zákon č. 110/2019 Sb.

Zákon o zpracování osobních údajů

Hlava I

§ 1

Upravené ustanovení představuje standardní úvodní ustanovení podle legislativních pravidel. Přímo použitelným předpisem je nyní Obecné nařízení o ochraně osobních údajů, vyhlášené pod č. 2016/679 (dále též jen „Obecné nařízení o ochraně osobních údajů“ nebo „Obecné nařízení 2016/679“). V budoucnosti bude dalším takovým předpisem pravděpodobně nařízení, které nahradí směrnici 2002/58(ES) o soukromí v elektronických komunikacích.

Zapracovávaným předpisem je směrnice 2016/680 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování a stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV (dále též „směrnice 2016/680“).

§ 2

Přehledně se stanoví působnost zákona, která se s ohledem na kombinaci adaptace a transpozice nevyhnutelně dělí na tzv. „unijní zpracování“, jež upravuje nařízení 2016/679 (písm. a) nebo jež do působnosti tohoto nařízení vtahuje hlava II (písm. d), na „smíšené“ či „trestněprávní“ zpracování podle směrnice 2016/680, již z velké části transponuje hlava III (písm. b), a na „neunijní“ zpracování v rámci bezpečnosti a obrany ČR, na která unijní předpisy nedopadají, podle písm. c) a hlavy IV. Posledním zásadním celkem je úprava struktury a pravomocí ÚOOÚ, která je adaptací českého právního řádu na nařízení (EU) 2016/679.

Na základě § 41 odst. 2 se definice pojmu zpracování použije na zpracování osobních údajů rovněž podle písmene c).

Písm. d) z důvodu zachování stejné věcné působnosti opakuje část vymezení působnosti nařízení podle jeho článku 2(2), tj. vyloučení zpracování, které provádí fyzická osoba v průběhu výlučně osobních nebo domácích činností. Takovým zpracováním je, kromě příkladů uváděných v úvodním ustanovení (recitálu) 18, tedy korespondence nebo vedení adresářů nebo využívání sociálních sítí a internetu fyzickou osobou pro osobní účely, také například kamera v bytě nebo rodinném domě nebo kamera zabírající pouze soukromý pozemek patřící osobě nebo domácnosti. Tato zpracování se tudíž nebudou řídit nařízením 2016/679 a tímto zákonem, ale novým občanským zákoníkem.

§ 3

Definice subjektu údajů pro účely tohoto zákona i ostatních právních předpisů, odpovídá legislativní zkratce v nařízení 2016/679 i dosavadnímu § 4 písm. d) zákona o zpracování osobních údajů.

Hlava II

Ustanovení této hlavy upravují dílčí otázky spojené s adaptací na nařízení 2016/679. Jsou zde rovněž zahrnuty obecné výjimky nebo možnosti vnitrostátní zákonné úpravy, které Obecné nařízení o ochraně osobních údajů 2016/679 připouští.

Díl 1

§ 4

Toto ustanovení upravuje působnost hlavy II.

Odst. 2 vztahuje za účelem zvýšení právní jistoty do působnosti nařízení 2016/679 i další oblasti zpracování osobních údajů, u kterých by mohly být pochybnosti, zda spadají do působnosti práva Unie nebo ne (např. ochrana osobních údajů při správě daní, které právo EU neupravuje, apod.), popřípadě na která se nařízení 2016/679 ani směrnice 2016/680 zjevně nevztahuje. Takovou činností je podle písmena b) oblast společné zahraniční a bezpečnostní politiky, na kterou lze pravidla nařízení 2016/679 ve vztahu k českým správcům zákon vztáhnout, neboť EU svou působnost podle čl. 39 SEU nevykonala.

Složitější je úprava písmena a), která:

- do působnosti hlavy II vtahuje různé výše uvedené činnosti, u kterých by bylo možno mít z různých důvodů pochybnosti, zda spadají do působnosti práva EU,

- ale zároveň:

- z působnosti hlavy II vyjímá činnosti, které spadají do působnosti směrnice 2016/680, tedy do působnosti jiného instrumentu práva EU, a které jsou upraveny v hlavě III, jakož i

- z působnosti hlavy II vyjímá činnosti, které jsou zvláště a výlučně upraveny hlavou IV (zajišťování obranných a bezpečnostních zájmů ČR) právě proto, že do působnosti práva EU nepochybně nespadají vůbec ani potenciálně (srov. zejm. čl. 4(2) SEU) a že z povahy věci se na tyto činnosti pravidla stanovená předpisy EU nemají vztahovat ani subsidiárně.

§ 5

Článek 6(3) Obecného nařízení o ochraně osobních údajů 2016/679 požaduje zakotvení právních základů nejvíce relevantních pro veřejnou správu, tj. zpracování založeného na zákoně nebo na veřejném zájmu podle článků 6(1)(c) a 6(1)(e) Obecného nařízení, v právu EU nebo členského státu.

Přestože je nepochybné, že právní povinnost uvedenou v čl. 6(1)(c) stanoví pouze právní předpis, čl. 6(3) stejně vyžaduje, aby „základ pro zpracování“ stanovil právní předpis. Proto je nutno počítat i s takovým, byť velmi formalistickým, výkladem, že právní předpis má stanovit samo oprávnění zpracovávat osobní údaje. Různé předpisy to ostatně činí již nyní. Ustanovení písm. a) tudíž poskytuje subsidiární titul pro zpracování, pokud jednoznačně neplyne z platných předpisů, a zajišťuje tak právní jistotu, neboť hovoří výslovně o oprávnění ke zpracování.

Vzhledem k obdobným obavám a tomu, že výklad čl. 6(3) je nejednoznačný mezi členskými státy v tom, zda vyžaduje i zákonné zakotvení „oprávnění ke zpracování“ ve veřejném zájmu, písm. b) poskytuje právní jistotu i v těchto případech.

Pravomoci správců se nijak nerozšiřují, pouze se zajišťuje, že tam, kde plní úkoly na základě zákonné povinnosti nebo z důvodu veřejného zájmu, nejsou zbaveni možnosti zpracovávat osobní údaje. Jsou-li v platných předpisech omezení pro zpracování osobních údajů, nejsou dotčena, zpracování osobních údajů musí být v mezích těchto právních předpisů.

