Důvodová zpráva

Zákon o ochraně osobních údajů - EU

Sněmovní tisk: č. 374, 3. volební období

Průběžně zpracováváme a vylepšujeme obsah důvodových zpráv. Tento dokument může mít drobné nedostatky ve formátování — aktivně na nich pracujeme.

Tento dokument obsahuje důvodovou zprávu k návrhu zákona ze sněmovního tisku PSP ČR — záměr zákonodárce a odůvodnění jednotlivých ustanovení.

PARLAMENT ČESKÉ REPUBLIKY

Poslanecká sněmovna

1999

III. volební období

___________________________________________________________

374

Vládní návrh

na vydání

zákon

ze dne ..........1999,

o ochraně osobních údajů a o změně některých zákonů

Parlament se usnesl na tomto zákoně České republiky:

ČÁST PRVNÍ

OCHRANA OSOBNÍCH ÚDAJů

Hlava I

Úvodní ustanovení

§ 1

Předmět úpravy

Zákon upravuje ochranu osobních údajů o fyzických osobách, práva a povinnosti při zpracování těchto údajů, stanoví podmínky, za nichž se uskutečňuje jejich předávání do jiných států, a sankce za porušení povinností stanovených tímto zákonem.

§ 2

Zřizuje se Úřad pro ochranu osobních údajů se sídlem v Praze (dále jen “Úřad”).

§ 3

Působnost zákona

(1) Zákon se vztahuje na osobní údaje, které zpracovávají státní orgány, orgány územní samosprávy, jiné orgány veřejné moci, jakož i fyzické a právnické osoby, pokud tento zákon nebo zvláštní zákon nestanoví jinak.

(2) Zákon se vztahuje na veškeré zpracovávání osobních údajů, ať k němu dochází automatizovaně nebo jinými prostředky.

(3) Zákon se nevztahuje na zpracování osobních údajů, které provádí fyzická osoba výlučně pro osobní potřebu.

(4) Zákon se nevztahuje na nahodilé shromažďování osobních údajů, pokud tyto údaje nejsou dále zpracovávány.

(5) Zpracování osobních údajů pro účely statistické a archivnictví stanoví zvláštní zákony ^¹^)
,^²⁾.

(6) Ustanovení § 5, 9, 11, 16 a 27 tohoto zákona se nepoužijí pro zpracování osobních údajů

a) zpravodajskými službami^³⁾,

b) Policií České republiky, včetně její Národní ústředny Interpolu, při odhalování trestné činnosti^⁴⁾,

c) Ministerstvem financí v rámci finančně-analytické činnosti podle zvláštního zákona^⁵⁾,

d) Národním bezpečnostním úřadem při provádění bezpečnostních prověrek podle zvláštního zákona^⁶⁾.

§ 4

Vymezení pojmů

Pro účely tohoto zákona se rozumí:

a) osobním údajem jakýkoliv údaj týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze na základě jednoho či více osobních údajů přímo či nepřímo zjistit jeho identitu.

O osobní údaj se nejedná, pokud je třeba ke zjištění identity subjektu údajů nepřiměřené množství času, úsilí či materiálních prostředků,

b) citlivým údajem osobní údaj vypovídající o majetku a majetkových poměrech, národnostním, rasovém nebo etnickém původu, politických postojích, členství v politických stranách či hnutích nebo odborových či zaměstnaneckých organizacích, náboženství a filozofickém přesvědčení, trestné činnosti, zdravotním stavu a sexuálním životě subjektu údajů,

c) anonymním údajem takový údaj, který buď v původním tvaru nebo po provedeném zpracování nelze přímo vztáhnout k určenému nebo určitelnému subjektu údajů,

d) subjektem údajů fyzická osoba, k níž se osobní údaje vztahují,

e) zpracováním osobních údajů jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Zpracováním osobních údajů se rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace,

f) shromažďováním osobních údajů systematický postup nebo soubor postupů, jehož cílem je získání osobních údajů za účelem jejich dalšího uložení na nosič informací pro jejich okamžité nebo pozdější zpracování,

g) uchováváním osobních údajů udržování údajů v takové podobě, která je umožňuje dále zpracovávat,

h) blokováním osobních údajů vytvoření takového stavu, při kterém je osobní údaj určitou dobu nepřístupný a nelze jej jinak zpracovávat,

i) likvidací osobních údajů se rozumí fyzické zničení jejich nosiče, jejich fyzické vymazání nebo jejich trvalé vyloučení z dalších zpracování,

j) správcem každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. Zpracováním osobních údajů může správce zmocnit nebo pověřit zpracovatele, pokud zvláštní zákon nestanoví jinak,

k) zpracovatelem každý subjekt, který na základě zvláštního zákona nebo pověření správcem zpracovává osobní údaje podle tohoto zákona,

l) zveřejněným osobním údajem osobní údaj, zpřístupněný zejména hromadnými sdělovacími prostředky, jiným veřejným sdělením nebo jako součást veřejného seznamu.

Hlava II

Práva a povinnosti při zpracování osobních údajů

§ 5

(1) Správce je povinen:

a) stanovit účel, k němuž mají být osobní údaje zpracovány,

b) stanovit prostředky a způsob zpracování osobních údajů,

c) zpracovávat pouze pravdivé a přesné osobní údaje, které získal v souladu s tímto zákonem. Je povinen ověřovat, zda jsou osobní údaje pravdivé a přesné a pokud tak nemůže zjistit, musí je blokovat. Zjistí-li správce, že údaje nejsou pravdivé a přesné, je povinen je bez zbytečného odkladu opravit, a nelze-li tak učinit, musí je bez zbytečného odkladu zlikvidovat. Nepravdivé, nepřesné nebo neověřené osobní údaje lze zpracovávat pouze v případě, stanoví-li tak zvláštní zákon^⁷⁾. Tyto údaje se musí náležitě označit a vést odděleně od ostatních osobních údajů,

d) shromažďovat osobní údaje pouze v rozsahu nezbytném pro naplnění stanoveného účelu,

e) uchovávat osobní údaje pouze po dobu, která je nezbytná k účelu jejich zpracování. Po uplynutí této doby mohou být osobní údaje uchovávány pouze pro účely statistické, vědecké a pro účely archivnictví. Při použití pro tyto účely je třeba dbát práva na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů,

f) zpracovávat osobní údaje pouze k tomu účelu, k němuž byly shromážděny, pokud zvláštní zákon nestanoví jinak. Zpracovávat k jinému účelu lze osobní údaj jen pokud k tomu dal subjekt údajů souhlas,

g) shromažďovat osobní údaje pouze otevřeně; je vyloučeno shromažďovat údaje pod záminkou jiného účelu nebo jiné činnosti, pokud zvláštní zákon nestanoví jinak,

h) nesdružovat osobní údaje, které byly získány k rozdílným účelům, pokud zvláštní zákon nestanoví jinak.

(2) Správce může zpracovávat osobní údaje pouze se souhlasem subjektu údajů. Bez tohoto souhlasu je může zpracovávat:

a) jestliže provádí zpracování upravené zvláštním zákonem^⁸⁾,

b) jestliže je nezbytné, aby subjekt údajů mohl vstoupit do jednání o smluvním vztahu nebo aby plnil ujednání smlouvy uzavřené se správcem,

c) pokud je to nezbytně třeba k ochraně důležitých zájmů subjektu údajů. V tomto případě je třeba bez zbytečného odkladu získat jeho souhlas. Pokud souhlas není dán, musí správce ukončit zpracování a údaje zlikvidovat,

d) jedná-li se o oprávněně zveřejněné osobní údaje v souladu se zvláštním zákonem^⁹⁾. Tím však není dotčeno právo na ochranu soukromého a osobního života subjektu údajů.

(3) Provádí-li správce zpracování osobních údajů na základě zvláštního zákona⁸⁾je povinen dbát práva na ochranu soukromého a osobního života subjektu údajů.

(4) Bez souhlasu subjektu údajů lze osobní údaje zpracovávat pro účely statistické nebo vědecké. Pro tyto účely zpracování je nutno osobní údaje anonymizovat, jakmile je to možné. Při zpracování osobních údajů pro tyto účely je však nutno zajistit požadovanou úroveň jejich zabezpečení podle § 13.

(5) Souhlasem podle odstavce 2 však nemohou být dotčeny povinnosti uvedené v odstavci 1 písmene c) a g). Souhlas je třeba dát v písemné formě a musí z něho být patrné, v jakém rozsahu je poskytován, komu a k jakému účelu, na jaké období a kdo jej poskytuje. Souhlas může být kdykoliv odvolán. Tento souhlas musí správce uschovat po dobu zpracování osobních údajů, k jejichž zpracování byl dán souhlas.

§ 6

Pokud zmocnění nevyplývá z právního předpisu, může správce se zpracovatelem uzavřít smlouvu o zpracování osobních údajů. Smlouva musí mít písemnou formu, jinak je neplatná. Musí v ní být zejména výslovně uvedeno v jakém rozsahu, za jakým účelem a na jakou dobu se uzavírá.

§ 7

Povinnosti stanovené v § 5 platí obdobně také pro zpracovatele.

§ 8

Jestliže zpracovatel zjistí, že správce porušuje povinnosti stanovené tímto zákonem, je povinen jej na to neprodleně upozornit a ukončit zpracování osobních údajů. Pokud tak neučiní, odpovídá za škodu, která subjektu údajů vznikla, společně a nerozdílně se správcem údajů. Tím není dotčena jeho odpovědnost podle tohoto zákona.

§ 9

Citlivé údaje

Citlivé údaje je možno zpracovávat, jestliže:

a) subjekt údajů dal ke zpracování výslovný souhlas. Souhlas musí být dán písemně, podepsán subjektem údajů a musí z něho být zřejmé, k jakým údajům je dáván, jakému správci údajů, k jakému účelu, na jaké období a kdo jej poskytuje. Souhlas může subjekt údajů kdykoliv odvolat. Správce je povinen předem subjekt údajů o jeho právech poučit. Tento souhlas musí správce uschovat po dobu zpracování osobních údajů, k jejichž zpracování byl souhlas dán,

b) je třeba citlivé údaje zpracovávat v zájmu zachování života nebo zdraví subjektu údajů nebo jiné osoby nebo odvrácení bezprostředního závažného nebezpečí hrozícího jejich majetku, pokud není možno jeho souhlas získat zejména z důvodů fyzické, duševní či právní nezpůsobilosti, v případě, že je nezvěstný nebo z jiných podobných důvodů. Správce musí ukončit zpracování údajů, jakmile pominou uvedené důvody, a údaje musí zlikvidovat, ledaže by subjekt údajů dal k dalšímu zpracování souhlas,

c) se jedná o poskytování zdravotní péče^¹⁰⁾, jakož i jiné posuzování zdravotního stavu podle zvláštního zákona, zejména pro účely sociálního zabezpečení^¹¹⁾.

d) je tak stanoveno zvláštním zákonem^¹²⁾ .

§ 10

Při zpracování citlivých údajů správce a zpracovatel dbá, aby subjekt údajů neutrpěl újmu na svých právech, zejména na právu na zachování lidské důstojnosti a také dbá na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů.

§ 11

(1) Správce je povinen včas a řádně subjekt údajů informovat o tom, že o něm shromažďuje údaje, v jakém rozsahu a pro jaký účel, kdo je bude dále zpracovávat a pro jaký účel a komu mohou být zpřístupněny či komu jsou údaje určeny. Součástí této informace musí být též údaj o jeho sídle, případně o sídle zpracovatele.

(2) Správce musí dále subjekt údajů poučit o tom, zda je podle zákona povinen pro zpracování osobní údaje poskytnout, jaké důsledky budou vyvozeny, pokud tak neučiní, a kdy je oprávněn odmítnout poskytnutí osobních údajů, nebo zda poskytnutí osobních údajů je dobrovolné.

(3) Správce musí subjekt údajů informovat o jeho právu k přístupu k osobním údajům, jakož i o dalších právech stanovených v § 21 tohoto zákona.

(4) Jestliže správce nezískal osobní údaje od subjektu údajů, poskytne mu kromě informací podle odstavce 1 a 2 dále také informace o tom, kdo mu údaje poskytl, informace o druhu osobních údajů, a také obsah těchto údajů.

(5) Údaje podle odstavce 1 není povinen správce poskytovat, pokud:

a) zpracovává osobní údaje výlučně pro účely statistické, vědecké nebo archivnictví,

b) zpracování osobních údajů mu ukládá zákon,

c) zvláštní zákon^¹³⁾ stanoví, že není povinen osobní údaje poskytovat.

(6) Rozhodnutí orgánu veřejné moci nelze bez ověření tímto orgánem vydat na základě výlučně automatizovaného zpracování osobních údajů. To neplatí v případě, že takové rozhodnutí bylo učiněno ve prospěch subjektu údajů.

(7) Předchozími ustanoveními nejsou dotčena práva subjektu údajů požadovat informace podle zvláštních právních předpisů^¹⁴⁾.

§ 12

(1) Informace podle § 11 odstavce 1 až 4 jsou subjektu údajů podávány písemně, ve srozumitelné formě a bez zbytečného prodlení. Informace se však neposkytují, jsou-li součástí poučení podle právního předpisu.

(2) Správce je povinen jednou za kalendářní rok bezplatně, jinak kdykoli za přiměřenou úhradu nepřevyšující náklady nezbytné na poskytnutí informace, subjektu údajů na základě písemné žádosti poskytnout informace o osobních údajích o něm zpracovávaných, pokud tento zákon nebo zvláštní zákon⁹⁾ nestanoví jinak.

Povinnosti osob při zabezpečení osobních údajů

§ 13

Správce a zpracovatel jsou povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů.

§ 14

Zaměstnanci správce nebo zpracovatele a jiné osoby, které zpracovávají osobní údaje na základě smlouvy se správcem nebo zpracovatelem, mohou zpracovávat osobní údaje pouze za podmínek a v rozsahu správcem nebo zpracovatelem stanoveném.

