentu a Rady (EU) 2016/679 obdobně.
(3) Správce může
zpracovávat osobní údaje pouze se souhlasem subjektu údajů. Bez tohoto
souhlasu může správce osobní údaje zpracovávat, jestliže
a)
provádí zpracování nezbytné pro dodržení povinnosti správce,
b)
je zpracování nezbytné pro plnění smlouvy, jejíž smluvní
stranou je subjekt údajů, nebo pro jednání o uzavření nebo změně smlouvy
uskutečněné na návrh subjektu údajů,
c)
je zpracování nezbytné k ochraně životně důležitých zájmů
subjektu údajů; v tomto případě je třeba bez zbytečného odkladu získat
jeho souhlas, jinak musí správce toto zpracování ukončit a údaje
vymazat,
d)
se jedná o oprávněně zveřejněné osobní údaje,
e)
je zpracování nezbytné pro ochranu práv nebo právem chráněných
zájmů správce, příjemce nebo jiné dotčené osoby; takové zpracování
osobních údajů však nesmí být v rozporu s právem subjektu údajů na
ochranu jeho soukromého a osobního života,
f)
poskytuje osobní údaje o veřejně činné osobě, funkcionáři nebo
zaměstnanci orgánu veřejné správy, které vypovídají o jeho veřejné nebo
úřední činnosti nebo funkčním nebo pracovním zařazení, nebo
g)
se jedná o zpracování výlučně pro účely archivnictví.
(4) Subjekt údajů
musí být před udělením souhlasu informován o tom, pro jaký účel
zpracování osobních údajů a k jakým osobním údajům je souhlas dáván,
jakému správci a na jaké období. Souhlas subjektu údajů se zpracováním
osobních údajů musí být správce schopen prokázat po celou dobu jejich
zpracování.
(5) Povinnosti stanovené v odstavcích 3 a 4 platí pro zpracovatele obdobně.
§ 44
Pokud pověření
nevyplývá z jiného právního předpisu, musí správce se zpracovatelem
uzavřít smlouvu o zpracování osobních údajů. Smlouva musí mít písemnou
formu. Musí v ní být zejména výslovně uvedeno, v jakém rozsahu, za jakým
účelem a na jakou dobu se uzavírá, a musí obsahovat záruky zpracovatele
o přijetí a dodržování technických a organizačních opatření k zajištění
bezpečnosti a ochrany osobních údajů.
§ 45
Jestliže zpracovatel zjistí, že správce porušuje povinnosti stanovené tímto zákonem nebo jiným právním předpisem6),
je povinen jej na to neprodleně upozornit a ukončit zpracování osobních
údajů. Pokud tak neučiní, odpovídá za škodu společně a nerozdílně se
správcem.
Povinnosti osob při zabezpečení osobních údajů
§ 46
(1) Správce je
povinen přijmout taková technická a organizační opatření, aby nemohlo
dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k
jejich změně, zničení, ztrátě, neoprávněnému přenosu nebo jinému
neoprávněnému zpracování nebo zneužití. Tato povinnost platí i po
ukončení zpracování osobních údajů.
(2) Správce je
povinen přijmout technická a organizační opatření k zajištění ochrany
osobních údajů v souladu se zákonem a jinými právními předpisy. Správce
vede o přijatých technických a organizačních opatřeních dokumentaci,
kterou uchovává po dobu zpracování osobních údajů.
(3) V rámci opatření podle odstavce 1 správce posuzuje rizika týkající se oblastí
a)
plnění pokynů pro zpracování osobních údajů osobami, které mají bezprostřední přístup k osobním údajům,
b)
zabránění neoprávněným osobám přistupovat k osobním údajům a k prostředkům pro jejich zpracování,
c)
zabránění neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě nebo vymazání záznamů obsahujících osobní údaje a
d)
opatření, která umožní určit a ověřit, komu byly osobní údaje předány.
(4) Při automatizovaném zpracování osobních údajů je správce v rámci opatření podle odstavce 1 dále povinen
a)
zajistit, aby systém pro automatizované zpracování osobních údajů používala pouze oprávněná fyzická osoba,
b)
zajistit, aby oprávněná fyzická osoba měla přístup pouze k
osobním údajům odpovídajícím jejímu oprávnění, a to na základě
zvláštního uživatelského oprávnění zřízeného výlučně pro tuto osobu,
c)
pořizovat elektronické záznamy, které umožní určit a ověřit,
kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak
zpracovány, a
d)
zabránit neoprávněnému přístupu k datovým nosičům.
(5) Povinnosti stanovené v odstavcích 1 až 4 platí pro zpracovatele obdobně.
§ 47
Zaměstnanci
správce nebo zpracovatele, jiné osoby, které zpracovávají osobní údaje
na základě smlouvy se správcem nebo zpracovatelem, nebo osoby, které v
rámci plnění zákonem stanovených oprávnění a povinností přicházejí do
styku s osobními údaji u správce nebo zpracovatele, jsou povinni
zachovávat mlčenlivost o osobních údajích a o organizačních a
technických opatřeních, jejichž zveřejnění by ohrozilo bezpečnost
osobních údajů. Povinnost mlčenlivosti trvá i po skončení zaměstnání
nebo příslušných prací.
§ 48
Výmaz osobních údajů
Správce nebo na
základě jeho pokynu zpracovatel je povinen provést výmaz osobních údajů,
jakmile pomine účel, pro který byly osobní údaje zpracovány, nebo na
základě žádosti subjektu údajů podle § 49.
