zákon č. 439/2004 Sb.

K části prvé - Čl. I

K bodu 1 - změna § 1:

V souladu s článkem 32 odst. 1 Směrnice 95/46/ES se do nového znění ustanovení § 1 promítá transpoziční závazek České republiky učinit oficiální vyhlášení týkající se přijetí opatření v oblasti ochrany fyzických osob v souvislosti se zpracováním jejich osobních údajů. I když se do jisté míry jedná o formální krok, je jeho promítnutí do úvodního ustanovení zákona o ochraně osobních údajů potvrzením vůle České republiky realizovat přijaté závazky. V ustanovení se v nové poznámce pod čarou č. 1 a č. 1a (původní poznámka č. 1 byla zrušena zákonem č. 517/2002 Sb.) činí odkaz na Směrnici 95/46/ES a Úmluvu 108, která byla Českou republikou ratifikována.

K bodu 2 – změna § 3 odst. 1:

Oproti dosavadnímu znění se navrhuje v novém znění ustanovení § 3 odst. 1 promítnout v souladu s článkem 5 Směrnice 95/46/ES pouze vymezení okruhu subjektů, které zpracovávají osobních údaje v mezích zákona o ochraně osobních údajů. jedná se o pozitivní vymezení působnosti tohoto zákona.

K bodu 3 - změna § 3 odst. 2, 3 a 4:

Jde o legislativně technickou úpravu navazující za změnu provedenou v § 1 návrhu zákona.

K bodu 4 - změna § 3 odst. 4:

Navrhuje se vypuštění věty druhé včetně odkazu na poznámku pod čarou. Jde o ustanovení, které se doplnilo do § 4 odst. 3 v roce 2001 zákonem č. 171/2001 Sb., tedy v době, kdy ještě nebyla právní úprava zákona o ochraně osobních údajů společností zcela přijata. Protože vypouštěné ustanovení věty druhé je do jisté míry duplicitní s obsahem věty prvé, nedochází tímto návrhem k omezení dosavadního okruhu práv a povinností subjektů, na které výjimka zde uvedená dopadá. Současně, v návaznosti na novelizaci § 1, je nezbytné v souladu s Legislativními pravidly vlády zrušit stávající poznámku pod čarou č. 1a.

K bodu 5 – změna § 3 odst. 5:

V souladu s článkem 4 Směrnice 95/46/ES se navrhuje do zákona o ochraně osobních údajů doplnit dosud chybějící ustanovení vyplývající z potřeby správců, případně zpracovatelů, kteří jsou usazení na území více států a provádějí zpracování, kdy tok údajů přes hranice často přesahuje území států Evropské unie. V těchto případech zákon o ochraně osobních údajů umožňuje provádět tato zpracování za podmínek uvedených v novém ustanovení § 3 odst. 5, a to jak v případech, kdy správce není usazen na území České republiky, tak v případech, kdy není usazen ani na území Evropské unie.

Dosavadní znění § 3 odst. 5, které obsahovalo pouze deklaratorní ustanovení týkající se obecných podmínek pro zpracování osobních údajů pro účely statistické a archivnictví, se bez náhrady navrhuje vypustit. Ve svém důsledku tato změna nemá žádný dopad na dosavadní existenci zvláštní právní úpravy v této oblasti, neboť možnosti vyplývají z právního řádu České republiky obecně.

K bodu 6 – změna § 3 odst. 6:

Navrhuje se nové znění ustanovení § 3 odst. 6, které v sobě nese významné obsahové přiblížení výjimek pro zpracování osobních údajů z režimu některých ustanovení zákona o ochraně osobních údajů k rozsahu výjimek, obsažených zejména v článku 13 odst. 1 Směrnice 95/46/ES. Kromě toho, že dosavadní znění bylo již do určité míry nevyhovující zejména v oblasti trestně právní, se podle očekávání navrhovatele navrženou dikcí, více se přibližující dikci citovaného článku Směrnice, dojde k odstranění dosavadních pochybností o výčtu subjektů, které ve stávajícím znění § 3 odst. 6 byly dříve uvedeny, a o rozsahu jejich oprávnění. Ve svém důsledku tato změna znamená, že jakýkoliv subjekt, provádějící zpracování ve vyjmenované oblasti, může zpracování vykonávat v mezích stanovených zákonem o ochraně osobních údajů z využitím výjimek z některých jeho ustanovení. Ačkoliv je výčet výjimek stanoven obecně pro všechny vyjmenované oblasti, může být jejich využití rozdílné, v závislosti na vůli správce nebo zpracovatele týkající se jejich konkrétní aplikace a využití jejich rozsahu. Ustanovení je doplněno souborem poznámek pod čarou, které obsahují demonstrativní výčet těch nejvýznamnějších zákonů, na které uvedené výjimky dopadají.

K bodu 7 – změna § 4 písm. a):

Navrhovaná úprava obsahuje v souladu s článkem 2 písm. a) Směrnice 95/46/ES nové znění definice pojmu osobní údaj. Oproti současnému definičnímu ustanovení obsaženém v zákoně o ochraně osobních údajů, se navrhovaný text přibližuje terminologii užívané v této oblasti v tom směru, že se zde již nehovoří o údaji, což navozuje úvahy o potřebě pouze určitého druhu informace, která by mohla být údajem, ale uvádí se zde, že údajem je jakákoliv informace, aniž se hovoří o tom, jakého druhu má ona informace být. Tím se celý text tohoto ustanovení více přibližuje definici pojmu osobní údaj, obsaženém v citovaném článku Směrnice 95/46/ES. Filosofie tohoto přístupu se tak více blíží obsahu než formě nebo druhu informace. Věta druhá tohoto ustanovení se doplňuje o demonstrativní výčet těch nejdůležitějších prvků pro bližší určení identity subjektu údajů. I v tomto případě se zde uváděný výčet nijak neodchyluje od výčtu, který je uveden v citovaném článku Směrnice 95/46/ES.

Oproti stávajícímu ustanovení § 4 písm. a) zákona o ochraně osobních údajů, je v nově navrhovaném znění vypuštěna věta třetí, jejímž obsahem bylo negativní vymezení pojmu osobní údaj. Navrhovatel tak vychází ze zkušeností a poznatků souvisejících s nástupem a rozvojem informačních technologií, kdy dosažení a zjištění identity subjektu údajů v dnešní době již nevyžaduje nijak výjimečné úsilí ani materiální prostředky, odmyslíme-li si zvláštním způsobem chráněné informace – osobní údaje, kdy přístupy jsou podřízeny zcela zvláštnímu režimu. Tím se docílilo přiblížení tohoto ustanovení citovanému článku Směrnice 95/46/ES, který obdobnou úpravu neosahuje.

K bodu 8 – změna § 4 písm. b):

V souladu s článkem 6 Úmluvy 108 a v souladu se zněním zejména článku 8 odstavec 5 Směrnice 95/46/ES se navrhuje změna obsahu pojmu citlivý osobní údaj vypovídající o trestné činnosti. Navrhovanou novelizací se tak aplikace práv a povinností správce nebo zpracovatele při zpracování tohoto osobního údaje více sblíží s rozsahem práv a povinností podle mezinárodního práva.

K bodu 9 – doplnění § 4:

V souladu s článkem 2 písm. c), g) a h) Směrnice 95/46/ES se do definičního ustanovení zákona o ochraně osobních údajů doplňují definice pojmu evidence nebo datový soubor s osobními údaji, definice pojmu souhlas subjektu údajů a definice pojmu příjemce.

Pokud jde o sám pojem datový soubor, byla obdobná definice tohoto pojmu obsažena již v zákoně č. 256/1992 Sb., o ochraně osobních údajů v informačních systémech, který byl zákonem o ochraně osobních údajů zrušen. Podle ustanovení § 4 citovaného zrušeného zákona, obsahující definici pojmu „Informační systém“, se za informační systém považoval „Funkční celek zabezpečující cílevědomé a systematické shromažďování, zpracovávání, uchovávání a zpřístupňování informací. Podle tohoto ustanovení dále „Každý informační systém zahrnoval informační základnu, technické a programové prostředky, technologie a procedury a pracovníky.

Podle obdobných kriterií se navrhuje definovat evidenci nebo datový soubor jako soubor informací – osobních údajů, jehož obecným znakem je způsob jakým jsou informace – osobní údaje uspořádány a způsob jejich zpřístupnění. Pro správce nebo zpracovatele přitom není rozhodné, zda se jedná o automatizované zpracování osobních údajů nebo nikoliv.

Na rozdíl od dosavadní právní úpravy se navrhuje, aby v zákoně byla právní úprava podmínek a náležitostí souhlasu subjektu údajů se zpracováním osobních údajů upravena obdobně jako v článku 2 písm. h) Směrnice 95/46/ES. Pokud jde o samotné ustanovení novely, jeho obsah vychází obdobně jako obsah Směrnice 95/46/ES z předpokladu, že se musí jednat o projev vůle subjektu údajů, jehož obsahem je svobodné, zřejmé a vědomé vyslovení podmínek, za kterých má dojít k zpracování osobních údajů. Nejedná se tedy o dohodu mezi správcem nebo zpracovatelem na straně jedné a subjektem údajů – fyzickou osobou na straně druhé, ale jde o jednostranný právní úkon subjektu údajů. Prvek informovanosti subjektu údajů v jeho rozhodování se dále zdůrazňuje v návrhu nového znění § 5 odst. 4 a § 9 písm. a) s tím, že návrh zákona současně vymezuje okruh informací, které by měly být předem subjektu údajů poskytnuty. Právo subjektu údajů dovolávat se neplatnosti tohoto úkonu, zejména pokud by k němu byl správcem nebo zpracovatelem donucen, se řídí obecnou úpravou občanského zákoníku.

V návaznosti na novelizovaná ustanovení zákona o ochraně osobních údajů týkající se zpřístupňování osobních údajů se ukázalo potřebné v souladu s článkem 2 písm. g) Směrnice 95/46/ES doplnit definici příjemce, jako jiné osoby (subjektu), které jsou nebo mohou být osobní údaje zpřístupněny, předány apod. V případě příjemce podle tohoto ustanovení však nepůjde o takové subjekty, kterým jsou osobní údaje zpřístupňovány pro výkon veřejné moci podle zvláštního zákona. To však neznamená, že tyto subjekty příjemci fakticky nejsou, ale jejich vynětí z definice příjemce pro účely zákona o ochraně osobních údajů znamená osvobození správce například od povinnosti informace o těchto subjektech evidovat a zpřístupňovat při naplňování ustanovení § 11 a 12 zákona o ochraně osobních údajů. Tato skutečnost je významná zejména pro správce nebo zpracovatele rozsáhlých datových souborů ve státní správě, jako například registr evidence obyvatel, obchodní rejstřík, registr státní sociální podpory, živnostenský rejstřík, katastr nemovitostí.

K bodu 10 – změna § 5 odst. 1 písm. c):

V souladu se snahou přiblížit se právu ES se při přípravě novely zvážila i ta ustanovení, která se při aplikaci zákona o ochraně osobních údajů ne zcela osvědčila, a tyto nejasnosti a nepřesnosti odstranit. Zatímco Směrnice 95/46/ES stanoví správci v článku 6 odst. 1 písm. d) povinnost, aby zpracovávané osobní údaje byly přesné, a je-li to nezbytné i aktualizované, stanovila dosavadní úprava § 5 odst. 1 písm. c) zákona o ochraně osobních údajů správci povinnost zpracovávat „pouze pravdivé a přesné osobní údaje“. Přitom požadavek pravdivosti nemusel vždy odpovídat požadavku přesnosti a naopak. Navrhovaná změna má tento nedostatek odstranit s tím, že se zachovává dosavadní přístup, aby jediným a základním předpokladem pro zpracování osobních údajů byl zákonný způsob jejich získání. Dosavadní povinnost správce ověřovat vždy přesnost zpracovávaných informací byla změněna v souladu s citovaným článkem Směrnice 95/46/ES na situace, kdy je aktualizace osobních údajů vzhledem k účelu zpracování nezbytná. Již v předchozím znění zákona o ochraně osobních údajů byl obsažena povinnost správce blokovat osobní údaje v případě existence pochybností o jejich přesnosti včetně dalších postupů zpracování v těchto případech. Výjimky z této povinnosti lze uplatnit pouze v návaznosti na ustanovení § 3 odst. 6. Tím je do jisté míry zabezpečen soulad principů ochrany soukromí jednotlivce i v případech, kdy dochází k cílenému a zvláštním zákonem vymezenému zpracování nepřesných informací, jak tomu může docházet například v souvislosti s činností orgánů státu, působících v oblasti obrany nebo bezpečnosti. Nově se v tomto ustanovení ukládá povinnost správce (viz věta poslední), aby v případě opravy nebo vymazání osobních údajů v návaznosti na ověření jejich přesnosti, o těchto operacích informoval příjemce.

K bodu 11 a 12 – změna § 5 odst. 1 písm. e):

V návaznosti na záměr navrhovatele sjednotit zvláštní podmínky pro zpracování osobních údajů pro účely statistiky a pro účely vědecké, se navrhuje změna dosud užívaných pojmů v tom smyslu, aby se omezil rámec zde uvedené výjimky jen na oblast státní statistické služby. Pokud jde o oblast vědy, dosavadní rámec výjimky se nemění.

Současně se v návaznosti s vypuštěním odstavce 4 v § 5 přejímá zde uvedený princip, aby při použití zpracovávaných osobních údajů pro účely státní statistické služby, účely vědecké a účely archivnictví byl správce a případně i zpracovatel povinen osobní údaje anonymizovat, jakmile je to možné.

K bodu 13 a 14 – změna § 5 odst. 1 písm. f):

Navrhuje se vypustit odkaz na zvláštní zákon, který byl uveden v dosavadním znění tohoto ustanovení. Jedná se o navazující právní úpravu provedenou tím, že rámec výjimek pro tyto případy je nyní uveden v novém znění ustanovení § 3 odst. 6 zákona o ochraně osobních údajů. Proto se dále se navrhuje uvést v tomto ustanovení přímý odkaz na zmiňované ustanovení.

K bodu 15 a 16 – změna § 5 odst. 1 písm. g) a h):

Navrhuje se vypustit obecný odkaz na zvláštní zákon, který byl uveden v dosavadním znění ustanovení. Jedná se o navazující úpravu provedenou tím, že rámec výjimek pro tyto případy je nyní uveden v nově navrhovaném znění ustanovení § 3 odst. 6.

K bodu 17 – změna § 5 odst. 2 písm. a):

V souladu s článkem 7 písm. c) Směrnice 95/46/ES se navrhuje výjimku pro zpracování osobních údajů bez souhlasu subjektu údajů omezit jen na případy, kdy zpracování je nezbytné pro dodržení právní povinnosti správce.Dosavadní v ustanovení § 5 odst. 2 písm. a) zákona obsažený pouhý odkaz na zvláštní zákony z hlediska transpozice Směrnice 95/46/ES jako nepřesný a nedostačující.

K bodu 18 – změna § 5 odst. 2 písm. b):

Rovněž navrhovaná změna ustanovení § 5 odst. 2 písm. b) je jistým vyladěním dosavadního znění zákona o ochraně osobních údajů, které obsahovalo jednu z výjimek pro správce nebo zpracovatele, zpracovávat osobní údaje bez souhlasu subjektu údajů. Zatímco v případě, kdy se jedná o zpracování osobních údajů v rozsahu nezbytném pro plnění smlouvy, a stanoví se v souladu s článkem 7 písm. b) Směrnice 95/46/ES podmínka, že smluvní stranou je subjekt údajů, v případě, kdy jednání mezi správcem, zpracovatelem a subjektem údajů teprve probíhají a v návaznosti na toto jednání se budoucí smluvní vztah teprve očekává, je rozhodující pro uplatnění této výjimky skutečnost, zda se toto jednání uskutečňuje  na návrh subjektu údajů. Pokud by tomu tak nebylo, nelze již zpracování osobních údajů v tomto případě provádět bez souhlasu subjektu údajů.

K bodu 19 – změna § 5 odst. 2 písm. c):

Navrženou změnou se transponuje čl. 7 písm. d) Směrnice 95/46/ES, kde se však hovoří o nutnosti zachování „životně důležitých“ zájmů, čemuž dosavadní formulace tohoto ustanovení obsahující pojem „důležitých zájmů“ dostatečně neodpovídala. Navrhuje se proto ustanovení v tomto směru upřesnit.

K bodu 20 – doplnění § 5 odst. 2 písm.d):

Legislativně technická úprava v návaznosti na navrhované změny.