§ 15

(1) Zaměstnanci správce nebo zpracovatele, jiné fyzické osoby, které zpracovávají osobní údaje na základě smlouvy se správcem nebo zpracovatelem a další osoby, které v rámci plnění zákonem stanovených oprávnění a povinností přicházejí do styku s osobními údaji u správce nebo zpracovatele, jsou povinny zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů. Povinnost mlčenlivosti trvá i po skončení zaměstnání nebo příslušných prací.

(2) Ustanovením předchozího odstavce není dotčena povinnost zachovávat mlčenlivost podle zvláštních zákonů^¹⁵⁾.

(3) Povinnost zachovávat mlčenlivost se nevztahuje na informační povinnost podle zvláštních zákonů^¹⁶⁾.

§ 16

Oznamovací povinnost

(1) Ten, kdo hodlá zpracovávat osobní údaje, je povinen tuto skutečnost oznámit Úřadu před započetím zpracovávání osobních údajů. Oznámení je povinen učinit i správce, jestliže hodlá změnit zpracování osobních údajů. Oznámení musí být učiněno písemně.

(2) Oznámení musí obsahovat následující informace:

a) název správce, adresu jeho sídla a identifikační číslo, pokud bylo přiděleno,

b) účel nebo účely zpracování,

c) kategorie subjektů údajů a osobních údajů, které se těchto subjektů týkají,

d) zdroje osobních údajů,

e) popis způsobu zpracování osobních údajů,

f) příjemce nebo kategorie příjemců, kterým uvedené osobní údaje mohou být zpřístupněny či sdělovány,

g) předpokládané přenosy osobních údajů do jiných států,

h) popis opatření k zajištění požadované ochrany osobních údajů podle § 13,

i) propojení na jiné správce.

Podrobnosti o obsahu oznámení Úřad stanoví vyhláškou.

(3) Úřad je povinen do 30 dnů od doručení oznámení Úřadu oznamovateli sdělit, že jeho oznámení registruje, nebo vydat rozhodnutí podle § 17.

(4) Pokud Úřad oznámení zaregistroval, může dnem registrace oznamovatel zahájit zpracování osobních údajů.

(5) Jestliže Úřad ve lhůtě stanovené v odstavci 3 oznamovateli nesdělí, že oznámení zaregistroval, ani nevydá rozhodnutí, má se za to, že oznámení zaregistroval.

§ 17

(1) Zjistí-li Úřad, že oznamovatel nesplňuje podmínky stanovené tímto zákonem, zpracování osobních údajů nepovolí.

(2) Jestliže oznámení neobsahuje všechny požadované informace, vyzve Úřad oznamovatele, aby je ve stanovené lhůtě doplnil. Tato doba se nezapočítává do lhůty podle § 16 odstavce 2.

(3) Vznikne-li z oznámení důvodná obava, že při zpracování osobních údajů by mohlo dojít k porušení tohoto zákona, vyzve Úřad oznamovatele, aby oznámení ve stanovené lhůtě doplnil, popřípadě může sám provést šetření na místě samém.

(4) Po uplynutí lhůty stanovené podle odstavce 2 Úřad oznámení zaregistruje nebo vydá rozhodnutí, jímž zpracování osobních údajů nepovolí.

§ 18

Oznamovací povinnost podle § 16 se nevztahuje na zpracování osobních údajů:

které jsou součástí evidencí veřejně přístupných,
jejichž zpracování je správci uloženo zákonem^¹⁷⁾.

§ 19

Jestliže správce hodlá ukončit svoji činnost, je povinen Úřadu neprodleně oznámit, jak naložil s osobními údaji, pokud se na jejich zpracování vztahuje oznamovací povinnost.

§ 20

Likvidace osobních údajů

(1) Správce nebo na základě jeho pokynu zpracovatel je povinen provést likvidaci osobních údajů, jakmile pomine účel, pro který byly osobní údaje zpracovány.

(2) Zvláštní zákon stanoví výjimky týkající se uchovávání osobních údajů pro účely archivnictví a uplatňování práv v občanském soudním řízení, trestním řízení a správním řízení.

Ochrana práv subjektů údajů

§ 21

(1) Došlo-li k porušení povinností správcem nebo zpracovatelem, má subjekt údajů právo požadovat:

a) aby se správce či zpracovatel zdržel takového jednání, odstranil takto vzniklý stav či poskytl na svoje náklady omluvu nebo jiné zadostiučinění,

b) aby správce či zpracovatel provedl opravu nebo doplnění osobních údajů tak, aby byly pravdivé a přesné,

c) aby osobní údaje byly zablokovány nebo zlikvidovány,

d) zaplacení peněžité náhrady, jestliže tím bylo porušeno jeho právo na lidskou důstojnost, osobní čest, dobrou pověst či právo na ochranu jména.

(2) Odpovědnosti podle odstavce 1 se zprostí ten, kdo prokáže, že porušení povinnosti nebylo možno zabránit ani při vynaložení veškerého úsilí, které lze od něj požadovat. Přesto však může subjekt údajů požadovat, aby se správce nebo zpracovatel zdržel závadného jednání, odstranil závadný stav, provedl opravu, doplnění, blokování nebo likvidaci osobních údajů.

(3) Způsobil-li správce nebo zpracovatel subjektu údajů škodu, odpovídají za ni společně a nerozdílně podle zvláštních zákonů ^¹⁸⁾.

(4) Došlo-li k porušení povinností uložených tímto zákonem jak u správce, tak u zpracovatele, odpovídají za ně společně a nerozdílně. Subjekt údajů se může domáhat svých nároků u kteréhokoliv z nich.

§ 22

Právo na zablokování či likvidaci osobních údajů nemůže subjekt údajů požadovat, jestliže je správce povinen osobní údaje zpracovávat na základě zákona, nebo pokud by tím mohla být způsobena újma na právech třetích osob.

§ 23

Náprava nemajetkové újmy

(1) Jestliže osoba, která vykonává pro správce či zpracovatele činnosti na základě smlouvy, poruší uložené povinnosti, má subjekt údajů právo požadovat:

a) aby se zdržela takového jednání, odstranila takto vzniklý stav či poskytla na svoje náklady omluvu nebo jiné zadostiučinění,

b) aby zlikvidovala osobní údaje, které neoprávněně zpracovává,

c) aby zaplatila peněžitou náhradu újmy, která vznikla porušením jeho práva na lidskou důstojnost, osobní čest, dobrou pověst či práva na ochranu jména.

(2) Neposkytne-li tato osoba na svoje náklady omluvu nebo jiné zadostiučinění nebo nezaplatí peněžitou náhradu, je povinen za ni tuto povinnost splnit správce nebo zpracovatel.

(3) Poruší-li uložené povinnosti osoba, která je ke správci nebo zpracovateli v pracovním poměru, řídí se její odpovědnost zákoníkem práce.

§ 24

Osoby uvedené v § 23 se odpovědnosti zprostí, pokud prokáží, že porušení předpisů nezavinily. Přesto však může subjekt údajů požadovat, aby se zdržely jednání porušujícího stanovené povinnosti, odstranily stav z takového jednání vzniklý a zlikvidovaly osobní údaje, které neoprávněně zpracovávají.

§ 25

Náhrada škody

V otázkách neupravených tímto zákonem se použije obecná úprava odpovědnosti za škodu^¹⁹^),^²⁰⁾.

§ 26

Povinnosti podle § 21 až 25 se obdobně vztahují i na osoby, které shromáždily osobní údaje neoprávněně.

Hlava III

Předávání osobních údajů do jiných států

§ 27

(1) Do jiných států mohou být osobní údaje předány za podmínky, že právní úprava státu, kde mají být zpracovány, odpovídá požadavkům stanoveným v tomto zákoně.

(2) Není-li podmínka podle odstavce 1 splněna, může být předávání osobních údajů uskutečněno, jestliže:

a) předávání údajů se děje se souhlasem nebo na základě pokynu subjektu údajů, který je oprávněn jej učinit,

b) je to nezbytné k ochraně práv nebo uplatňování nároků subjektu údajů,

c) jde o osobní údaje, které jsou součástí evidencí veřejně přístupných nebo přístupných těm, kdo prokáží právní zájem, avšak jen pokud se týče individuálně určeného údaje nebo údajů,

d) předávání vyplývá z mezinárodní smlouvy, jíž je Česká republika vázána,

e) předávání je nutné pro uzavření smlouvy mezi subjektem údajů a správcem nebo smlouvy, která je uzavírána v zájmu subjektu údajů nebo

f) je to nezbytné pro záchranu života nebo pro poskytnutí zdravotní péče subjektu údajů.

(3) Předávání osobních údajů může být uskutečněno v jiných případech, je-li tak činěno ve prospěch subjektu údajů a pokud z dvoustranné smlouvy mezi správcem a přijímacím subjektem vyplývá, že přijímací strana zajistí požadovanou ochranu osobních údajů.

(4) Správce je povinen požádat Úřad o povolení k předání nebo předávání osobních údajů do jiných států. O žádosti Úřad rozhodne bezodkladně, nejpozději do sedmi kalendářních dnů. Pokud v této lhůtě Úřad nerozhodne, má se za to, že s předáním osobních údajů souhlasí, a to na dobu, která je uvedena v žádosti. Hrozí-li nebezpečí z prodlení, vydá Úřad rozhodnutí neprodleně. Odvolání proti rozhodnutí nemá odkladný účinek.

(5) Vydá-li Úřad rozhodnutí o předávání osobních údajů, stanoví také dobu, po kterou může správce předávání provádět. Pokud správce poruší povinnosti stanovené tímto zákonem, Úřad toto povolení odejme. Odvolání proti rozhodnutí nemá odkladný účinek.

(6) Povinnosti podle odstavců 4 a 5 nemá správce v případě, že tak stanoví zvláštní zákon^²¹⁾.

Hlava IV

Postavení a působnost Úřadu

§ 28

(1) Úřad při provádění dozoru nad zpracováním osobních údajů postupuje nezávisle a řídí se pouze zákony a jinými právními předpisy.

(2) Úřad je nezávislý na vládě, jejich orgánech a ústředních orgánech státní správy.

(3) Do činnosti Úřadu lze zasahovat jen na základě zákona.

(4) Úřad může používat státního znaku České republiky.

(5) Činnost Úřadu je hrazena ze samostatné kapitoly státního rozpočtu České republiky.

§ 29

(1) Úřad :

a) provádí dozor nad dodržováním povinností stanovených tímto zákonem při zpracování osobních údajů,

b) vede evidenci oznámení učiněných podle § 16 a registr povolených zpracování osobních údajů (dále jen "registr"),

c) zpracovává a veřejnosti zpřístupňuje výroční zprávu o své činnosti,

d) vykonává další působnosti stanovené mu zákonem,

e) projednává přestupky a jiné správní delikty a uděluje pokuty podle tohoto zákona,

f) zajišťuje plnění požadavků vyplývajících z mezinárodních smluv, jimiž je Česká republika vázána,

g) poskytuje konsultace v oblasti ochrany osobních údajů,

h) spolupracuje s obdobnými úřady jiných států,

i) vykonává další působnosti stanovené mu tímto zákonem nebo zvláštními zákony.

(2) Při výkonu dozoru ve formě kontroly se postupuje podle zvláštního zákona^²²⁾.

(3) Dozor nad zpracováním osobních údajů, které provádějí zpravodajské služby, stanoví zvláštní zákon^²³⁾.

Hlava V

Organizace Úřadu

§ 30

(1) Úřad se skládá z:

a) předsedy,

b) inspektorů,

c) zaměstnanců.

(2) Kontrolní činnost Úřadu provádějí inspektoři a pověření zaměstnanci (dále jen "kontrolující").

(3) Na předsedu Úřadu, inspektory a zaměstnance se vztahují ustanovení zákoníku práce, pokud tento zákon nestanoví jinak.

(4) Platové poměry zaměstnanců Úřadu se řídí právními předpisy upravujícími platové poměry zaměstnanců orgánů státní správy^²⁴⁾.

(5) Zaměstnancům Úřadu přísluší náhrada cestovních výdajů podle zvláštního zákona^²⁵⁾.

§ 31

Kontrolní činnost Úřadu se provádí na základě kontrolního plánu nebo na základě podnětů.

§ 32

Předseda Úřadu

(1) Úřad řídí předseda, kterého jmenuje a odvolává prezident republiky na návrh Senátu Parlamentu České republiky.

(2) Předsedou Úřadu může být jmenován pouze občan České republiky, který

a) je způsobilý k právním úkonům,

b) je bezúhonný, splňuje podmínky stanovené zvláštním zákonem^²⁶⁾ a jeho znalosti, zkušenosti a morální vlastnosti jsou předpokladem, že bude svoji funkci řádně zastávat,

c) má ukončené vysokoškolské vzdělání.

(3) Bezúhonnou je pro účel tohoto zákona fyzická osoba, která nebyla pravomocně odsouzena pro úmyslný trestný čin, nebo i trestný čin spáchaný z nedbalosti v souvislosti se zpracováním osobních údajů.

(4) S výkonem funkce předsedy Úřadu je neslučitelná funkce poslance nebo senátora, soudce, státního zástupce, jakákoliv funkce ve veřejné správě, funkce člena orgánů územní samosprávy a členství v politických stranách a hnutích.

(5) Předseda Úřadu nesmí zastávat jinou placenou funkci, být v dalším pracovním poměru ani vykonávat výdělečnou činnost s výjimkou správy vlastního majetku a činnosti vědecké, pedagogické, literární, publicistické a umělecké, pokud tato činnost nenarušuje důstojnost nebo neohrožuje důvěru v nezávislost a nestrannost Úřadu.