§ 6

Využívá se možnosti dané recitálem (50), návětím článku 6(4) a článkem 23 Obecného nařízení o ochraně osobních údajů k tomu, aby se pro zvláště významná zpracování ve veřejném zájmu stanovila možnost dalšího zpracování bez přezkoumávání slučitelnosti účelů původního a následného zpracování, které v jiných případech článek 6(4) ve spojení s článkem 5(1)(b) vyžaduje. Rozšiřuje se tak slučitelnost účelů i na další případy kromě slučitelnosti zpracování pro vědecké nebo historické výzkumné účely, statistické účely a účely archivace ve veřejném zájmu podle samotného čl. 5(1)(b) nařízení 2016/679.

V odstavci 1 se stanoví výjimka, pokud má správce právním předpisem stanovenou povinnost nebo úkol ve veřejném zájmu, případně pokud je pověřen výkonem veřejné moci, za účelem zajišťování chráněných zájmů.

Tyto zájmy jsou definovány v odst. 2, jejich výčet odpovídá některým příslušným důvodům pro výjimky podle čl. 23(1) Obecného nařízení, byť jejich znění je formulováno s mírnými odchylkami plynoucími z terminologie českého práva (např. „nezávislost soudů a soudců“ nebo „dohledové a kontrolní“ funkce). I údaje zpracovávané podle § 6 pro účel, který je slučitelný ze zákona, musí stále plnit podmínku relevance podle čl. 5(1)(c) Obecného nařízení.

Jde fakticky o výjimku ze zásady podle první části čl. 5(1)(b), nikoli c), protože slova „nezbytné a přiměřené“ promítají návětí článku 23 odst. 1. Toto ustanovení tak nezbavuje správce povinnosti používat pouze takové údaje, které jsou nezbytné, přiměřené a také relevantní ve smyslu článku 5(1)(c) nařízení 2016/679.

Písm. c) zahrnuje různé s trestním řízením související nebo podpůrné činnosti, významné pro potírání trestné činnosti. Typickým příkladem je vedení centrální evidence účtů Českou národní bankou podle zákona č. 300/2016 Sb., o centrální evidenci účtů, ve znění zákona č. 183/2017 Sb., jakožto prostředku sloužícího k odhalování trestné činnosti a stíhání pachatelů trestných činů, zajištění významných hospodářských a finančních zájmů a bezpečnosti České republiky nebo Evropské unie.

Písm. d) zahrnuje i záležitosti důležitého cíle veřejného zájmu v oblasti veřejného zdraví, mezi které spadá i systém veřejného zdravotního pojištění.

Písm. f) se rozumí taková činnost správce, která odpovídá jeho povinnostem, úkolu ve veřejném zájmu nebo pravomoci, jež spočívá ve vynucování etických pravidel regulovaných povolání. Pokud tedy správce zpracovává například osobní údaje pracovníků regulovaných profesí za účely zaměstnání, prevence podvodů apod., může je využít i ke kontrole plnění etických pravidel těmito pracovníky, pokud má takovou právním předpisem stanovenou povinnost nebo úkol, nebo takovou pravomoc.

V § 6 i v dalších ustanoveních (§ 11, § 12) se využívá výčtu chráněných zájmů (cílů, účelů) podle článku 23(1) nařízení 2016/679. Je zřejmé, že příslušné úkoly, povinnosti nebo pravomoci správce při zajišťování těchto cílů, stanoví další právní předpisy, například krizový zákon nebo zákon o kybernetické bezpečnosti. Z hlediska legislativní techniky však není nutné ani vhodné uvádět jednotlivé nyní relevantní zákony v poznámkách pod čarou jako u současného § 3 odst. 6 zákona o ochraně osobních údajů, kde poznámky stejně zastaraly.

§ 7

Článek 8 Obecného nařízení o ochraně osobních údajů 2016/679 umožňuje snížit věkovou hranici pro platné on-line souhlasy na 13 let, byť sám stanoví subsidiární věkovou hranici na 16 let, což je kompromisem mezi návrhem Komise (13 let) a požadavky některých států (18 let z důvodu zletilosti).

Při zvážení hranice lze vyjít z dalších úprav (Child Online Privacy Protection Act v USA stanoví 13 let, návrh Komise na nařízení nahrazující nařízení 45/2001(ES) stanoví také 13 let), jakož i z povahy věci. Vzhledem k tomu, že jde o soukromoprávní regulaci, je základem nový občanský zákoník. Pro dospělé nezletilé platí § 31 NOZ, tedy subjektivní vymezení, které je tímto zákonem modifikováno na objektivní. Z formulací NOZ také vychází text ustanovení.

Zároveň je nutno vzít v úvahu problémy a rizika hrozící mládeži v souvislosti s informačními technologiemi (nelegální obsah, kyberšikana apod.). Jakkoli zpracování osobních údajů v rámci služeb informační společnosti není typově tak rizikovou činností, jako jiné činnosti, které podle českého práva vyžadují předchozí souhlas rodiče (například souhlas zákonného zástupce s udělením řidičského oprávnění podle § 83 zákona č. 361/2000 Sb., o silničním provozu, ve znění pozdějších předpisů, nezletilým ve věku 15, 16 nebo 17 let, protože řízení motorových vozidel je činností, kterou řidič typicky vykonává samostatně a bezprostředně, do které nelze z časových ani technických nebo bezpečnostních důvodů zasáhnout, a která je tedy z povahy věci typově obtížnější a rizikovější), nelze zastírat ani možnost zásadních a svými dopady dlouhodobých následků neuváženého poskytování, případně zveřejňování, některých osobních údajů ze strany dětí.

Současně nelze odhlédnout od reálného života společnosti, kdy nezletilí běžně používají mobilní telefony a zasílají textové zprávy, takže omezování například emailových služeb, sociálních sítí nebo podobných způsobů komunikace se v některých situacích může snadno stát nepřiměřeným.

Je také pravdou, že samotný požadavek zákona na souhlas zákonného zástupce může vhodně doplnit, ale nikoli nahradit, další způsoby přecházení ohrožení dětí a snižování rizik spojených s využíváním informačních a komunikačních technologií dětmi, tedy zejména osvětu a pravidelný zájem poučeného rodiče.

Při zvážení výše uvedených okolností se navrhuje snížit věk pro souhlas dítěte z 16 let, nikoli však na nejnižší povolenou hranici (tj. 13 let), ale na více přiměřených 15 let věku dítěte.

Jak plyne z článku 7(3) nařízení 2016/679, souhlas lze kdykoli odvolat a zároveň není nutno jej obnovovat (např. po uplynutí určitého času).