§ 49
Ochrana práv subjektu údajů
(1) Každý subjekt
údajů, který má za to, že správce nebo zpracovatel provádí zpracování
jeho osobních údajů, které je v rozporu s ochranou soukromého a osobního
života subjektu údajů nebo s touto hlavou, zejména jsou-li osobní údaje
nepřesné s ohledem na účel jejich zpracování, může
a)
požádat správce nebo zpracovatele o vysvětlení, nebo
b)
požadovat, aby správce nebo zpracovatel odstranil takto vzniklý
stav, zejména provedením opravy, doplněním nebo výmazem osobních údajů.
(2) Je-li žádost
subjektu údajů podle odstavce 1 písm. b) shledána oprávněnou, správce
nebo zpracovatel bez zbytečného odkladu odstraní závadný stav.
(3) Došlo-li při
zpracování osobních údajů k porušení povinností uložených zákonem u
správce nebo u zpracovatele, odpovídají za újmu společně a nerozdílně.
(4) Správce je
povinen bez zbytečného odkladu informovat příjemce o žádosti subjektu
údajů podle odstavce 1 a o opravě, doplnění nebo výmazu osobních údajů.
To se nepoužije, je-li informování příjemce nemožné nebo by vyžadovalo
neúměrné úsilí.
HLAVA V
ÚŘAD
§ 50
(1) Úřad je
ústředním správním úřadem pro oblast ochrany osobních údajů v rozsahu
stanoveném tímto zákonem, jinými právními předpisy5), mezinárodními smlouvami, které jsou součástí právního řádu, a přímo použitelnými předpisy Evropské unie.
(2) Sídlem Úřadu je Praha.
§ 51
(1) Do činnosti
Úřadu lze zasahovat jen na základě zákona. Při výkonu své působnosti v
oblasti ochrany osobních údajů Úřad postupuje nezávisle a řídí se pouze
právními předpisy a přímo použitelnými předpisy Evropské unie.
(2) Činnost Úřadu je hrazena ze samostatné kapitoly státního rozpočtu České republiky.
(3) Náměstek
ministra vnitra pro státní službu není nadřízeným služebním orgánem vůči
předsedovi Úřadu. Proti rozhodnutí předsedy Úřadu ve věci státní služby
a proti rozhodnutí kárné komise prvního stupně zřízené v Úřadu není
odvolání přípustné.
Předseda a místopředseda Úřadu
§ 52
(1) Úřad řídí
předseda Úřadu, kterého jmenuje a odvolává prezident republiky na návrh
Senátu. Předseda Úřadu se považuje za člena dozorového úřadu podle čl.
53 nařízení Evropského parlamentu a Rady (EU) 2016/679. Předseda Úřadu
může pověřit místopředsedu Úřadu trvalým plněním některých svých úkolů.
Předseda Úřadu se považuje za služební orgán podle zákona o státní
službě a je oprávněn dávat státnímu zaměstnanci příkazy k výkonu státní
služby.
(2) Funkční období předsedy Úřadu je 5 let. Předseda Úřadu může být jmenován nejvýše na 2 po sobě jdoucí funkční období.
(3) Předsedou Úřadu může být jmenován pouze občan České republiky, který
a)
je plně svéprávný,
b)
dosáhl věku 40 let,
c)
je bezúhonný, splňuje podmínky stanovené jiným právním předpisem7) a jeho znalosti, zkušenosti a morální vlastnosti jsou předpokladem, že bude svoji funkci řádně zastávat, a
d)
získal vysokoškolské vzdělání absolvováním magisterského
studijního programu zaměřeného na právo nebo informatiku, má potřebnou
úroveň znalostí anglického, německého nebo francouzského jazyka a
nejméně 5 let praxe v oblasti ochrany osobních údajů nebo lidských práv a
základních svobod; přípustné je i jiné zaměření studijního programu,
má-li takovou praxi delší než 10 let.
(4) Za bezúhonnou
se pro účel tohoto zákona považuje fyzická osoba, která nebyla
pravomocně odsouzena pro úmyslný trestný čin nebo trestný čin spáchaný z
nedbalosti v souvislosti se zpracováním osobních údajů.
(5) S výkonem
funkce předsedy Úřadu je neslučitelná funkce poslance nebo senátora,
soudce, státního zástupce, jakákoliv funkce ve veřejné správě a členství
v politické straně nebo politickém hnutí.
(6) Předseda
Úřadu nesmí zastávat jinou placenou funkci, být v dalším pracovním
poměru ani vykonávat výdělečnou činnost s výjimkou správy vlastního
majetku a činnosti vědecké, pedagogické, literární, publicistické a
umělecké, pokud tato činnost nenarušuje důstojnost nebo neohrožuje
důvěru v nezávislost a nestrannost Úřadu.
(7) Z funkce může být předseda Úřadu odvolán, přestal-li splňovat některou z podmínek pro jeho jmenování.
§ 53
(1) Úřad má 2
místopředsedy, které na návrh předsedy Úřadu volí a odvolává Senát.
Místopředseda Úřadu je ředitelem sekce. Místopředseda Úřadu se považuje
za člena dozorového úřadu podle čl. 53 nařízení Evropského parlamentu a
Rady (EU) 2016/679.
(2) Místopředseda
Úřadu zastupuje předsedu Úřadu v jeho nepřítomnosti; pořadí zastupování
se řídí pořadím, ve kterém byli místopředsedové Úřadu zvoleni, včetně
případného bezprostředně předcházejícího funkčního období.
(3) Ustanovení § 52 odst. 2 až 7 se použijí obdobně.