(6) Z funkce je předseda Úřadu odvolán, přestal-li splňovat některou z podmínek pro jeho jmenování.

(7) Z funkce může být předseda odvolán také tehdy, jestliže nevykonává po dobu 6 měsíců svoji funkci.

Inspektoři Úřadu

§ 33

(1) Inspektory jmenuje a odvolává prezident republiky na návrh Senátu Parlamentu České republiky.

(2) Inspektoři vykonávají kontrolu, řídí kontrolu, vypracovávají kontrolní protokol a provádějí další úkony, jež souvisejí s úkoly Úřadu.

(3) Činnosti podle odstavce 2 vykonává sedm inspektorů Úřadu.

§ 34

(1) Inspektorem může být jmenován občan České republiky, který je způsobilý k právním úkonům, bezúhonný, splňuje podmínky stanovené zvláštním zákonem²⁶⁾ a má ukončené odborné vysokoškolské vzdělání.

(2) S výkonem funkce inspektora je neslučitelná funkce poslance nebo senátora, soudce, státního zástupce, jakákoliv funkce ve veřejné správě, funkce člena orgánů územní samosprávy a členství v politických stranách a hnutích. Inspektor nesmí zastávat jinou placenou funkci, být v pracovním poměru ani vykonávat výdělečnou činnost s výjimkou správy vlastního majetku a činnosti vědecké, pedagogické, literární, publicistické a umělecké, pokud tato činnost nenarušuje důstojnost nebo neohrožuje důvěru v nezávislost a nestrannost Úřadu.

(3) Z funkce je inspektor odvolán, přestal-li splňovat některou z podmínek pro jeho jmenování.

Hlava VI

Činnost Úřadu

§ 35

Registrace

(1) Do registru povolených zpracování osobních údajů se zapisují údaje z oznámení podle § 16 odstavce 2.

(2) Registraci nebo její zrušení zveřejňuje Úřad ve Věstníku Úřadu, nestanoví-li zvláštní zákon, že se registrace nebo její zrušení nezveřejňuje. Oznámení o registraci nebo oznámení o zrušení registrace může Úřad zveřejnit i jiným vhodným způsobem.

(3) Registr je veřejně přístupný s výjimkou údajů uvedených v § 16 odstavce 2 písm. e) a h).

§ 36

Výroční zpráva

(1) Výroční zpráva Úřadu obsahuje zejména informace o provedené kontrolní činnosti a její zhodnocení, informace a zhodnocení stavu v oblasti zpracovávání a ochrany osobních údajů v České republice a zhodnocení ostatní činnosti Úřadu.

(2) Výroční zprávu předkládá předseda Úřadu pro informaci Poslanecké sněmovně a Senátu Parlamentu České republiky a vládě České republiky do dvou měsíců po skončení rozpočtového roku a zveřejňuje ji ve Věstníku Úřadu.

§ 37

Oprávnění kontrolujících

Kontrolující jsou při provádění kontroly oprávněni:

a) vstupovat do objektů, zařízení a provozů, na pozemky a do jiných prostor kontrolovaných správců a zpracovatelů nebo každého kdo zpracovává osobní údaje (dále jen "kontrolovaných"), pokud to souvisí s předmětem kontroly; do obydlí mohou vstupovat pouze v případě, že tato slouží také k provozování podnikatelské činnosti ,

b) požadovat na kontrolovaných a na jiných osobách, aby ve stanovených lhůtách předložily originální doklady a další písemnosti, záznamy dat na paměťových médiích, výpisy a zdrojové kódy programů, pokud je vlastní, výpisy a opisy dat (dále jen "doklady"), pokud to souvisí s předmětem kontroly, a provádět vlastní dokumentaci,

c) seznamovat se s utajovanými skutečnostmi za podmínek stanovených zvláštním zákonem^²⁷⁾, jakož i dalšími skutečnostmi, které jsou chráněny povinností mlčenlivosti,

d) požadovat na fyzických i právnických osobách poskytnutí pravdivých a úplných informací o zjišťovaných a souvisejících skutečnostech,

e) zajišťovat v odůvodněných případech doklady; jejich převzetí musí kontrolovanému písemně potvrdit a na jeho žádost mu ponechat kopie převzatých dokladů,

f) pořídit kopie obsahu paměťových médií nacházejících se u kontrolovaného,

g) požadovat, aby kontrolovaní podali ve stanovené lhůtě písemnou zprávu o odstranění zjištěných nedostatků,

h) používat telekomunikační zařízení kontrolovaných v případech, kdy je jejich použití nezbytné pro zabezpečení kontroly.

§ 38

Povinnosti kontrolujících

(1) Kontrolu nesmějí provádět ti kontrolující, u nichž se zřetelem na jejich vztah ke kontrolovaným nebo k předmětu kontroly jsou důvodné pochybnosti o jejich nepodjatosti.

(2) Kontrolující je povinen bezprostředně po tom, co se dozví o skutečnostech nasvědčujících jeho podjatosti, oznámit to předsedovi Úřadu.

(3) O námitce podjatosti kontrolujícího rozhodne předseda Úřadu bez zbytečného odkladu. Do rozhodnutí o námitce podjatosti činí kontrolující pouze úkony, které nesnesou odkladu.

(4) Proti rozhodnutí o námitce podjatosti se nelze odvolat.

(5) Kontrolující jsou povinni:

a) prokázat se kontrolovanému průkazem kontrolora,

b) oznámit kontrolovanému zahájení kontroly,

c) šetřit práva a právem chráněné zájmy kontrolovaných,

d) předat neprodleně převzaté doklady, jakož i kopie paměťových médií kontrolovanému, pominou-li důvody jejich převzetí,

e) řádně ochraňovat zajištěné doklady proti jejich ztrátě, zničení, poškození nebo zneužití,

f) pořizovat o výsledcích kontroly kontrolní protokol,

g) zachovávat mlčenlivost o skutečnostech zjištěných při výkonu kontroly a nezneužít znalosti těchto skutečností. Povinností mlčenlivosti není dotčena oznamovací povinnost podle zvláštních zákonů. Povinnost mlčenlivosti přetrvává i po skončení pracovněprávního vztahu k Úřadu. Povinnosti mlčenlivosti může kontrolujícího zbavit předseda Úřadu. Povinnost mlčenlivosti se nevztahuje na anonymizované a zobecněné informace.

(6) Kontrolní protokol obsahuje zejména popis zjištěných skutečností s uvedením nedostatků a označení ustanovení právních předpisů, které byly porušeny, a opatření, která byla uložena k nápravě a stanovení lhůt, do kdy je třeba je učinit. V kontrolním protokolu se uvádí označení Úřadu a jména kontrolujících na kontrole zúčastněných, označení kontrolovaného, místo a čas provedení kontroly, předmět kontroly, skutečný stav, označení dokladů a ostatních dokumentů a zjištění, o které se protokol opírá. Kontrolní protokol podepisují kontrolující, kteří se kontroly zúčastnili.

(7) Povinností kontrolujících je seznámit kontrolované s obsahem kontrolního protokolu a předat jim jeho stejnopis. Seznámení s kontrolním protokolem a jeho převzetí potvrzují kontrolovaní podpisem kontrolního protokolu. Odmítne-li kontrolovaný seznámit se s kontrolním protokolem nebo toto seznámení potvrdit, vyznačí se tyto skutečnosti v kontrolním protokolu.

§ 39

Každý je povinen v souvislosti s výkonem kontroly poskytnout kontrolujícím při výkonu jejich činnosti potřebnou součinnost.

Opatření k nápravě

§ 40

(1) Zjistí-li kontrolující, že došlo k porušení povinností uložených tímto zákonem, uloží inspektor, jaká opatření je třeba učinit, aby byly zjištěné nedostatky odstraněny, a stanoví lhůtu pro jejich odstranění.

(2) Byla-li uložena likvidace osobních údajů, jsou osobní údaje do likvidace blokovány. Proti uložení likvidace může správce podat námitku k předsedovi Úřadu. Do doby, než bude o námitce rozhodnuto, musí být osobní údaje blokovány. Proti rozhodnutí předsedy lze podat žalobu podle předpisů o správním soudnictví. Do doby, než bude soudem rozhodnuto, jsou údaje blokovány.

(3) Kontrolovaný je povinen ve stanovené lhůtě podat zprávu o přijatých opatřeních.

§ 41

V řízení ve věcech upravených tímto zákonem se postupuje podle správního řádu^²⁸⁾, pokud ustanovení tohoto zákona nestanoví jinak.

§ 42

Provozováním informačních systémů nakládajících s osobními údaji podle dosavadních předpisů se rozumí zpracování osobních údajů.

Oprávnění a povinnosti při dozoru

§ 43

Oprávnění a povinnosti kontrolujících a kontrolovaných osob se řídí zvláštním právním předpisem²¹⁾, pokud tento zákon nestanoví jinak.

Hlava VII

Sankce

§ 44

Přestupky

(1) Přestupku se dopustí a pokutou do výše 50 000 Kč bude potrestána osoba, která je ke správci nebo zpracovateli v pracovním nebo jiném obdobném poměru nebo pro něj vykonává činnosti na základě dohody, nebo osoba, která v rámci plnění zákonem uložených oprávnění a povinností přichází do styku s osobními údaji správce nebo zpracovatele, pokud poruší povinnost mlčenlivosti, uloženou podle tohoto zákona.

(2) Přestupku se dopustí a pokutou do výše 25 000 Kč bude potrestána osoba uvedená v odstavci 1, pokud poruší jinou povinnost stanovenou tímto zákonem.

(3) Na přestupky a jejich projednávání se vztahuje zvláštní zákon^²⁹⁾.

(4) K projednávání přestupků je příslušný Úřad.

§ 45

Pořádková pokuta

Osobě, která neposkytne Úřadu při výkonu kontroly potřebnou součinnost, může být uložena pořádková pokuta do výše 25 000 Kč, a to i opakovaně.

§ 46

Pokuty správcům a zpracovatelům

(1) Pokutou do výše 10 000 000 Kč bude potrestán správce nebo zpracovatel, který poruší povinnost uloženou mu podle tohoto zákona.

(2) Pokud správce nebo zpracovatel do jednoho roku ode dne, kdy nabylo rozhodnutí o uložení pokuty právní moci, porušil povinnosti uložené mu tímto zákonem opakovaně, může mu být uložena pokuta do výše 20 000 000 Kč.

(3) Správce nebo zpracovatel, který maří kontrolu prováděnou Úřadem, může být potrestán pořádkovou pokutou do výše 1 000 000 Kč, a to i opakovaně.

(4) Porušení povinností projednává Úřad.

(5) Při ukládání pokuty podle tohoto zákona vychází Úřad zejména z povahy, závažnosti, způsobu jednání, míře zavinění, doby trvání a následků protiprávného jednání.

(6) Pokutu lze uložit do jednoho roku ode dne, kdy příslušný orgán porušení povinnosti zjistil, nejdéle však do tří let ode dne, kdy k porušení povinnosti došlo.

(7) Pokutu vybírá Úřad. Pokutu vymáhá územní finanční orgán podle zvláštního zákona^³⁰⁾.

(8) Výnos pokut je příjmem rozpočtu republiky.

Hlava VIII

Ustanovení společná, přechodná a závěrečná

§ 47

Opatření pro přechodné období

(1) Každý, kdo zpracovává ke dni nabytí účinnosti tohoto zákona osobní údaje a na něhož se vztahuje povinnost oznámení podle § 16, je povinen tak učinit nejpozději do 6 měsíců ode dne nabytí účinnosti tohoto zákona.

(2) Zpracování osobních údajů prováděné před účinností tohoto zákona je nutno uvést do souladu s tímto zákonem do jednoho roku od účinnosti zákona.

ČÁST DRUHÁ

§ 48

Změna trestního zákona

Zákon č.140/1961 Sb., trestní zákon, ve znění zákona č.120/1962 Sb., zákona č.53/1963 Sb., zákona č.56/1966 Sb., zákona č.148/1969 Sb., zákona č.45/1973 Sb., zákona č.43/1980 Sb., zákona č.10/1989 Sb., zákona č.159/1989 Sb., zákona č.47/1990 Sb., zákona č.84/1990 Sb., zákona č.175/1990 Sb., zákona č.457/1990 Sb., zákona č.545/1990 Sb., zákona č.490/1991 Sb., zákona č.557/1991 Sb., nálezu Ústavního soudu ČSFR ze 4.9.1992, zákona č.290/1993 Sb., zákona č.38/1994 Sb., zákona č.91/1994 Sb., zákona č.152/1995 Sb., zákona č.19/1997 Sb., zákona č.103/1997 Sb., zákona č.253/1997 Sb., zákona č.92/1998 Sb., zákona č.112/1998 Sb., zákona č.148/1998 Sb., zákona č.167/1998 Sb., zákona č.96/1999 Sb. se mění a doplňuje takto:

V § 178 odstavce 1 a 2 znějí:

“§ 178

Neoprávněné nakládání s osobními údaji

(1) Kdo, byť i z nedbalosti, neoprávněně sdělí, zpřístupní, jinak zpracovává nebo si přisvojí osobní údaje o jiném v souvislosti s výkonem veřejné moci , bude potrestán odnětím svobody až na tři léta nebo zákazem činnosti nebo peněžitým trestem.

(2) Stejně bude potrestán, kdo způsobí jinému škodu nebo jinou újmu tím, že osobní údaje získané v souvislosti s výkonem svého povolání, zaměstnání nebo funkce, byť i z nedbalosti sdělí nebo zpřístupní a tím poruší právním předpisem stanovenou povinnost mlčenlivosti.”.

ČÁST TŘETÍ

USTANOVENÍ SPOLEČNÁ A ZÁVĚREČNÁ

§ 49

Zmocňovací ustanovení

Úřad vydá právní předpis k provedení § 16 odst. 2 .