Je samozřejmé, byť tak nařízení 2016/679 přímo nestanoví, že je-li dítě daného věku způsobilé k udělení souhlasu, je způsobilé i k jeho odvolání, případně k uplatnění dalších práv (právo na výmaz, na opravu atd.) týkajících se takového zpracování osobních údajů, ke kterému dalo souhlas (tj. které by se bez jeho souhlasu neuskutečnilo).

§ 8

Navržené ustanovení má za cíl umožnit informování subjektů údajů podle článků 13 a 14 odst. 1, 2 a 4 Obecného nařízení o ochraně osobních údajů obecně tím, že jsou požadované parametry zpracování popsány a zveřejněny způsobem umožňujícím dálkový přístup. Vzhledem k tomu, že článek 6(2) tohoto nařízení umožňuje členským státům přijmout konkrétní ustanovení, která přesněji určí konkrétní požadavky na zajištění zákonného a spravedlivého zpracování, jen v případě zpracování probíhajících na základě titulů podle čl. 6(1)(c) nebo čl. 6(1)(e) téhož nařízení, je aplikace § 7 omezena na případy uvedené v § 5, které odpovídají výše uvedeným titulům Obecného nařízení.

V tomto případě se jedná o odpovídající využití ustanovení čl. 6(2) Obecného nařízení o ochraně osobních údajů a zajištění korektního zpracování, neboť jde o aplikaci principu, že neznalost zákona neomlouvá. Pokud je možno za nesplnění povinností plynoucích ze zákona postihnout osobu sankcí, nemůže být nekorektní, pokud je v takovém případě odkázáno na obecný popis zpracování osobních údajů.

Podpůrně se vychází též z recitálu 42 směrnice 2016/680, který tento způsob informování subjektů údajů o zpracování výslovně umožňuje v oblasti odhalování a potírání trestné činnosti. Nejedná se tedy o řešení v Unii neznámé. Orgány, které postupují v některých případech podle nařízení 2016/679 a v jiných případech podle směrnice 2016/680, budou moci toto řešení využít i tak, že podají popis zpracování (avšak se všemi vyžadovanými parametry) společně pro různé oblasti své činnosti. Vychází se zároveň z toho, že zpracování založená na zákonu jsou obvykle popsána a upravena v právním řádu, který je veřejně dostupný.

Ustanovení nezbavuje správce povinnosti uvést skutečnosti požadované články 13 a 14 Obecného nařízení o ochraně osobních údajů 2016/679, ani povinnosti dodržet formu podle článku 12(1) téhož nařízení.

Veřejná dostupnost stručné, srozumitelné a transparentní informace o zpracování, které upravuje zákon, je dostatečnou zárukou náležité informovanosti subjektu údajů. Správce navíc může vhodným způsobem na zveřejněnou informaci odkazovat při kontaktu se subjektem údajů.

Zároveň platí ustanovení čl. 13(4) a 14(5)(a) nařízení 2016/679 o tom, že informace není nutno poskytovat, pokud je již subjekt údajů má, což umožňuje správci informovat subjekty údajů o nějakém zpracování i s předstihem v rámci pravidelné komunikace s nimi (např. při doručování oběžníku všem obyvatelům v obci).

§ 9

Ustanovení v kontextu článku 19 Obecného nařízení na ochranu osobních údajů 2016/679 reaguje na v praxi časté případy, kdy správce poskytuje příjemci přístup k databázi, takže změna zdrojové databáze povede k žádoucím úpravám i u příjemce. Pokud příjemce spoléhá na aktuální podobu databáze, přijme bez dalšího i aktuální soubor osobních údajů po provedených opravách, blokacích nebo výmazech. Jde pouze o jednu z možností, jak informovat příjemce, správce není povinen ji využít, je však povinen splnit informační povinnost podle čl. 19 nařízení 2016/679 vždy, kdy mu z tohoto článku vyplývá.

§ 10

Provádí možnost danou článkem 35(10) Obecného nařízení o ochraně osobních údajů 2016/679. Pokud tedy ukládá právní předpis nějakou povinnost, jejíž součástí je i zpracování osobních údajů (např. zaměstnavatel musí zpracovávat osobní údaje pro účely sociálního pojištění), nemusí správce provádět posouzení vlivu na ochranu osobních údajů, neboť by to bylo nadbytečné a představovalo nadměrnou zátěž, protože by to nemohlo vést k nesplnění uložené povinnosti. Ustanovení § 10 tedy staví na jisto, že se povinnost provádět posouzení vlivu nevztahuje ani na zpracování povinná podle předpisů přijatých před účinností nařízení, a dává jistotu, že ČR na základě čl. 35(10) Obecného nařízení další hodnocení nepožaduje.

Posouzení dopadů navrhovaného řešení ve vztahu k ochraně soukromí a osobních údajů je nicméně již od 14. listopadu 2012 s účinností od 1. ledna 2013 standardní součástí návrhu věcného záměru, důvodové zprávy/odůvodnění zákona nařízení vlády a vyhlášky podle Legislativních pravidel vlády, takže povinnosti stanovené novými předpisy již hodnocením dopadů prošly.

§ 11

Jde o subsidiární výjimku pro celou oblast upravenou Obecným nařízením. Práva subjektu údajů jsou omezena jen v nezbytném rozsahu, jde tedy o řešení, které je přiměřenější než stávající § 3 odst. 6 zákona 101/2000 Sb. Přednost však stále má případná speciální úprava.

Formulace „články 12 až 22 a v jim odpovídajícím rozsahu též čl. 5“ svým obsahem odpovídá možnosti omezit podle čl. 23(1) nařízení 2016/679 rozsah povinností a práv uvedených v čl. 12 až 22, jakož i v článku 5 v rozsahu, v jakém ustanovení tohoto článku odpovídají právům a povinnostem stanoveným v článcích 12 až 22, jen se vyjadřuje stručněji.

Výjimka dodržuje čl. 23 Obecného nařízení. Oznámení úřadu není legislativním opatřením, tím je § 10, ale zárukou ve smyslu čl. 23(2)(d) Obecného nařízení. Postup správce lze úřadu oznámit i obecně, tj. ve vztahu ke všem stejným případům. Navrhovaná úprava se bude vztahovat na každého správce, pokud by postupem podle článků 12 až 22 došlo k vážnému ohrožení v jedné nebo více z uvedených oblastí. Subjekt údajů se také zpravidla dozví, proč bylo jeho právo splněno pouze částečně. Pro zpracování založená na nařízení platí výjimka v § 10. Pro zpracování založená na směrnici jsou rozsah práv a způsoby jejich omezení uvedeny v hlavě III.