K bodu 21 – změna § 5 odst. 2 písm. e):

Při posuzování souladu zákona o ochraně osobních údajů s právem ES byla vytýkána v případě výjimek z režimu zákona o ochraně osobních údajů skutečnost, že na rozdíl od Směrnice 95/46/ES nejsou v tomto zákoně možnosti výjimek nijak omezeny, což ve svém důsledku může vést ke skutečnosti, že zvláštním zákonem není dodržován obdobný režim ochrany subjektu údajů před neoprávněným zpracováváním jeho osobních údajů stejně jako v zákoně samotném. V souladu s tímto zjištěním je proto v případě ustanovení § 5 odst. 2 písm. e) zákona o ochraně osobních údajů, které novelizuje oprávnění správce (zpracovatele), příjemce nebo jiné dotčené osoby týkající se zpracování osobních údajů bez souhlasu subjektu údajů, navrženo jisté omezení, které vychází z článku 6 odst. 1 písm. f) Směrnice 95/46/ES. Podstatou tohoto omezení je snaha docílit, aby v případě, že budou takováto zpracování prováděna, nebyla prováděna v rozporu s účelem zákona o ochraně osobních údajů garantujícího spolu s obecným právem určitý standard ochrany soukromého a osobního života subjektu údajů.

K bodu 22 – zrušení § 5 odst. 2 písm. f):

V návaznosti na navrhované změny zákona o ochraně osobních údajů, jejichž účelem je přiblížení se právu Evropských společenství, je snahou navrhovatele odstranit ze zákona o ochraně osobních údajů taková ustanovení, která nekorespondují s obdobným ustanovením Směrnice 95/46/ES. Tímto ustanovením je dosavadní § 5 odst. 2 písm. f), upravující výjimkou pro zpracování osobních údajů bez souhlasu subjektu osobních údajů, pokud je to nezbytné pro výkon oprávněné činnosti politických stran, politických hnutí, občanských sdružení, odborových organizací, církví nebo náboženských společností.

Komentované ustanovení, které bylo do zákona o ochraně osobních údajů doplněno zákonem č. 177/2001 Sb., bylo vyjádřením jisté obavy subjektů zde vyjmenovaných, aby při zpracování osobních údajů v souvislosti s výkonem jejich oprávněné činnosti, nemusel být požadován souhlas subjektu údajů pro zpracování jakýchkoliv osobních údajů. V návaznosti na platné znění ustanovení § 5 odst. 2 písm. a) zákona o ochraně osobních údajů, ale zejména s ohledem na navrhované změny ustanovení § 5 odst. 2 písm. e) tohoto zákona a doplnění § 9 o nové písmeno e) (viz bod 15 návrhu Části I), se navrhovatel domnívá, že pro nadbytečnost a duplicitu je vhodné toto ustanovení vypustit, aniž by tímto návrhem byla dotčena dosavadní úroveň práv a povinností při zpracování osobních údajů těchto subjektů.

K bodu 23 a 24 – změna § 5 odst. 4 a 5:

V návaznosti na novelizaci a zobecnění podmínek, za kterých je vydáván subjektem údajů souhlas se zpracováním osobních údajů (uvedeno v bodě 9 části II důvodové zprávy) se novelizuje dosavadní zvláštní úprava podmínek souhlasu subjektu údajů dosud obsažená v ustanovení § 5 odst. 5. Navrhovanou změnou zákona o ochraně osobních údajů, kdy se doplňuje definiční ustanovení § 4 tohoto zákona, zůstávají zachovány všechny dosud užívané podmínky udělování souladu jako svobodného individuálního právního úkonu subjektu údajů. Na rozdíl od dosavadní právní úpravy nebyla do nového znění ustanovení § 4 písm. n) a ani do nového znění § 5 odst. 4 převzata věta, opravňující subjekt údajů souhlas se zpracováním osobních údajů kdykoliv odvolat, pokud by se správcem výslovně nedohodl jinak. Protože otázka odvolatelnosti souhlasu úzce souvisí s otázkou týkající se podmínek, za kterých došlo k udělení souhlasu subjektu údajů, tedy podmínek stanovených jak obecnou právní úpravou (viz § 37 odst. 1 občanského zákoníku, podle kterého musí být právní úkon učiněn svobodně a vážně, určitě a srozumitelně, jinak je neplatný), tak zvláštním zákonem (viz nové ustanovení § 4 písm. n) zákona), souvisí i otázky neplatnosti úkonu, který byl učiněn v omylu nebo v tísni, s otázkami možnosti odstoupit v takovém případě od smlouvy (viz ustanovení § 37 a násl. ObčZ, zejména § 49). Protože se aplikace obecné právní úpravy navrhovaná změna nedotkla, není podle názoru předkladatele v důsledku vypuštění části původního znění § 5 odst. 5 bez náhrady možné namítat, že je navrhovanou změnou oslabeno postavení subjektu údajů.

Dosavadní znění věty druhé ustanovení § 5 odst. 4 se navrhuje promítnout do nového znění § 5 odst. 1 písm. e), který se rovněž týká podmínek pro zpracování osobních údajů pro účely státní statistické služby, účely vědecké a účely archivnictví. Zbývající části tohoto ustanovení jsou pak za nadbytečné a navrhuje se je proto vypustit.

K bodu 25 až 27 – změna § 5 odst. 6 až 8:

Jedná se o legislativně technické úpravy navazující na změnu ustanovení § 5 odst. 4 a 5.

K bodu 28 – změna § 6:

Podle článku 17 odst. 3 Směrnice 95/46/ES má správce povinnost uzavřít se zpracovatelem smlouvu o zpracování osobních údajů, pokud neexistuje právní vztah, který by zavazoval zpracovatele vůči správci a dostatečně upravil požadavky na vhodná technická a organizační opatření na ochranu osobních údajů. Z tohoto důvodu se dosavadní slovo „může“ ve větě první tohoto ustanovení navrhuje nahradit slovem „musí“.

Dosavadní znění ustanovení § 6 o neplatnosti smlouvy, v případě, kdy zpracovatel ve smlouvě neposkytne dostatečné záruky o technickém a organizační zabezpečení osobních údajů, je považováno za velice problematické, neboť by jeho důsledná aplikace znamenala faktickou absenci právních účinků uzavřené smlouvy. Článek Směrnice 95/46/ES přitom odpovídá povinnosti zpracovatele jednat pouze na základě instrukcí správce a poskytnout dostatečné záruky pro bezpečnost zpracování osobních údajů ve smlouvě. Navrhuje se proto dosavadní znění § 6 v tomto smyslu novelizovat.

K bodu 29 – změna § 9 písm. a):

Rovněž dílčí změna ustanovení § 9 písm. a) je prováděna v návaznosti na přesunutí základních podmínek souhlasu subjektu údajů do definičního ustanovení § 4 zákona o ochraně osobních údajů. V souladu s dosavadními zkušenostmi při aplikaci tohoto zákona se v případě zpracování citlivých osobních údajů upřednostňuje podmínka existence výslovné formy souhlasu subjektu údajů. Citlivé informace vypovídající o subjektu představují dnes jednu z nejvíce frekventovaných kategorií dat, která jsou předmětem zájmu správců a zpracovatelů a jsou obchodována. Proto je zcela na místě v případě požadavku na vydání souhlasu subjektu údajů zvolit obdobně jako v případě dalších kontrolních a rozhodovacích procesů podle tohoto zákona pro zpracování citlivých osobních údajů poněkud přísnější režim, což je vnímáno jak ze strany správců, tak ze strany veřejnosti, jako pozitivní projev ochrany soukromí subjektu údajů.

K bodu 30 a 31 – změna § 9 písm. c) a d):

Jak již bylo zmíněno v odůvodnění k bodu 9 návrhu, zpřísňuje návrh zákona na několika místech podmínky, za kterých lze postupovat mimo jeho rámec. Jedním z problematických ustanovení zákona bylo v tomto ohledu dosavadní ustanovení § 9 písm. d) zákona o ochraně osobních údajů, které umožňuje, aby jakýkoliv zvláštní zákon upravil odlišně od podmínek obsažených v zákoně možnosti pro zpracování citlivých osobních údajů. Tímto ustanovením tak nebylo dosaženo plné slučitelnosti dosavadní právní úpravy s článkem 8 odst. 2 písm. b) a odst. 4 Směrnice 95/46/ES. Snahou předkladatele je tento nedostatek odstranit při vědomí skutečnosti, že se tím dosavadní podmínky zpřísňují. Avšak navrhovatel se nedomnívá, že tato změna vyvolá nějaké navazující novelizace právních předpisů, neboť problematika zpracování citlivých osobních údajů bez souhlasu subjektu údajů se týká poměrně úzkého okruhu správců, z nichž je třeba vyjmout správce a zpracovatele, kteří svá zpracování provádějí za podmínek ustanovení § 9 písm. b) a c) zákona (jedná se například o správce v oblasti zdravotnictví a oblasti sociální), a nebo budou využívat pro své zpracování nově navrhovaná ustanovení § 9 písm. e) až h), která jsou součástí předloženého návrhu zákona (viz odůvodnění bodu 32 novely). Tato nová výjimka se týká zejména politických stran, odborových organizací, církví a všech dalších osob nevýdělečné povahy při zpracování osobních údajů o svých členech apod.

K bodu 32 – doplnění § 9:

Podmínky pro zpracování citlivých osobních údajů, obsažené v § 9, představují jeden z velmi důležitých článků zákona o ochraně osobních údajů. S ohledem na tyto skupiny údajů, jejichž zpracování často představuje velmi citelný zásah do soukromí subjektu údajů (jde o údaj o zdravotním stavu, odsouzení za trestný čin, sexuální orientaci, rasovém původu, apod.) byla v roce 2000 při přijetí zákona o ochraně osobních údajů zvolena přísnější úprava základních podmínek, která netransponovala všechny možné výjimky ze základních podmínek, které jsou v souladu s článkem 8 Směrnice 95/46/ES přípustné. Z pohledu nyní předkládaného návrhu zákona se již nejeví takového omezení vhodné, a proto se zejména navrhuje rozšíření výjimek ze zákazu zpracování citlivých osobních údajů bez souhlasu subjektu údajů pro vyjmenované skupiny správců nebo zpracovatelů, pokud zpracovávají osobních údaje o svých členech a za podmínek zde dále stanovených. Tím se do jisté míry vyhovuje určité kritice předchozí právní úpravy ze strany představitelů některých politických stran a hnutí nebo odborových organizací, kteří se cítili dosavadními podmínkami poněkud svázáni a pociťovali tuto úpravu jako zásah do svých práv. Navrhovatel předpokládá, že nyní by měl být tento problém odstraněn.

Navrhované znění nového § 9 písm. f), obdobně jako v případě oblasti zdravotnictví, která je tradiční oblastí pro zpracování citlivých osobních údajů, reflektuje obdobný princip i v případě oblasti sociální činnosti státu a jeho orgánů. Jistým zabezpečením pro zachování úrovně ochrany osobních údajů je podmínka, aby ochrana těchto údajů odpovídala podmínkám zákona o ochraně osobních údajů. Tímto se dociluje sladění této výjimky s principem, který vyplývá z článku 8 odst. 4 Směrnice 95/46/ES.

Dalším rozšířením současných výjimek ze zákazu zpracování citlivých osobních údajů bez souhlasu subjektu údajů se sleduje vyšší soulad s již citovaným článkem Směrnice 95/46/ES, kdy lze zpracovávat tyto údaje, pokud již došlo k jejich zveřejnění subjektem údajů, a dále pokud jejich zpracování je nezbytné pro ochranu právních nároků správce. Právě případy neoprávněného zpracování zveřejněných citlivých osobních údajů jsou častým předmětem sporu mezi správcem a subjektem údajů. Proto je snahou navrhovatele v souladu se Směrnicí 95/46/ES blíže vymezit podmínky pro toto konání. Stejně tak i v případech, kdy se subjekt dovolává svého práva na ochranu soukromí před jednáním správce, musí správce prokázat existenci svého právního nároku, na základě kterého uplatňuje své právo zpracovávat citlivé osobní údaje bez souhlasu subjektu údajů.

K bodu 33 – změna § 11 a 12:

Součástí návrhu zákona je nová úprava podmínek pro informování subjektu údajů o prováděném zpracování osobních údajů o jeho osobě. V zásadě se dá říci, že navrhovaná úprava nijak nevybočuje z dosavadních podmínek pro informační povinnost správce, která již byla obsažena v předcházejícím znění § 11 a 12. Avšak zcela v souladu s článkem 10 až 13 Směrnice 95/46/ES se návrh zákona nyní vypořádává se situací, kdy dochází ke shromažďování údajů přímo od subjektu údajů a situací, kdy zdrojem informací není sám subjekt údajů, ale správce informace získává z jiného zdroje.

Obecně je rozsah informační povinnosti správce v těchto případech vymezen ustanovením § 11 odst. 1. Navazující ustanovení pak obsahují některé výjimky pro existenci informační povinnosti zejména v případech, kdy údaje nejsou sbírány od subjektu údajů. Tím nejvýznamnějším je odstavec třetí, který blíže vymezuje některé zvláštní případy, kdy správce nemá vůči subjektu údajů informační povinnost. Dikce tohoto ustanovení se však více přibližuje, stejně jako v jiných případech výjimek z režimu zákona o ochraně o osobních údajů, rozsahu výjimek obsažených v článku 13 Směrnice 95/46/ES, a do určité míry tak dosavadní režim zpřísňuje. Nedá se však říci, že by navrhované znění tohoto ustanovení mělo vyvolat další navazující změny právních předpisů. Podle názoru navrhovatele již dnes platné zákony nebo připravované návrhy právních předpisů respektují toto právo a zvláštní právní úprava se tak podřizuje těmto obecným požadavkům. Výjimky pro některé subjekty, jsou stejně jako v jiných případech, i u této povinnosti obsaženy v novém znění ustanovení § 3 písm. 6 zákona o ochraně osobních údajů. Toto ustanovení je novelizováno, nikoliv však co do rozsahu těchto výjimek.

Na rozdíl od úpravy obecných podmínek informační povinnosti správce v § 11 se stejně jako dosud odlišuje v souladu s článkem 12 Směrnice č. 95/46/ES právo subjektu údajů požádat o informaci a v novém znění § 12 zákona o ochraně osobních údajů se rozsah této informační povinnosti upravuje. Tím se do jisté míry vyhovuje námitkám, které se dotýkaly dosavadní aplikace ustanovení § 12, kdy se rozsah informační povinnosti správce podle § 12 ztotožňoval s rozsahem informační povinnosti podle § 11. Nyní se v zákoně o ochraně osobních údajů stejně jako v citovaných článcích Směrnice 95/46/ES tyto přístupy odlišují, a tím se zvyšuje soulad právní úpravy s právem ES.

K bodu 34 – doplnění § 13:

Předložený návrh doplňuje dosavadní ustanovení § 13 zákona o ochraně osobních údajů, jehož obsahem je právní úprava podmínek pro zabezpečení zpracování osobních údajů, jak ze strany správce, tak ze strany zpracovatele. Právě toto ustanovení se z pohledu aplikace principů ochrany osobních údajů zdá jako nejvíce problematické, neboť stanoví jen velmi obecné požadavky pro zabezpečení dat. Úřad byl od samého počátku své existence atakován pro svůj nezájem vymezit základní bezpečnostní podmínky nějakým zvláštním opatřením Úřadu nebo právním předpisem. K tomuto kroku však Úřad nejen, že nemá příslušnou kompetenci, ale nezdá se ani vhodné a možné vzhledem k rozličným podmínkám zpracování osobních údajů, aby byly tyto podmínky svázány do nějakého obecného předpisu. Navrhované doplnění § 13 v návaznosti na článek 18 Směrnice 95/46/ES sleduje, aby v souladu s odstavcem 1 a 4 tohoto článku byla povinnost správce provedena i tak, že bude existovat jistá forma dokumentování provedených bezpečnostních opatření, která by měla minimalizovat rizika spojená se zpracováním osobních údajů. Z poznatků Úřadu vyplývá, že dnes zejména správci rozsáhlých databází dokumentaci tohoto charakteru již mají, neboť bez uvědomění si možných rizik spojených se zpracováním dat nelze úspěšně čelit možným atakům osob, ale ani nedbalostnímu chování zaměstnanců, kteří často přijímaná opatření podceňují.

Požadavek na zpracování zvláštní dokumentace týkající se bezpečnosti zpracování osobních údajů vychází dále i z požadavků kladených na správce a zpracovatele v souvislosti s plněním povinností vyplývajících ze zvláštních zákonů (například zákon č. 239/2000 Sb., o integrovaném záchranném systému a o změně některých zákonů, ve znění zákona č. 320/2002 Sb., zákon č. 240/2000 Sb., krizový zákon, ve znění zákona č. 320/2002 Sb., zákon č. 241/2000 Sb., o hospodářských opatřeních pro krizové stavy a o změně některých souvisejících zákonů, ve znění zákona č. 320/2002 Sb., nebo například zákon č. 148/1998 Sb., o ochraně utajovaných skutečností a o změně některých zákonů, ve znění pozdějších předpisů). V současné době se obdobný požadavek, který vyplývá ze Směrnice č. 2002/58/ES, navrhuje i do připravovaného návrhu zákona o elektronických komunikacích.