§ 50

Zrušovací ustanovení

Zrušuje se zákon č. 256/1992 Sb., o ochraně osobních údajů v informačních systémech.

ČÁST ČTVRTÁ

ÚČINNOST

§ 51

Tento zákon nabývá účinnosti dnem 1. června 2000, s výjimkou ustanovení § 35, které nabývá účinnosti dnem 1. prosince 2000.

D ů v o d o v á z p r á v a

k vládnímu návrhu zákona

o ochraně osobních údajů a o změně některých zákonů

O b e c n á č á s t :

Východisky pro zpracování nové právní úpravy ochrany osobních údajů se staly Listina základních práv a svobod, stávající zákon č. 256/1992 Sb., o ochraně osobních údajů v informačních systémech, Směrnice č.95/46/EC Evropského parlamentu a Rady z roku 1995 o ochraně jednotlivců ve vztahu ke zpracování osobních dat a o volném pohybu těchto dat (dále “Směrnice”) a Úmluva č. 108 Rady Evropy na ochranu osob ve vztahu k automatizovanému zpracování dat (dále “Úmluva”) z roku 1981.

Směrnice Evropského Parlamentu a Rady 97/66/EC týkající se zpracování osobních údajů a ochrany soukromí v telekomunikačním sektoru není v tomto návrhu zákona zohledněna. Harmonizace s touto Směrnicí musí být provedena ve zvláštním zákoně o telekomunikacích. Při screeningu s EU je také tato Směrnice projednávána v oblasti telekomunikací.

Listina základních práv a svobod zaručuje nedotknutelnost osob a jejich soukromí. Tato nedotknutelnost může být omezena jen v případech stanovených zákonem. Listina dává každému právo, aby byla zachována jeho lidská důstojnost, osobní čest, dobrá pověst a chráněno jeho jméno, právo na ochranu před neoprávněným zasahováním do soukromého a rodinného života a právo na ochranu před neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním údajů o své osobě.

Zároveň je každému dána možnost domáhat se stanoveným postupem svého práva u nezávislého a nestranného soudu a ve stanovených případech u jiného orgánu. Dále každý, kdo tvrdí, že byl na svých právech zkrácen rozhodnutím orgánu veřejné správy, se může obrátit na soud, aby přezkoumal zákonnost takového rozhodnutí, nestanoví-li zákon jinak.

Dosud platný zákon o ochraně osobních údajů, který stanovil základní právní rámec nakládání s osobními údaji, vzhledem k datu svého vzniku nevyhovuje mnohým ustanovením Směrnice. Tento zákon sice v § 24 předpokládal ustavení orgánu, jehož posláním by byla ochrana práv jednotlivců na soukromí, resp. jejich osobních údajů (tzv. datová inspekce), ovšem deklarovaný zvláštní předpis, kterým měl být takový orgán zřízen, schválen dosud nebyl. Absence takového orgánu je hlavním důvodem, proč stávající zákon také neodpovídá Úmluvě a České republika k ní dosud nemohla přistoupit. To v současné době činí obtíže zejména takovým subjektům, jakými jsou Ministerstvo zahraničí ČR či některé složky Ministerstva vnitra ČR, protože přistoupení k Úmluvě je podmínkou spolupráce v rámci Schengenského informačního systému.

Uvedený zákon upravil ochranu osobních údajů, zejména povinnosti související s ochranou informací, pouze při provozování informačních systémů nakládajících s osobními údaji. V případě manuálního nakládání s osobními údaji bylo nutné zákon přiměřeně aplikovat. Dále stanovil odpovědnost provozovatelů takových informačních systémů a dalších fyzických a právnických osob účastnících se provádění činností souvisejících s provozováním informačních systémů. Neupravil či upravil pouze částečně řadu dalších oblastí, např. dostatečnou ochranu osobních údajů vypovídajících o osobnosti a soukromí, povinnost toho, kdo shromažďuje osobní údaje, informovat občana o jeho právech a o jiných pro něj významných skutečnostech, oznamovací povinnost nakládání s osobními údaji u kontrolního orgánu subjektem, který hodlá nakládat s osobními údaji, možnost zásahu kontrolního orgánu před zahájením takového nakládání s osobními údaji, které by z hlediska ochrany osobních údajů mohlo představovat určitá rizika, sankce za porušování zákona a předávání údajů do jiných zemí.

Oblast aplikace, tedy informační systémy, je z pohledu Úmluvy a zejména Směrnice příliš úzká. Návrh nového zákona je již koncipován tak, že zahrnuje jak automatizované zpracování, aniž záleží na tom, zda výsledkem zpracování je soubor dat, tak neautomatizované soubory dat, tj. manuální či konvenční soubory dat.

Sám občan se podílí na ochraně údajů, které o něm vypovídají, a to zejména udělením či neudělením souhlasu se zpracováním, prohlášením určitých údajů za veřejné, vyžádáním informace o údajích, které o něm byly shromážděny, požadavky na opravy či výmazy aj.

Důležitý je požadavek na využití údajů v souladu s cílem, pro který byly shromážděny. Bezpečnostní aspekt sleduje regulování postupování (přenášení) údajů. Neoprávněné slučování údajů uložených v dílčích souborech může totiž vést k vytvoření takového profilu občana, který by překročil hranice soukromí.

Zákonná ustanovení jsou vyvážena tak, aby se nestala komplikací v běžném životě občana, ale reflektovala jeho běžné potřeby. Příkladem může být nezbytnost toku údajů přes hranice státu v případě bankovních převodů, rezervace letenek, lékařských zpráv, mezinárodní soudní pomoci aj.

Praktickým důsledkem zákona by měla být do určité míry minimalizace rozsahu shromažďovaných osobních údajů, zejména s ohledem na přiměřenost ve vztahu k účelu, pro který jsou zpracovávány. Zvláště orgány státu by měly mít na zřeteli skutečnost, že zpracovávání osobních údajů a jejich ochrana jsou činnosti finančně velmi nákladné a v každém jednotlivém případě vážit, které osobní údaje jsou pro fungování státu nezbytné, případně zda nejsou pořizovány duplicitně a tedy i duplicitně chráněny. Správci, kteří budou osobní údaje zpracovávat, budou registrováni ve zvláštním registru.

Dohled nad aplikací zákona bude svěřen nově ustavenému kontrolnímu orgánu Úřadu pro ochranu osobních údajů. Považuje se za účelné doporučit Senátu Parlamentu ČR zřídit stálou komisi pro dohled nad ochranou osobních údajů.

Výdaje spojené s aplikací navrhovaného zákona jsou nezbytnými výdaji souvisejícími se zapojením České republiky do evropských struktur. Ze státního rozpočtu bude třeba uvolnit pro první rok činnosti finanční prostředky v celkovém odhadovaném objemu 200 mil. Kč. Z toho budou činit kapitálové výdaje na pořízení budovy a její vybavení 110 mil. Kč, a to včetně počítačové techniky a počítačové sítě ve výši 35 - 40 mil. Kč. Výdaje na platy a ostatní platby za provedenou práci, včetně pojistného a přídělu FKSP pro cca 100 zaměstnanců se předpokládají ve výši 47 mil. Kč. Ostatní běžné provozní výdaje si vyžádají asi 35 mil. Kč.

Přijetím navrhovaného zákona se legislativa ČR stane v oblasti ochrany osobních údajů kompatibilní s legislativou Evropské unie. Budou tak odstraněny skutečné i potenciální překážky přenosu údajů do členských států EU.

Úřad pro státní informační systém v průběhu zpracování návrhu zákona konzultoval řadu aspektů s odborníky z příslušných orgánů EU (Evropská komise, Rada Evropy) a orgánů členských zemí.

Přehled orgánů, kterým byl materiál předložen k vyjádření, je uveden v příloze 1 této předkládací zprávy.

Přehled legislativního a institucionálního zajištění ochrany osobních údajů v některých zemích je uveden v příloze 2 této předkládací zprávy.

Přehled orgánů, kterým by materiál předložen k vyjádření

Návrh zákona byl podle Legislativních pravidel vlády ( čl. 5 odst. 1 a čl. 6 odst. 1) odeslán dne 13.4. 1999 těmto připomínkovým místům:

Akademie věd ČR,

Bezpečnostní informační služba,

Česká národní banka,

Český normalizační institut,

Český statistický úřad,

Český úřad zeměměřičský a katastrální,

Kancelář Poslanecké sněmovny,

Kancelář prezidenta republiky,

Kancelář Senátu Parlamentu,

Ministerstvo dopravy a spojů,

Ministerstvo financí,

Ministerstvo kultury,

Ministerstvo obrany,

Ministerstvo práce a sociálních věcí,

Ministerstvo pro místní rozvoj,

Ministerstvo průmyslu a obchodu,

Ministerstvo spravedlnosti,

Ministerstvo školství, mládeže a tělovýchovy,

Ministerstvo zahraničních věcí,

Ministerstvo vnitra,

Ministerstvo zdravotnictví,

Ministerstvo zemědělství,

Ministerstvo životního prostředí,

Národní bezpečnostní úřad,

Nejvyšší kontrolní úřad,

Správa státních hmotných rezerv,

Úřad pro ochranu hospodářské soutěže,

Úřad průmyslového vlastnictví,

Úřad vlády – odbor legislativy,

Úřad vlády – předseda vlády,

Úřad vlády – místopředseda vlády (3x),

Úřad vlády – ministr,

Úřad vlády – vedoucí Úřadu.

Přehled legislativního a institucionálního zajištění ochrany osobních údajů

v některých zemích

Přestože by národní zákony o ochraně údajů měly být v rámci EU do značné míry podobné, existuje mezi nimi celá řada rozdílů. Míra ochrany, zajištěná občanům v členských státech, není stejná. Tato situace vytváří potenciální překážky volnému toku informací, představuje břemeno pro provozovatele i občany a v některých členských státech zakládá potřebu složité registrace, resp. získání oprávnění ke zpracování údajů u dozorčích orgánů, potřebu přizpůsobit se různým normám a konečně možnost omezení přenosu údajů do jiných členských států.

V důsledku rozvoje vnitřního trhu a tzv. informační společnosti se zpracování osobních údajů rozšiřuje bez ohledu na hranice států a údaje týkající se občanů jednoho členského státu jsou stále ve větším míře zpracovávány i v jiných členských státech.

K tomu, aby bylo možné odstranit překážky bránící volnému pohybu informací a zároveň zajistit ochranu práva na soukromí, slouží Směrnice 95/46/EC Evropského parlamentu a Rady z 24. 10. 1995 o ochraně jednotlivců ve vztahu ke zpracování osobních dat a o volném pohybu těchto dat. Jejím cílem je harmonizovat národní předpisy v této oblasti. Právo na soukromí občanů bude tak odpovídajícím způsobem chráněno na území celé Evropské unie. Patnáct členských států bylo vyzváno, aby uvedlo v soulad národní legislativu s uvedenou směrnicí do 24. října 1998. Ke konci května mělo 7 států EU zákon o ochraně osobních údajů v souladu se Směrnicí (Belgie, Řecko, Itálie, Portugalsko, Švédsko, Finsko a Velká Británie).

Švédsko bylo jednou z prvních zemí na světě, která přijala zákon o ochraně osobních údajů. The Data Act z roku 1973 zakázal provozování rejstříků obsahujících osobní údaje bez předchozího získání oprávnění od Data Inspection Board. Zákon se vztahuje na rejstříky v soukromém i státním sektoru. Úlohou zmíněného úřadu je kromě vydávání oprávnění k provozování rejstříků též provádění dohledu nad dodržováním zákona, výkon kontroly včetně pravomoci zničit údaje, se kterými je nakládáno v rozporu se zákonem.

K nakládání s osobními údaji je povolení, resp. licence nezbytná rovněž ve Francii. Děje se tak na základě zákona Loi relative a l´informatique, aux fishiers et aux libertés z roku 1978. National Commission on Informatics and Liberties se zabývá dozorem nad registrací

a dohlíží na dodržování zákona ve veřejném i soukromém sektoru. Zákon udává obecná pravidla pro sběr, záznam a uchovávání osobních údajů a stanoví práva na přístup a opravu.

Dánsko přijalo hned dva zákony o ochraně dat, a to již v roce 1978. Public Authorities Registers Act pojednává o osobních údajích ve veřejném sektoru, zatímco Private Registers Act o osobních údajích v soukromém sektoru. Oba zákony stanovují požadavky na registraci některých automatizovaně zpracovávaných osobních údajů. V roli kontrolního orgánu je Data Surveillance Authority. Dánsko má jeden z nejpřísnějších režimů kontroly toků dat přes hranice v soukromém sektoru.

Norský Personal Data Registers Act z roku 1978 se týká všech osobních údajů ve veřejném a soukromém sektoru, které jsou zpracovávány manuálně i prostřednictvím automatizovaných prostředků. Registraci provádí a kontroluje Data Inspectorate, který je zplnomocněn vydávat pravidla pro vedení registrů.

Rakouský Data Protection Act z roku 1978 stanoví ústavní práva k ochraně údajů a zavádí proceduru přidělování licencí. Odpovědnost je rozdělena mezi Data Protection Commission, Data Protection Council a Data Protection Registrar.

Zpracovávání osobních údajů v soukromém sektoru v Lucembursku je podrobeno požadavku předchozího zmocnění vládou. Je podmíněno aplikací zákona z roku 1979 (Computer Data Processing Act). Dohled vykonává dozorčí rada s pravomocí vyjadřovat pouze názor. Zákon se vztahuje na veřejný a soukromý sektor a týká se automatizovaně zpracovávaných údajů. Registraci provádí pod dohledem vlády National Register of Data Banks.

Islandský Protection of Personal Records Act pochází z roku 1989. Pro zpracovávání osobních údajů je nutné povolení Data Protection Commission. Zákon se vztahuje na veřejný i soukromý sektor a zahrnuje manuálně i automatizovaně zpracovávané údaje.