Předpokládá se, že konkrétní omezení práv subjektů údajů a odpovídajících povinností správce (či zpracovatele) stanoví v přiměřeném rozsahu primárně předpisy upravující konkrétní oblast zpracování osobních údajů, které zároveň stanoví další upřesnění v souladu s článkem 23 Obecného nařízení o ochraně osobních údajů 2016/679. Obecné nařízení nepřipouští výjimku ze základních principů v čl. 5 jinak než v „odpovídajícím rozsahu“. Správce posoudí potřebnost výjimky z čl. 12 – 22 a v témže rozsahu se těší výjimce z čl. 5.

K prevenci vážného ohrožení v nejcitlivějších z oblastí, které uvádí článek 23 Obecného nařízení, je však vhodné zavést subsidiární ustanovení, které poskytuje v souladu s článkem 23 omezenou možnost limitovat práva subjektů údajů stanovená v jeho článcích 12 až 22.

Zárukou proti nadužívání tohoto ustanovení je oznamování postupu správce Úřadu. Relevantní parametry tohoto postupu je účelné oznámit ÚOOÚ současně, proto tuto povinnost obsahuje odst. 2. To neplatí pro soudy v případech, kdy nepodléhají podle článku 55(3) nařízení 2016/679 dozoru ze strany úřadu.

Současně se doplňuje cílené ustanovení umožňující omezení práva podle článku 15, které má například zabránit ztrátě efektivity kontrolních a zabezpečovacích opatření zajišťujících plnění povinností či podmínek služby zaměstnanci nebo uživateli.

Písm. c) zahrnuje různé s trestním řízením související nebo podpůrné činnosti, významné pro potírání trestné činnosti. Typickým příkladem je vedení centrální evidence účtů Českou národní bankou podle zákona č. 300/2016 Sb., o centrální evidenci účtů, ve znění zákona č. 183/2017 Sb., jakožto prostředku sloužícího k odhalování trestné činnosti a stíhání pachatelů trestných činů, zajištění významných hospodářských a finančních zájmů a bezpečnosti České republiky nebo Evropské unie.

Písm. d) zahrnuje i záležitosti důležitého cíle veřejného zájmu v oblasti veřejného zdraví, mezi které spadá i systém veřejného zdravotního pojištění. Jak plyne i z textu písm. d), které přímo zmiňuje rozpočtové záležitosti Evropské unie, zahrnuje toto ustanovení i záležitosti důležitého cíle veřejného zájmu v oblasti správy dotací Evropské unie.

Písm. a) a b) se týkají zajišťování bezpečnosti ČR nebo vnitřní bezpečnosti bez ohledu na povahu hrozby, a vztahují se i na relevantní aktivity v oblasti bezpečnosti komunikačních nebo elektronických sítí.

Pokud jde o „přiměřené použití článků 12 - 22 nebo odložení splnění povinností správce“, má se tím na mysli, že správce má splnit své povinnosti, resp. umožnit výkon práv subjektu údajů, v tom rozsahu, v jakém nedochází k ohrožení cílů vypočtených v písm. a) až f), nebo splnění povinnosti odložit na dobu, kdy již k takovému ohrožení nedojde.

Předkladatel dále pečlivě vyhodnotil použitelnost výjimek z nejdůležitějších práv subjektů údajů (srov. čl. 14(5)(b), čl. 17(3)(e), čl. 18(2)) podle nařízení 2016/679. Na základě toho předkladatel navrhuje, že za účelem realizace ochrany oprávněných zájmů a práv a svobod druhých je zapotřebí umožnit výjimku z článku 15, kterou zapracoval do svého návrhu § 11 odst. 3. Ochrana proti podvodům je podle recitálu (47) nařízení 2016/679 součástí ochrany oprávněných zájmů správce nebo třetí osoby.

§ 12

Ustanovení článku 34 Obecného nařízení o ochraně osobních údajů 2016/679 ukládá správci informovat o technickém napadení databáze nebo jiném porušení zabezpečení osobních údajů (například ztrátě nosiče osobních údajů), které vyvolává vysoké riziko, bez zbytečného odkladu. Ustanovení je tak v souladu s recitálem 86 obecného nařízení, v němž se uvádí, že v případě potřeby zmírnit bezprostřední riziko způsobení újmy je nutné porušení zabezpečení subjektům údajů neprodleně oznámit, zatímco v situaci, kdy je zapotřebí zavést vhodná opatření s cílem zabránit tomu, aby porušení zabezpečení osobních údajů pokračovalo nebo aby docházelo k podobným případům porušení, může být opodstatněna delší lhůta. Bez jasného stanovení výjimky by mohlo následně dojít k tomu, že správci, na základě poslední věty recitálu 86, vystaveni přísnějšímu výkladu obratu „bez zbytečného odkladu“, než předpokládá připomínkující. Proto navrhované znění § 12 tuto situaci jasně upravuje.

Pojem „porušení zabezpečení osobních údajů“ je definován v čl. 4(12) GDPR, pojem „oznámení“ a „odložení oznámení“ je dostatečně jasný.

Navržené ustanovení umožňuje takové oznámení přinejmenším odložit a tak předejít různým nežádoucím důsledkům včetně například paniky, ohrožení veřejného pořádku apod. Zárukou proti nadužívání tohoto ustanovení je oznamování postupu správce Úřadu za podmínek vysvětlených u § 11.

§ 13

V zájmu právní jistoty se s využitím článku 6(2) Obecného nařízení o ochraně osobních údajů uvádí výslovně, že předání nebo zpřístupnění osobních údajů stanovené zákonem nebo jiným právním předpisem není dotčeno právem subjektu na omezení zpracování osobních údajů, protože se v dodržení takové povinnosti spatřuje důvod důležitého veřejného zájmu ČR ve smyslu čl. 18(2) nařízení 2016/679.

Zároveň se ale z důvodu posílení ochrany subjektu údajů po předávajícím správci vyžaduje, aby předávané údaje označil jako osobní údaje, jejichž správnost subjekt údajů popírá, proti nimž vznesl námitku, nebo jako údaje spadající do ostatních písmen článku 18(1) Obecného nařízení o ochraně osobních údajů.