§ 54
Činnosti Úřadu
(1) Ve vztahu ke zpracování osobních údajů podle hlavy II Úřad
a)
při provádění auditu podle čl. 58 odst. 1 písm. b) nařízení
Evropského parlamentu a Rady (EU) 2016/679 postupuje podle kontrolního
řádu,
b)
při postupu podle čl. 58 odst. 1 písm. d) nařízení Evropského
parlamentu a Rady (EU) 2016/679 může správce vyzvat k vyjasnění nebo
nápravě,
c)
sdělením upozorňuje správce nebo zpracovatele, že zamýšleným zpracováním osobních údajů zřejmě poruší své povinnosti,
d)
může stanovit vyhláškou kritéria nebo požadavky podle čl. 41
odst. 3, čl. 42 odst. 5 nebo čl. 43 odst. 1 písm. b) nařízení Evropského
parlamentu a Rady (EU) 2016/679,
e)
může nařídit subjektu pro vydávání osvědčení, aby odebral
osvědčení, které tento subjekt vydal podle čl. 42 a 43 nařízení
Evropského parlamentu a Rady (EU) 2016/679,
f)
schvaluje kodexy chování; je-li kodex chování v rozporu s
nařízením Evropského parlamentu a Rady (EU) 2016/679, Úřad jeho
schválení zamítne, a
g)
zveřejňuje způsobem umožňujícím dálkový přístup standardní
smluvní doložky přijaté podle čl. 28 odst. 8 nebo čl. 46 odst. 2 písm.
d) nařízení Evropského parlamentu a Rady (EU) 2016/679.
(2) Ve vztahu ke
zpracování osobních údajů podle hlavy III, nejde-li o zpracování
osobních údajů prováděné soudy a státními zastupitelstvími, Úřad
a)
provádí dozor nad dodržováním povinností stanovených zákonem při zpracování osobních údajů,
b)
ověřuje zákonnost zpracování osobních údajů na podnět subjektu údajů podle § 31,
c)
přijímá podněty a stížnosti na porušení povinností stanovených
zákonem při zpracování osobních údajů a informuje o jejich vyřízení,
d)
projednává přestupky a ukládá pokuty,
e)
poskytuje konzultace v oblasti ochrany osobních údajů,
f)
informuje veřejnost o rizicích, pravidlech, zárukách a právech v souvislosti se zpracováním osobních údajů,
g)
informuje správce a zpracovatele o jejich povinnostech v oblasti ochrany osobních údajů a
h)
vykonává další působnost stanovenou mu zákonem.
(3) Úřad dále
a)
zpracovává a veřejnosti zpřístupňuje výroční zprávu o své činnosti,
b)
zajišťuje plnění požadavků vyplývajících z mezinárodních smluv,
jimiž je Česká republika vázána, a z přímo použitelných předpisů
Evropské unie,
c)
i bez žádosti poskytuje Parlamentu vyjádření k návrhu právního předpisu, který upravuje zpracování osobních údajů,
d)
podílí se na činnosti Evropského sboru pro ochranu osobních
údajů, spolupracuje s obdobnými úřady jiných států, s orgány Evropské
unie a s orgány mezinárodních organizací působícími v oblasti ochrany
osobních údajů.
(4) Dozor nad
zpracováním osobních údajů, které provádějí soudy nebo státní
zastupitelství podle hlavy III tohoto zákona nebo zpravodajské služby,
stanoví jiný právní předpis8).
§ 55
Využívání údajů z informačních systémů veřejné správy
(1) Úřad využívá
při výkonu působnosti podle tohoto zákona nebo jiného právního předpisu
ze základního registru obyvatel údaje v rozsahu
a)
příjmení,
b)
jméno, popřípadě jména,
c)
adresa místa pobytu a
d)
datum narození.
(2) Úřad využívá
při výkonu působnosti podle tohoto zákona nebo jiného právního předpisu z
informačního systému evidence obyvatel údaje v rozsahu
a)
jméno, popřípadě jména, příjmení, popřípadě rodné příjmení,
b)
datum narození,
c)
adresa místa trvalého pobytu, včetně předchozích adres místa trvalého pobytu,
d)
počátek trvalého pobytu, popřípadě datum zrušení trvalého pobytu nebo datum ukončení trvalého pobytu na území České republiky, a
e)
rodné číslo.
(3) Úřad využívá
při výkonu působnosti podle tohoto zákona nebo jiného právního předpisu z
informačního systému cizinců údaje v rozsahu
a)
jméno, popřípadě jména, příjmení, popřípadě rodné příjmení,
b)
datum narození,
c)
druh a adresa místa pobytu,
d)
číslo a platnost oprávnění k pobytu a
e)
počátek pobytu, popřípadě datum ukončení pobytu.
(4) Údaje, které
jsou vedeny jako referenční údaje v základním registru obyvatel, se
využijí z informačního systému evidence obyvatel nebo informačního
systému cizinců, pouze pokud jsou ve tvaru předcházejícím současný stav.
(5) Z poskytovaných údajů lze v konkrétním případě využít vždy jen takové údaje, které jsou nezbytné ke splnění daného úkolu.
§ 56
Mezinárodní spolupráce
(1) Úřad
poskytuje v oblasti ochrany osobních údajů podle hlavy III pomoc, včetně
provedení šetření, kontrol nebo poskytnutí informací, dozorovým úřadům
jiných členských států Evropské unie a států, které uplatňují předpisy k
provedení směrnice Evropského parlamentu a Rady (EU) 2016/680.
(2) Žádost
dozorového úřadu jiného členského státu Evropské unie nebo státu, který
uplatňuje právní předpisy k provedení směrnice Evropského parlamentu a
Rady (EU) 2016/680, podle odstavce 1 Úřad vyřídí bez zbytečného odkladu,
nejpozději do 1 měsíce ode dne jejího podání, ledaže k poskytnutí
pomoci není Úřad oprávněn nebo by jím došlo k porušení zákona.