K bodu 35 – změna § 16:

Navrhuje se vypustit odstavec 5, a to z toho důvodu, že jeho dosavadní znění nebylo v souladu se zněním odstavce 3 téhož ustanovení. Nečinnost Úřadu pro ochranu osobních údajů podle dosavadního znění by (zejména s ohledem na čl. 20 Směrnice 95/46/ES, které požaduje věnovat ještě před započetím zpracování zvláštní pozornost takovým zpracováním osobních údajů, která by mohla představovat zvláštní rizika z hlediska práv a svobod dotčených osob,) neměla znamenat, že oznámení o zpracování osobních údajů by bylo zaregistrováno, aniž by proběhla alespoň minimální kontrolní procedura ze strany správního orgánu a oznamovatel by mohl v návaznosti na § 16 odst. 4 bez dalšího zahájit zpracování osobních údajů.

K bodu 36 – změna § 18:

V návrhu zákona se novelizuje ustanovení § 18 zákona o ochraně osobních údajů, jehož obsahem je úprava výjimek z oznamovací povinnosti subjektu, který hodlá v souladu s ustanovením § 16 tohoto zákona zpracovávat osobní údaje. Jak již bylo uvedeno shora, byl přístup České republiky v rozsahu výjimek obecně podroben jisté kritice s tím, že by bylo vhodné jakékoliv výjimky a jejich rozsah přiblížit obdobným článkům Směrnice 95/46/ES. To se týká i tohoto ustanovení.

Obsah novelizovaného ustanovení dosavadní znění zpřesňuje, jako například v § 18 písm. a), které se týká zpracování veřejně přístupných osobních údajů, nebo dosavadní znění přebírá zcela, jako v případě § 18 písm. b) upravující podmínky pro zpracování v mezích zvláštních zákonů. Komentované ustanovení sice není novelizováno v nějakém zásadním odchýlení se od jeho dosavadního znění, ale jeho dosud poměrně liberální obsah ve srovnání s článkem 18 odst. 4 Směrnice č. 95/46/ES se v návaznosti na novelizaci ustanovení § 3 odst. 1 (viz bod 2 předloženého návrhu zákona) zpřísňuje a správce bude moci tuto výjimku v budoucnu využít pouze v těchto případech, kdy podmínky pro zpracování budou obdobné podmínkám v zákoně o ochraně osobních údajů.

Z poznatků a výkonu působnosti Úřadu již dnes vyplývá určitá změna v přístupu správců, zejména v oblasti veřejné správy, kdy se nově navrhované právní úpravy týkající se podmínek zpracování osobních údajů již řídí tímto režimem a Úřad také využívá své účasti v legislativním procesu, aby na případný nesoulad s těmito principy včas upozornil, a zejména aby se nově navrhované zákony nedostaly v tomto ohledu do rozporu s právem ES. Proto se navrhovatel nedomnívá, že by dosavadní znění § 18 písm. b) v kontextu nového znění § 3 odst. 1 vyvolalo potřebu urychleně novelizovat současně platné právní předpisy.

Pokud jde o již dnes existující ustanovení § 18 písm. c), není jeho obsah novelou nijak zasažen, jde v tomto případě spíše o sladění dikce zákona s jeho předcházející úpravou (viz novelizace § 9) a o větší přiblížení k úpravě článku 8 odst. 2 písm. d) Směrnice 95/46/ES, který umožňuje v něm vyjmenovaným subjektům za zvláštním zákonem stanovených podmínek zpracovávat vedle údajů o svých členech také údaje o tzv. sympatizantech.

Doplněním nového odstavce 2 se v ustanovení § 18 prosazuje princip, vycházející z článku 18 odst. 2 a 3 Směrnice 95/46/ES, a zajišťující nejen subjektu údajů, ale komukoliv získat základní informaci o prováděném zpracování a na jejím základě tak uplatnit další práva (například právo na informaci podle § 12 nebo právo na námitku podle § 21). Dosud správce sice tuto povinnost podle zákona o ochraně osobních údajů neměl, ale řada správců již obdobné druhy informací zveřejňovala s odkazem na příslušná ustanovení zákona č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů.

K bodu 37 a 38 – změna § 21 až 24:

Změna ustanovení § 21 až 24, která se týkají ochrany práv subjektu údajů, je navrhována z několika důvodů. Tím nejdůležitějším je dosavadní zkušenost s aplikací § 21 a násl., kdy se přístup Úřadu, přístup subjektů údajů a přístup soudů, nepodařilo sjednotit v tom směru, že Úřad jako ústřední správní úřad nemůže v takovém případě ve své kompetenci řešit spory mezi správcem, zpracovatelem a subjektem údajů o odstranění následků neoprávněných zásahů do soukromí subjektů údajů a druh, popřípadě výši náhrady. Stejně i v případech náhrady škody vzniklé subjektu údajů v souvislosti se zpracováním jeho údajů není přípustné, aby tyto případy řešil správní úřad. Proto se navrhuje, aby kompetence Úřadu byla v tomto případě odpovídající jeho postavení a Úřad mohl na základě podnětu subjektu údajů postupovat vůči správci nebo zpracovateli prostředky pro správní úřad obvyklými, a případy, kdy jsou vznášeny nároky na náhradu nemajetkové újmy nebo náhradu škody, svěřit do pravomoci soudů, jak je tomu ostatně obvyklé i v ostatních případech zásahů do práva na ochranu osobnosti.

Dalším důvodem pro změnu dosavadních ustanovení § 21 až 24 je transpozice článku 14 Směrnice 95/46/ES, který upravuje podmínky subjektu údajů pro uplatnění práva na námitku vůči zpracování prováděném správcem nebo zpracovatelem. Navrhované nové znění § 21 odst. 1 sice v tomto ohledu zachovává dosavadní režim vztahů subjektu údajů a Úřadu, ale současně dává subjektu údajů možnost obrátit se v „prvé fázi“ svého zjištění na správce nebo zpracovatele přímo a uplatnit tak své požadavky nejprve u těchto subjektů. Teprve následně by měl být kontaktován Úřad. Toto znění je určitým příslibem do budoucnosti v tom směru, že nebude docházet k častým konfliktům mezi správci, zpracovateli a subjekty údajů, jejichž zdrojem je často pouhá neinformovanost subjektu údajů o prováděném zpracování a o právech správce nebo zpracovatele v této souvislosti.

V návaznosti na navrhovanou úpravu se proto další existence § 22 a 23 jeví jako nadbytečná.

Pokud jde o zrušení § 24, jde rovněž o jistou míru provázanosti s novým § 21, aniž by bylo oslabeno postavení osob v tomto ustanovení uvedených, pokud jde o jejich odpovědnost při zpracování osobních údajů. Porušují-li osoby v tomto ustanovení uvedené povinnosti při zpracování osobních údajů, a je-li toto porušení prokázáno, pak se další postup Úřadu vůči těmto osobám řídí podle Hlavy VII zákona o ochraně osobních údajů, případně některými zvláštními zákony; obdobně se tyto případy vztahují i na práva subjektu údajů.

K bodu 39 a 40 – změna § 27:

Obsahem navrženého ustanovení je nová právní úprava podmínek pro předání osobních údajů do jiných států. Jde o jednu ze základních změn zákona o ochraně osobních údajů, která vyplynula v návaznosti na vstup České republiky do Evropské unie. Právě v této souvislosti je třeba nově upravit podmínky pro předávání osobních údajů s ohledem, zda se jedná o členský stát Evropské unie, smluvní stranu Úmluvy 108 a nebo stát, jehož soulad právních podmínek sice není formálně právně stvrzen mezinárodním právem, ale Směrnice 95/46/ES zde stejně jako dosavadní ustanovení § 27 odst. 2 zákona o ochraně osobních údajů připouští existenci zvláštních podmínek nebo ujednání mezi správcem a příjemcem těchto informací v jiném státě anebo správcem, zpracovatelem a subjektem údajů.

Současně se do nového znění ustanovení § 27 odst. 1 zapracovává jeden ze základních principů ES, a to volný pohyb informací – osobních údajů mezi státy EU, který je obsažen v článku 1 odst. 2 Směrnice 95/46/ES.

Novelizované znění § 27 tak současně zjednodušuje dosavadní povolovací režim v oblasti předávání osobních údajů do jiných států v tom směru, že do členských zemí EU a do těch států, které jsou smluvními stranami Úmluvy 108 (jejich přehled je dostupný na webové adrese Úřadu) se po nabytí účinnosti tohoto ustanovení již žádné povolení Úřadu vydávat nebude.

V této souvislosti bylo proto novelizováno i dosavadní ustanovení § 27 odst. 6 v tom směru, aby bylo i nadále umožněno zvláštním zákonem stanovit výjimku z povolovacího režimu tohoto ustanovení. Pokud totiž bylo toto ustanovení zákona o ochraně osobních údajů aplikováno v praxi, byly to většinou případy, kdy sice zvláštní zákon povolení Úřadu podle zákona o ochraně osobních údajů nevyžadoval, ale toto ustanovení se do jisté míry jevilo jako nadbytečné vzhledem k existenci mezinárodních závazků České republiky v této oblasti. Jako například lze uvést zákon o sociálně právní ochraně dětí, kdy podle § 35 odst. 3 tohoto zákona k předání nebo předávání osobních údajů do jiných států se nevyžadovalo povolení Úřadu podle zákona o ochraně osobních údajů. Obdobně tak i v případě předání osobních údajů v jiných oblastech zájmu státu, jako například oblasti policejních činností, soudnictví a podobně, vyplývá povinnost předávání osobních údajů již z uzavřených mezinárodních smluv, které jsou ratifikovány v souladu s právním řádem České republiky.

K bodu 41 a 43 – změna § 29 odst. 1 písm. a) a i):

Obsahem těchto návrhů je změna některých ustanovení § 29 zákona o ochraně osobních údajů, upravujících rozsah kompetencí Úřadu. Na rozdíl od návrhu změny § 29 odst. 1 písm. a), kterou se sleduje určité zpřesnění dozorové pravomoci Úřadu ve vztahu ke všem subjektům, kterým jsou zákonem o ochraně osobních údajů kladena oprávnění nebo povinnosti, se v návrhu změny § 29 odst. 1 písm. c) promítá vliv změn právního prostředí České republiky ve vztahu k budoucímu členství České republiky v Evropské unii, kdy již nelze určitá oprávnění vztahovat pouze na občany tohoto státu.

Navržená změna dosavadního ustanovení § 29 odst. 1 písm. i) vychází z potřeby v zákoně o ochraně osobních údajů blíže vymezit již probíhající aktivity Úřadu v mezinárodní oblasti nebo další v  budoucnu očekávané povinnosti Úřadu týkající se výkonu dozoru nad zpracováváním osobních údajů a sledování odchylek od režimu zákona o ochraně osobních údajů.

K bodu 42 a 44 – změna § 29 odst. 1 písm. c) a § 31:

Obdobně, jako v případě změny § 27, se v souladu s budoucím členstvím České republiky v Evropské unii, s cílem zabezpečit rovný přístup všech fyzických osob k právům podle zákona o ochraně osobních údajů novelizuje ustanovení § 29 odst. 1 písm. c) a navrhuje se promítnout tuto úpravu i do ustanovení § 31 zákona o ochraně osobních údajů.

K bodu 46 a 47 – změna § 39 a § 44 až 46:

V návaznosti na „Zásady právní úpravy přestupků a jiných správních deliktů v zákonech upravujících výkon veřejné správy“, které byly schváleny Legislativní radou vlády v srpnu 2003, se do návrhu zákona doplňuje změna sankčních ustanovení.

Jejím rámcem jsou však nejen citované Zásady, ale dále i dosavadní zkušenosti Úřadu při aplikaci stávajícího znění tohoto ustanovení. Právě z tohoto pohledu se navrhuje změna dosavadní úpravy pořádkové pokuty podle zákona o ochraně osobních údajů, která byla dosud upravena nikoliv jako prostředek k vynucení součinnosti kontrolované osoby, ale i jako sankce správci za maření výkonu kontroly. Nově navrhovaná úprava řadí pořádkovou pokutu mezi vynucovací nástroje kontrolujícího a pokutu za maření výkonu kontroly již nenazývá pořádkovou sankcí.

Zásadnější úpravou je novelizace § 46, kdy se v souladu s citovanými Zásadami navrhuje změna jak vlastních sankčních ustanovení, tak i změna některých obecných nebo lépe společných ustanovení pro ukládání pokut. Navrhuje se diverzifikovat případy porušení zákona o ochraně osobních údajů, čímž se eliminuje možnost příliš širokého správního uvážení Úřadu, přičemž výše jednotlivých sankcí je odstupňována podle míry závažnosti důsledků deliktního chování správce nebo zpracovatele. Podle navrhovatele je tímto návrhem požadovaný soulad docílen.

K článku II:

Navrhovatel očekává, že se změny některých ustanovení zákona o ochraně osobních údajů promítnou do dosavadního režimu povolovací a rozhodovací činnosti Úřadu. Proto je nezbytné, zejména s ohledem na právní jistotu správců, kterým byla povolení nebo rozhodnutí Úřadu vydána podle dosavadních ustanovení, zajistit přechod práv a povinností.

K článku III:

Po dohodě s Českou národní bankou se do návrhu zákona doplňuje jako samostatná část změna zákona o bankách, kterou se dociluje plná harmonizace zpracování osobních údajů v oblasti bankovnictví s principy obsaženými v zákoně o ochraně osobních údajů a Směrnici 95/46/ES. Tímto krokem je splněn i závazek České republiky v tomto směru.

Bod 3 novely zákona o bankách je vyvolán současnou potřebou České národní banky při aplikaci tohoto zákona.

K článku IV:

Jelikož zákon o ochraně osobních údajů byl již opakovaně novelizován a jeho úprava v právním řádu je nepřehledná, navrhuje se zmocnit předsedu vlády k vyhlášení úplného znění tohoto zákona.

K článku V:

Navrhuje se, aby novela zákona o ochraně osobních údajů nabyla účinnosti dnem vstupu České republiky do Evropské unie, s výjimkou účinnosti novelizace § 39, 44, 45 a 46 obsažené v bodě 46 a 47, kdy se navrhuje účinnost až od 1. lednu 2005 stejně jako očekávaná účinnost nového zákona, který má upravovat obecné podmínky pro ukládání přestupků a jiných správních deliktů.

V Praze dne 5.listopadu 2003

PhDr. Vladimír Š p i d l a

předseda vlády

Vladimír M l y n á ř

ministr informatiky

Úplné znění zákona o ochraně osobních údajů

s vyznačením navrhovaných změn

101/2000 Sb.

ZÁKON

ze dne 4. dubna 2000

o ochraně osobních údajů a o změně některých zákonů,

ve znění zákona č. 227/2000 Sb., zákona č. 177/2001 Sb., zákona č. 450/2001 Sb., zákona č. 107/2002 Sb., zákona č. 309/2002 Sb., zákona č. 310/2002 Sb. a zákona č. 517/2002 Sb.

Parlament se usnesl na tomto zákoně České republiky:

ČÁST PRVNÍ

OCHRANA OSOBNÍCH ÚDAJŮ

Hlava I

Úvodní ustanovení

§ 1

Předmět úpravy

Tento zákon v souladu s právem Evropských společenství,1) mezinárodními smlouvami, kterými je Česká republika vázána,1a) a k naplnění práva každého na ochranu před neoprávněným zasahováním do soukromí, upravuje práva a povinnosti při zpracování osobních údajů a stanoví podmínky, za nichž se uskutečňuje předání osobních údajů do jiných států.

------------------------------------------------------------------

1) Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně jednotlivců v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.

1a)Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních dat č. 108, vyhlášená pod č. 115/2001 Sb.m.s.

§ 2

1. Zřizuje se Úřad pro ochranu osobních údajů se sídlem v Praze (dále jen "Úřad").

2. Úřadu jsou svěřeny kompetence ústředního správního úřadu pro oblast ochrany osobních údajů v rozsahu stanoveném tímto zákonem.

§ 3

Působnost zákona

1. Tento zákon se vztahuje na osobní údaje, které zpracovávají státní orgány, orgány územní samosprávy, jiné orgány veřejné moci, jakož i fyzické a právnické osoby.