Německo přijalo nový zákon o ochraně dat v roce 1990 (nahradil průkopnický zákon z roku 1977). Subjekty v soukromém sektoru, které zpracovávají data, a všechny veřejné orgány musí svou činnost registrovat u Federal Commissioner for Data Protection. Veřejné orgány musí vést své vlastní registry zpracovatelských operací.

Ve Spojeném království Velké Británie a Severního Irska je Data Protection Registrar nejdůležitějším nástrojem zajišťujícím dodržování zákona o ochraně údajů z roku 1984. Registrace je povinná pro všechny osoby zpracovávající osobní údaje prostřednictvím automatizovaných prostředků.

Finský zákon o osobních údajích z roku 1987 se týká automatizovaného i manuálního zpracovávání osobních údajů ve veřejném i soukromém sektoru. Působí zde Data Protection Ombudsman a Data Protection Board.

Irsko stanovilo zákonem Data Protection Act z roku 1988 povinnost registrace automatizovaných systémů obsahujících citlivé údaje a pravidla ochrany osobních údajů v registrovaných i neregistrovaných systémech. Byl zřízen Data Protection Commissioner s pravomocí vydávat závazné vyhlášky, zakazovat přeshraniční pohyb údajů a vyšetřovat stížnosti.

V Nizozemsku platí Act of Personal Data Files z roku 1988. Ti, kdo zpracovávají osobní údaje, oznamují tuto skutečnost registrační Registration Chamber. Registrace je poměrně jednoduchá a není předmětem zvláštního zkoumání ze strany komory.

Japonská právní úprava se omezuje na veřejný sektor. Příslušný zákon (Act for the Protection of Computer Processed Personal Data Held by Administrative Organs) byl schválen v roce 1988. Ukládá oznamovací povinnost v případě zpracování osobních údajů veřejnými orgány. Zákon je vykonáván Management and Coordination Agency.

Portugalsko přijalo zákon na ochranu automatizovaně zpracovávaných osobních údajů v roce 1991 a pak v roce 1998. Zákon postihuje veřejný i soukromý sektor. Centrální registrační systém je spravován National Commission for the Protection of Automated Personal Data, která byla zřízena v lednu 1994.

Španělsko přijalo Organic Act on the Regulation of Automatic Processing of Personal Data v roce 1992. Týká se soukromého i veřejného sektoru a je omezen na automatizovaně zpracovávané údaje. V dalších letech byla přijata opatření pro aplikaci při manuálním zpracovávání.

Švýcarsko přijalo federální zákon na ochranu dat v roce 1993. Pokrývá jak manuální, tak automatizované nakládání s osobními údaji ve federálním veřejném i soukromém sektoru. Existuje zde omezený systém registrací požadující po veřejném sektoru registraci všech osobních údajů a po soukromém sektoru registraci pouze těch složek, které obsahují citlivé údaje nebo údaje, které jsou pravidelně zpracovávány.

Belgický Law on the Protection of Private Life Regarding the Processing of Personal Data byl přijat v roce 1992. Týká se automatizovaného i manuálního zpracovávání s osobními údaji v soukromém i veřejném sektoru. Správci jsou povinni oznámit předem Privacy Commission zpracovávání jakýchkoliv osobních údajů.

Italský zákon z roku 1995 byl jako jeden z prvních uznán za slučitelný se Směrnicí. Vztahuje se na jakékoliv zpracování osobních údajů.

II.

Z v l á š t n í č á s t :

K § 1: Účelem zákona je zajistit ochranu osobních údajů, způsob jejich zpracovávání jak v České republice, tak pro přenos do zahraničí a regulovat vztahy, které v souvislosti s nimi vznikají. V řadě případů zákon upravuje nezbytný zvláštní režim pro určité oblasti, např. Policii ČR, zpravodajské služby, Armádu ČR, Ministerstvo financí apod., který stanoví zvláštní zákony (např. připravovaný zákon o Policii ČR). Z kompetence tohoto zákona však nelze tyto oblasti úplně vyčlenit, poněvadž by se zabránilo např. mezinárodní spolupráci v rámci Schengenských dohod. Pro tyto oblasti musí být ochrana osobních údajů řešena v souladu s Úmluvou č.108 Rady Evropy. Legislativa o ochraně osobních dat je součástí primárního práva podle Amsterodamské smlouvy (acquis communautaire).

K § 2: Tímto zákonem dochází ke zřízení nezávislého Úřadu pro ochranu osobních údajů. Jeho funkcí bude v prvé řadě zajišťovat dozor v oblasti osobních údajů.

K § 3: 1/ Z hlediska věcného se zákon vztahuje, v souladu s čl. 3 směrnice Evropského parlamentu a Rady č. 95/46/ ES /dále Směrnice/, na veškeré osobní údaje, tedy nikoli jen na ty, které jsou vedeny automatizovaně v informačních systémech. Z hlediska osobní působnosti se zákon vztahuje na veškeré subjekty- fyzické i právnické osoby, ať vykonávají veřejnou moc, nebo se jedná o subjekty soukromoprávní. Zákon výslovně stanoví, ve kterých případech se na zpracování osobních údajů nevztahuje.

2/ Zákon se vztahuje na veškeré zpracovávání osobních údajů. Není rozhodné, zda se tak děje prostředky výpočetní techniky nebo jinými automatickými prostředky nebo manuálně. Pojem zpracování je vymezen v § 4 písmeno e).

3/ Zákon se nevztahuje na zpracování osobních údajů, které shromažďuje pro svou soukromou či domácí potřebu fyzická osoba. Jedná se o různé adresáře, soubory údajů, které tato osoba shromáždí v rámci své záliby a pod. Údaje takto shromážděné však nesmějí být předmětem obchodních aktivit a nesmějí být zveřejňovány.

4/ Zákon se rovněž nevztahuje na ty osobní údaje, které jsou shromážděny nahodile, bez prvku systematičnosti, jsou vedeny manuálně a nejsou nijak dále zpracovávány. Jedná se např. o záznam adresy zákazníka při poskytování konkrétní služby (čistírny, kadeřnictví a pod.). Nejedná se však o systematicky vedené adresáře zákazníků, kterým je pak např. následně zasílána nabídky jiných služeb a pod.

5/ Vzhledem k praktickým potřebám se jeví potřebné výslovně vymezit působnost zákona tam, kde je nakládáno s osobními údaji pro účely statistické a archivnictví. Zákon se na tyto oblasti bude vztahovat, avšak příslušné zákony (o statistické službě, o archivnictví) stanoví zvláštnosti určitých otázek souvisejících se zpracováváním osobních údajů pro uvedené účely (např. jejich další uchovávání- archivaci po naplnění účelu pro něž byly shromážděny).

6/ Vzhledem ke zvláštním režimům zpracovávání osobních údajů zpravodajskými službami, Policie České republiky, včetně její Národní ústředny Interpolu, a analytického útvaru Ministerstva financí jsou stanoveny výjimky, kdy se ustanovení zákona těchto činností nedotýká. V těchto případech se pojmem odhalování trestné činnosti rozumí také vyšetřování či prevence trestných činů.

K § 4: a/ Pro účely tohoto zákona se za osobní údaje považují ty, které se vztahují k fyzické osobě, jež je buď určena nebo určena být může. Tato osoba je určena či určitelná, pokud pomocí jednoho či více osobních údajů lze určit její identitu. Může jít o jeden údaj /např. fotografii/, ale zpravidla půjde o jejich soubor. V souladu s komunitárním právem se za osobní údaj nepovažuje ten, který sice umožňuje osobu určit, je k tomu však třeba objektivně nepřiměřeného množství času nebo prostředků. V tomto případě se údaje považují za anonymní. Nepřiměřené množství času nebo prostředků je obvyklý neurčitý pojem, který je používán v evropských předpisech (např. doporučení Rady Evropy). Konkretizace těchto pojmů závisí na okolnostech práce s osobními údaji a posuzuje je buď Úřad nebo případně soud.

b/ Pojem citlivých (senzitivních) údajů se v našem právním řádu objevil v §16 zákona č. 256/1992 Sb., o ochraně osobních údajů v informačních systémech (třebaže tak ovšem výslovně označen nebyl). Jeho vymezení použily i další právní předpisy /např. zákon o svobodném přístupu k informacím/ a je přebírán i do navržené úpravy. Shoduje se s požadavky Směrnice /čl. 8/, resp.také Úmluvy Rady Evropy č.108, na ochranu osob se zřetelem na automatizované zpracování osobních údajů. Jejich rozsah byl však rozšířen, což není v rozporu s kompatibilitou s těmito předpisy. Byly mezi ně navíc zařazeny údaje o majetkových poměrech fyzických osob, jak tomu bylo v dosavadním zákonu č.256/1992 Sb.

c/ Anonymní údaj nelze vztáhnout ke konkrétní fyzické osobě. Takový údaj neobsahuje žádnou charakteristiku či jedinečný znak takové osoby. S anonymními údaji je tak možno pracovat např. pro vědecké účely.

d/ Výrazem subjekt údajů se ve smyslu čl. 2 nahrazuje dosavadní pojem dotčená osoba používaný v zákoně č. 256/1992 Sb., o ochraně osobních údajů v informačních systémech. Označuje se tak osoba, která je určena nebo určitelná. Výraz "subjekt údajů" je novým pojmem, který je však výstižnější než výraz dotčená osoba. Jednak již ve svém názvu obsahuje vztah k údajům, jednak pro další práci, zejména v souvislosti s mezinárodními aktivitami, je tento název mezinárodně srozumitelný a snadno srovnatelný s termínem používaným v evropském právu. Rovněž umožňuje pod něj zahrnout údaje genetické, údaje o nenarozeném dítěti a pod., kde by bylo nevhodné použít termín "fyzická osoba". Takové údaje požívají rovněž náležitou ochranu v evropské legislativě. Nový výraz "subjekt údajů" také jasně vymezuje rozdíl od jiných fyzických osob (např. těch, které osobní údaje zpracovávají).

e/ Zákon č. 256/1992 Sb. používal pojem zpracovávání údajů, který ovšem nevymezoval dostatečně jednoznačně /viz V. Smejkal, T. Sokol, M. Vlček: Počítačové právo, Praha 1995, str. 199-200/. Navržené znění je obecné a zahrnuje každý zásah do informace ať jednotlivé nebo jakožto součásti informačního systému. Současně výčet příkladmo stanoví, co je třeba zásadně chápat pojmem zpracování. Zpracování se může uskutečňovat nejen technickými prostředky /zejména výpočetní techniky/, ale také manuálně. Definice vychází z dikce Směrnice. Věcný záměr rozlišoval, oproti směrnici, nakládání a zpracování. Je ovšem patrné, že rozdíl mezi nimi prakticky není a navržené znění plně pokrývá veškeré činnosti prováděné s osobními údaji. Definice navíc ponechává prostor zahrnout pod tento pojem i další způsoby či techniky, které nejsou v současné době známy. Tato linie je nutná pro udržení kompatibility s evropskou legislativou. Pod pojem zpracování je nutno zahrnout jakoukoliv manipulaci s údaji (tedy také "správu údajů", "nakládání s údaji" a pod.).

f/ Shromažďování je záměrná činnost, jejímž cílem je získat údaje a informace. Tato činnost se musí dít systematicky, tedy se záměrem dosáhnout určitého uspořádaného souboru, nebo pomocí technických prostředků uspořádání docílit. Není rozhodné, zda se tak děje ojediněle nebo soustavně, významné nejsou ani prostředky, kterými se tak děje. Ze sémantického významu slova shromažďování plyne, že se týká více než jednoho údaje, o shromažďování ovšem jde již v okamžiku, kdy je získán první z řady více údajů. Údaje musí být uloženy na nějaký nosič /disketu, disk, papír/ k tomu, aby byly buď ihned nebo kdykoli v budoucnu zpracovány.

g/ Podstatou uchovávání je udržování osobních údajů v takovém stavu, který umožňuje kdykoli je dále zpracovávat.

h/ O blokování jde tehdy, je-li znemožněn přístup k osobním údajům po určitou dobu. Tyto údaje tedy nadále existují, ale musí být přijata opatření, aby nemohly být po tuto dobu zpracovávány.

i/ Cílem likvidace osobních údajů je jejich neexistence pro jakékoliv další zpracování. Osobní údaje mohou být likvidovány tak, že budou fyzicky zničeny, resp. zničen nosič, na kterém jsou zachyceny. Jsou-li v elektronické podobě, mohou být likvidovány vymazáním /např. prázdnými znaky nebo překryty jiným textem/, jsou-li na papírovém nosiči, mohou být např. začerněny. Dále mohou být učiněny trvale nedostupnými. Za likvidaci není možné považovat takový způsob, po jehož aplikaci by přesto bylo možno, např. jinými technickými prostředky, tyto údaje jakkoli obnovit, aby měly charakter osobních údajů.

j/ Definice je převzata ze Směrnice. Správcem se rozumí jednak státní nebo jiný orgán, případně subjekt, jemuž je zákonem uloženo, aby zpracovával osobní údaje, jednak soukromý subjekt či fyzická osoba, který zpracovává osobní údaje pro účely podnikatelské nebo pro jakékoliv jiné účely. Státním a jiným orgánům stanoví zákon, jak mají osobní údaje zpracovávat. Pokud jde o soukromé subjekty, mohou osobní údaje zpracovávat, jen pokud to zákon nezakazuje. Správce může pověřit /např. smluvně, služebním pokynem/, aby osobní údaje zpracovával jiný subjekt, tj. zpracovatel, ledaže by mu zákon ukládal, aby je zpracovával sám nebo mu ukládá, aby zpracováváním pověřil zpracovatele.Vztah mezi správcem a zpracovatelem však musí mít právní náležitosti (t.j. zákon, nebo právně platná smlouva).