§ 14

Toto ustanovení reaguje na povinnost „orgánů veřejné moci“ a „veřejných subjektů“ jmenovat pověřence. Zatímco skupina „orgánů veřejné moci“ je poměrně jasná, odpovídající recitál 97 hovoří jen o nich a pojem „veřejné subjekty“ vůbec nerozvádí.

Smyslem článku 37(1)(a) není kontrola moci ze strany veřejnosti, ani kontrola hospodaření s veřejnými prostředky, jako u zákona 106/1999 Sb. a dalších předpisů o přístupu k informacím. Proto nemá smysl vykládat tuto povinnost v rozsahu daném takovými zájmy.

Smyslem ustanovení čl. 37 odst. 1 písm. a) je lépe chránit osobní údaje v případech, kdy existuje dostatečná formální i materiální nerovnováha mezi subjektem údajů a správcem, například protože příslušný zákon, podle kterého se správce řídí, může stanovit řadu omezení práv subjektu údajů. Pokud například obec založí s.r.o. na opravu silnic, nemá zřízení pověřence pro ochranu dat v takové s.r.o. žádnou přidanou hodnotu a představuje administrativní zátěž a náklad navíc. Obdobná je situace, kdy obec zřídí divadlo či knihovnu jako příspěvkovou organizaci, s běžným rozsahem zpracování údajů.

Typickým příkladem je v tomto ohledu situace notářů a exekutorů, neboť jak postup notářů tak i exekutorů je striktně vymezen zákonem. Subjekt údajů tak nemá reálnou možnost ovlivnit, zda a jak budou jeho osobní údaje zpracovávány. Přidaná hodnota zakotvení povinnosti mít pověřence pro ochranu osobních údajů pro notáře a exekutory tak spočívá v tom, že se tak poskytuje dodatečná ochrana subjektu údajů za situace, kdy vzhledem k příslušné procesní úpravě je zpracování osobních údajů subjektu údajů nevyhnutelné. V tomto ohledu budiž zdůrazněno, že zákon č. 120/2001 Sb., o soudních exekutorech a exekuční činnosti (exekuční řád) a o změně dalších zákonů, ve znění pozdějších předpisů, v ustanovení § 1 odst. 2 jednoznačně stanoví, že v rámci pověření exekutorským úřadem exekutor provádí nucený výkon exekučních titulů. Zákon č. 358/1992 Sb., o notářích a jejich činnosti (notářský řád), ve znění pozdějších předpisů, stanoví v § 2, že výkonem notářství se rozumí sepisování veřejných listin o právních jednáních, osvědčování právně významných skutečností a prohlášení, přijímání listin a peněz do notářské úschovy. Platí proto, že jak notářské tak exekutorské úřady jsou zřizovány zákonem a plní zákonem stanovené úkoly ve veřejném zájmu (např. vedení exekučního řízení, ověřování listin a podpisů atp.) ve smyslu navrhovaného ustanovení § 14 zákona o zpracování osobních údajů.

Z těchto důvodů se povinnost zřídit pověřence upřesňuje ve smyslu čl. 6(2) nařízení 2016/679 tak, aby dopadala na subjekty blížící se svou povahou orgánům veřejné moci. Nad rámec orgánů veřejné moci může jít o ČNB, NKÚ, Správu hmotných rezerv, veřejného ochránce práv a další instituce, které plní veřejnoprávní funkce státu, aniž nutně autoritativně rozhodují o právech a povinnostech. Mezi veřejné subjekty tak bude patřit i VZP, nikoli však jiné zdravotní pojišťovny zřízené podle jiného předpisu.

Povinnost naopak záměrně nedopadá např. na příspěvkové organizace či jiné pomocné instituce, protože v případech, kdy taková instituce provádí zpracování, jež vyžaduje nasazení pověřence, bude pokryta ustanoveními čl. 37 odst. 1 písm. b) nebo c) nařízení (například zdravotnická nebo pečovatelská zařízení, protože provádějí systematický monitoring subjektů údajů nebo rozsáhlé zpracování citlivých údajů). Naopak pokud takové zpracování neprovádí, ani není ve zvláštním vztahu k subjektům údajů, bylo by zavádění pověřenců zbytečnou administrativní zátěží.

Povinnostpodle článku 37 odst. 1 písm. a) nařízení 2016/679 tak nedopadá např. na Národní knihovnu, která je příspěvkovou organizací, u níž funkci zřizovatele vykonává Ministerstvo kultury a není orgánem.

Samotná okolnost, že určitá instituce nejmenuje pověřence podle článku 37 odst. 1 písm. a) nařízení 2016/679 , by však neměla snížit efektivní ochranu osobních údajů v případech, kdy činnost instituce spadá fakticky pod písm. b) nebo c) téhož ustanovení.

Zákon vychází z toho, že někteří správci, tradičně řazení spíše do veřejného sektoru, se nevyznačují podobným vztahem se subjekty údajů jako orgány veřejné moci. Pokud však takový správce provádí jako svou hlavní činnost zpracování zahrnující rozsáhlé a systematické monitorování nebo rozsáhlé zpracování citlivých údajů nebo údajů o rozsudcích v trestních věcech a trestných činech, pověřence stejně jmenovat musí podle článku 37 odst. 1 písm. b) nebo c) nařízení 2016/679.

§ 15

Obecné nařízení o ochraně osobních údajů v článku 43(1) vyžaduje, aby členské státy určily, zda bude subjekty, které budou certifikovat (osvědčovat) splnění požadavků různých dobrovolných pečetí, známek nebo certifikátů ochrany soukromí, akreditovat dozorový úřad (v ČR tedy ÚOOÚ), nebo akreditační orgán určený v souladu s nařízením č. 765/2008(ES), kterým je v ČR podle § 15 odst. 1 a 4 zákona č. 22/1997 Sb., o technických požadavcích na výrobky, ve znění pozdějších předpisů, a navazujícího sdělení Ministerstva průmyslu a obchodu vyhlášeného pod č. 385/2010 Sb. ustanoven Český institut pro akreditaci, o.p.s. Akreditace je v souladu s článkem 42(3) Obecného nařízení zcela dobrovolná.

Na základě jednání mezi oběma institucemi se volí varianta druhá.

Jak předpokládá článek 43(1)(b) Obecného nařízení o ochraně osobních údajů, ÚOOÚ bude pro akreditaci v této oblasti uplatňovat dodatečné požadavky zaměřené na ochranu osobních údajů.