(3) O vyřízení žádosti podle odstavce 2 nebo důvodech jejího nevyřízení Úřad informuje žádající dozorový úřad.
(4) Pomoc podle
odstavce 1 se poskytuje na náklady Úřadu; pokud vyřízení žádosti
vyžaduje vynaložení neúměrných nákladů, Úřad vyřízení žádosti odloží,
dokud nedojde k dosažení dohody se žádajícím dozorovým úřadem o způsobu
úhrady takových nákladů.
(5) Pokud
vyřízení žádosti Úřadu v cizině vyžaduje vynaložení neúměrných nákladů,
může být s jeho souhlasem žádost vyřízena na jeho náklady.
§ 57
Výroční zpráva
(1) Výroční
zpráva Úřadu obsahuje zejména informace o provedené kontrolní činnosti a
její zhodnocení, informace o stavu v oblasti zpracování a ochrany
osobních údajů v České republice a jeho zhodnocení a zhodnocení ostatní
činnosti Úřadu, včetně dozoru nad zpracováním osobních údajů podle hlavy
II tohoto zákona.
(2) Výroční zprávu předkládá předseda Úřadu Parlamentu a vládě do 3 měsíců od skončení rozpočtového roku.
§ 58
Oprávnění Úřadu na přístup k informacím
(1) Úřad je
oprávněn seznamovat se se všemi informacemi nezbytnými pro plnění
konkrétního úkolu. To platí i pro informace chráněné povinností
mlčenlivosti podle jiného právního předpisu, nestanoví-li jiný právní
předpis9) pro přístup Úřadu k takovým údajům jiné podmínky.
(2) S informacemi
chráněnými povinností mlčenlivosti podle zákona o advokacii je Úřad
oprávněn se seznamovat pouze za přítomnosti a se souhlasem zástupce
České advokátní komory (dále jen „komora“), kterého ustanoví předseda
komory z řad jejích zaměstnanců nebo z řad advokátů. Odmítne-li zástupce
komory souhlas udělit, bezodkladně zajistí na písemnou žádost Úřadu
důvěrnost a neporušenost informací podle věty první a bezodkladně předá
kontrolní radě komory písemnou žádost Úřadu o nahrazení souhlasu
zástupce komory rozhodnutím kontrolní rady komory. Nerozhodne-li
kontrolní rada komory o žádosti Úřadu tak, že nahrazuje souhlas zástupce
komory, ve lhůtě 30 dnů ode dne doručení žádosti zástupcem komory, lze
souhlas zástupce komory nahradit na návrh Úřadu rozhodnutím soudu podle
zákona o zvláštních řízeních soudních.
(3) S informacemi
chráněnými povinností mlčenlivosti podle zákona o daňovém poradenství a
Komoře daňových poradců České republiky je Úřad oprávněn se seznamovat
pouze za přítomnosti a se souhlasem zástupce Komory daňových poradců
České republiky, kterého ustanoví prezident Komory daňových poradců
České republiky z řad jejích zaměstnanců nebo z řad daňových poradců.
Odmítne-li zástupce Komory daňových poradců České republiky souhlas
udělit, bezodkladně zajistí na písemnou žádost Úřadu důvěrnost a
neporušenost informací podle věty první a bezodkladně předá dozorčí
komisi Komory daňových poradců České republiky písemnou žádost Úřadu o
nahrazení souhlasu zástupce Komory daňových poradců České republiky
rozhodnutím dozorčí komise Komory daňových poradců České republiky.
Nerozhodne-li dozorčí komise Komory daňových poradců České republiky o
žádosti Úřadu tak, že nahrazuje souhlas zástupce Komory daňových poradců
České republiky, ve lhůtě 30 dnů ode dne doručení žádosti zástupcem
Komory daňových poradců České republiky, lze souhlas zástupce Komory
daňových poradců České republiky nahradit na návrh Úřadu rozhodnutím
soudu podle zákona o zvláštních řízeních soudních.
(4) Úřad vyloučí z
nahlížení do spisu informace, které jsou obchodním, bankovním nebo
jiným obdobným zákonem chráněným tajemstvím, informace, které požívají
autorskoprávní ochrany, a informace podle odstavce 1 věty druhé nebo
odstavce 2, pokud do spisu umožní nahlédnout osobě odlišné od osoby, od
níž byly tyto informace získány. V řízení o uložení povinnosti Úřad
zpřístupní účastníkovi řízení informace vyloučené podle věty první,
pokud jimi byl nebo bude proveden důkaz. Před zpřístupněním informace
musí být účastník řízení nebo jeho zástupce poučen o ochraně, kterou
informace požívá; o poučení se sepíše protokol. Právo na přístup k
takovým informacím nezahrnuje právo činit si výpisy nebo právo na
pořízení kopií informací.
(5) Odstavcem 1 není dotčena povinnost kontrolujícího prokázat oprávnění k přístupu k utajované informaci.
§ 59
Mlčenlivost zaměstnanců Úřadu
(1) Místopředseda
a zaměstnanci Úřadu jsou povinni zachovávat mlčenlivost o osobních
údajích, o informacích podle § 58 odst. 4, jakož i o organizačních a
technických opatřeních, jejichž zveřejnění by ohrozilo zabezpečení
osobních údajů, se kterými se seznámili při výkonu působnosti Úřadu nebo
v souvislosti s ní. Tato povinnost trvá i po skončení služebního nebo
pracovního poměru.
(2) Povinnosti
zachovávat mlčenlivost podle odstavce 1 se nelze dovolávat vůči Úřadu.