2. Tento zákon se vztahuje na veškeré zpracovávání osobních údajů, ať k němu dochází automatizovaně nebo jinými prostředky.

3. Tento zákon se nevztahuje na zpracování osobních údajů, které provádí fyzická osoba výlučně pro osobní potřebu.

4. Tento zákon se nevztahuje na nahodilé shromažďování osobních údajů, pokud tyto údaje nejsou dále zpracovávány.

5. Tento zákon se dále vztahuje na zpracování osobních údajů,

3. jestliže právní řád České republiky se použije přednostně na základě mezinárodního práva veřejného, i když správce není usazen na území České republiky,

4. jestliže správce, který je usazen mimo území Evropské unie, provádí zpracování na území České republiky, nejedná-li se o pouze o předání osobních údajů přes území Evropské unie; v tomto případě je správce povinen zmocnit postupem podle § 6 na území České republiky zpracovatele.

Jestliže zpracování provádí správce prostřednictvím svých organizačních jednotek umístěných na území Evropské unie, musí zajistit, že tyto organizační jednotky budou zpracovávat osobní údaje v souladu s národním právem příslušného členského státu Evropské unie.

„(6) Ustanovení § 5 odst. 1 a § 11 a 12 se nepoužijí pro zpracování osobních údajů nezbytných pro plnění povinností správce stanovených zvláštními zákony pro zajištění

8. bezpečnosti České republiky,4)

9. obrany České republiky,5)

10. veřejného pořádku a vnitřní bezpečnosti,6)

11. předcházení, vyhledávání, odhalování trestné činnosti a stíhání trestných činů,7)

12. významného hospodářského zájmu České republiky nebo Evropské unie,8)

13. významného finančního zájmu České republiky nebo Evropské unie, kterým je zejména stabilita finančního trhu a měny, fungování peněžního oběhu a platebního styku, jakož i rozpočtová a daňová,9) nebo

14. výkonu kontroly nebo regulace spojené s výkonem veřejné moci v případech uvedených v písmenech c), d), e) a f).10)

--------------------------------------------------------------------------------

4) Například ústavní zákon č. 110/1998 Sb., o bezpečnosti České republiky, ve znění zákona č. 300/2000 Sb., zákon č. 219/1999 Sb., o ozbrojených silách České republiky, ve znění zákona č. 352/2001 Sb. a zákona č. 320/2002 Sb., zákon č. 238/2000 Sb., o Hasičském záchranném sboru České republiky a o změně některých zákonů, ve znění zákona č. 309/2002 Sb., zákon č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon), ve znění zákona č. 320/2002 Sb., zákon č. 153/1994 Sb., o zpravodajských službách České republiky, ve znění zákona č. 118/1995 Sb., zákon č. 154/1994 Sb., o Bezpečnostní informační službě, ve znění zákona č. 160/1995 Sb., zákona č. 155/2000 Sb. a zákona č. 309/2002 Sb., a zákon č. 148/1998 Sb., o ochraně utajovaných skutečností a o změně některých zákonů, ve znění zákona č. 164/1999 Sb., zákona č. 18/2000 Sb., zákona č. 29/2000 Sb., zákona č. 30/2000 Sb., zákona č. 363/2000 Sb., zákona č. 60/2001 Sb., zákona č. 322/2001 Sb., zákona č. 151/2002 Sb., zákona č. 310/2002 Sb. a zákona č. 320/2002 Sb.

5) Například zákon č. 222/1999 Sb., o zajišťování obrany České republiky, ve znění zákona č. 320/2002 Sb., zákon č. 218/1999 Sb., o rozsahu branné povinnosti a o vojenských správních úřadech (branný zákon), ve znění zákona č. 238/2000 Sb., zákona č. 128/2002 Sb., zákona č. 286/2002 Sb., zákona č. 320/2002 Sb. a zákona č. 520/2002 Sb., zákon č. 219/1999 Sb., o ozbrojených silách České republiky, ve znění zákona č. 352/2001 Sb. a zákona č. 320/2002 Sb., a zákon č. 124/1992 Sb., o Vojenské policii, ve znění zákona č. 39/1995 Sb. a zákona č. 213/2000 Sb.

6) Například zákon č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon), ve znění zákona č. 320/2002 Sb., zákon č. 283/1991 Sb., o Policii České republiky, ve znění zákona č. 26/1993 Sb., zákona č. 67/1993 Sb., zákona č. 163/1993 Sb., zákona č. 326/1993 Sb., zákona č. 82/1995 Sb., zákona č. 152/1995 Sb., zákona č. 18/1997 Sb., zákona č. 186/1997 Sb., zákona č. 138/1999 Sb., zákona č. 168/1999 Sb., zákona č. 325/1999 Sb., zákona č. 326/1999 Sb., zákona č. 329/1999 Sb., zákona č. 105/2000 Sb., zákona č. 258/2000 Sb., zákona č. 361/2000 Sb., zákona č. 60/2001 Sb., zákona č. 120/2001 Sb., zákona č. 265/2001 Sb. a zákona č. 216/2002 Sb., a zákon č. 553/1991 Sb., o obecní policii, ve znění zákona č. 67/1993 Sb., zákona č. 163/1993 Sb., zákona č. 82/1995 Sb., zákona č. 153/1995 Sb., zákona č. 132/2000 Sb., zákona č. 311/2002 Sb. a zákona č. 320/2002 Sb.

7) Například zákon č. 61/1996 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a o změně a doplnění souvisejících zákonů, ve znění zákona č. 15/1998 Sb., zákona č. 159/2000 Sb. a zákona č. 239/2001 Sb., zákon č. 141/1961 Sb., o trestním řízení soudním (trestní řád), ve znění zákona č. 57/1965 Sb., zákona č. 58/1969 Sb., zákona č. 149/1969 Sb., zákona č. 48/1973 Sb., zákona č. 29/1978 Sb., zákona č. 43/1980 Sb., zákona č. 159/1989 Sb., zákona č. 178/1990 Sb., zákona č. 303/1990 Sb., zákona č. 558/1991 Sb., zákona č. 25/1993 Sb., zákona č. 115/1993 Sb., zákona č. 292/1993 Sb., zákona č. 154/1994 Sb., nálezu Ústavního soudu vyhlášeného pod č. 214/1994 Sb., nálezu Ústavního soudu vyhlášeného pod č. 8/1995 Sb., zákona č. 152/1995 Sb., zákona č. 150/1997 Sb., zákona č. 209/1997 Sb., zákona č. 148/1998 Sb., zákona č. 166/1998 Sb., zákona č. 191/1999 Sb., zákona č. 29/2000 Sb., zákona č. 30/2000 Sb., zákona č. 227/2000 Sb., nálezu Ústavního soudu vyhlášeného pod č. 77/2001 Sb., zákona č. 144/2001 Sb., zákona č. 265/2001 Sb., nálezu Ústavního soudu vyhlášeného pod č. 424/2001 Sb., zákona č. 200/2002 Sb., zákona č. 226/2002 Sb., zákona č. 320/2002 Sb., zákona č. 218/2003 Sb. a zákona č. 279/2003 Sb., a zákon č. 200/1990 Sb., o přestupcích, ve znění zákona č. 337/1992 Sb., zákona č. 344/1992 Sb., zákona č. 359/1992 Sb., zákona č. 67/1993 Sb., zákona č. 290/1993 Sb., zákona č. 134/1994 Sb., zákona č. 82/1995 Sb., zákona č. 237/1995 Sb., zákona č. 279/1995 Sb., zákona č. 289/1995 Sb., zákona č. 112/1998 Sb., zákona č. 168/1999 Sb., zákona č. 360/1999 Sb., zákona č. 29/2000 Sb., zákona č. 121/2000 Sb., zákona č. 132/2000 Sb., zákona č. 151/2000 Sb., zákona č. 258/2000 Sb., zákona č. 361/2000 Sb., zákona č. 370/2000 Sb., nálezu Ústavního soudu vyhlášeného pod č. 52/2001 Sb., zákona č. 164/2001 Sb., zákona č. 254/2001 Sb., zákona č. 265/2001 Sb., zákona č. 273/2001 Sb., zákona č. 274/2001 Sb., zákona č. 312/2001 Sb., zákona č. 6/2002 Sb., zákona č. 62/2002 Sb., zákona č. 78/2002 Sb., zákona č. 259/2002 Sb., zákona č. 285/2002 Sb., zákona č. 311/2002 Sb., zákona č. 320/2002 Sb., zákona č. 218/2003 Sb. a zákona č. 274/2003 Sb.

8) Například zákon č. 241/2000 Sb., o hospodářských opatřeních pro krizové stavy a o změně některých souvisejících zákonů, ve znění zákona č. 320/2002 Sb., zákon č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon), ve znění zákona č. 320/2002 Sb., a zákon č. 148/1998 Sb., o ochraně utajovaných skutečností a o změně některých zákonů, ve znění zákona č. 164/1999 Sb., zákona č. 18/2000 Sb., zákona č. 29/2000 Sb., zákona č. 30/2000 Sb., zákona č. 363/2000 Sb., zákona č. 60/2001 Sb., nálezu Ústavního soudu vyhlášeného pod č. 322/2001 Sb., zákona č. 310/2002 Sb. a zákona č. 320/2002 Sb.

9) Například zákon č. 218/2000 Sb., o rozpočtových pravidlech a o změně některých souvisejících zákonů (rozpočtová pravidla), ve znění zákona č. 493/2000 Sb., zákona č. 141/2001 Sb., zákona č. 187/2001 Sb., zákona č. 450/2001 Sb., zákona č. 320/2001 Sb., zákona č. 202/2002 Sb. a zákona č. 320/2002 Sb., zákon č. 250/2000 Sb., o rozpočtových pravidlech územních rozpočtů, ve znění zákona č. 320/2001 Sb., zákona č. 450/2001 Sb. a zákona č. 320/2002 Sb., zákon č. 6/1993 Sb., o České národní bance, ve znění zákona č. 60/1993 Sb., zákona č. 15/1998 Sb., zákona č. 442/2000 Sb., zákona č. 278/2001 Sb., zákona č. 482/2001 Sb., zákona č. 127/2002 Sb. a zákona č. 442/2000 Sb., a zákon č. 212/1992 Sb., o soustavě daní, ve znění zákona č. 302/1993 Sb.

10) Například zákon č. 166/1993 Sb., o Nejvyšším kontrolním úřadu, ve znění zákona č. 331/1993 Sb., zákona č. 117/1994 Sb., zákona č. 224/1994 Sb., zákona č. 58/1995 Sb., zákona č. 236/1995 Sb., zákona č. 296/1995 Sb., zákona č. 148/1998 Sb., zákona č. 132/2000 Sb., zákona č. 220/2000 Sb., zákona č. 442/2000 Sb., zákona č. 239/2001 Sb., zákona č. 127/2002 Sb. a zákona č. 282/2002 Sb., zákon č. 337/1992 Sb., o správě daní a poplatků, ve znění zákona č. 35/1993 Sb., zákona č. 157/1993 Sb., zákona č. 302/1993 Sb., zákona č. 315/1993 Sb., zákona č. 323/1993 Sb., zákona č. 85/1994 Sb., zákona č. 255/1994 Sb., zákona č. 59/1995 Sb., zákona č. 118/1995 Sb., zákona č. 323/1996 Sb., zákona č. 61/1997 Sb., zákona č. 242/1997 Sb., zákona č. 91/1998 Sb., zákona č. 168/1998 Sb., zákona č. 29/2000 Sb., zákona č. 159/2000 Sb., zákona č. 218/2000 Sb., zákona č. 227/2000 Sb., zákona č. 367/2000 Sb., zákona č. 492/2000 Sb., zákona č. 120/2001 Sb., zákona č. 271/2001 Sb., zákona č. 320/2001 Sb., zákona č. 226/2002 Sb. a zákona č. 320/2002 Sb., a zákon č. 552/1991 Sb., o státní kontrole, ve znění zákona č. 166/1993 Sb., zákona č. 148/1998 Sb., zákona č. 132/2000 Sb. a zákona č. 274/2003 Sb.“.

Poznámka pod čarou č. 10a se zrušuje.

§ 4

Vymezení pojmů

Pro účely tohoto zákona se rozumí

1. osobním údajem jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lzesubjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu,,

2. citlivým údajem osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním životě subjektu údajů,

3. anonymním údajem takový údaj, který buď v původním tvaru nebo po provedeném zpracování nelze vztáhnout k určenému nebo určitelnému subjektu údajů,

4. subjektem údajů fyzická osoba, k níž se osobní údaje vztahují,

5. zpracováním osobních údajů jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Zpracováním osobních údajů se rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace,

6. shromažďováním osobních údajů systematický postup nebo soubor postupů, jehož cílem je získání osobních údajů za účelem jejich dalšího uložení na nosič informací pro jejich okamžité nebo pozdější zpracování,

7. uchováváním osobních údajů udržování údajů v takové podobě, která je umožňuje dále zpracovávat,

8. blokováním osobních údajů vytvoření takového stavu, při kterém je osobní údaj určitou dobu nepřístupný a nelze jej jinak zpracovávat,

9. likvidací osobních údajů se rozumí fyzické zničení jejich nosiče, jejich fyzické vymazání nebo jejich trvalé vyloučení z dalších zpracování,

10. správcem každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. Zpracováním osobních údajů může správce zmocnit nebo pověřit zpracovatele, pokud zvláštní zákon nestanoví jinak,

11. zpracovatelem každý subjekt, který na základě zvláštního zákona nebo pověření správcem zpracovává osobní údaje podle tohoto zákona,

12. zveřejněným osobním údajem osobní údaj zpřístupněný zejména hromadnými sdělovacími prostředky, jiným veřejným sdělením nebo jako součást veřejného seznamu,

13. evidencí nebo datovým souborem osobních údajů (dále jen „datový soubor") jakýkoliv soubor osobních údajů uspořádaný nebo zpřístupnitelný podle společných nebo zvláštních kritérií,

14. souhlasem subjektu údajů svobodný a vědomý projev vůle subjektu údajů, jehož obsahem je svolení subjektu údajů se zpracováním osobních údajů,

o) příjemcem každý subjekt, kterému jsou osobní údaje zpřístupněny; za příjemce se nepovažuje subjekt, který zpracovává osobní údaje podle § 3 odst. 6 písm. g).

Hlava II

Práva a povinnosti při zpracování osobních údajů

§ 5

1. Správce je povinen

1. stanovit účel, k němuž mají být osobní údaje zpracovány,

2. stanovit prostředky a způsob zpracování osobních údajů,

3. zpracovat pouze přesné osobní údaje, které získal v souladu se zákonem. Je-li to nezbytné, osobní údaje aktualizuje. Zjistí-li správce, že jím zpracované osobní údaje nejsou s ohledem na stanovený účel přesné, provede bez zbytečného odkladu přiměřená opatření, zejména zpracování blokuje a osobní údaje opraví nebo doplní, jinak osobní údaje zlikviduje. Nepřesné osobní údaje lze zpracovat pouze v mezích uvedených v § 3 odst. 6.11) Nepřesné osobní údaje se musí označit. Informaci o blokování, opravě, doplnění nebo likvidaci osobních údajů je správce povinen předat všem příjemcům,,

4. shromažďovat osobní údaje odpovídající pouze stanovenému účelu a v rozsahu nezbytném pro naplnění stanového účelu,

5. uchovávat osobní údaje pouze po dobu, která je nezbytná k účelu jejich zpracování. Po uplynutí této doby mohou být osobní údaje uchovávány pouze pro účely státní statistické služby, pro účely vědecké a pro účely archivnictví. Při použití pro tyto účely je třeba dbát práva na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů a osobní údaje anonymizovat, jakmile je to možné,

6. zpracovávat osobní údaje pouze v souladu s účelem, k němuž byly shromážděny,. Zpracovávat k jinému účelu lze osobní údaje jen v mezích ustanovení § 3 odst. 6, nebo pokud k tomu dal subjekt údajů předem ,

7. shromažďovat osobní údaje pouze otevřeně; je vyloučeno shromažďovat údaje pod záminkou jiného účelu nebo jiné činnosti,

8. nesdružovat osobní údaje, které byly získány k rozdílným účelům, .