Díl 2

Zpracování prováděné pro novinářské účely nebo pro účely akademického, uměleckého nebo literárního projevu

Článek 85 Obecného nařízení o ochraně osobních údajů ukládá členským státům povinnost uvést prostřednictvím právních předpisů právo na ochranu osobních údajů podle obecného nařízení do souladu s právem na svobodu projevu a informací, včetně zpracování pro novinářské účely a pro účely akademického, uměleckého či literárního projevu. Normy obsažené v ustanoveních § 16 – § 21 byly připraveny ve spolupráci se zástupci médií (vydavatelé, periodický tisk a televizní společnosti) i Úřadu pro ochranu osobních údajů a smiřují se jimi mnohdy protichůdné zájmy tak, aby byla respektována potřeba ochrany osobních údajů, ale zároveň i specifika zejména novinářské práce. Cílem úpravy je v mezích možností zachovat dosavadní stav a standard zejména novinářské práce, nikoliv rozšiřovat, ale ani zužovat, prostor svobody tisku. Přes četné garance ochrany osobních údajů a práv a subjektů údajů, nově zakotvené Obecným nařízením o ochraně osobních údajů, které jsou v této adaptační úpravě modifikovány, by tak v ideálním případě nemělo, alespoň dle záměru předkladatele, nejen v oblasti novinářské práce dojít k zásadním změnám a posunům oproti dosavadnímu stavu.

Navržená ustanovení § 16 – § 21 budou součástí předpisů, notifikovaných Komisi podle článku 85(3) Obecného nařízení o ochraně osobních údajů. Vzhledem k tomu, že účelem ustanovení je promítnout ústavně-právní rovnováhu mezi ochranou soukromí, a svobodou projevu a informací, předpokládá se i notifikace některých ustanovení zejména občanského zákoníku, Ústavy a Listiny. V tomto ohledu je třeba vykládat i národní adaptační úpravu, nad níž stojí normy ústavní síly, v jejichž světle je pak třeba nahlížet na konflikty mezi svobodou projevu a právem na informace na straně jedné, a zájmy subjektu údajů na straně druhé, zejména v hraničních případech. Normy ústavní síly, coby národní právo, jsou pak aplikovatelné i na další konflikty mezi normami upravujícími ochranu osobních údajů, a právy a chráněnými zájmy upravenými v ústavních normách (svoboda projevu, svoboda tisku, svoboda vědeckého bádání a umělecké tvorby, právo získávat a šířit informace), za použití principů přiměřenosti a proporcionality.

§ 16

Ustanovení § 16 shrnuje základní principy zpracování osobních údajů, konkrétně pak osobních údajů bez dalšího, dále citlivých osobních údajů a údajů o trestních věcech; závěrem je zdůrazněn zákaz cenzury a princip ochrany zdroje a obsahu informací.

Odst. (1) navazuje na čl. 6(1)(f) Obecného nařízení o ochraně osobních údajů

V odst. (1) se zohledňuje, že ustanovení 6(1)(f) Obecného nařízení o ochraně osobních údajů garantuje zákonnost zpracování osobních údajů tehdy, pokud je prováděno pro účely oprávněných zájmů správce, leda by převažovala práva a zájmy subjektu údajů. Lze dovodit, že mezi tyto oprávněné zájmy patří i zpracování pro novinářské účely a pro účely akademického, uměleckého či literárního projevu. Pro zajištění právní jistoty správců se uvedené účely výslovně uvádějí jako zákonný titul pro zpracování. Nesmí však zároveň jít o zpracování, které by bylo nepřiměřené v porovnání s právy a oprávněnými zájmy subjektu údajů, což má bránit jakémukoliv, respektive svévolnému, nakládání s osobními údaji.

Právní jistota spočívá v tom, že vážení zájmů uvedené v čl. 6(1)(f) Obecného nařízení se pro oblast svobody tisku posuzuje stejně, jako dle dosavadních předpisů.

Účelem ustanovení je rovněž zajistit stejný prostor a standard ochrany při zpracování pro uvedené účely, jaká se ustálila před přijetím Obecného nařízení o ochraně osobních údajů. To platí i o odchylkách a zvláštnostech, které vyplývají ze zvláštních předpisů (např. tiskový zákon, zákon o neperiodických publikacích, zákon o svobodném přístupu k informacím, občanský zákoník atd.), které navrženou úpravou nejsou nijak dotčeny, jinými slovy jde o obecnou a nevýlučnou úpravu, a to jak v rámci § 15 a násl., tak vůči dalším zvláštním předpisům, což je naznačeno i větou druhou ustanovení. Částečnou inspirací pro zvolené formulace byla zejména ustanovení § 89 a 90 občanského zákoníku.

Odst. (2) navazuje na čl. 9(1)(2) Obecného nařízení o ochraně osobních údajů:

V odst. 2 se zohledňuje, že v rámci realizace mj. svobody tisku je obvyklé i zpracovávání zvláštních kategorií osobních údajů, resp. citlivých osobních údajů, a to nejen v případech dle čl. 9 čl. 9(1)(2)(f) nebo g) Obecného nařízení o ochraně osobních údajů (údaje zveřejněné subjektem údajů, zpracování z důvodu významného veřejného zájmu), ale případně i z dalších důvodů (např. zájem na informování o osobnosti politického života z legitimního důvodu). Proto by zde zpracování mělo být v zásadě přípustné (jako doposud), ovšem s ohledem na citlivost údajů by k němu mělo docházet jen v nezbytných případech, kdy bez jejich zpracování nelze dosáhnout sledovaného cíle, který zároveň musí být cílem oprávněným, legitimním. Kumulativně musí oprávněný (legitimní) zájem na zpracování převažovat nad oprávněnými zájmy subjektu údajů, aby bylo zpracování přípustné. Oprávněným cílem novináře např. nebude zveřejnění citlivého údaje jen a pouze pro účely senzace, oprávněným zájmem subjektu údajů naopak nebude snaha vyhnout se zveřejnění citlivého údaje, významného např. v souvislosti s politickou činností anebo profilací osoby veřejného zájmu a vypovídajícího o její konzistentnosti nebo schopnosti vykonávat veřejnou funkci. Samozřejmostí je zpracování údajů běžně používaných v souvislosti s osobami veřejného zájmu (politická příslušnost, působení v zájmové organizaci, příslušnost k odborům apod.).