Povinnosti mlčenlivosti podle odstavce 1 se lze dovolávat vůči orgánu
činnému v trestním řízení nebo soudu pouze tehdy, pokud by se povinnosti
mlčenlivosti vůči orgánu činnému v trestním řízení nebo soudu mohl
dovolávat ten, jemuž byla zákonem uložena a od něhož informace chráněná
povinností mlčenlivosti pochází. Subjektu údajů lze osobní údaje sdělit,
pouze pokud tímto sdělením nedojde k ohrožení chráněného zájmu
uvedeného v § 6 odst. 2.
(3) Povinnosti zachovávat mlčenlivost může místopředsedu Úřadu a zaměstnance zprostit předseda Úřadu nebo jím pověřená osoba.
§ 60
Opatření k odstranění nedostatků
Dojde-li k
porušení povinnosti stanovené zákonem nebo uložené na jeho základě při
zpracování osobních údajů podle hlavy II nebo III nebo podle nařízení
Evropského parlamentu a Rady (EU) 2016/679, může Úřad uložit opatření k
odstranění zjištěných nedostatků a stanovit přiměřenou lhůtu pro jejich
odstranění.
HLAVA VI
PŘESTUPKY
§ 61
(1) Fyzická
osoba, právnická osoba nebo podnikající fyzická osoba se dopustí
přestupku tím, že poruší zákaz zveřejnění osobních údajů stanovený jiným
právním předpisem10).
(2) Za přestupek podle odstavce 1 lze uložit pokutu do
a)
1 000 000 Kč, nebo
b)
5 000 000 Kč, jde-li o přestupek spáchaný tiskem, filmem,
rozhlasem, televizí, veřejně přístupnou počítačovou sítí nebo jiným
obdobně účinným způsobem.
(3) Úřad upustí
od uložení správního trestu také tehdy, jde-li o subjekty uvedené v čl.
83 odst. 7 nařízení Evropského parlamentu a Rady (EU) 2016/679.
§ 62
(1) Správce nebo zpracovatel podle hlavy II se dopustí přestupku tím, že
a)
poruší některou z povinností podle čl. 8, 11, 25 až 39, 42 až
49 nařízení Evropského parlamentu a Rady (EU) 2016/679 nebo hlavy II,
b)
poruší některou ze základních zásad pro zpracování osobních
údajů podle čl. 5 až 7 nebo 9 nařízení Evropského parlamentu a Rady (EU)
2016/679,
c)
poruší některé z práv subjektu údajů podle čl. 12 až 22 nařízení Evropského parlamentu a Rady (EU) 2016/679 nebo hlavy II,
d)
nesplní příkaz nebo poruší omezení zpracování osobních údajů
nebo nedodrží přerušení toků údajů uložené Úřadem podle čl. 58 odst. 2
nařízení Evropského parlamentu a Rady (EU) 2016/679, nebo
e)
neposkytne Úřadu přístup k údajům, informacím a prostorám podle
čl. 58 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2016/679.
(2) Subjekt pro
vydávání osvědčení se dopustí přestupku tím, že poruší některou z
povinností podle čl. 42 a 43 nařízení Evropského parlamentu a Rady (EU)
2016/679 nebo hlavy II.
(3) Subjekt pro
monitorování souladu se dopustí přestupku tím, že poruší některou z
povinností podle čl. 41 odst. 4 nařízení Evropského parlamentu a Rady
(EU) 2016/679.
(4) Úřad může upustit od uložení správního trestu také tehdy, pokud uloží opatření podle § 54 odst. 1 písm. e) nebo § 60.
(5) Úřad upustí
od uložení správního trestu také tehdy, jde-li o správce a zpracovatele
uvedené v čl. 83 odst. 7 nařízení Evropského parlamentu a Rady (EU)
2016/679.
§ 63
(1) Právnická osoba se dopustí přestupku tím, že při zpracování osobních údajů
a)
v rozporu s § 25 odst. 1 písm. a) nestanoví účel zpracování
osobních údajů nebo stanoveným účelem zpracování osobních údajů poruší
povinnost nebo překročí oprávnění vyplývající z jiného zákona,
b)
v rozporu s § 25 odst. 1 písm. b) nepřijme opatření
zajišťující, aby osobní údaje byly přesné ve vztahu k povaze a účelu
jejich zpracování,
c)
v rozporu s § 25 odst. 1 písm. c) uchovává osobní údaje po dobu delší než nezbytnou k dosažení účelu jejich zpracování,
d)
v rozporu s § 27 neposkytne subjektu údajů informace v rozsahu nebo zákonem stanoveným způsobem,
e)
v rozporu s § 28 odst. 2 nevyhoví žádosti subjektu údajů uvedené v § 28 odst. 1,
f)
v rozporu s § 29 odst. 5 nevyhoví žádosti subjektu údajů uvedené v § 29 odst. 1 nebo 2,
g)
v rozporu s § 32 odst. 1 až 3 nepřijme technická a organizační opatření nebo nevede jejich dokumentaci,
h)
v rozporu s § 32 odst. 4 nevede písemné přehledy o všech typových činnostech zpracování osobních údajů,
i)
v rozporu s § 36 odst. 1 nepořizuje záznamy,
j)
v rozporu s § 36 odst. 3 využije záznamy k jinému účelu,
k)
v rozporu s § 37 neprovede posouzení vlivu na ochranu osobních údajů,
l)
v rozporu s § 38 odst. 1 nepožádá Úřad o projednání připravovaného zpracování osobních údajů,
m)
v rozporu s § 39 zasáhne do práv a právem chráněných zájmů
subjektu údajů nebo způsobí jiný obdobně závažný následek pro subjekt
údajů,
n)
v rozporu s § 40 odst. 1 nepřijme organizační a technická opatření k zajištění odpovídající úrovně zabezpečení osobních údajů,
o)
v rozporu s § 40 odst. 2 nepřijme nezbytná opatření,
p)
v rozporu s § 41 odst. 1 neohlásí porušení zabezpečení osobních údajů Úřadu,
q)
v rozporu s § 42 odst. 1 neoznámí porušení zabezpečení osobních údajů subjektu údajů,
r)
neprovede uložené opatření k nápravě ve lhůtě stanovené Úřadem,
s)
poruší omezení zpracování zvláštních kategorií osobních údajů podle jiného právního předpisu5),
t)
poruší povinnost jmenovat pověřence podle jiného právního předpisu5),
u)
poruší povinnost informovat o nesprávném předání nebo o předání
nepřesných osobních údajů podle § 32 odst. 5 nebo podle jiného právního
předpisu5),
v)
poruší některou z podmínek podle jiného právního předpisu5)
pro předání osobních údajů do mezinárodní organizace nebo státu, který
neuplatňuje právní předpisy k provedení směrnice Evropského parlamentu a
Rady (EU) 2016/680, nebo
w)
poruší povinnost prověřovat potřebnost dalšího zpracování nebo vymazat osobní údaje podle jiného právního předpisu5).