2. Správce může zpracovávat osobní údaje pouze se souhlasem subjektu údajů. Bez tohoto souhlasu je může zpracovávat,

1. jestliže provádí zpracování nezbytné pro dodržení právní povinnosti správce,12)

2. jestliže je zpracování nezbytné pro plnění smlouvy jejíž smluvní stranou je subjekt údajů nebo pro jednání o uzavření nebo změně smlouvy uskutečněné z podnětu subjektu údajů, ,

3. pokud je to nezbytně třeba k ochraně životně důležitých zájmů subjektu údajů. V tomto případě je třeba bez zbytečného odkladu získat jeho souhlas. Pokud souhlas není dán, musí správce ukončit zpracování a údaje zlikvidovat,

4. jedná-li se o oprávněně zveřejněné osobní údaje v souladu se zvláštním právním předpisem.13) Tím však není dotčeno právo na ochranu soukromého a osobního života subjektu údajů, nebo

5. pokud je to nezbytné pro ochranu práv a právem chráněných zájmů správce, příjemce nebo jiné dotčené osoby; takové zpracování osobních údajů však nesmí být v rozporu s právem subjektu údajů na ochranu jeho soukromého a osobního života.

3. Provádí-li správce zpracování osobních údajů na základě zvláštního zákona,12) je povinen dbát práva na ochranu soukromého a osobního života subjektu údajů.

4. Subjekt údajů musí být při udělení souhlasu informován o tom, pro jaký účel zpracování a k jakým osobním údajům je souhlas dáván, jakému správci a na jaké období. Souhlas subjektu údajů se zpracováním osobních údajů musí být správce schopen prokázat po celou dobu zpracování.

5. Provádí-li správce nebo zpracovatel zpracování osobních údajů za účelem nabízení obchodu nebo služeb subjektu údajů, lze pro tento účel použít jméno, příjmení a adresu subjektu údajů, pokud tyto údaje byly získány z veřejného seznamu nebo v souvislosti se svojí činností jakožto správce nebo zpracovatele. Správce nebo zpracovatel však nesmí uvedené údaje dále zpracovávat, pokud s tím subjekt údajů vyslovil nesouhlas. Nesouhlas se zpracováním je nutné vyjádřit písemně. Bez souhlasu subjektu údajů nelze k uvedeným údajům přiřazovat další osobní údaje.

5. Správce, který zpracovává osobní údaje podle odstavce 5, může tyto údaje předat jinému správci pouze za splnění těchto podmínek:

1. údaje subjektu údajů byly získány v souvislosti s činností správce nebo se jedná o zveřejněné osobní údaje,

2. údaje budou využívány pouze za účelem nabízení obchodu a služeb,

3. subjekt údajů byl o tomto postupu správce předem informován a nevyslovil s tímto postupem nesouhlas.

7. Jiný správce, kterému byly předány údaje podle odstavce 6, nesmí tyto údaje předávat jiné osobě.

7. Nesouhlas se zpracováním podle odstavce 6 písm. c) musí subjekt údajů učinit písemně. Správce je povinen informovat každého správce, kterému předal jméno, příjmení a adresu subjektu údajů, o tom, že subjekt údajů vyslovil nesouhlas se zpracováním.

7. Za účelem vyloučení možnosti, že jméno, příjmení a adresa subjektu údajů budou opakovaně použity k nabídce obchodu a služeb, je správce oprávněn dále zpracovávat pro jméno, příjmení a adresu subjektu údajů přesto, že subjekt údajů vyslovil nesouhlas podle odstavce 5.

------------------------------------------------------------------

11) Například zákon č. 13/1993 Sb., celní zákon, ve znění pozdějších předpisů .

12) Například zákon č. 111/1998 Sb., o vysokých školách a o změně a doplnění dalších zákonů (zákon o vysokých školách), ve znění zákona č. 210/2000 Sb. a zákona č. 147/2001 Sb., zákon č. 564/1990 Sb., o státní správě a samosprávě ve školství, ve znění zákona č. 190/1993 Sb., zákona č. 256/1994 Sb., zákona č. 139/1995 Sb., zákona č. 132/2000 Sb., zákona č. 258/2000 Sb., zákona č. 3/2002 Sb., zákona č. 284/2002 Sb. a zákona č. 181/2003 Sb., zákon č. 153/1994 Sb., o zpravodajských službách České republiky, ve znění zákona č. 118/1995 Sb., zákon č. 154/2000 Sb., o šlechtění, plemenitbě a evidenci hospodářských zvířat a o změně některých souvisejících zákonů (plemenářský zákon), ve znění zákona č. 309/2002, zákona č. 162/2003 Sb. a zákona č. 282/2003 Sb., zákon č. 166/1999 Sb., o veterinární péči a o změně některých souvisejících zákonů (veterinární zákon), ve znění zákona č. 29/2000 Sb., zákona č. 154/2000 Sb., zákona č. 102/2001 Sb., zákona č. 76/2002 Sb., zákona č. 120/2002 Sb., zákona č. 309/2002, zákona č. 320/2002 Sb. a zákona č. 131/2003 Sb., zákon č. 246/1992 Sb., na ochranu zvířat proti týrání, ve znění zákona č. 162/1993 Sb., zákona č. 193/1994 Sb., zákona č. 243/1997 Sb. a zákona č. 30/1998 Sb., zákon č. 147/1996 Sb., o rostlinolékařské péči a změnách některých souvisejících zákonů, ve znění zákona č. 409/2000 Sb., zákona č. 314/2001 Sb., zákona č. 309/2002 Sb. a zákona č. 320/2002 Sb., a zákon č. 219/2003 Sb., o uvádění do oběhu osiva a sadby pěstovaných rostlin a o změně některých zákonů(zákon o oběhu osiva a sadby).

13) Zákon č. 81/1966 Sb., o periodickém tisku a o ostatních hromadných informačních prostředcích, ve znění pozdějších předpisů.

§ 6

Pokud zmocnění nevyplývá z právního předpisu, musí správce se zpracovatelem uzavřít smlouvu o zpracování osobních údajů. Smlouva musí mít písemnou formu a musí obsahovat dostatečné záruky zpracovatele o technickém a organizačním zabezpečení ochrany osobních údajů. Musí v ní být zejména výslovně uvedeno, v jakém rozsahu, za jakým účelem a na jakou dobu se uzavírá.

§ 7

Povinnosti stanovené v § 5 platí obdobně také pro zpracovatele.

§ 8

Jestliže zpracovatel zjistí, že správce porušuje povinnosti stanovené tímto zákonem, je povinen jej na to neprodleně upozornit a ukončit zpracování osobních údajů. Pokud tak neučiní, odpovídá za škodu, která subjektu údajů vznikla, společně a nerozdílně se správcem údajů. Tím není dotčena jeho odpovědnost podle tohoto zákona.

§ 9

Citlivé údaje

Citlivé údaje je možné zpracovávat, jen jestliže

1. subjekt údajů dal ke zpracování výslovný souhlas. Subjekt údajů musí být při udělení souhlasu informován o tom, pro  jaký účel zpracování a k jakým osobním údajům je souhlas dáván, jakému správci a na jaké období. Existenci souhlasu subjektu údajů se zpracováním osobních údajů musí být správce schopen prokázat po celou dobu zpracování. Správce je povinen předem subjekt údajů poučit o jeho právech podle § 12 a 21,

2. je to nezbytné v zájmu zachování života nebo zdraví subjektu údajů nebo jiné osoby nebo odvrácení bezprostředního závažného nebezpečí hrozícího jejich majetku, pokud není možno jeho souhlas získat zejména z důvodů fyzické, duševní či právní nezpůsobilosti, v případě, že je nezvěstný nebo z jiných podobných důvodů. Správce musí ukončit zpracování údajů, jakmile pominou uvedené důvody, a údaje musí zlikvidovat, ledaže by subjekt údajů dal k dalšímu zpracování souhlas,

3. se jedná o zpracování při zajišťování zdravotní péče, ochrany veřejného zdraví, zdravotního pojištění, Národního zdravotnického informačního systému a výkon státní správy v oblasti zdravotnictví podle zvláštního zákona15) nebo se jedná o posuzování zdravotního stavu v jiných případech stanovených zvláštním zákonem.15a)

4. je zpracování nezbytné pro dodržení povinností a práv správce odpovědného za zpracování v oblasti pracovního práva a zaměstnanosti, stanovené zvláštním zákonem.16),

5. jde o zpracování, které sleduje politické, filosofické, náboženské nebo odborové cíle, prováděné v rámci oprávněné činnosti občanského sdružení, nadace nebo jiné právnické osoby nevýdělečné povahy (dále jen „sdružení“), a které se týká pouze členů sdružení nebo osob, se kterými je sdružení v opakujícím se kontaktu souvisejícím s oprávněnou činností sdružení, a osobní údaje nejsou zpřístupňovány bez souhlasu subjektu údajů,

6. se jedná o údaje podle zvláštního zákona nezbytné pro provádění nemocenského pojištění, důchodového pojištění (zabezpečení), státní sociální podpory a dalších státních sociálních dávek, sociální péče a sociálně-právní ochrany dětí, a při zajištění ochrany těchto údajů v souladu se zákonem,

7. zpracování se týká osobních údajů zveřejněných subjektem údajů, nebo

h) zpracování je nezbytné pro zajištění a uplatnění právních nároků.------------------------------------------------------------------

14) Zákon č. 20/1966 Sb., o péči o zdraví lidu, ve znění pozdějších předpisů.

15) Například zákon č. 20/1966 Sb., o péči o zdraví lidu, ve znění zákona č. 210/1990 Sb., zákona č. 425/1990 Sb., zákona č. 548/1991 Sb., zákona č. 550/1991 Sb., zákona č. 590/1992 Sb., zákona č. 15/1993 Sb., zákona č. 161/1993 Sb., zákona č. 307/1993 Sb., zákona č. 60/1995 Sb., zákona č. 206/1996 Sb., zákona č. 14/1997 Sb., zákona č. 79/1997 Sb., zákona č. 110/1997 Sb., zákona č. 83/1998 Sb., zákona č. 167/1998 Sb., zákona č. 71/2000 Sb., zákona č. 123/2000 Sb., zákona č. 132/2000 Sb., zákona č. 258/2000 Sb., zákona č. 164/2001 Sb., zákona č. 260/2001 Sb., zákona č. 285/2002 Sb., zákona č. 290/2002 Sb., zákona č. 320/2002 Sb., zákona č. 130/2003 Sb. a zákona č. 274/2003 Sb., zákon č. 258/2000 Sb., o ochraně veřejného zdraví a o změně některých souvisejících zákonů, ve znění zákona č. 254/2001 Sb., zákona č. 274/2001 Sb., zákona č. 13/2002 Sb., zákona č. 76/2002 Sb., zákona č. 86/2002 Sb., zákona č. 120/2002 Sb., zákona č. 309/2002 Sb., zákona č. 320/2002 Sb. a zákona č. 274/2003 Sb., zákon č. 48/1997 Sb., o veřejném zdravotním pojištění a o změně a doplnění některých souvisejících zákonů, ve znění ve znění zákona č. 242/1997 Sb., zákona č. 2/1998 Sb., zákona č. 127/1998 Sb., zákona č. 225/1999 Sb., zákona č. 363/1999 Sb., zákona č. 18/2000 Sb., zákona č. 132/2000 Sb., zákona č. 155/2000 Sb., zákona č. 167/2000 Sb., zákona č. 220/2000 Sb., zákona č. 459/2000 Sb., zákona č. 176/2002 Sb., zákona č. 198/2002 Sb., zákona č. 285/2002 Sb., zákona č. 309/2002 Sb., zákona č. 320/2002 Sb., zákona č. 222/2003 Sb. a zákona č. 274/2003 Sb., zákon č. 280/1992 Sb., o resortních, oborových, podnikových a dalších zdravotních pojišťovnách, ve znění zákona č. 10/1993 Sb., zákona č. 15/1993 Sb., zákona č. 60/1995 Sb., zákona č. 149/1996 Sb., zákona č. 48/1997 Sb., zákona č. 93/1998 Sb., zákona č. 127/1998 Sb., zákona č. 225/1999 Sb., zákona č. 220/2000 Sb. a zákona č. 49/2002 Sb., zákon č. 551/1991 Sb., o Všeobecné zdravotní pojišťovně České republiky, ve znění zákona č. 592/1992 Sb., zákona č. 10/1993 Sb., zákona č. 60/1995 Sb., zákona č. 149/1996 Sb., zákona č. 48/1997 Sb., zákona č. 305/1997 Sb., zákona č. 93/1998 Sb., zákona č. 127/1998 Sb., zákona č. 69/2000 Sb., zákona č. 132/2000 Sb., zákona č. 220/2000 Sb. a zákona č. 49/2002 Sb., a zákon č. 592/1992 Sb., o pojistném na všeobecné zdravotní pojištění, ve znění zákona č. 10/1993 Sb., zákona č. 15/1993 Sb., zákona č. 161/1993 Sb., zákona č. 324/1993 Sb., zákona č. 42/1994 Sb., zákona č. 241/1994 Sb., zákona č. 59/1995 Sb., zákona č. 149/1996 Sb., zákona č. 48/1997 Sb., zákona č. 127/1998 Sb., zákona č. 29/2000 Sb., zákona č. 118/2000 Sb., zákona č. 258/2000 Sb., zákona č. 492/2000 Sb., zákona č. 138/2001 Sb., zákona č. 49/2002 Sb., zákona č. 176/2002 Sb. a zákona č. 309/2002 Sb.

15a) Například zákon č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení, ve znění zákona č. 590/1992 Sb., zákona č. 37/1993 Sb., zákona č. 160/1993 Sb., zákona č. 307/1993 Sb., zákona č. 241/1994 Sb., zákona č. 118/1995 Sb., zákona č. 160/1995 Sb., zákona č. 134/1997 Sb., zákona č. 306/1997 Sb., zákona č. 93/1998 Sb., zákona č. 225/1999 Sb., zákona č. 356/1999 Sb., zákona č. 60/1999 Sb., zákona č. 18/2000 Sb., zákona č. 29/2000 Sb., zákona č. 132/2000 Sb., zákona č. 133/2000 Sb., zákona č. 155/2000 Sb., zákona č. 159/2000 Sb., zákona č. 220/2000 Sb., zákona č. 238/2000 Sb., zákona č. 258/2000 Sb., zákona č. 411/2000 Sb., zákona č. 116/2001 Sb., zákona č. 353/2001 Sb., zákona č. 151/2002 Sb., zákona č. 263/2002 Sb., zákona č. 65/2002 Sb., zákona č. 309/2002 Sb., zákona č. 320/2002 Sb. a zákona č. 18/2002 Sb.

16) Například zákon č. 65/1965 Sb., zákoník práce, ve znění pozdějších předpisů, zákon č. 1/1992 Sb., o mzdě, odměně za pracovní pohotovost a o průměrném výdělku, ve znění pozdějších předpisů, zákon č. 218/2002 Sb., o službě státních zaměstnanců ve správních úřadech a o odměňování těchto zaměstnanců a ostatních zaměstnanců ve správních úřadech (služební zákon), ve znění zákona č. 131/2003 Sb., zákon č. 1/1991 Sb., o zaměstnanosti, ve znění pozdějších předpisů.

§ 10

Při zpracování osobních údajů správce a zpracovatel dbá, aby subjekt údajů neutrpěl újmu na svých právech, zejména na právu na zachování lidské důstojnosti, a také dbá na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů.

§ 11

2. Správce je před zpracováním osobních údajů povinen subjekt údajů řádně a včas informovat o tom, v jakém rozsahu a pro jaký účel budou osobní údaje zpracovány, kdo a jakým způsobem bude osobní údaje zpracovávat a komu mohou být osobní údaje zpřístupněny, nejsou-li subjektu údajů tyto informace již známy. Správce musí subjekt údajů informovat o jeho právu přístupu k osobním údajům, právu na opravu osobních údajů, jakož i o dalších právech stanovených v § 21.

3. V případě, kdy správce zpracovává osobní údaje získané od subjektu údajů, musí subjekt údajů poučit o tom, zda je poskytnutí osobního údaje povinné či dobrovolné. Je-li subjekt údajů povinen podle zvláštního zákona osobní údaje pro zpracování poskytnout, poučí jej správce o této skutečnosti jakož i o následcích odmítnutí poskytnutí osobních údajů.

4. Informace a poučení podle odstavce l není povinen správce poskytovat v případech, kdy osobní údaje nezískal od subjektu údajů, pokud

5. zpracovává osobní údaje výlučně pro účely výkonu státní statistické služby, vědecké nebo archivní účely a poskytnutí takových informací by vyžadovalo neúměrné úsilí nebo nepřiměřeně vysoké náklady; nebo pokud ukládání na nosiče informací nebo zpřístupnění je výslovně stanoveno zvláštním zákonem. V těchto případech je správce povinen přijmout veškerá potřebná opatření proti neoprávněnému zasahování do soukromého a osobního života subjektu údajů,

6. zpracování osobních údajů mu ukládá zvláštní zákon nebo je takových údajů třeba k uplatnění práv a povinností vyplývajících ze zvláštních zákonů,

7. zpracovává výlučně oprávněně zveřejněné osobní údaje, nebo

8. zpracovává osobní údaje získané se souhlasem subjektu údajů.