Daná úprava, speciální vůči obecné úpravě odstavce 1, je zároveň i obecnou a nevýlučnou úpravou nakládání s citlivými osobními údaji, aniž by tím byly dotčeny odchylky a zvláštnosti vyplývající ze zvláštních předpisů, jejichž aplikovatelnost není navrženou úpravou nijak dotčena. Účelem ustanovení je opět zachování dosavadního standardu zejména svobody tisku, ovšem při zachování standardní ochrany osobnostních práv a se záměrem stanovit vyšší práh přípustnosti zpracování takovýchto údajů, úměrně jejich citlivosti a okolnostem.

Cílem ustanovení odst. 1 a 2 (i 3) zároveň není nepřiměřeně omezovat zpracování osobních údajů v „přípravné fázi“, typicky před zveřejněním, kdy ještě nelze spolehlivě rozlišit, zda převáží zájem na zpracování nad zájmy subjektů údajů či nikoliv – v okamžiku přípravy lze vycházet nanejvýš z momentální rozvahy beroucí v potaz zatím jen předpokládaný cíl či výsledek, jak plyne z povahy věci i dynamiky žurnalistické činnosti. Na druhé straně, pokud ex post vyjde najevo, že převažuje zájem na ochraně osobních údajů, není již zásadně důvod k dalšímu zpracování (není-li k němu dán jiný legální titul). I v tomto ohledu je záměrem návrhu zachovat dosavadní praxi a nepodvazovat žurnalistickou činnost ukládáním povinností, jejichž plnění nelze spravedlivě požadovat (ani to s ohledem na význam práva na informace a svobody tisku není účelné a žádoucí). Je to až výsledek zpracování, typicky zveřejnění, které má největší potenciál zasáhnout do práv subjektu údajů a které musí obstát v testu proporcinality. Jinými slovy, test proporcionality, mající základ v čl. 6(1)(f), se v souladu s dosavadní úpravou provádí zásadně až ve stadiu zveřejnění, resp. okamžik před ním (typicky při editorské práci).

Odst. (3) navazuje na čl. 10 Obecného nařízení o ochraně osobních údajů:

V odst. 3 je cílem návrhu v zásadě zachování dosavadního standardu informování o trestních věcech (potažmo veřejnoprávním trestání, počítaje v to i přestupky), které je zpravidla vymezeno zájmem na informování či zájmem veřejnosti na informace o kriminalitě na straně jedné, a ochranou osobnosti či soukromí dotčených osob na straně druhé. S ohledem na citlivost informace o potrestání, která může mít i dopad na další život dotčené osoby, se připouští zpracování osobních údajů jen v případě potřeby použití údajů k dosažení oprávněného cíle a převahy oprávněného (legitimního) zájmu na použití osobních údajů nad zájmy subjektu údajů, typicky v záležitostech veřejného zájmu, příp. i v jiných důležitých případech (může dojít i na důležitý soukromý zájem – např. pátrání po nezvěstné osobě). U přestupků, kde ostatně řízení probíhá neveřejně, půjde spíše o výjimečné případy (např. u veřejně exponovaných osob, typicky politiků či vysoce postavených úředních osob). V případě trestných činů, kde se již přidává i zájem na informování veřejnosti o řešení závažnější kriminality a také prvek osvětový i odrazující, půjde o zpracování častější a potřebnější. I zde bude třeba vážit míru zájmu na zpracování toho kterého osobního údaje, zejména jde-li o osobní údaje třetích osob (typicky obětí trestné činnosti). Podobná pravidla platí i pro jiná či související bezpečnostní opatření, kdy má přednost práce s informacemi nevyužívající osobní údaje, leda by převažoval zájem, zejména veřejný, na jejich sdělení či šíření, počítaje v to i informování o trestné činnosti a jejím potírání v rámci obecné prevence, ovšem opět v limitech vyplývajících i z jiných právních předpisů, např. v oblasti informačního práva nebo trestního práva procesního. Jinými slovy jde opět o obecnou a nevýlučnou úpravu, respektující i zvláštnosti zpracování dle jiných předpisů.

Informování o trestních věcech (v dřívější národní úpravě pojednávané v rámci tzv. citlivých údajů) je vyčleněno do samostatného ustanovení s ohledem na systematiku Obecného nařízení o ochraně osobních údajů i specifika daného typu informací. Ustanovení zohledňuje jak procesní stránku věci (pozice podezřelého, obviněného, obžalovaného, odsouzeného atd.), tak i materiální stránku věci (jednání mající znaky trestnému činu, resp. podezření ze spáchání skutku odpovídajícího trestnému činu, tj. bez ohledu na stránku procesní, jde-li materiálně nahlíženo o trestní věc). Stran míry ochrany se zohledňuje častější odůvodněné používání informací o trestné činnosti (v rámci generální prevence a informování veřejnosti o potírání trestné činnosti), odstupňovaně s ohledem na citlivost údajů i procesní stadium věci, oproti citlivým údajům podle odst. 2, kde má platit relativně nejvyšší úroveň ochrany.

Odst. (4) navazuje na čl. 58(1) a (2) Obecného nařízení o ochraně osobních údajů, částečně též na čl. 33 a 34 Obecného nařízení o ochraně osobních údajů:

V odst. 4 je účelem ustanovení zachovat a na zákonné úrovni formulovat zákaz cenzury, jakož i právo na ochranu zdroje, z důvodu, že by v některých případech mohlo dojít ke konfliktu s uvedenými principy. Úpravou, mající své východisko v ústavním pořádku, by mělo být zajištění zachování stávajícího stavu ochrany výkonu zejména svobody tisku. S ohledem na rozvoj nových technologií se výslovně odkazuje na použitelnost shodných pravidel i pro internetová média. Právo na ochranu zdroje a obsahu informací se z povahy věci bude vztahovat i na informace, věci či prostředky, z nichž by mohl být zdroj či obsah informace určen.

Pro úplnost lze upozornit, že ochrana zdroje a obsahu informace trvá i po okamžiku případného předání takto chráněných informací Úřadu. Ten je tak povinen je chránit i v případě poskytování informací dle zákona o svobodném přístupu k informacím nebo umožní-li nahlížet do spisu subjektu odlišnému od toho, který informace (chráněný obsah) pro účely výkonu dozoru a kontroly poskytl (byť se zde může uplatnit i autorskoprávní ochrana). Pro takové příklady je vhodné poskytnuté chráněné informace předem výslovně označit, aby Úřadu bylo zřejmé, které informace má chránit.

