Poslanecká sněmovna dne 12. 3. 2019 schválila zákon o zpracování osobních údajů (dále jen „Adaptační zákon“) ve znění, v jakém jí byl vrácen Senátem[1], který je tzv. adaptačním zákonem k Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „GDPR“).
Současně pak byl schválen i doprovodný zákon k zákonu o zpracování osobních údajů (dále jen „Doprovodný zákon“), který byl schválen ve verzi přijaté již dříve Poslaneckou sněmovnou[2].
Zákony nabydou účinnosti v nejbližších dnech, a to vyhlášením ve Sbírce zákonů. Shrnuli jsme pro Vás to nejdůležitější, co nové právní předpisy přináší a znamenají.
Adaptační zákon
Většina ustanovení Adaptačního zákona upřesňuje či rozvádí již zavedená ustanovení GDPR. Zákonodárce ale využil i možnosti odchýlit se od úpravy GDPR a stanovuje určité výjimky. Zákon například stanovuje hranici pro způsobilost dítěte k udělení souhlasu se zpracováním osobních údajů v souvislosti s nabídkou služeb informační společnosti (např. zpracování osobních údajů provozovateli sociálních sítí) na 15 let. Český zákonodárce tak hranici stanovenou GDPR snížil o jeden rok.
Další z výjimek, které Adaptační zákon přináší je například omezení povinnosti správce osobních údajů vypracovat posouzení vlivu zpracování osobních údajů (DPIA) v situaci, kdy mu provedení takového zpracování osobních údajů stanovuje přímo právní předpis.
S uvedeným souvisí i možnost správce osobních údajů splnit svou informační povinnost vůči subjektům údajů zveřejněním způsobem umožňujícím dálkový přístup, a to v případě, kdy osobní údaje zpracovává na základě zákonné povinnosti či ve veřejném zájmu. Typicky tak půjde například o plnění informační povinnosti zaměstnavatele vůči zaměstnancům, kdy nebude potřeba, v souladu se zněním nového zákona, nezbytné, aby byl každý zaměstnanec informován samostatně.
V Adaptačním zákoně je také více detailněji upraveno zpracování osobních údajů pro účely vědeckého nebo historického výzkumu či pro statistické účely. Stejně tak se zákon podrobněji věnuje zpracování osobních údajů pro novinářské účely či pro účely akademického, uměleckého nebo literárního projevu. V těchto případech zákon omezuje právo subjektu údajů na přístup k osobním údajům dle GDPR, a to s ohledem na ochranu zdroje a obsahu informací. Zákon tak do jisté míry vyjasňuje situace, kdy jsou novináři, umělci apod. povinni sdělovat subjektům údajů informace ohledně zpracování jejich osobních údajů.
Adaptační zákon dále stanovuje určité výjimky například pro povinnost posuzování slučitelnosti účelů, povinnost oznámení porušení zabezpečení osobních údajů subjektu údajů či uplatnění některých dalších práv a povinností
Významná část Adaptačního zákona je pak věnována ochraně osobních údajů při jejich zpracování za účelem předcházení, vyhledávání nebo odhalování trestné činnosti, stíhání trestných činů, výkonu trestů a ochranných opatření, zajišťování bezpečnosti České republiky nebo zajišťování veřejného pořádku a vnitřní bezpečnosti a ochraně osobních údajů při zajišťování obranných a bezpečnostních zájmů České republiky.
Oproti původnímu návrh Poslanecké sněmovny a na základě pozměňovacích návrhů Senátu došlo k úplnému vypuštění pravomocí Úřadu pro ochranu osobních údajů v oblasti svobodnému přístupu k informacím.
V neposlední řadě je nutné podotknout, že nabytím účinnosti nového zákona se mj. zrušuje dosavadní zákon č. 101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů, a nový zákon společně s GDPR jej tak zcela nahrazují.
Přestupky a sankce
GDPR umožňuje členským státům samostatně upravit pravidla ukládání správních pokut orgánům veřejné moci a veřejným subjektům. Český zákonodárce při přípravě nového Adaptačního zákona této možnosti využil a v Adaptačním zákoně stanovil, že s výjimkou následujícího odstavce orgánům veřejné moci a veřejným subjektům usazeným v České republice, ač by se dopustili porušení některé povinností podle GDPR nebo Adaptačního zákona, nebude správní trest (pokuta) uložen (resp. bude od uložení upuštěno).
Adaptační zákon dále omezuje výši pokuty, která může být v souvislosti s porušením některých povinností v souvislosti s ochranou osobních údajů právnickou osobou, zejména ve vztahu při zpracování osobních údajů za účelem předcházení, vyhledávání nebo odhalování trestné činnosti, stíhání trestných činů, výkonu trestů a ochranných opatření, zajišťování bezpečnosti České republiky nebo zajišťování veřejného pořádku a vnitřní bezpečnosti, na 10.000.000,- Kč.
Za přestupek spočívající v porušení zákazu zveřejnění osobních údajů stanoveného jiným právním předpisem lze uložit pokutu do 1.000.000,- Kč, nebo 5.000.000,- Kč, půjde-li o přestupek spáchaný tiskem, filmem, rozhlasem, televizí, veřejně přístupnou počítačovou sítí nebo jiným obdobně účinným způsobem.
Adaptační zákon přináší také některé další nové přestupky, a to nad rámec přestupků v GDPR související s porušením povinností, které stanovuje přímo tento zákon. S těmito přestupky jsou spojeny také samostatné sankce. Výše uvedené upuštění od sankce pro orgány veřejné moci a veřejné subjekty se však uplatní i zde.
Projednání přestupků a vybírání pokut dle Adaptačního zákona a GDPR má ve své pravomoci dozorový úřad, jímž je v tomto případě Úřad pro ochranu osobních údajů (ÚOOÚ). Zákonodárce však umožňuje ÚOOÚ uložit správci či zpracovateli, který povinnosti stanovené zákonem či GDPR porušil, opatření k odstranění zjištěných nedostatků a stanovit lhůtu pro jejich odstranění. V takových případech pak v souladu se zákonem může ÚOOÚ od uložení správního trestu upustit.
Doprovodný zákon
Doprovodný zákon mění některé další zákony v souvislosti s přijetím Adaptačního zákona, když zejména upravuje zpracování osobních údajů pro účely plnění úkolů ve veřejném zájmu a řeší i vybraná specifika zpracování osobních údajů ze strany jednotlivých složek veřejné správy.
Závěr
Nově přijaté právní předpisy dokončují proces první vlny adaptace právního řádu České republiky na GDPR. V budoucnu lze očekávat další změny právní úpravy, zejména ve vztahu k některým službám informační společnosti a e-commerce (obchodní sdělení, cookies,..) a pracovnímu právu.
Zákony nyní poskytují dostatečný právní rámec pro ÚOOÚ, aby mohl efektivně vykonávat svoji dozorovou a kontrolní činnost v oblasti ochrany osobních údajů, která byla od data použitelnosti GDPR poněkud oslabena s ohledem na chybějící adaptační právní úpravu.
O nabytí účinnosti Adaptačního zákona i Doprovodného zákona a o dalším vývoji v oblasti ochrany osobních údajů Vás budeme informovat.
Mgr. Barbora Cetkovská, advokátní koncipientka – cetkovska@plegal.cz
Mgr. Jakub Málek, partner – malek@plegal.cz
28. 03. 2019
[1] Více zde: http://www.psp.cz/sqw/historie.sqw?o=8&t=138.
[2] Více zde: http://www.psp.cz/sqw/historie.sqw?o=8&t=139.