1. Předchozími ustanoveními nejsou dotčena práva subjektu údajů požadovat informace podle zvláštních zákonů. 18)

2. Při zpracování osobních údajů podle § 5 odst. 2 písm. e) a § 9 písm. h) je správce povinen bez zbytečného odkladu subjekt údajů informovat o zpracování jeho osobních údajů.

3. Žádné rozhodnutí správce nebo zpracovatele, jehož důsledkem je zásah do právních a právem chráněných zájmů subjektu údajů, nelze bez ověření vydat nebo učinit výlučně na základě automatizovaného zpracování osobních údajů. To neplatí v případě, že takové rozhodnutí bylo učiněno ve prospěch subjektu údajů a na jeho žádost.

4. Informační povinnost upravenou v § 11 může za správce plnit zpracovatel.

------------------------------------------------------------------

18) Například zákon č. 123/1998 Sb., o právu na informace o životním prostředí, zákon č. 367/1990 Sb., o obcích (obecní zřízení), ve znění pozdějších předpisů, zákon č. 106/1999 Sb., o svobodném přístupu k informacím.

§ 12

Přístup subjektu údajů k informacím

4. Požádá-li subjekt údajů o informaci o zpracování svých osobních údajů, je mu správce

povinen tuto informaci bez zbytečného odkladu předat.

5. Obsahem informace je vždy sdělení o

5. účelu zpracování osobních údajů,

6. osobních údajích, případně kategoriích osobních údajů, které jsou předmětem zpracování, včetně veškerých dostupných informací o jejich zdroji,

7. povaze automatizovaného zpracování v souvislosti s jeho využitím pro rozhodování, jestliže jsou na základě tohoto zpracování činěny úkony nebo rozhodnutí, jejichž obsahem je zásah do práva a oprávněných zájmů subjektu údajů,

8. příjemci, případně kategoriích příjemců.

(3) Správce má právo za poskytnutí informace požadovat přiměřenou úhradu nepřevyšující náklady nezbytné na poskytnutí informace.

§ 13

Povinnosti osob při zabezpečení osobních údajů

1. Správce a zpracovatel jsou povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů.

2. Správce nebo zpracovatel je povinen zpracovat a dokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany osobních údajů v souladu se zákonem a jinými právními předpisy.

§ 14

Zaměstnanci správce nebo zpracovatele a jiné osoby, které zpracovávají osobní údaje na základě smlouvy se správcem nebo zpracovatelem, mohou zpracovávat osobní údaje pouze za podmínek a v rozsahu správcem nebo zpracovatelem stanoveném.

§ 15

1. Zaměstnanci správce nebo zpracovatele, jiné fyzické osoby, které zpracovávají osobní údaje na základě smlouvy se správcem nebo zpracovatelem, a další osoby, které v rámci plnění zákonem stanovených oprávnění a povinností přicházejí do styku s osobními údaji u správce nebo zpracovatele, jsou povinni zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů. Povinnost mlčenlivosti trvá i po skončení zaměstnání nebo příslušných prací.

2. Ustanovením předchozího odstavce není dotčena povinnost zachovávat mlčenlivost podle zvláštních zákonů.19)

3. Povinnost zachovávat mlčenlivost se nevztahuje na informační povinnost podle zvláštních zákonů.20)

------------------------------------------------------------------

19) Například zákon č. 148/1998 Sb., ve znění pozdějších předpisů, zákon č. 89/1995 Sb., zákon č. 20/1966 Sb., ve znění pozdějších předpisů, zákon č. 15/1998 Sb., o Komisi pro cenné papíry a o změně a doplnění dalších zákonů.

20) Například § 167 a 168 zákona č. 140/1961 Sb., trestní zákon, ve znění pozdějších předpisů, zákon č. 21/1992 Sb., o bankách, ve znění pozdějších předpisů, zákon č. 20/1966 Sb., ve znění pozdějších předpisů.

§ 16

Oznamovací povinnost

1. Ten, kdo hodlá zpracovávat osobní údaje, je povinen tuto skutečnost oznámit Úřadu před započetím zpracovávání osobních údajů. Oznámení je povinen učinit i správce, jestliže hodlá změnit zpracování osobních údajů. Oznámení musí být učiněno písemně.

2. Oznámení musí obsahovat následující informace:

1. název správce, adresu jeho sídla a identifikační číslo, pokud bylo přiděleno,

2. účel nebo účely zpracování,

3. kategorie subjektů údajů a osobních údajů, které se těchto subjektů týkají,

4. zdroje osobních údajů,

5. popis způsobu zpracování osobních údajů,

6. místo nebo místa zpracování osobních údajů, jsou-li odlišná od adresy sídla správce,

7. příjemce nebo kategorie příjemců, kterým uvedené osobní údaje mohou být zpřístupněny či sdělovány,

8. předpokládané přenosy osobních údajů do jiných států,

9. popis opatření k zajištění požadované ochrany osobních údajů podle § 13,

10. propojení na jiné správce nebo zpracovatele.

3. Úřad je povinen do 30 dnů od doručení oznámení Úřadu oznamovateli sdělit, že jeho oznámení registruje, nebo vydat rozhodnutí podle § 17.

3. Pokud Úřad oznámení zaregistroval, může dnem registrace oznamovatel zahájit zpracování osobních údajů.

§ 17

1. Zjistí-li Úřad, že oznamovatel nesplňuje podmínky stanovené tímto zákonem, zpracování osobních údajů nepovolí.

2. Jestliže oznámení neobsahuje všechny požadované informace, vyzve Úřad oznamovatele, aby je ve stanovené lhůtě doplnil.

3. Vznikne-li z oznámení důvodná obava, že při zpracování osobních údajů by mohlo dojít k porušení tohoto zákona, vyzve Úřad oznamovatele, aby oznámení ve stanovené lhůtě doplnil, popřípadě může sám provést šetření na místě samém.

4. Po uplynutí lhůty stanovené podle odstavce 2 a 3 Úřad oznámení zaregistruje nebo vydá rozhodnutí, jímž zpracování osobních údajů nepovolí.

§ 17a

1. Zjistí-li Úřad, že správce zpracovává osobní údaje na základě zaregistrovaného oznámení podle § 16 a v rozporu s podmínkami stanovenými tímto zákonem, rozhodne o zrušení registrace.

2. Zjistí-li Úřad, že správce, jehož oznámení bylo zaregistrováno postupem podle § 16 odst. 3 nebo § 17 odst. 4, porušuje podmínky stanovené tímto zákonem, registraci zruší.

3. Pomine-li účel, pro který bylo zpracování zaregistrováno, Úřad z vlastního podnětu nebo na žádost správce registraci zruší.

§ 18

2. Oznamovací povinnost podle § 16 se nevztahuje na zpracování osobních údajů,

4. které jsou součástí datových souborů veřejně přístupných na základě zvláštního zákona,

5. které správci ukládá zvláštní zákon nebo je takových osobních údajů třeba k uplatnění práv a povinností vyplývajících ze zvláštního zákona, nebo

6. jde-li o zpracování, které sleduje politické, filosofické, náboženské nebo odborové cíle, prováděné v rámci oprávněné činnosti sdružení, a které se týká pouze členů sdružení, nebo osob, se kterými je sdružení v opakujícím se kontaktu souvisejícím s oprávněnou činností sdružení, a osobní údaje nejsou zpřístupňovány bez souhlasu subjektu údajů.

2. Správce, který provádí zpracování podle § 18 písm. b), je povinen zajistit, aby informace, týkající se zejména účelu zpracování, kategorií osobních údajů, kategorií subjektů údajů, kategorií příjemců a doby uchování, které by byly jinak přístupné prostřednictvím registru vedeného Úřadem podle § 35, byly zpřístupněny, a to i dálkovým přístupem nebo jinou vhodnou formou.

------------------------------------------------------------------

21) Například zákon č. 153/1994 Sb., zákon č. 61/1996 Sb., ve znění zákona č. 15/1998 Sb., zákon č. 283/1991 Sb., ve znění pozdějších předpisů, a zákon č. 158/1999 Sb.

§ 19

Jestliže správce hodlá ukončit svoji činnost, je povinen Úřadu neprodleně oznámit, jak naložil s osobními údaji, pokud se na jejich zpracování vztahuje oznamovací povinnost.

§ 20

Likvidace osobních údajů

1. Správce nebo na základě jeho pokynu zpracovatel je povinen provést likvidaci osobních údajů, jakmile pomine účel, pro který byly osobní údaje zpracovány, nebo na základě žádosti subjektu údajů podle § 21.

2. Zvláštní zákon stanoví výjimky týkající se uchovávání osobních údajů pro účely archivnictví a uplatňování práv v občanském soudním řízení, trestním řízení a správním řízení.

§ 21

8. Každý subjekt údajů, který zjistí nebo se domnívá, že správce nebo zpracovatel provádí zpracování jeho osobních údajů, které je v rozporu s ochranou soukromého a osobního života subjektu údajů nebo v rozporu se zákonem, zejména jsou-li osobní údaje nepřesné s ohledem na účel jejich zpracování, může

3. požádat správce nebo zpracovatele o vysvětlení,

4. požadovat, aby správce nebo zpracovatel odstranil takto vzniklý stav. Zejména se může jednat o blokování, provedení opravy, doplnění nebo likvidaci osobních údajů.

9. Je-li žádost subjektu údajů podle odstavce 1 shledána oprávněnou, správce nebo zpracovatel odstraní neprodleně závadný stav.

10. Nevyhoví-li správce nebo zpracovatel žádosti subjektu údajů podle odstavce 1, má subjekt údajů právo obrátit se přímo na Úřad.

11. Postup podle odstavce 1 nevylučuje, aby se subjekt údajů obrátil se svým podnětem na Úřad přímo.

12. Pokud vznikla v důsledku zpracování osobních údajů subjektu údajů jiná než majetková újma, postupuje se při uplatňování jejího nároku podle zvláštního zákona.22)

13. Došlo-li při zpracování osobních údajů k porušení povinností uložených zákonem jak u správce, tak u zpracovatele, odpovídají za ně společně a nerozdílně.

14. Správce je povinen bez zbytečného odkladu informovat příjemce o žádosti subjektu údajů podle odstavce l a o blokování, opravě, doplnění nebo likvidaci osobních údajů. To neplatí, pokud je informování příjemce nemožné nebo by vyžadovalo neúměrné úsilí.

---------------------------------------

22) § 13 občanského zákoníku.

§ 25

Náhrada škody

V otázkách neupravených tímto zákonem se použije obecná úprava odpovědnosti za škodu.23), 24)

------------------------------------------------------------------

23) Zákon č. 40/1964 Sb., ve znění pozdějších předpisů.

24) Zákon č. 513/1991 Sb., obchodní zákoník, ve znění pozdějších předpisů.

§ 26

Povinnosti podle § 21 až 25 se obdobně vztahují i na osoby, které shromáždily osobní údaje neoprávněně.

Hlava III

Předání osobních údajů do jiných států

§ 27

4. Volný pohyb osobních údajů nemůže být omezován, pokud jsou údaje předány do členského státu Evropské unie.

5. Do třetích zemí mohou být osobní údaje předány, pokud zákaz omezování volného pohybu osobních údajů vyplývá z mezinárodní smlouvy, k jejíž ratifikaci dal Parlament souhlas, a kterou je Česká republika vázána.1a), nebo jsou osobní údaje předány na základě rozhodnutí orgánu Evropské unie. Informaci o těchto rozhodnutích zveřejňuje Úřad ve Věstníku.

6. Není-li podmínka podle odstavce l a 2 splněna, může být předání osobních údajů uskutečněno, jestliže správce prokáže, že

8. předání údajů se děje se souhlasem nebo na základě pokynu subjektu údajů,

9. jsou v třetí zemi, kde mají být osobní údaje zpracovány, vytvořeny dostatečné zvláštní záruky ochrany osobních údajů, například prostřednictvím jiných právních nebo profesních předpisů a bezpečnostních opatření. Takové záruky mohou být upřesněny zejména smlouvou uzavřenou mezi správcem a příjemcem, pokud tato smlouva zajišťuje uplatnění těchto požadavků nebo pokud smlouva obsahuje smluvní doložky pro předání osobních údajů do třetích zemí zveřejněné ve Věstníku Úřadu,

10. jde o osobní údaje, které jsou na základě zvláštního zákona součástí datových souborů veřejně přístupných nebo přístupných tomu, kdo prokáže právní zájem; v takovém případě lze osobní údaje zpřístupnit jen v rozsahu a za podmínek stanovených zvláštním zákonem,

11. je předání nutné pro uplatňování důležitého veřejného zájmu vyplývajícího ze zvláštního zákona nebo z mezinárodní smlouvy, kterou je Česká republika vázána,

12. je předání nezbytné pro jednání o uzavření nebo změně smlouvy, uskutečněné z podnětu subjektu údajů, nebo pro plnění smlouvy jejíž smluvní stranou je subjekt údajů,

13. je předání nezbytné pro plnění smlouvy uzavřené v zájmu subjektu údajů mezi správcem a třetí stranou, nebo pro uplatnění jiných právních nároků, nebo

14. je předání nezbytné pro ochranu práv nebo životně důležitých zájmů subjektu údajů, zejména pro záchranu života nebo pro poskytnutí zdravotní péče.

(4) Před předáním osobních údajů do třetích zemí podle odstavce 3 je správce povinen požádat Úřad o povolení k předání, nestanoví-li zvláštní zákon jinak.25) Při posuzování žádosti Úřad přezkoumá všechny okolnosti související s předáním osobních údajů, zejména zdroj, konečné určení a kategorie předávaných osobních údajů, účel a dobu zpracování, s přihlédnutím k dostupným informacím o právních nebo jiných předpisech upravujících zpracování osobních údajů ve třetí zemi. V povolení k předání Úřad stanovídobu, po kterou může správce předání provádět. Pokud dojde ke změně podmínek, za kterých bylo povolení vydáno, zejména na základě rozhodnutí orgánu Evropské unie, Úřad toto povolení změní nebo zruší.

25) Například § 5c zákona č. 1/1991 Sb., o zaměstnanosti, ve znění zákona č. 167/1999 Sb., zákona č. 155/2000 Sb. a zákona č. 220/2002 Sb., § 71a) zákona č. 325/1999 Sb., o azylu a o změně zákona č. 283/1991 Sb., o Policii České republiky, ve znění pozdějších předpisů, (zákon o azylu), ve znění zákona č. 2/2002 Sb., § 35 odst. 3 zákona č. 359/1999 Sb., o sociálně-právní ochraně dětí, ve znění pozdějších předpisů, a § 4a odst. 3 zákona č. 13/1993 Sb., celní zákon, ve znění zákona č. 1/2002 Sb.

Hlava IV

Postavení a působnost Úřadu

§ 28

1. Úřad je nezávislý orgán. Ve své činnosti postupuje nezávisle a řídí se pouze zákony a jinými právními předpisy.

2. Do činnosti Úřadu lze zasahovat jen na základě zákona.

3. Činnost Úřadu je hrazena ze samostatné kapitoly státního rozpočtu České republiky.

§ 29

1. Úřad

1. provádí dozor nad zpracováním osobních údajů správci, zpracovateli nebo jinými subjekty provádí dozor nad dodržováním povinností stanovených tímto zákonem,

2. vede evidenci oznámení učiněných podle § 16 a registr povolených zpracování osobních údajů (dále jen "registr"),

3. přijímá podněty a stížnosti na porušení tohoto zákona a informuje o jejich vyřízení,

4. zpracovává a veřejnosti zpřístupňuje výroční zprávu o své činnosti,

5. vykonává další působnosti stanovené mu zákonem,

6. projednává přestupky a jiné správní delikty a uděluje pokuty podle tohoto zákona,

7. zajišťuje plnění požadavků vyplývajících z mezinárodních smluv, jimiž je Česká republika vázána,

8. poskytuje konzultace v oblasti ochrany osobních údajů,

9. spolupracuje s obdobnými úřady jiných států,s orgány Evropské unie a s orgány mezinárodních organizací působícími v oblasti ochrany osobních údajů. Úřad v souladu s právem Evropských společenství plní oznamovací povinnost vůči orgánům Evropské unie.25a)

2. Při výkonu dozoru ve formě kontroly se postupuje podle zvláštního právního předpisu.26)

2. Dozor nad zpracováním osobních údajů, které provádějí zpravodajské služby, stanoví zvláštní právní předpis.27)

------------------------------------------------------------------

25a) Článek 8 odst. 6 a článek 26 odst. 3 Směrnice č. 95/46/ES.

26) Zákon č. 552/1991 Sb., o státní kontrole, ve znění pozdějších předpisů.