Dikce návrhu odlišuje případy, kdy postavení správce je určeno přímo zákonem (např. obecní úřad při vedení matriky) a kdy vyvíjí činnost v souladu se zákonem resp. podle zákona.

k/ Zpracovatel může zpracovávat údaje buď na základě výslovného zákonného zmocnění nebo je-li k tomu zmocněn správcem nebo na základě smluvního ujednání. Zpracovatel, na rozdíl od správce, neurčuje účel a prostředky zpracování osobních údajů. Zpracovatelem se rozumí také jakýkoliv jiný subjekt, který provádí jen některou (či některé) činnost související se zpracováním. Nemusí tedy jít vždy o subjekt, který osobní údaje shromáždil.

l/ Na rozdíl od ustanovení §15 zákona č. 256/1992 Sb., je zveřejnění vymezeno šířeji. Taxativní výčet všech prostředků, jimiž může k publikovaní osobního údaje dojít, se nejeví možný, ale ani potřebný. Podané vymezení dává možnost reagovat na případné změny, k nimž může, pokud se týče způsobu zveřejňování v budoucnu dojít. Nejčastěji bude osobní údaj zveřejňován tiskem, televizí, Internetem a jinými masovými médii a dále jakožto součást veřejně přístupných seznamů /obchodní rejstřík, letecký rejstřík/. Může se stát veřejným i jako součást různých seznamů vydávaných pro komerční účely, ale také jeho sdělením na veřejné schůzi. Není přitom rozhodné, zda k publikaci došlo legálně nebo v rozporu se zákonem.

K § 5:1a/ Jednou z povinností správce je předem stanovit účel zpracování osobních údajů, t.j. proč a k jakému cíli se shromažďují a následně zpracovávají údaje. Od tohoto stanoveného účelu se pak odvíjejí některé další povinnosti, např. pro uchovávání údajů, jejich přenos do jiných států apod.

1b/ Správce musí rovněž před zahájením zpracování osobních údajů stanovit prostředky a způsoby, kterých může být při zpracovávání použito.

1c/ Zpracovávat lze pouze osobní údaje, které jsou pravdivé a přesné. Je na správci, aby aktivně zjišťoval, že údaje mají tyto kvality a pokud nemůže zjistit, že takovými jsou, je povinen je, až na další, blokovat a dále nezpracovávat. Pokud nelze údaje opravit tak, aby byly pravdivé a přesné vzhledem k účelu pro které byly shromážděny, musí je zlikvidovat. Tento požadavek je stanoven v čl. 6 Směrnice. Potřeba zpracovávat nepřesné atd. údaje plyne z požadavku některých specializovaných oblastí, jako je např. policie, zpravodajské služby a pod. Počítají s ním i státy Rady Evropy a Evropské unie, jak je patrné z doporučení Rady Evropy R (87)15 Výboru ministrů členských států o používání osobních dat v policejním sektoru z roku 1987.

1d/ Rozsah, v němž mohou být osobní údaje shromažďovány, je stanoven buď přímo zákonem /zejména pokud se týče státních a jiných orgánů/ nebo plyne z účelu, pro který jsou shromažďovány /jsou-li údaje shromažďovány soukromými subjekty/, které ovšem nemohou shromažďovat údaje v rozporu se zákony. Viz též doporučení Rady Evropy R(87)15.

1e/ Doba, která je potřebná ke zpracovávání osobních údajů plyne buď ze zákona /např. evidence v rejstříku trestů/, nebo z účelu, pro, který byly shromážděny za účelem dalšího zpracovávání. Jakmile tato lhůta pominula, je třeba osobní údaje v zásadě zlikvidovat. Zvláštním zákonem bude stanoveno, že i nadále budou moci být uchovávány osobní údaje pro potřeby statistické, vědecké a archivnictví. Další použití pro tyto potřeby však musí splňovat další podmínky, např. nesmí při nich dojít k porušení práva na ochranu osobnosti.

1f/ Je nepřípustné, aby správce shromáždil osobní údaje k určitému účelu a následně je on sám nebo zpracovatel zpracoval k jinému účelu. Tímto ustanovením se současně vylučuje možnost obcházení tohoto zákona. Subjekt údajů může dát souhlas, aby byly údaje zpracovány i k jinému účelu. Výjimku mohou stanovit zvláštní zákony. V úvahu přicházejí některé speciální oblasti jako jsou např. zpravodajské služby, policie apod., z jejichž povahy činnosti vyplývá, že mohou za určitých okolností použít osobní údaje shromážděné k určitému účelu i k jinému účelu, který původně nebyl předvídán.

1g/ Shromažďování osobních údajů musí probíhat otevřeně, t.j. tak, aby o tom subjekt údajů věděl. Pouze zvláštní zákon /např. o zpravodajských službách, Vojenské policii nebo o Policii České republiky/ může stanovit výjimku, což odpovídá povaze činnosti těchto orgánů.

1h/ Vylučuje se sdružování údajů, které byly získány za různým účelem, aby také nebylo ohrožováno soukromí subjektů údajů. Výjimky může stanovit jen zvláštní zákon obvykle ve prospěch státních orgánů. Tento požadavek je zdůrazňován řadou komunitárních evropských předpisů, zejména též čl. 5 doporučení Rady Evropy R(87)15.

2/ Kromě omezení stanovených v odstavci 1, platí všeobecně, že zpracovávat osobní údaje lze pouze se souhlasem subjektu údajů. Bez ohledu na tento souhlas, může údaje zpracovávat, pokud mu to ukládá zákon /např. podnikajícím subjektům je uloženo podávat hlášení pro účely statistické, daňové, ochrany životního prostředí/. Dále tak mohou činit při plnění svých pravomocí a působností státní a jiné orgány na základě zákona a v jeho mezích. Pokud musí být práva subjektu údajů chráněna /např. dojde-li k ohrožení jeho práva na soukromí trestným činem/, mohou být v rámci ochrany těchto práv zpracovávány po nezbytně nutnou dobu i bez jeho souhlasu. Rovněž, kdy se tak jednoznačně děje ve prospěch subjektu údajů, např. plnění povinností plynoucích ze smluvních vztahů, ochrana jeho životně důležitých zájmů, a pod. Souhlasu rovněž není třeba ke zpracovávání údajů, které byly zveřejněny. V tomto případě však je zpracovávání omezeno právem subjektu údajů na ochranu soukromí.

3/ a 4/ Vzhledem ke zvláštní povaze masových sdělovacích prostředků, které v demokratické společnosti zajišťují právo na informace, které může konkurovat právu na ochranu soukromí, je třeba jejich postavení řešit zvláštním zákonem. Obdobně to platí také o oblasti archivnictví, statistiky a svobodě vědeckého bádání.

5/ Zásadně platí, že subjekt údajů může dát souhlas k omezení svých práv. Výjimku zde tvoří povinnosti správce podle odstavce 1 písmen c) a g), jejichž dodržování je důležité i pro zajištění práv dalších subjektů. Doba uchování souhlasu po celou dobu zpracovávání je nutná z hlediska ochrany práva na soukromí /viz k tomu K. Knap, J. Švestka, O. Jehlička, P. Pavlík, V. Plecitý: Ochrana osobnosti podle občanského práva, Praha 1996, str. 162-163/.

K § 6: V zájmu právní jistoty nejen správce a zpracovatele, ale i subjektů údajů a dalších osob je, aby zmocnění podle zákona nebo pověření smlouvou mělo písemnou podobu. Kromě obvyklých náležitostí se výslovně stanoví, jaký má být jeho obsah. Výrazy "zmocnit" a "pověřit" odlišují případy, kdy je správcem údajů orgán veřejné moci, který "zmocňuje" a kdy je jím soukromý subjekt, který "pověřuje".

K § 8: Vzhledem k tomu, že zpracovatel má přístup k osobním údajům i citlivým údajům, je povinen zajistit, aby se jejich zpracování dělo podle zákona. Zjistí-li, že správce porušuje svoje povinnosti, musí ho na to upozornit a přestat nakládat s údaji. Učiní-li tak, nevzniká mu odpovědnost, v opačném případě je odpovědný za škodu, která vznikla subjektu údajů v rozsahu, v němž v důsledku tohoto opomenutí ke škodě došlo. Z důvodu zajištění ochrany práv subjektu údajů, zakotvuje se zvláštní režim solidární odpovědnosti. Je zřejmé, že případné spory řeší soud.

K § 9: Pojem citlivý údaj je vymezen v § 4 písmeno b) zákona. Tyto údaje podléhají speciální ochraně.

a/ Na rozdíl od ostatních osobních údajů se u citlivých vyžaduje v zásadě vždy kvalifikovaný souhlas subjektu údajů, tj. písemný a informovaný a navíc musí být subjekt údajů výslovně o svých právech předem poučen.

b/ Jedná se tu o výjimečný případ, kdy je třeba poskytnout ochranu důležitým statkům subjektu údajů, jehož souhlas nelze získat. Zpracovávání údajů může trvat jen po dobu nezbytně nutnou a jakmile pominuly důvody ke zpracovávání, musí je správce přestat zpracovávat, ledaže by mu subjekt údajů k tomu dal souhlas nebo pokud by vznikl důvod, pro který je může zpracovávat podle zákona /např. údaje budou zveřejněny/. Ochrana práva na soukromí, kam osobní údaje náleží, může konkurovat právům jiných subjektů. Pokud by nemohly tyto údaje zpracovávat, bylo by vyloučeno, aby svoje práva úspěšně uplatňovaly, resp. plnily svoje povinnosti.

c/ Poskytování zdravotní péče je tradičně spojeno se zpracováváním citlivých údajů. Rovněž posuzování zdravotního stavu např. pro posudkovou činnost nebo pro provádění sociálního zabezpečení je považováno za součást zdravotní péče. Další případy, za nichž mohou být citlivé údaje zpracovávány, mohou stanovit zvláštní zákony.

d/ Další možnosti zpracování citlivých osobních údajů musí stanovit zvláštní zákony. Zde je zahrnuta také možnost zpracovávat citlivé údaje, které pro výkon svých pravomocí a působností stanovených zákonem potřebují uvedené orgány, aniž by bylo nutné, aby si opatřovaly souhlas subjektu údajů. Ve smyslu čl. 8 Směrnice bude třeba příslušné zákony uvést do souladu s úpravou zákona o ochraně osobních údajů. V souladu se směrnicí je jakákoliv problematika upravená zákonem považována za důležitý veřejný zájem.

K § 10: Jde o požadavek ochrany základních práv upravených v čl. 10 Listiny základních práv a svobod. Nicméně je zde zopakováno, aby byl zřejmý vztah ke zpracování osobních údajů. Při něm je totiž vysoké riziko porušování těchto základních práv.

K § 11: 1/ Subjektu údajů se musí dostat náležité, tedy přehledné, jasné a obsažné informace o tom, že jsou o něm shromažďovány údaje. Informační povinnost pro správce je pravidlem, zatímco jen výjimečně může zákon stanovit, že se na určitého správce nevztahuje. Tak tomu bude např. u zpravodajských služeb, policie, utajovaných skutečností apod.

2/ Subjekt údajů musí být výslovně poučen nejen o tom, že musí údaje poskytnout, protože tak stanoví zákon, ale také o případné odpovědnosti, která mu vznikne, jestliže tak neučiní, jakož i o možnosti odepřít poskytnutí údajů z důvodů stanovených zákonem /např. pokud by tím způsobil nebezpečí trestního stíhání sobě nebo osobám sobě blízkým/ nebo pokud se jedná o dobrovolný akt ze strany subjektu údajů.

3/ Subjekt údajů musí mít rovněž zajištěn přístup k údajům o něm vedeným. Správce musí subjekt údajů poučit o jeho právech.

4/ V praxi mohou nastat případy, kdy správce získá osobní údaje jiným způsobem než přímo od subjektu údajů. V takových případech se ukládá správci povinnost subjekt údajů informovat, od koho údaje o něm získal a poskytnout mu úplný výpis takových dat.

5/ Zde jsou stanoveny výjimky z povinnosti poskytovat informace subjektu údajů. Jedná se vesměs o případy, kdy určité zpracování osobních údajů ukládá správci zvláštní zákon. Zde jsou zahrnuty i případy, kdy se zpracování osobních údajů provádí pro potřebu statistiky, vědy, archivnictví, policie či zpravodajských služeb.

6/ Jestliže nastane případ, kdy orgán veřejné moci vydá rozhodnutí pouze na základě automatizovaného zpracování (např. VZP ČR rozešle přímé výstupy z počítače o dlužnýchčástkách subjektu údajů). Takové rozhodnutí, jež má pro subjekt údajů jakékoli právní důsledky, nelze vydat, ledaže by bylo učiněno ve prospěch subjektu údajů. Automatizované rozhodnutí musí vždy ověřit ten, kdo jej vydává.

7/ Řada zákonů opravňuje fyzické a právnické osoby požadovat informace od orgánů veřejné správy. Jde např. o zákon č.123/1998 Sb., o právu na informace o životním prostředí, zákon č. 367/1990 Sb. o obcích /obecní zřízení/, ve znění pozdějších předpisů, zakotvující právo občanů obce nahlížet do zápisů o jednání obecního zastupitelstva, a zákon o svobodném přístupu k informacím.

K § 12: Informace jsou zásadně poskytovány na základě žádosti subjektu údajů. Jestliže jsou již obsaženy v poučení, které je poskytováno podle zákona nebo pokud bude jeho obsah stanoven prováděcím předpisem, není již poskytováno na základě písemné žádosti. Jedná se např. o poučení pacientů a pod. Požadované informace musí správce poskytnout jednou ročně bezúplatně. V případech, kdy subjekt údajů žádá o informace častěji, může správce požadovat přiměřenou úplatu. Výši této úplaty stanoví správce, nesmí však překročit skutečné náklady nezbytné na vyhledání, sestavení či jiné zpracování informace a na úkony potřebné k poskytnutí informace (poštovné a pod.).