(2) Přestupku se dopustí ten, kdo při zpracování osobních údajů
a)
v rozporu s § 34 odst. 4 nevede přehledy o všech typových činnostech zpracování osobních údajů,
b)
v rozporu s § 34 odst. 5 neoznámí spravujícímu orgánu porušení zabezpečení osobních údajů,
c)
v rozporu s § 35 nezpracovává osobní údaje pouze podle pokynů spravujícího orgánu nebo podle zákona,
d)
v rozporu s § 36 odst. 1 nepořizuje záznamy,
e)
v rozporu s § 36 odst. 3 využije záznamy k jinému účelu,
f)
v rozporu s § 40 odst. 1 nepřijme organizační a technická opatření k zajištění odpovídající úrovně zabezpečení osobních údajů,
g)
v rozporu s § 40 odst. 2 nepřijme nezbytná opatření,
h)
neprovede uložené opatření k nápravě ve lhůtě stanovené Úřadem,
i)
poruší omezení zpracování zvláštních kategorií osobních údajů podle jiného právního předpisu5),
j)
poruší povinnost jmenovat pověřence podle jiného právního předpisu5),
k)
poruší povinnost informovat o nesprávném předání nebo o předání
nepřesných osobních údajů podle § 32 odst. 5 nebo podle jiného právního
předpisu5),
l)
poruší některou z podmínek podle jiného právního předpisu5)
pro předání osobních údajů do mezinárodní organizace nebo státu, který
neuplatňuje právní předpisy k provedení směrnice Evropského parlamentu a
Rady (EU) 2016/680, nebo
m)
poruší povinnost prověřovat potřebnost dalšího zpracování nebo vymazat osobní údaje podle jiného právního předpisu5).
(3) Za přestupek podle odstavců 1 a 2 lze uložit pokutu do 10 000 000 Kč.
§ 64
(1) Přestupky podle tohoto zákona projednává Úřad.
(2) Pokutu vybírá Úřad.
§ 65
Zvláštní ustanovení o odložení věci
Aniž řízení o
přestupku podle tohoto zákona a porušení nařízení Evropského parlamentu a
Rady (EU) 2016/679 zahájí, může Úřad věc usnesením odložit též,
jestliže je vzhledem k významu a míře porušení nebo ohrožení chráněného
zájmu, který byl činem dotčen, způsobu provedení činu, jeho následku,
okolnostem, za nichž byl čin spáchán, nebo vzhledem k chování
podezřelého po spáchání činu zřejmé, že účelu, jehož by bylo možno
dosáhnout provedením řízení o přestupku, bylo dosaženo nebo jej lze
dosáhnout jinak. Usnesení o odložení věci podle věty první se pouze
poznamená do spisu; ustanovení zákona upravujícího odpovědnost za
přestupky a řízení o nich týkající se vyrozumění o odložené věci se v
takovém případě nepoužije.
ČÁST DRUHÁPŘECHODNÁ, ZRUŠOVACÍ A ZÁVĚREČNÁ USTANOVENÍ
§ 66
Přechodná ustanovení
(1) Ode dne
nabytí účinnosti tohoto zákona do 31. prosince 2020 má Úřad pouze 1
místopředsedu Úřadu. Druhého místopředsedu Úřadu lze zvolit s účinností
nejdříve od 1. ledna 2021.
(2) Předseda
Úřadu, který je ve funkci ke dni nabytí účinnosti tohoto zákona, dokončí
své funkční období podle dosavadních právních předpisů.
(3) Inspektor
Úřadu, který je ve funkci ke dni nabytí účinnosti tohoto zákona, dokončí
své funkční období podle dosavadních právních předpisů. Ode dne nabytí
účinnosti tohoto zákona do konce svého funkčního období je inspektor
zaměstnancem Úřadu pověřeným řízením a prováděním kontrolní činnosti v
pracovním poměru na dobu určitou. Nárok inspektora Úřadu na plat,
náhradu výdajů a naturální plnění se řídí dosavadními právními předpisy.
(4) Informace
zpracovávané přede dnem nabytí účinnosti tohoto zákona v registru
zpracování osobních údajů podle zákona č. 101/2000 Sb., o ochraně
osobních údajů a o změně některých zákonů, jsou veřejně přístupné po
dobu 18 měsíců ode dne nabytí účinnosti tohoto zákona.
(5) Řízení
zahájená podle zákona č. 101/2000 Sb., která nebyla pravomocně skončena
přede dnem nabytí účinnosti tohoto zákona, se dokončí podle zákona č.