27) § 12 zákona č. 153/1994 Sb.

Hlava V

Organizace Úřadu

§ 30

1. Zaměstnanci Úřadu jsou předseda, inspektoři a další zaměstnanci.

2. Kontrolní činnost Úřadu provádějí inspektoři a pověření zaměstnanci (dále jen "kontrolující").

3. Na zaměstnance Úřadu se vztahují ustanovení zákoníku práce, pokud tento zákon nestanoví jinak.

4. Předseda Úřadu má nárok na plat, další plat, náhradu výdajů a naturální plnění jako prezident Nejvyššího kontrolního úřadu podle zvláštního zákona.26a)

5. Inspektoři Úřadu mají nárok na plat, další plat, náhradu výdajů a naturální plnění jako členové Nejvyššího kontrolního úřadu podle zvláštního zákona.26a)

------------------------------------------------------------------

26a) Zákon č. 236/1995 Sb., o platu a dalších náležitostech spojených s výkonem funkce představitelů státní moci a některých státních orgánů a soudců, ve znění pozdějších předpisů.

§ 31

Kontrolní činnost Úřadu se provádí na základě kontrolního plánu nebo na základě podnětů a stížností.

§ 32

Předseda Úřadu

1. Úřad řídí předseda, kterého jmenuje a odvolává prezident republiky na návrh Senátu Parlamentu České republiky.

2. Předseda Úřadu je jmenován na dobu 5 let. Může být jmenován maximálně na 2 po sobě jdoucí období.

3. Předsedou Úřadu může být jmenován pouze občan České republiky, který

1. je způsobilý k právním úkonům,

2. je bezúhonný, splňuje podmínky stanovené zvláštním právním předpisem30) a jeho znalosti, zkušenosti a morální vlastnosti jsou předpokladem, že bude svoji funkci řádně zastávat,

3. má ukončené vysokoškolské vzdělání.

4. Bezúhonnou je pro účel tohoto zákona fyzická osoba, která nebyla pravomocně odsouzena pro úmyslný trestný čin nebo i trestný čin spáchaný z nedbalosti v souvislosti se zpracováním osobních údajů.

4. S výkonem funkce předsedy Úřadu je neslučitelná funkce poslance nebo senátora, soudce, státního zástupce, jakákoliv funkce ve veřejné správě, funkce člena orgánů územní samosprávy a členství v politických stranách a hnutích.

4. Předseda Úřadu nesmí zastávat jinou placenou funkci, být v dalším pracovním poměru ani vykonávat výdělečnou činnost s výjimkou správy vlastního majetku a činnosti vědecké, pedagogické, literární, publicistické a umělecké, pokud tato činnost nenarušuje důstojnost nebo neohrožuje důvěru v nezávislost a nestrannost Úřadu.

4. Z funkce je předseda Úřadu odvolán, přestal-li splňovat některou z podmínek pro jeho jmenování.

4. Z funkce může být předseda odvolán také tehdy, jestliže nevykonává po dobu 6 měsíců svoji funkci.

------------------------------------------------------------------

30) Zákon č. 451/1991 Sb.

§ 33

Inspektoři Úřadu

1. Inspektora jmenuje a odvolává prezident republiky na návrh Senátu Parlamentu České republiky.

2. Inspektor je jmenován na období 10 let. Může být jmenován opakovaně.

3. Inspektor vykonává kontrolu, řídí kontrolu, vypracovává kontrolní protokol a provádí další úkony, jež souvisejí s úkoly Úřadu.

4. Činnosti podle odstavce 3 vykonává 7 inspektorů Úřadu.

§ 34

1. Inspektorem může být jmenován občan České republiky, který je způsobilý k právním úkonům, bezúhonný, splňuje podmínky stanovené zvláštním právním předpisem30) a má ukončené odborné vysokoškolské vzdělání.

2. S výkonem funkce inspektora je neslučitelná funkce poslance nebo senátora, soudce, státního zástupce, jakákoliv funkce ve veřejné správě, funkce člena orgánů územní samosprávy a členství v politických stranách a hnutích. Inspektor nesmí zastávat jinou placenou funkci, být v pracovním poměru ani vykonávat výdělečnou činnost s výjimkou správy vlastního majetku a činnosti vědecké, pedagogické, literární, publicistické a umělecké, pokud tato činnost nenarušuje důstojnost nebo neohrožuje důvěru v nezávislost a nestrannost Úřadu.

3. Z funkce je inspektor odvolán, přestal-li splňovat některou z podmínek pro jeho jmenování.

------------------------------------------------------------------

30) Zákon č. 451/1991 Sb.

Hlava VI

Činnost Úřadu

§ 35

Registrace

1. Do registru povolených zpracování osobních údajů se zapisují údaje z oznámení podle § 16 odst. 2.

2. Registraci nebo její zrušení zveřejňuje Úřad nejdéle do 2 měsíců ve Věstníku Úřadu . Oznámení o registraci nebo oznámení o zrušení registrace může Úřad zveřejnit i jiným vhodným způsobem.

3. Registr je veřejně přístupný s výjimkou údajů uvedených v § 16 odst. 2 písm. e) a i).

§ 36

Výroční zpráva

1. Výroční zpráva Úřadu obsahuje zejména informace o provedené kontrolní činnosti a její zhodnocení, informace a zhodnocení stavu v oblasti zpracovávání a ochrany osobních údajů v České republice a zhodnocení ostatní činnosti Úřadu.

2. Výroční zprávu předkládá předseda Úřadu pro informaci Poslanecké sněmovně a Senátu Parlamentu České republiky a vládě České republiky do 2 měsíců po skončení rozpočtového roku a zveřejňuje ji ve Věstníku Úřadu.

§ 37

Oprávnění kontrolujících

Kontrolující jsou při provádění kontroly oprávněni

1. vstupovat do objektů, zařízení a provozů, na pozemky a do jiných prostor kontrolovaných správců a zpracovatelů nebo každého, kdo zpracovává osobní údaje, (dále jen "kontrolovaný"), pokud to souvisí s předmětem kontroly; do obydlí mohou vstupovat pouze v případě, že tato slouží také k provozování podnikatelské činnosti,

2. požadovat na kontrolovaných a na jiných osobách, aby ve stanovených lhůtách předložily originální doklady a další písemnosti, záznamy dat na paměťových médiích, výpisy a zdrojové kódy programů, pokud je vlastní, výpisy a opisy dat (dále jen "doklady"), pokud to souvisí s předmětem kontroly, a provádět vlastní dokumentaci,

3. seznamovat se s utajovanými skutečnostmi za podmínek stanovených zvláštním právním předpisem,31) jakož i dalšími skutečnostmi, které jsou chráněny povinností mlčenlivosti,

4. požadovat na fyzických i právnických osobách poskytnutí pravdivých a úplných informací o zjišťovaných a souvisejících skutečnostech,

5. zajišťovat v odůvodněných případech doklady; jejich převzetí musí kontrolovanému písemně potvrdit a na jeho žádost mu ponechat kopie převzatých dokladů,

6. pořídit kopie obsahu paměťových médií, obsahujících osobní údaje, nacházejících se u kontrolovaného,

7. požadovat, aby kontrolovaní podali ve stanovené lhůtě písemnou zprávu o odstranění zjištěných nedostatků,

8. používat telekomunikační zařízení kontrolovaných v případech, kdy je jejich použití nezbytné pro zabezpečení kontroly.

------------------------------------------------------------------

31) Zákon č. 148/1998 Sb., ve znění pozdějších předpisů.

§ 38

Povinnosti kontrolujících

1. Kontrolu nesmějí provádět ti kontrolující, u nichž se zřetelem na jejich vztah ke kontrolovaným nebo k předmětu kontroly jsou důvodné pochybnosti o jejich nepodjatosti.

2. Kontrolující je povinen bezprostředně po tom, co se dozví o skutečnostech nasvědčujících jeho podjatosti, oznámit to předsedovi Úřadu.

3. O námitce podjatosti kontrolujícího rozhodne předseda Úřadu bez zbytečného odkladu. Do rozhodnutí o námitce podjatosti činí kontrolující pouze úkony, které nesnesou odkladu.

4. Proti rozhodnutí o námitce podjatosti se nelze odvolat.

5. Kontrolující jsou povinni

1. prokázat se kontrolovanému průkazem kontrolora,

2. oznámit kontrolovanému zahájení kontroly,

3. šetřit práva a právem chráněné zájmy kontrolovaných,

4. předat neprodleně převzaté doklady, jakož i kopie paměťových médií kontrolovanému, pominou-li důvody jejich převzetí,

5. řádně ochraňovat zajištěné doklady proti jejich ztrátě, zničení, poškození nebo zneužití,

6. pořizovat o výsledcích kontroly kontrolní protokol,

7. zachovávat mlčenlivost o skutečnostech zjištěných při výkonu kontroly a nezneužít znalosti těchto skutečností. Povinností mlčenlivosti není dotčena oznamovací povinnost podle zvláštních zákonů. Povinnost mlčenlivosti přetrvává i po skončení pracovněprávního vztahu k Úřadu. Povinnosti mlčenlivosti může kontrolujícího zbavit předseda Úřadu. Povinnost mlčenlivosti se nevztahuje na anonymizované a zobecněné informace.

6. Kontrolní protokol obsahuje zejména popis zjištěných skutečností s uvedením nedostatků a označení ustanovení právních předpisů, které byly porušeny, a opatření, která byla uložena k nápravě, a stanovení lhůt, do kdy je třeba je učinit. V kontrolním protokolu se uvádí označení Úřadu a jména kontrolujících na kontrole zúčastněných, označení kontrolovaného, místo a čas provedení kontroly, předmět kontroly, skutečný stav, označení dokladů a ostatních dokumentů a zjištění, o které se protokol opírá. Kontrolní protokol podepisují kontrolující, kteří se kontroly zúčastnili.

6. Povinností kontrolujících je seznámit kontrolované s obsahem kontrolního protokolu a předat jim jeho stejnopis. Seznámení s kontrolním protokolem a jeho převzetí potvrzují kontrolovaní podpisem kontrolního protokolu. Odmítne-li kontrolovaný seznámit se s kontrolním protokolem nebo toto seznámení potvrdit, vyznačí se tyto skutečnosti v kontrolním protokolu.

§ 39

(1) Každý je povinen v souvislosti s výkonem kontroly poskytnout kontrolujícím při výkonu jejich činnosti potřebnou součinnost.

(2) Tomu kdo neposkytne Úřadu při výkonu kontroly potřebnou součinnost, může být uložena pořádková pokuta do výše 25 000 Kč, a to i opakovaně. Za neposkytnutí součinnosti se považuje i nesplnění opatření uložených k nápravě zjištěného stavu ve stanovené lhůtě.

Opatření k nápravě

§ 40

1. Zjistí-li kontrolující, že došlo k porušení povinností uložených tímto zákonem, uloží inspektor, jaká opatření je třeba učinit, aby byly zjištěné nedostatky odstraněny, a stanoví lhůtu pro jejich odstranění.

2. Byla-li uložena likvidace osobních údajů, jsou osobní údaje do likvidace blokovány. Proti uložení likvidace může správce podat námitku k předsedovi Úřadu. Do doby, než bude o námitce rozhodnuto, musí být osobní údaje blokovány. Proti rozhodnutí předsedy lze podat žalobu podle předpisů o správním soudnictví. Do doby, než bude soudem rozhodnuto, jsou údaje blokovány.

3. Kontrolovaný je povinen ve stanovené lhůtě podat zprávu o přijatých opatřeních.

§ 41

V řízení ve věcech upravených tímto zákonem se postupuje podle správního řádu,32) pokud ustanovení tohoto zákona nestanoví jinak.

------------------------------------------------------------------

32) Zákon č. 71/1967 Sb., o správním řízení (správní řád), ve znění zákona č. 29/2000 Sb.

§ 42

Provozováním informačních systémů nakládajících s osobními údaji podle dosavadních předpisů se rozumí zpracování osobních údajů.

§ 43

Oprávnění a povinnosti při dozoru

Oprávnění a povinnosti kontrolujících a kontrolovaných osob se řídí zvláštním právním předpisem,26) pokud tento zákon nestanoví jinak.

------------------------------------------------------------------

26) Zákon č. 552/1991 Sb., o státní kontrole, ve znění pozdějších předpisů.

Hlava VII

Sankce

§ 44

Přestupky

2. Fyzická osoba, která

1. je ke správci nebo zpracovateli v pracovním nebo jiném obdobném poměru,

2. vykonává pro správce nebo zpracovatele činnosti na základě dohody, nebo

3. v rámci plnění zvláštním zákonem uložených oprávnění a povinností přichází u správce nebo zpracovatele do styku s osobními údaji,

se dopustí přestupku tím, že poruší povinnost mlčenlivosti (§ 15).

2. Fyzická osoba se jako správce nebo zpracovatel dopustí přestupku tím, že při zpracování osobních údajů

10. nestanoví účel, prostředky nebo způsob zpracování (§ 5 odst. 1 písm. a) a b),

11. zpracovává nepřesné osobní údaje (§ 5 odst. 1 písm. c),

12. shromažďuje nebo zpracovává osobní údaje v rozsahu nebo způsobem, který neodpovídá stanovenému účelu (§ 5 odst. 1 písm. d), f) až h),

13. uchovává osobní údaje po dobu delší než nezbytnou k účelu zpracování (§ 5 odst. 1 písm. e),

14. zpracovává osobní údaje bez souhlasu subjektu údajů mimo případy uvedené v zákoně (§ 5 odst. 2 a § 9),

15. neposkytne subjektu údajů informace v rozsahu nebo zákonem stanoveným způsobem (§ 11),

16. odmítne subjektu údajů poskytnout požadované informace (§ 12 a 21),

17. nepřijme nebo neprovede opatření pro zajištění bezpečnosti zpracování osobních údajů (§ 13),

18. nesplní oznamovací povinnost podle tohoto zákona (§ 16 a 27).

3. Fyzická osoba se jako správce nebo zpracovatel dopustí přestupku tím, že při zpracování osobních údajů některým ze způsobů podle odstavce 2

3. ohrozí větší počet osob svým neoprávněným zasahováním do soukromého a osobního života, nebo

4. poruší povinnosti pro zpracování citlivých údajů (§ 9).

4. Za přestupek podle odstavce 1 lze uložit pokutu do výše 100 000 Kč.

4. Za přestupek podle odstavce 2 lze uložit pokutu do výše 1 000 000 Kč.

4. Za přestupek podle odstavce 3 lze uložit pokutu do výše 5 000 000 Kč.

§ 45

Jiné správní delikty

2. Právnická osoba nebo fyzická osoba podnikající podle zvláštních předpisů se jako správce nebo zpracovatel dopustí správního deliktu tím, že při zpracování osobních údajů

10. nestanoví účel, prostředky nebo způsob zpracování (§ 5 odst. 1 písm. a) a b),

11. zpracovává nepřesné osobní údaje (§ 5 odst. 1 písm. c),

12. shromažďuje nebo zpracovává osobní údaje v rozsahu nebo způsobem, který neodpovídá stanovenému účelu (§ 5 odst. 1 písm. d), f) až h),

13. uchovává osobní údaje po dobu delší než nezbytnou k účelu zpracování (§ 5 odst. 1 písm. e),

14. zpracovává osobní údaje bez souhlasu subjektu údajů mimo případy uvedené v zákoně (§ 5 odst. 2 a § 9),

15. neposkytne subjektu údajů informace v rozsahu nebo zákonem stanoveným způsobem (§ 11),

16. odmítne subjektu údajů poskytnout požadované informace (§ 12 a 21),

17. nepřijme nebo neprovede opatření pro zajištění bezpečnosti zpracování osobních údajů (§ 13),

18. nesplní oznamovací povinnost podle tohoto zákona (§ 16 a 27).

2. Právnická osoba jako správce nebo zpracovatel se dopustí správního deliktu tím, že při zpracování osobních údajů některým ze způsobů podle odstavce 2

3. ohrozí větší počet osob svým neoprávněným zasahováním do soukromého a osobního života, nebo

4. poruší povinnosti pro zpracování citlivých údajů (§ 9).

3. Za správní delikt podle odstavce 1 se uloží pokuta do výše 5 000 000 Kč.

3. Za správní delikt podle odstavce 2 se uloží pokuta do výše 10 000 000 Kč.

§ 46

8. Právnická osoba za správní delikt neodpovídá, jestliže prokáže, že vynaložila veškeré úsilí, které bylo možno požadovat, aby porušení právní povinnosti zabránila.

9. Při rozhodování o výši pokuty se přihlíží zejména k závažnosti, způsobu, době trvání a následkům protiprávního jednání a k okolnostem, za nichž bylo protiprávní jednání spácháno.