K § 13: Tímto ustanovením se stanoví obecné povinnosti pro všechny správce, pokud se týče zajištění ochrany osobních údajů a jejich bezpečnosti. Opatřeními, která je správce povinen učinit, se rozumí opatření technická, organizační, právní a jiná. Jimi se má zabránit neoprávněnému i nahodilému přístupu, zpracování a zneužívání /využívání/ osobních údajů. Údaje musí být chráněny jak vůči zaměstnancům, tak jiným osobám, které s nimi oprávněně přicházejí do styku, tak např. vůči tzv. průnikářům (hackerům). Tento zákon však nestanoví jaká konkrétní opatření má správce učinit. Konkrétní opatření budou záviset na rozsahu a použití technických prostředků, které správce při zpracování použije. Nicméně některé návody bude možno vydat např. metodickými sděleními nebo vyhlášením standardů. Subsidiárně lze využít vyhlášek Národního bezpečnostního úřadu č. 12/1999 Sb., o zajištění technické bezpečnosti utajovaných skutečností a certifikací technických prostředků a vyhlášky č.56/1999 Sb., o zajištění bezpečnosti informačních systémů nakládajících s utajovanými skutečnostmi, provádění jejich certifikace a náležitostech certifikátů.

K § 14: Tímto ustanovením je vyloučeno, aby osoby, kterým nedá správce nebo zpracovatel souhlas, jakkoli zpracovávaly osobní údaje. Správce, resp. zpracovatel musí stanovit též rozsah oprávnění, v němž určitá osoba má k osobním údajům přístup a může je zpracovávat.

Osobami jsou zde míněny jak fyzické osoby, které vůči správci či zpracovateli vykonávají činnost na základě pracovněprávního vztahu, tak právnické osoby, které tuto činnost vykonávají na základě smluvního vztahu-dohody.

K § 15: Povinnost mlčenlivosti zakotvil již zákon č. 256/1992 Sb. v zájmu ochrany práv subjektů údajů. K témuž účelu je stanovena i v tomto zákoně. Pokud někdo má povinnost mlčenlivosti podle zvláštních zákonů (např. zákon č. 148/1998 Sb., o ochraně utajovaných skutečností a o změně některých zákonů, zákon č.20/1966 Sb.) není tato povinnost dotčena. Mlčenlivosti se nemůže dovolat ten, komu vznikla povinnost oznámit trestný čin podle §168 trestního zákona.

K § 16: Smyslem oznamovací povinnosti je zajistit výkon dozoru ze strany Úřadu. Ukládá se povinnost informovat Úřad před zahájením zamýšleného zpracování osobních údajů. Tento režim výslovně vyžaduje Směrnice EU, která také stanovuje minimální rozsah údajů v tomto oznámení. Pokud Úřad oznámení zaregistroval, nevydává rozhodnutí podle správního řádu. To se vydává pouze v případě, že Úřad nepovoluje nebo zakazuje osobní údaje zpracovávat. V zájmu právní jistoty oznamovatele se stanoví, jaké následky má sdělení i marné uplynutí lhůty.

K § 17: 1/ Jestliže Úřad z podané žádosti zjistí, že správce nesplňuje podmínky stanovené zákonem, nepovolí vůbec zahájení jeho činnosti

3/ Obava, že při zpracování osobních údajů mohou být porušena ustanovení tohoto zákona, musí být důvodná. Může tak být dáno jak povahou osobních údajů /např. tím, že jde o údaje citlivé/, tak s ohledem na to, jak mají být zpracovávány, technickou úrovní vybavení oznamovatele, nelegálním účelem a dalšími okolnostmi. Ponechává se Úřadu, aby posoudil míru rizika zpracování osobních údajů a v případě potřeby před provedením registrace provedl šetření u oznamovatele. Výsledkem postupu Úřadu může být buď to, že oznámení zaregistruje nebo rozhodne, že, až na další, nemohou být osobní údaje zpracovávány a stanoví lhůtu k jejich odstranění (likvidaci). Po jejím uplynutí, na základě nového zjištění, Úřad oznámení zaregistruje nebo zpracování nepovolí.

K § 18: Z oznamovací povinnosti je nutnovyčlenit některá zpracování, která se nemusí oznamovat. Jsou to zejména ta, která jsou správci uložena zákonem a tudíž jejich kontrola Úřadem není oznámením ovlivněna. Toto ovšem platí pouze tehdy, pokud správce shromažďuje osobní údaje pouze v tom rozsahu, který určí zákon. Jakýkoliv sběr údajů nad rámec takového ustanovení zákona již registraci podléhá. Okruh osobních údajů, které nepodléhají oznamovací povinnosti, je určen praktickými potřebami a požadavky na zajištění dozoru nad nimi. Je v souladu s čl. 18 Směrnice EU.

K § 19: Zde se stanoví správci povinnost oznámit také ukončení zpracování osobních údajů. Toto je potřebné pro případnou následnou kontrolní činnost Úřadu.

K § 20: Pomine-li důvod, pro který byly údaje shromážděny za účelem jejich zpracovávání, musí být zlikvidovány. Zvláštní režim musí ovšem platit pro ty osobní údaje, které jsou důležité pro uplatňování práv a povinností v občanském soudním řízení, trestním řízení a správním řízení /např. spisový materiál soudů, záznamy v evidenci rejstříku trestů apod./.

K § 21: 1/ Uplatněním těchto práv není dotčena možnost domáhat se nároků na ochranu osobnosti podle §11-16 občanského zákoníku. Možnost domáhat se zaplacení peněžité náhrady přichází v úvahu, pokud by nebylo možno se této satisfakce domáhat podle obecných občanskoprávních předpisů.

2/ Odpovědnost je postavena na objektivním principu a bude tedy na správci, resp. zpracovateli, aby prokázali, že tu jsou okolnosti, pro které nemohlo být porušení povinnosti zabráněno. Tato konstrukce odpovídá čl. 23 Směrnice.

3/ Jestliže subjektu údajů vznikla majetková újma, může se domáhat její náhrady podle §420 a následujících občanského zákoníku.

4/ Toto ustanovení slouží ke zvýšené ochraně práv subjektu údajů. Záleží na něm, zda se bude dožadovat příslušných nároků u některého z obou, nebo u správce i zpracovatele zároveň.

K § 23:Uplatněním nároků podle tohoto zákona není dotčena možnost domáhat se nároků na ochranu osobnosti podle §11-16 občanského zákoníku. V zájmu zajištění práv subjektu údajů se stanoví, že v případě, když osoba není schopna poskytnout satisfakci nebo zaplatit peněžitou náhradu, přechází tato povinnost na správce či zpracovatele. Ti samozřejmě mohou vůči povinnému uplatňovat nároky na základě pracovněprávních či občanskoprávních předpisů. Kromě této satisfakce může subjekt údajů požadovat, aby správce či zpracovatel přestali s osobními údaji nakládat a odstranili stav, který není v souladu se zákonem.

Porušení povinností osob, které jsou vůči správci či zpracovateli v pracovněprávním vztahu, řídí se jejich odpovědnost zákoníkem práce.

K§ 24: Na rozdíl od správce a zpracovatele se zde vychází z odpovědnosti za zavinění, což odpovídá obecné úpravě občanskoprávní.

K § 25: Obecně se v otázkách odpovědnosti za škodu postupuje podle občanského zákoníku, případně podle obchodního zákoníku, pokud v předchozích paragrafech není definován jiný postup a práva. Pokud subjektu údajů vznikla majetková újma, může se domáhat její náhrady podle § 420 a následujících občanského zákoníku.

K § 26: Nároky uvedené v předchozích paragrafech může subjekt údajů uplatňovat i vůči těm, kdo získali jeho osobní údaje neoprávněně bez ohledu, zda se tak stalo úmyslně nebo z nedbalosti.

K § 27: Význam předávání údajů do zahraničí má v souvislosti s růstem komunikace mezi subjekty z různých zemí /např. obchodováním, kulturními výměnami, cestovním ruchem/ stoupající tendenci. Pokud bude přenos uskutečňován do států, v nichž je úroveň právní úpravy ochrany osobních údajů adekvátní českému právnímu řádu, resp. se zeměmi, jejichž právní úpravy problematiky ochrany osobních údajů je kompatibilní se Směrnicí 95/46/EC, měl by se dít zásadně bez dalších podmínek. Jinak může být předávání uskutečněno pouze za podmínek stanovených v odstavci 2. Jedná se tu o případy, kdy k předávání dochází se souhlasem subjektů údajů, resp. na základě jeho pokynu, v jeho zájmu /např. v souvislosti s řízením před orgány cizího státu, pro uzavírání pojistných smluv, poskytnutí zdravotní péče apod./, jde-li o plnění závazků z mezinárodních smluv nebo o údaje z veřejně přístupných seznamů, registrů apod. Navržená úprava odpovídá požadavkům čl. 25 Směrnice EU. Posouzení stavu právní ochrany v přijímací zemi bude úkolem Úřadu, který bude mít potřebné informace z mezinárodní spolupráce. V případě vstupu ČR do EU bude zástupce Úřadu členem řádného orgánu (Working Party), který byl zřízen na základě ustanovení čl.29 Směrnice.

K § 28 :Úřad pro ochranu osobních údajů je v souladu se Směrnicí definován jako nezávislý orgán pro provádění dozoru nad zpracováním osobních údajů. Je typicky správním orgánem, kde nepřichází v úvahu kolektivní rozhodování. Z charakteru jeho činností je nutno o některých záležitostech rozhodnout bezodkladně.

K § 29:Jsou zde stanoveny základní oblasti působnosti Úřadu.

1/ Pravomoc a působnost Úřadu se týká v prvé řadě výkonu dozoru. Mimo to vykonává ve stanoveném rozsahu také další správní činnosti.

2/ Při výkonu dozoru postupuje Úřad v souladu se zákonem o státní kontrole.

3/ Zvláštní postup se bude uplatňovat zejména u těch státních orgánů, které nakládají s utajovanými skutečnostmi a kde je třeba respektovat zvláštní povahu jejich činnosti. Jedná se zejména o Bezpečnostní informační službu, Vojenské obranné zpravodajství, Policii ČR a Vojenskou policii, Vojenskou zpravodajskou službu, Úřad pro zahraniční styky a informace a Národní bezpečnostní úřad.

K § 30: Vlastní dozorčí činnost a další působnosti Úřadu budou vykonávat inspektoři a někteří zaměstnanci. Ostatní zaměstnanci budou zajišťovat technickou stránku dozoru a chod Úřadu. Všichni pracovníci Úřadu jsou v zaměstnaneckém poměru, vztahuje se na ně zákoník práce.

K § 31: Kontrolní činnost Úřadu bude prováděna jednak na základě vlastního plánu kontrol, jednak na základě podnětů podaných Úřadu zvenčí (např. občany).

K § 32:Uvedená úprava má sloužit k zajištění nezávislosti Úřadu a jeho předsedy. Požadavek vysokoškolského vzdělání a bezúhonnost mají zajistit, aby Úřad řídila osoba, která má potřebné zkušenosti a odborné znalosti a má i další vlastnosti a předpoklady k výkonu této funkce. Předseda Úřadu by v zájmu zajištění požadované nezávislosti neměl být zastávat jiné funkce ve veřejné správě a neměl by být členem politické strany. Z důvodu posílení nezávislosti Úřadu je předseda volen a odvoláván prezidentem republiky na návrh Senátu Parlamentu ČR.

K § 33: Inspektoři z řad odborníků jsou rovněž jmenování a odvolávání prezidentem republiky na návrh Senátu Parlamentu ČR. Jim by měla náležet vlastní dozorčí činnost, jakož i výkon dalších působností, které má Úřad vykonávat. Inspektoři budou odpovědni za vedení kontroly a budou řídit konkrétní tým odborníků. Navrhovaný počet inspektorů vychází jednak z předpokládaného nového územního členění, jednak ze zvyklostí v zemích EU.

K § 34:Inspektory by měli být jmenováni odborníci, kteří jsou nezávislí. To zajišťuje okruh funkcí a činností, které jsou s funkcí inspektora neslučitelné. Aby byla zajištěna jejich nezávislost mají být jmenováni trvale, s možnosti jejich odvolání ve stanovených případech.

K § 35:Toto ustanovení stanoví, v souladu se Směrnicí (čl.21), jak bude vytvořen a zveřejněn registr povolených zpracování osobních údajů. Úřad bude zveřejňovat jednak vlastní registr, jednak přehled všech povolených zpracování osobních údajů. Informace o povolených zpracováních budou oznamovány ve Věstníku Úřadu, případně také na Internetu apod. Vlastní registr pak na Internetu či jinou vhodnou formou zveřejnění. Zveřejňování se nebude týkat těch údajů, resp. správců, kde to vylučuje zvláštní zákon. V praxi se tato výjimka bude týkat těch údajů, které jsou utajovanými skutečnostmi. Registr bude mít povahu veřejně přístupného seznamu, vyjímaje ty části, které jsou utajovanými skutečnostmi.

K § 36: V zájmu zajištění publicity činnosti Úřadu se stanoví jeho povinnost vypracovávat každoročně zprávu, která je předkládána oběma komorám Parlamentu České republiky a vládě. Současně se s ní může veřejnost seznámit ve Věstníku Úřadu.

K § 37: Toto ustanovení popisuje oprávnění kontrolujících, která je možno provádět v souvislosti s kontrolou. Některá ustanovení, zejména výpisy a zdrojové texty programů nebo kopie obsahu paměťových médií, se uplatní pouze tehdy, pokud je to nezbytné pro výkon kontroly a kontrolovaný správce nebo zpracovatel je vlastní (zdrojové texty).

Oprávnění kontrolujících mají zajistit, aby mohl být náležitě a včas zjištěn skutečný stav věci, a to s ohledem na specifiku osobních údajů, které jsou v současné době vedeny převážně prostředky výpočetní techniky.