101/2000 Sb.
(6) Kde se v
dosavadních právních předpisech používá pojem citlivý údaj nebo citlivý
osobní údaj, rozumí se tím ode dne nabytí účinnosti tohoto zákona osobní
údaj, který vypovídá o rasovém nebo etnickém původu, politických
názorech, náboženském vyznání nebo filosofickém přesvědčení nebo
členství v odborové organizaci, genetický údaj, biometrický údaj
zpracovávaný za účelem jedinečné identifikace fyzické osoby, údaj o
zdravotním stavu, o sexuálním chování, o sexuální orientaci a údaj
týkající se rozsudků v trestních věcech a trestných činů nebo
souvisejících bezpečnostních opatření.
(7) Souhlas
subjektu údajů udělený podle zákona č. 101/2000 Sb. se považuje za
souhlas podle nařízení Evropského parlamentu a Rady (EU) 2016/679,
ledaže způsob jeho udělení nebyl v souladu s tímto nařízením.
§ 67
Zrušovací ustanovení
Zrušují se:
1.
Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů.
2.
Zákon č. 177/2001 Sb., kterým se mění zákon č. 101/2000 Sb., o
ochraně osobních údajů a o změně některých zákonů, ve znění zákona č.
227/2000 Sb., a zákon č. 65/1965 Sb., zákoník práce, ve znění pozdějších
předpisů.
3.
Část šestá zákona č. 450/2001 Sb., kterým se mění zákon č.
128/2000 Sb., o obcích (obecní zřízení), ve znění pozdějších předpisů,
zákon č. 129/2000 Sb., o krajích (krajské zřízení), ve znění pozdějších
předpisů, zákon č. 131/2000 Sb., o hlavním městě Praze, ve znění
pozdějších předpisů, zákon č. 250/2000 Sb., o rozpočtových pravidlech
územních rozpočtů, ve znění zákona č. 320/2001 Sb., zákon č. 218/2000
Sb., o rozpočtových pravidlech a o změně některých souvisejících zákonů
(rozpočtová pravidla), ve znění pozdějších předpisů, a zákon č. 101/2000
Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění
pozdějších předpisů.
4.
Část čtvrtá zákona č. 107/2002 Sb., kterým se mění zákon č.
140/1996 Sb., o zpřístupnění svazků vzniklých činností bývalé Státní
bezpečnosti, a některé další zákony.
5.
Část druhá zákona č. 310/2002 Sb., kterým se mění zákon č.
148/1998 Sb., o ochraně utajovaných skutečností a o změně některých
zákonů, ve znění pozdějších předpisů, zákon č. 101/2000 Sb., o ochraně
osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů,
zákon č. 18/1997 Sb., o mírovém využití jaderné energie a ionizujícího
záření (atomový zákon) a o změně a doplnění některých zákonů, ve znění
pozdějších předpisů, zákon č. 38/1994 Sb., o zahraničním obchodu s
vojenským materiálem a o doplnění zákona č. 455/1991 Sb., o
živnostenském podnikání (živnostenský zákon), ve znění pozdějších
předpisů, a zákona č. 140/1961 Sb., trestní zákon, ve znění pozdějších
předpisů, zákon č. 283/1993 Sb., o státním zastupitelství, ve znění
pozdějších předpisů, a zákon č. 42/1992 Sb., o úpravě majetkových vztahů
a vypořádání majetkových nároků v družstvech, ve znění pozdějších
předpisů.
6.
Část devátá zákona č. 517/2002 Sb., kterým se provádějí některá
opatření v soustavě ústředních orgánů státní správy a mění některé
zákony.
7.
Část první zákona č. 439/2004 Sb., kterým se mění zákon č.
101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve
znění pozdějších předpisů.
8.
Část čtvrtá zákona č. 480/2004 Sb., o některých službách
informační společnosti a o změně některých zákonů (zákon o některých
službách informační společnosti).
9.
Část šestá zákona č. 626/2004 Sb., o změně některých zákonů v
návaznosti na realizaci reformy veřejných financí v oblasti odměňování.
10.
Část čtyřicátá zákona č. 413/2005 Sb., o změně zákonů v
souvislosti s přijetím zákona o ochraně utajovaných informací a o
bezpečnostní způsobilosti.
11.
Část jedenáctá zákona č. 109/2006 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o sociálních službách.
12.
Část dvacátá zákona č. 264/2006 Sb., kterým se mění některé zákony v souvislosti s přijetím zákoníku práce.
13.
Část třicátá šestá zákona č. 342/2006 Sb., kterým se mění
některé zákony související s oblastí evidence obyvatel a některé další
zákony.
14.
Část třináctá zákona č. 170/2007 Sb., kterým se mění některé
zákony v souvislosti se vstupem České republiky do schengenského
prostoru.
15.
Část šedesátá pátá zákona č. 41/2009 Sb., o změně některých zákonů v souvislosti s přijetím trestního zákoníku.
16.
Část třetí zákona č. 52/2009 Sb., kterým se mění zákon č.
141/1961 Sb., o trestním řízení soudním (trestní řád), ve znění
pozdějších předpisů, a některé další zákony.
17.
Část osmdesátá osmá zákona č. 227/2009 Sb., kterým se mění
některé zákony v souvislosti s přijetím zákona o základních registrech.
18.
Část šedesátá pátá zákona č. 281/2009 Sb., kterým se mění některé zákony v souvislosti s přijetím daňového řádu.
19.
Část čtyřicátá šestá zákona č. 375/2011 Sb., kterým se mění
některé zákony v souvislosti s přijetím zákona o zdravotních službách,
zákona o specifických zdravotních službách a zákona o zdravotnické
záchranné službě.
20.