10. Odpovědnost právnické osoby za správní delikt zaniká, jestliže správní orgán o něm nezahájil řízení do 1 roku ode dne, kdy se o něm dozvěděl, nejpozději však do 3 let ode dne, kdy byl spáchán.

11. Porušení povinností podle § 44 a 45 projednává Úřad.

12. Na odpovědnost za jednání, k němuž došlo při podnikání fyzické osoby nebo v přímé souvislosti s ním, se použijí ustanovení o odpovědnosti a postihu právnické osoby.

13. Pokuta je splatná do 30 dnů ode dne, kdy rozhodnutí o jejím uložení nabylo právní moci.

14. Pokutu vybírá Úřad a vymáhá místně příslušný územní finanční úřad podle zvláštního zákona.34) Výnos z pokut je příjmem státního rozpočtu.

------------------------------------------------------------------

34) Zákon č. 337/1992 Sb., o správě daní a poplatků

Hlava VIII

Ustanovení společná, přechodná a závěrečná

§ 47

Opatření pro přechodné období

1. Každý, kdo zpracovává ke dni nabytí účinnosti tohoto zákona osobní údaje a na něhož se vztahuje povinnost oznámení podle § 16, je povinen tak učinit nejpozději do 6 měsíců ode dne nabytí účinnosti tohoto zákona.

2. Zpracování osobních údajů prováděné před účinností tohoto zákona je nutno uvést do souladu s tímto zákonem do 31. prosince 2001.

3. V případě, že kontrolující zjistí porušení povinnosti podle odstavce 2, ustanovení § 46 odst. 1 a 2 se v takovém případě do 31. prosince 2002 nepoužijí.

§ 48

Zrušovací ustanovení

Zrušuje se zákon č. 256/1992 Sb., o ochraně osobních údajů v informačních systémech.

ČÁST DRUHÁ

§ 49

Novela trestního zákona

Zákon č. 140/1961 Sb., trestní zákon, ve znění zákona č. 120/1962 Sb., zákona č. 53/1963 Sb., zákona č. 56/1966 Sb., zákona č. 148/1969 Sb., zákona č. 45/1973 Sb., zákona č. 43/1980 Sb., zákona č. 10/1989 Sb., zákona č. 159/1989 Sb., zákona č. 47/1990 Sb., zákona č. 84/1990 Sb., zákona č. 175/1990 Sb., zákona č. 457/1990 Sb., zákona č. 545/1990 Sb., zákona č. 490/1991 Sb., zákona č. 557/1991 Sb., nálezu Ústavního soudu ČSFR ze 4. 9. 1992, zákona č. 290/1993 Sb., zákona č. 38/1994 Sb., zákona č. 91/1994 Sb., zákona č. 152/1995 Sb., zákona č. 19/1997 Sb., zákona č. 103/1997 Sb., zákona č. 253/1997 Sb., zákona č. 92/1998 Sb., zákona č. 112/1998 Sb., zákona č. 148/1998 Sb., zákona č. 167/1998 Sb., zákona č. 96/1999 Sb., zákona č. 191/1999 Sb., zákona č. 210/1999 Sb., zákona č. 223/1999 Sb., zákona č. 238/1999 Sb., zákona č. 305/1999 Sb., zákona č. 327/1999 Sb., zákona č. 360/1999 Sb. a zákona č. 29/2000 Sb., se mění takto:

1. V § 178 odstavec 1 zní:

"(1) Kdo, byť i z nedbalosti, neoprávněně sdělí, zpřístupní, jinak zpracovává nebo si přisvojí osobní údaje o jiném shromážděné v souvislosti s výkonem veřejné správy, bude potrestán odnětím svobody až na tři léta nebo zákazem činnosti nebo peněžitým trestem.".

2. V § 178 odst. 2 se za slovo "kdo" vkládá slovo "osobní".

ČÁST TŘETÍ

§ 50

Novela zákona o svobodném přístupu k informacím

Zákon č. 106/1999 Sb., o svobodném přístupu k informacím, se mění takto:

1. V § 2 odstavec 3 včetně poznámky pod čarou č. 1) zní:

"(3) Zákon se nevztahuje na poskytování osobních údajů a informací podle zvláštního právního předpisu.1)

------------------------------------------------------------------

1) Například zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, a zákon č. 123/1998 Sb., o právu na informace o životním prostředí.".

2. V § 5 odst. 3 se věta druhá nahrazuje větou, která včetně poznámky pod čarou č. 3a) zní: "Na tyto subjekty se pro tento účel nevztahuje povinnost zamezit sdružování informací podle zvláštního právního předpisu.3a)

------------------------------------------------------------------

3a) § 5 odst. 1 písm. h) zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů.".

3. V § 8 se odstavce 1 a 2 včetně nadpisu a poznámky pod čarou č. 5) zrušují.

ČÁST ČTVRTÁ

Účinnost

§ 51

Tento zákon nabývá účinnosti dnem 1. června 2000, s výjimkou ustanovení § 16, 17 a 35, která nabývají účinnosti dnem 1. prosince 2000.

Klaus v. r.

Havel v. r.

Zeman v. r.

x x x

Zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu), nabyl účinnosti prvním dnem třetího kalendářního měsíce po dni jeho vyhlášení (1. října 2000).

Zákon č. 177/2001 Sb., kterým se mění zákon č. 101/2000 Sb., o ochraně osobních údajů, ve znění zákona č. 227/2000 Sb., a zákon č. 65/1965 Sb., zákoník práce, ve znění pozdějších předpisů, nabyl účinnosti dnem vyhlášení (31. května 2001).

Zákon č. 450/2001 Sb., kterým se mění zákon č. 128/2000 Sb., o obcích (obecní zřízení), ve znění pozdějších předpisů, zákon č. 129/2000 Sb., o krajích (krajské zřízení), ve znění pozdějších předpisů, zákon č. 131/2000 Sb., o hlavním městě Praze, ve znění pozdějších předpisů, zákon č. 250/2000 Sb., o rozpočtových pravidlech územních rozpočtů, ve znění zákona č. 320/2001 Sb., zákon č. 218/2000 Sb., o rozpočtových pravidlech a o změně některých souvisejících zákonů (rozpočtová pravidla), ve znění pozdějších předpisů, a zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů, nabyl účinnosti dnem vyhlášení (31. prosince 2001).

Zákon č. 107/2002 Sb., kterým se mění zákon č. 140/1996 Sb., o zpřístupnění svazků vzniklých činností bývalé Státní bezpečnosti, a některé další zákony, nabyl účinnosti dnem vyhlášení (20. března 2002), s výjimkou čl. I bodu1, pokud se týká ustanovení § 7, které nabývá účinnosti dnem uplynutí jednoho roku ode dne vyhlášení tohoto zákona.

Zákon č. 309/2002 Sb., o změně zákonů souvisejících s přijetím zákona o službě státních zaměstnanců ve správních úřadech a o odměňování těchto zaměstnanců a ostatních zaměstnanců ve správních úřadech (služební zákon), nabývá účinnosti dnem 1. ledna 2004.

Zákon č. 310/2002 Sb., kterým se mění zákon č. 148/1998 Sb., o ochraně utajovaných skutečností a o změně některých zákonů, ve znění pozdějších předpisů, zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů, zákon č. 18/1997 Sb., o mírovém využití jaderné energie a ionizujícího záření (atomový zákon) a o změně a doplnění některých zákonů, ve znění pozdějších předpisů, zákon č. 38/1994 Sb., o zahraničním obchodu s vojenským materiálem a o doplnění zákona č. 455/1991 Sb., o živnostenském podnikání (živnostenský zákon), ve znění pozdějších předpisů, a zákon č. 283/1993 Sb., o státním zastupitelství, ve znění pozdějších předpisů, a zákon č. 42/1992 Sb., o úpravě majetkových vztahů a vypořádání majetkových nároků v družstvech, ve znění pozdějších předpisů, nabyl účinnosti dnem vyhlášení (12. července 2002), s výjimkou čl. VII bodu 4, který nabývá účinnosti dnem 1. ledna 2003.

Zákon č. 517/2002 Sb., kterým se provádějí některá opatření v soustavě ústředních orgánů státní správy a mění některé zákony, nabyl účinnosti dnem

1. ledna 2003.

Čl. II

Přechodná ustanovení

5. Oznámení a rozhodnutí o registraci zpracování osobních údajů vydaná podle § 16, 17 a 17a přede dnem nabytí účinnosti tohoto zákona zůstávají v platnosti.

6. Rozhodnutí o povolení předání osobních údajů do členských států Evropské unie a rozhodnutí o povolení předání osobních údajů do třetích zemí, pokud zákaz omezování volného pohybu osobních údajů vyplývá z mezinárodní smlouvy, k jejíž ratifikaci dal Parlament souhlas, a kterou je Česká republika vázána.25), vydaná před nabytím účinnosti zákona pozbývají platnosti dnem vstupu smlouvy o přistoupení České republiky k Evropské unii v platnost. Rozhodnutí o povolení předání osobních údajů do jiných států vydaná přede dnem nabytí účinnosti tohoto zákona zůstávají v platnosti.

7. Řízení zahájená a neskončená přede dnem nabytí účinnosti tohoto zákona se dokončí podle dosavadních právních předpisů.

8. Osoby podléhající registraci ke dni nabytí účinnosti tohoto zákona musí podat oznámení podle § 16 do 6 měsíců ode dne nabytí účinnosti tohoto zákona.

ČÁST DRUHÁ

Změna zákona o bankách

Čl. III

§ 37

Banky poskytují klientům služby na smluvním základě. Banka je povinna požadovat prokázání totožnosti klienta u každého obchodu, jehož hodnota převyšuje 100 000 Kč, a při pronájmu bezpečnostních schránek. Poskytnutí služeb se zachováním anonymity klienta může banka odmítnout.

------------------------------------------------------------------

§ 38

(1) Na všechny bankovní obchody, peněžní služby bank, včetně stavů na účtech a depozit, se vztahuje bankovní tajemství.

(2) Zprávu o všech záležitostech, které jsou předmětem bankovního tajemství, je banka povinna podat osobám pověřeným výkonem bankovního dohledu. Za porušení bankovního tajemství se nepovažuje výměna informací mezi Českou národní bankou a orgány bankovního dohledu a obdobných institucí jiných států, jestliže předmětem výměny jsou informace o subjektech, které působí nebo hodlají působit na území příslušného státu. Porušením povinnosti dodržet bankovní tajemství rovněž není sdělení údajů o klientovi a jeho obchodech při podání trestního oznámení nebo při plnění oznamovací povinnosti podle zvláštního zákona.10)

(3) Zprávu o záležitostech, týkajících se klienta, které jsou předmětem bankovního tajemství, podá banka bez souhlasu klienta jen na písemné vyžádání

a) soudu pro účely občanského soudního řízení;8)

b) orgánu činného v trestním řízení za podmínek, které stanoví zvláštní zákon;9)

c) správcům daně za podmínek podle zvláštního zákona o správě daní a poplatků,

d) Ministerstva financí a Komise pro cenné papíry při výkonu zákonem stanoveného dozoru,9a)

e) Ministerstva financí za podmínek, které stanoví zvláštní zákon,10)

f) orgánů sociálního zabezpečení ve věci řízení o pojistném na sociální zabezpečení a příspěvku na státní politiku zaměstnanosti, které klient dluží, orgánů sociálního zabezpečení nebo okresních úřadů ve věci řízení o přeplatku na dávkách sociálního zabezpečení a státní sociální podpory, který je klient povinen vrátit; to platí i pro vymáhání tohoto pojistného, příspěvku a přeplatku,

g) zdravotních pojišťoven ve věci řízení o pojistném na veřejné zdravotní pojištění, které klient dluží; to platí i pro vymáhání tohoto pojistného,

h) soudního exekutora pověřeného provedením exekuce podle zvláštního zákona,9b)

i) úřadu práce ve věci řízení o vrácení finančních prostředků poskytnutých klientovi ze státního rozpočtu; to platí i pro vymáhání těchto prostředků.

Písemné vyžádání musí obsahovat údaje, podle nichž může banka příslušnou záležitost identifikovat.

(4) Banka je povinna sdělit i bez souhlasu klienta na písemné vyžádání orgánů sociálního zabezpečení nebo okresních úřadů ve věci řízení o vrácení dávky poukázané na účet po úmrtí příjemce dávky včetně jejího vymáhání identifikační údaje o svém klientovi, který je majitelem účtu, a osobách oprávněných nakládat s peněžními prostředky na tomto účtu a údaje o záležitostech týkajících se tohoto účtu. Banka je rovněž povinna po úmrtí klienta sdělit tyto údaje na písemné vyžádání úřadu práce.

(5) Za podání zprávy podle odstavce 3 písm. a) a h) náleží bance úhrada věcných nákladů.

(6) Banka je povinna i bez souhlasu klienta sdělit osobě oprávněné za účelem výkonu rozhodnutí nebo daňové exekuce bankovní spojení svého klienta, tedy číslo účtu a identifikační kód banky nebo pobočky zahraniční banky a identifikační údaje o svém klientovi, který je majitelem účtu. Stejná povinnost banky platí i ve vztahu k osobě, která prokáže, že v důsledku vlastní chybné dispozice bance nebo pobočce zahraniční banky utrpěla škodu a že se bez tohoto údaje nemůže domoci svého práva na vydání bezdůvodného obohacení ve smyslu občanského zákoníku. Za podání informace náleží bance úhrada věcných nákladů.

(7) Jestliže se klient dostane do prodlení s peněžitým plněním bance na dobu delší než 60 dnů nebo poruší své povinnosti vůči bance sjednané ve smlouvě nebo stanovené zákonem, omezuje se povinnost banky zachovávat bankovní tajemství tak, že banka může informovat jiné banky nebo třetí osoby nebo veřejnost o porušení smlouvy klientem, přičemž smí uvést jen název klienta a označení porušené povinnosti.

(8) Uplatnění tohoto práva banky může klient předejít tím, že do 30 dnů od porušení svých povinností vůči bance s bankou uzavře dohodu o nápravě. Banka není povinna na dohodu přistoupit. Pokud v této lhůtě dohodu neuzavře nebo uzavřenou dohodu následně nedodrží, může banka bez dalšího využít svého práva podle odstavce 7. Klient může možnosti tohoto odstavce využít ze zákona jenom jednou v kalendářním roce.

(9) Ustanovení odstavců 1 až 8 se vztahují i na pobočky zahraničních bank.

(10) Zprávu o záležitostech týkajících se klienta, které jsou předmětem bankovního tajemství, podá banka v souvislosti se svým podnikáním na území jiného státu i bez souhlasu klienta, pokud je to nutné ke splnění povinnosti uložené právním řádem státu, na jehož území podniká. Ustanovení zvláštního zákona10b) tím nejsou dotčena.

-------------------------------------------------------------------

8) Občanský soudní řád č. 99/1963 Sb., ve znění pozdějších předpisů.

9) Zákon č. 141/1961 Sb., o trestním řízení soudním (trestní řád), ve znění pozdějších předpisů.

9a) Např. zákon č. 530/1990 Sb., ve znění pozdějších předpisů.

9b) Zákon č. 120/2001 Sb., o soudních exekutorech a exekuční činnosti (exekuční řád) a o změně dalších zákonů.

10) Zákon č. 61/1996 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a o změně a doplnění souvisejících zákonů.

10b) Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění zákona č. 227/2000 Sb., zákona č. 177/2001 Sb., zákona č. 450/2001 Sb., zákona č. 107/2002 Sb., zákona č. 309/2002 Sb., zákona č. 310/2002 Sb. a zákona č. 517/2002 Sb.

§ 38b

(1) Údaje, které jsou předmětem bankovního tajemství, může banka, na níž má kvalifikovanou účast zahraniční osoba, nad níž je v zemi jejího sídla nebo místa podnikání vykonáván dohled na konsolidovaném základě, poskytnout orgánům vykonávajícím tento dohled.

(2) Údaje, které jsou předmětem bankovního tajemství, může banka, která je součástí konsolidačního celku, poskytnout ovládající osobě za účelem přípravy výkazů na konsolidovaném základě.

ČÁST TŘETÍ

ZMOCNĚNÍ K VYHLÁŠENÍ ÚPLNÉHO ZNĚNÍ ZÁKONA

Čl. IV

Předseda vlády se zmocňuje, aby ve Sbírce zákonů vyhlásil úplné znění zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, jak vyplývá ze zákonů jej měnících.

ČÁST ČTVRTÁ

ÚČINNOST

Čl. V

Tento zákon nabývá účinnosti dnem vstupu smlouvy o přistoupení České republiky k Evropské unii v platnost, s výjimkou ustanovení čl. I bodů 46 a 47, které nabývají účinnosti dnem