K § 38:Ustanovení těchto paragrafů má zajistit nestrannost kontroly a vytváří předpoklady, aby byla v maximální míře zajištěna práva kontrolovaných subjektů a současně naplněn účel kontroly.

K § 39: Ukládá se každému poskytnout potřebnou součinnost při výkonu kontroly. Toto ustanovení má zabránit tomu, by např. kontrolovaná osoba nepřenesla některé důležité předměty, dokumenty a jiné materiály důležité pro provedení kontroly na osoby, které nejsou kontrolovány. Povinnost poskytnout potřebnou součinnost je uložena právnickým i fyzickým osobám.

K § 40:Toto ustanovení zajišťuje jednu z funkcí kontroly, jíž je ukládání opatření k nápravě zjištěných vad. Uložení opatření samozřejmě nevylučuje, že bude uložena také sankce.

K § 41: Jakékoliv řízení ve věcech upravených tímto zákonem se postupuje podle zákona o správním řízení.

K § 42: Zajištění přechoduod dosavadního "nakládání s osobními údaji" podle zákona č.256/1992 Sb., ke zpracování podle tohoto zákona je nutno stanovit, že původní "nakládání" je podle nové terminologie "zpracování". Změna dosud užívané terminologie vyplývá zejména z požadavku harmonizace se Směrnicí EU.

K § 43: V současné době jde o kontrolní řád zákona ČNR č. 552/1991 Sb., o státní kontrole, ve znění pozdějších předpisů.

K § 44: Pokud se týče fyzických osob, porušením stanovených povinností naplňují skutkovou podstatu přestupku. Při jejich projednávání postupuje Úřad podle zákona č.200/1990 Sb., o přestupcích, ve znění pozdějších předpisů. Přestupky projednává Úřad.

K § 45: Postih formou pořádkové pokuty odpovídá obecné úpravě těchto deliktů v našem právním řádu.

K § 46: Porušení povinností správcem nebo zpracovatelem je tzv. jiným správním deliktem, tj. jeho pachatelem mohou být jak právnické, tak i fyzické osoby. Jednání je postihováno bez ohledu na zavinění. Zvláště je postihováno maření řádného výkonu kontroly. Postih odpovídá obecné úpravě těchto deliktů v našem právním řádu. Projednání porušení povinností, stejně jako vybírání pokut provádí Úřad. Nelze však předem stanovit skupiny činností, které budou pokutovány. K takovému stanovení chybí precedentní případy, protože se jedná o novou problematiku. Při stanovení výše pokuty však bude přihlíženo k závažnosti porušení zákona, době trvání protiprávního jednání a pod.

K § 47: Vzhledem k tomu, že se dosud registrace zpracovávání osobních údajů neprováděla, ponechává se určité časové období, aby správci nebo zpracovatelé mohli tuto činnost oznámit Úřadu.

K § 48: Změna trestního zákona vychází z požadavku dikce (a terminologie) nového zákona. Výše trestní sazby se oproti dosavadní úpravě nemění.

K § 49: Úřad formou právního předpisu (vyhlášky) upřesní obsah a formu registračních formulářů a provádění oznámení. Tento právní předpis vydá Úřad na základě praktických potřeb a zkušeností s prováděním registrace. Nepředpokládá se, že tento právní předpis nabude účinnosti dnem účinnosti zákona.

K § 50: Přijetím nového zákona se ruší dosavadní zákon č.256/1992 Sb., o ochraně osobních údajů v informačních systémech.

K § 51: Navrhuje se 6 měsíční "legisvakance" od nabytí účinnosti zákona pro provádění registrační činnosti. Tato činnost vyžaduje ze strany Úřadu určité technické a organizační opatření (např. počítačová síť, programové zabezpečení a pod.).

V Praze dne 22. září 1999

předseda vlády

místopředseda vlády a ministr financí

Platné znění § 178 odstavce 1 a 2 zákona č.140/1961 Sb., trestní zákon. Odstavec 3 zůstává nezměněn.

Staré znění:

(1) Kdo, byť i z nedbalosti, neoprávněně sdělí nebo zpřístupní údaje o jiném shromážděné v souvislosti s výkonem veřejné správy, bude potrestán odnětím svobody až na tři léta nebo zákazem činnosti nebo peněžitým trestem.

(2) Stejně bude potrestán, kdo údaje o jiném získané v souvislosti s výkonem svého povolání, zaměstnání nebo funkce, byť i z nedbalosti, sdělí nebo zpřístupní, a tím poruší právním předpisem stanovenou povinnost mlčenlivosti.

Nové znění:

(1) Kdo, byť i z nedbalosti, neoprávněně sdělí, zpřístupní, jinak zpracovává nebo si přisvojí osobní údaje o jiném v souvislosti s výkonem veřejné moci, bude potrestán odnětím svobody až na tři léta nebo zákazem činnosti nebo peněžitým trestem.

(2) Stejně bude potrestán, kdo způsobí jinému škodu nebo jinou újmu tím, že osobní údaje získané v souvislosti s výkonem svého povolání, zaměstnání nebo funkce, byť i z nedbalosti, sdělí nebo zpřístupní a tím poruší právním předpisem stanovenou povinnost mlčenlivosti.

1⁾ Zákon č.89/1995 Sb., o státní statistické službě a zákon č.158/1999 Sb., o sčítání lidu, domů a bytů v roce 2001.

2⁾ Zákon č.97/1974 Sb., o archivnictví, ve znění zákona č.343/1992 Sb..

3⁾ Zákon č.153/1994 Sb., o zpravodajských službách, ve znění zákona č. 118/1995 Sb..

4⁾ Zákon č. 283/1991 Sb., o Policii České republiky ve znění zákona č. 26/1993 Sb., zákona č. 26/1993 Sb., zákona č. 67/1993 Sb., zákona č. 163/1993 Sb., zákona č. 326/1993 Sb., zákona č. 82/1995 Sb., zákona č. 152/1995 Sb., zákona č. 18/1997 Sb., zákona č. 186/1997 Sb., zákona č. 168/1999 Sb. a zákona č. 138/1999 Sb..

5⁾ Zákon č.61/1996 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti, ve znění zákona č. 15/1998 Sb..

6⁾Zákon č.148/1998 Sb., o ochraně utajovaných skutečností a o změně některých zákonů.

7⁾ Například zákon č.89/1995 Sb., o státní statistické službě, zákon č.153/1994 Sb., o zpravodajských službách, ve znění pozdějších předpisů a zákon č.283/1991 Sb., o Policii České republiky, ve znění pozdějších předpisů.

8⁾ Například zákon č.111/1998 Sb., o vysokých školách a o změně a doplnění dalších zákonů, zákon č.564/1990 Sb., o státní správě a samosprávě ve školství, ve znění pozdějších předpisů, zákon č.153/1994 Sb., o zpravodajských službách, ve znění pozdějších předpisů a zákon č.61/1996 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a o změně a doplnění některých zákonů, ve znění pozdějších předpisů.

9⁾ Zákon č.81/1966 Sb., o periodickém tisku a ostatních hromadných informačních prostředcích, ve znění zákona č. 84/1968 Sb., zákona č. 127/1968 Sb., zákona č. 99/1969 Sb., zákona č. 86/1990 Sb., zákona č. 175/1990 Sb., zákona č. 425/1990 Sb. a zákona č. 160/1999 Sb..

10⁾ Zákon č.20/1966 Sb., o péči o zdraví lidu, ve znění zákona č. 210/1990 Sb., zákona č. 425/1990 Sb., zákona č. 548/1991 Sb., zákona č. 550/1991 Sb., zákona č. 590/1992 Sb., zákona č. 15/1993 Sb., zákona č. 161/1993 Sb., zákona č. 307/1993 Sb., zákona č. 60/1995 Sb., zákona č. 14/1997 Sb., zákona č. 206/1996 Sb., zákona č. 79/1997 Sb., zákona č. 110/1997 Sb., zákona č. 83/1998 Sb. a zákona č. 167/1998 Sb..

11⁾ Například pro posuzování zdravotního stavu a pracovní schopnosti podle zákona č.582/1991 Sb., o organizaci a provádění sociálního zabezpečení, ve znění pozdějších předpisů.

12⁾ Například zákon č. 48/1997 Sb., o veřejném zdravotním pojištění, ve znění pozdějších předpisů, zákon č. 280/1992 Sb., o resortních, odborových, podnikatelských a dalších zdravotních pojišťovnách, ve znění pozdějších předpisů, zákon č.551/1991 Sb., o Všeobecné zdravotní pojišťovně České

republiky, ve znění pozdějších předpisů, zákon č.158/1999 Sb., o sčítání lidu, domů a bytů v roce 2001.

13⁾ Například zákon č.153/1994 Sb., o zpravodajských službách, ve znění pozdějších předpisů, zákon č.61/1966 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a o změně a doplnění některých zákonů, ve znění pozdějších předpisů a zákon č. 283/1991 Sb., o Policii České republiky, ve znění pozdějších předpisů.

14⁾ Například zákon č.123/1998 Sb., o právu na informace o životním prostředí, zákon č.367/1990 Sb., o obcích, ve znění pozdějších předpisů, zákon č.106/1999 Sb., o svobodném přístupu k informacím.

15⁾ Například zákon č.148/1998 Sb., o ochraně utajovaných skutečností a o změně některých zákonů, ve znění pozdějších předpisů, zákon č.89/1995 Sb., o státní statistické službě, zákon č.20/1966 Sb., o péči o zdraví lidu, ve znění pozdějších předpisů, zákon č.15/1998 Sb., o komisi pro cenné papíry a o změně a doplnění dalších zákonů.

16⁾ Například § 167 a § 168 zákona č.140/1961 Sb., trestní zákon, ve znění pozdějších předpisů, zákon č.21/1992 Sb., o bankách, ve znění pozdějších předpisů, zákon č.20/1966 Sb., o péči o zdraví lidu, ve znění pozdějších předpisů.

17⁾ Například zákon č.153/1994 Sb., o zpravodajských službách,ve znění pozdějších předpisů, zákon č.61/1966 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a o změně a doplnění některých zákonů,ve znění pozdějších předpisů a zákon č. 283/1991 Sb., o Policii České republiky, ve znění pozdějších předpisů, zákon č.158/1999 Sb., o sčítání lidu, domů a bytů v roce 2001.

18⁾ Například zákon č. 40/1964 Sb., občanský zákoník, ve znění pozdějších předpisů, zákon č.82/1998 Sb., o odpovědnosti za škodu způsobenou při výkonu veřejné moci rozhodnutím nebo nesprávným úředním postupem, zákon č.358/1992 Sb. o notářích a jejich činnosti, ve znění pozdějších předpisů.

19⁾ Občanský zákoník.

20⁾ Obchodní zákoník.

21⁾ Například zákon č.153/1994 Sb., o zpravodajských službách, ve znění pozdějších předpisů, zákon č.61/1966 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a o změně a doplnění některých zákonů, ve znění pozdějších předpisů a zákon č.283/1991 Sb., o Policii České republiky, ve znění pozdějších předpisů.

22⁾ Zákon č.552/1991 Sb. o státní kontrole, ve znění zákona č. 166/1993 Sb. a zákona č. 148/1998 Sb..

23⁾ § 12 zákona č.153/1994 Sb., o zpravodajských službách České republiky.

24⁾ Zákon č.143/1992 Sb., o platu a odměně za pracovní pohotovost v rozpočtových a některých dalších organizacích a orgánech, ve znění zákona č. 590/1992 Sb., zákona č. 10/1993 Sb., zákona č. 40/1994 Sb., zákona č. 118/1995 Sb. a zákona č. 201/1997 Sb..

Nařízení vlády ČR č.253/1992 Sb., o platových poměrech zaměstnanců orgánů státní správy, některých dalších orgánů a obcí, ve znění nařízení vlády č. 43/1993 Sb., nařízení vlády č. 78/1994 Sb., nařízení vlády č. 142/1995 Sb., nařízení vlády č. 71/1996 Sb., nařízení vlády č. 326/1996 Sb., nařízení vlády č. 163/1997 Sb. a č. 248/1998 Sb..

25⁾ Zákon č.119/1992 Sb., o cestovních náhradách, ve znění zákona č. 44/1994 Sb., zákona č. 125/1998 Sb. a zákona č. 324/1998 Sb..

26⁾ Zákon č.451/1991 Sb., kterým se stanoví některé další předpoklady pro výkony některých funkcí ve státních orgánech a organizacích ČSFR, ČR a SR, ve znění zákona č. 555/1992 Sb. a zákona č. 254/1995 Sb..

27⁾ Zákon č.148/1998 Sb., o ochraně utajovaných skutečností, ve znění zákona č. 164/1999 Sb..

28⁾ Zákon č.71/1967 Sb., o správním řízení (správní řád), ve znění zákona č. 283/1993 Sb..

29⁾ Zákon č.200/1990 Sb., o přestupcích, ve znění zákona č. 337/1992 Sb., zákona č. 67/1993 Sb., zákona č. 290/1993 Sb., zákona č. 134/1994 Sb., zákona č. 82/1995 Sb., zákona č. 279/1995 Sb., zákona č. 237/1995 Sb., zákona č. 112/1998 Sb. a zákona č. 168/1999 Sb..

30⁾ Zákon č.337/1992 Sb., o správě daní a poplatků, ve znění zákona č. 35/1993 Sb., zákona č. 157/1993 Sb., zákona č. 302/1993 Sb., zákona č. 85/1994 Sb., zákona č. 255/1994 Sb., zákona č. 59/1995 Sb., zákona č. 118/1995 Sb., zákona č. 323/1996 Sb., zákona č. 61/1997 Sb., zákona č. 242/1997 Sb., zákona č. 168/1998 Sb. a zákona č. 91/1998 Sb..