Část čtvrtá zákona č. 468/2011 Sb., kterým se mění zákon č.
127/2005 Sb., o elektronických komunikacích a o změně některých
souvisejících zákonů (zákon o elektronických komunikacích), ve znění
pozdějších předpisů, a některé další zákony.
21.
Část dvacátá devátá zákona č. 64/2014 Sb., kterým se mění některé zákony v souvislosti s přijetím kontrolního řádu.
22.
Část dvacátá devátá zákona č. 250/2014 Sb., o změně zákonů souvisejících s přijetím zákona o státní službě.
23.
Část šestá zákona č. 301/2016 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o centrální evidenci účtů.
24.
Část osmdesátá druhá zákona č. 183/2017 Sb., kterým se mění
některé zákony v souvislosti s přijetím zákona o odpovědnosti za
přestupky a řízení o nich a zákona o některých přestupcích.
25.
Nařízení vlády č. 277/2011 Sb., o stanovení vzoru průkazu kontrolujícího Úřadu pro ochranu osobních údajů.
§ 68
Účinnost
Tento zákon nabývá účinnosti dnem jeho vyhlášení.
Vondráček v. r.
Zeman v. r.
Babiš v. r.
____________________________________________________________
1)
Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27.
dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním
osobních údajů příslušnými orgány za účelem prevence, vyšetřování,
odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu
těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV.
2)
Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27.
dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním
osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice
95/46/ES (obecné nařízení o ochraně osobních údajů).
3)
Zákon č. 22/1997 Sb., o technických požadavcích na výrobky a o změně a doplnění některých zákonů, ve znění pozdějších předpisů.
4)
§ 82 zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů.
§ 10 a násl. zákona č. 46/2000 Sb., o právech a povinnostech
při vydávání periodického tisku a o změně některých dalších zákonů
(tiskový zákon), ve znění pozdějších předpisů.
§ 35 a násl. zákona č. 231/2001 Sb., o provozování rozhlasového
a televizního vysílání a o změně dalších zákonů, ve znění pozdějších
předpisů.
5)
Například zákon č. 273/2008 Sb., o Policii České republiky, ve
znění pozdějších předpisů, zákon č. 341/2011 Sb., o Generální inspekci
bezpečnostních sborů a o změně souvisejících zákonů, ve znění pozdějších
předpisů, zákon č. 300/2013 Sb., o Vojenské policii a o změně některých
zákonů, ve znění pozdějších předpisů, zákon č. 257/2000 Sb., o Probační
a mediační službě a o změně zákona č. 2/1969 Sb., o zřízení
ministerstev a jiných ústředních orgánů státní správy České republiky,
ve znění pozdějších předpisů, zákon č. 269/1994 Sb., o Rejstříku trestů,
ve znění pozdějších předpisů, zákon č. 555/1992 Sb., o Vězeňské službě a
justiční stráži České republiky, ve znění pozdějších předpisů, zákon č.
141/1961 Sb., o trestním řízení soudním (trestní řád), ve znění
pozdějších předpisů, zákon č. 104/2013 Sb., o mezinárodní justiční
spolupráci ve věcech trestních, ve znění pozdějších předpisů, a zákon č.
17/2012 Sb., o Celní správě České republiky, ve znění pozdějších
předpisů.
6)
Například zákon č. 153/1994 Sb., o zpravodajských službách
České republiky, ve znění pozdějších předpisů, zákon č. 154/1994 Sb., o
Bezpečnostní informační službě, ve znění pozdějších předpisů, zákon č.
219/1999 Sb., o ozbrojených silách České republiky, ve znění pozdějších
předpisů, zákon č. 221/1999 Sb., o vojácích z povolání, ve znění
pozdějších předpisů, zákon č. 222/1999 Sb., o zajišťování obrany České
republiky, ve znění pozdějších předpisů, zákon č. 240/2000 Sb., o
krizovém řízení a o změně některých zákonů (krizový zákon), ve znění
pozdějších předpisů, zákon č. 241/2000 Sb., o hospodářských opatřeních
pro krizové stavy a o změně některých souvisejících zákonů, ve znění
pozdějších předpisů, zákon č. 585/2004 Sb., o branné povinnosti a jejím
zajišťování (branný zákon), ve znění pozdějších předpisů, zákon č.
289/2005 Sb., o Vojenském zpravodajství, ve znění pozdějších předpisů,
zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní
způsobilosti, ve znění pozdějších předpisů, zákon č. 320/2015 Sb., o
Hasičském záchranném sboru České republiky a o změně některých zákonů
(zákon o hasičském záchranném sboru), ve znění pozdějších předpisů, a
zákon č. 45/2016 Sb., o službě vojáků v záloze, ve znění pozdějších
předpisů.
7)
Zákon č. 451/1991 Sb., kterým se stanoví některé další
předpoklady pro výkon některých funkcí ve státních orgánech a
organizacích České a Slovenské Federativní Republiky, České republiky a
Slovenské republiky, ve znění pozdějších předpisů.
8)
Například zákon č. 6/2002 Sb., o soudech a soudcích, ve znění
pozdějších předpisů, zákon č. 283/1993 Sb., o státním zastupitelství, ve
znění pozdějších předpisů, zákon č. 153/1994 Sb., o zpravodajských
službách České republiky, ve znění pozdějších předpisů.
9)
Například § 16 zákona č. 89/1995 Sb., o státní statistické službě, ve znění pozdějších předpisů.
10)
Například § 8a, § 8b odst. 1 až 4 a § 8c zákona č. 141/1961
Sb., § 52 až 54 zákona č. 218/2003 Sb., o soudnictví ve věcech mládeže,
ve znění pozdějších předpisů.