§ 17

Ustanovení § 17 zakotvuje výjimky z poučovací a informační povinnosti správce, jejíž naplňování by v praxi bylo jen obtížně představitelné a v některých případech by i mařilo zejména novinářskou práci.

Ustanovení § 17 navazuje na čl. 12(1) a (2), čl. 13(1) a (2) a čl. 21(4) Obecného nařízení o ochraně osobních údajů:

V odst. (1) návrh reaguje na praktické problémy při výkonu novinářské, ale třeba i vědecko-výzkumné činnosti, kdy je jen obtížně představitelné, že by před každým telefonátem, rozhovorem, natáčením, anketou apod. bylo nejdřív nutné subjekt údajů podrobně informovat o jeho právech na úseku ochrany osobních údajů. Návrh dále reaguje zejména na praktické problémy při výkonu novinářské profese, kdy je jen obtížně představitelné, že by před každým kontaktem se správcem či jím pověřenou nebo zjednanou osobou bylo nejdřív nutné subjekt údajů podrobně informovat o jeho právech na úseku ochrany osobních údajů. Proto zcela postačuje vhodný způsob informování o identitě správce (typicky ústně, ale třeba i viditelným symbolem, označením písemné zprávy názvem a logem apod.), pokud si subjekt údajů může potřebné podrobné poučení dohledat typicky na internetových stránkách správce.

V odst. (2) návrh zároveň reaguje na potřebu ochrany výkonu svobody tisku ve veřejném zájmu (skrytá kamera, reportáž v utajení či pod falešnou identitou), kdy by identifikace správce vedla ke zmaření takovýchto aktivit. Proto lze informování o příslušnosti ke správci (typicky vydavatel denního tisku, televize, rozhlas) též na nezbytnou dobu odložit.

V odst. (3) návrh řeší situaci, kdy by dodatečné splnění povinnosti po jejím prvotním odložení není možné nebo by bylo spojeno s neúměrnými obtížemi nebo náklady, proto lze výjimečně připustit dle zásady „nemožné nezavazuje“ její dodatečné nesplnění, resp. vyloučení; návrh se zde inspiruje čl. 14 odst. 5 Obecného nařízení o ochraně osobních údajů.

§ 18

Ustanovení § 18 zakotvuje pravidla a výjimky potřebné k ochraně zdroje a obsahu informací, které by jinak normy Obecného nařízení o ochraně osobních údajů prolamovaly.

Ustanovení § 18 navazuje na čl. 14(1) – (3) a čl. 15 Obecného nařízení o ochraně osobních údajů a dílem též na § 33(1) Obecného nařízení o ochraně osobních údajů:

V odst. (1) návrh zohledňuje zejména potřebu chránit zdroj informací, tradičně chráněnou zejména tiskovým právem. Bez této ochrany si ani nelze představit zejména výkon novinářské profese, kdy by odhalování zdroje informací mohlo mařit zejména výkon žurnalistiky ve veřejném zájmu. Daná situace ale může nastat i při vědeckém výzkumu či v rámci umělecké (literární) tvorby, neboť vědecký, literární či zpravodajský žánr se mohou prolínat či překrývat.

V odst. (2) návrh dále reaguje na praktické problémy, které by nastaly, pokud by při každém zpracování osobních údajů, pocházejících od třetích stran, bylo nezbytné informovat subjekt údajů o všech skutečnostech a právech souvisejících se zpracováním; návrh opět směřuje k zachování dosavadního právního stavu.

V odst. (3) návrh, který zde navazuje na čl. 15 Obecného nařízení o ochraně osobních údajů, zohledňuje zejména legitimní potřebu chránit informace v době před jejich dalším zpracováním, typicky zveřejněním, nebo za jiné situace, kdy by realizací práva na přístup k osobním údajům došlo ke zmaření účelu jejich zpracování (např. snahou zjistit, jakými údaji či informaci disponuje novinář k určité osobě, kolik informací již shromáždil, kdo o něm sdělil určité informace apod.). Na druhé straně není právo na přístup k osobním údajům zcela negováno. Omezení či vyloučení bude logicky trvat jen po dobu, kdy je potřeba.

V odst. (4), který má návaznost na čl. 33(1) Obecného nařízení o ochraně osobních údajů, se přes úvodní garanci ochrany zdroje a obsahu informací pro účely právní jistoty výslovně uvádí v návaznosti na povinnost hlásit porušení ochrany osobních údajů možnost učinit tak bez údajů umožňujících určení zdroje či obsahu osobních údajů. V takovém případě by byl správce povinen specifikovat údaje alespoň druhově, jejich opisem či dle kategorií.

§ 19

Ustanovení § 19 zakotvuje zužující výjimku z práva na omezení zpracování osobních údajů, které by jinak mohlo i paralyzovat zejména novinářskou práci.

Ustanovení § 19 navazuje na čl. 18 Obecného nařízení o ochraně osobních údajů:

V odst. (1) se právo na omezení zpracování osobních údajů zužuje pouze na případy, kdy subjekt údajů potřebuje údaje, které však již správce nadále nepotřebuje (a které by třeba mezitím byly smazány) pro vymáhání svých právních nároků, ať už vůči správci nebo vůči třetím osobám. Ve zbytku pak postačují standardní prostředky ochrany tiskového, resp. občanského, práva.

V odst. (2) se pro úplnost vyjasňuje, že v případě uplatňování práva na opravu osobních údajů se postupuje jako v případě žádosti o tiskovou opravu dle tiskového práva, nelze tak tedy činit prostřednictvím norem upravujících ochranu osobních údajů (může jít např. o chybně uvedené jméno, o záměnu s jinou osobou apod.).

§ 20

Ustanovení § 20 zakotvuje zužující výjimku z povinnosti informovat o opravě nebo výmazu osobních údajů, jejíž plnění by většinou, zejména v prostředí on-line tisku, nebylo v praxi reálně proveditelné.

Ustanovení § 20 navazuje na čl. 19 (a čl. 17 odst. 2) Obecného nařízení o ochraně osobních údajů:

V odst. (1) je promítnuta skutečnost, že v případě médií adresovaných blíže neurčenému okruhu příjemců není reálné všechny informovat o opravách či výmazech osobních údajů. V případě informací na internetu je však možné alespoň upozornit na provedení změn, a to údajem o aktualizaci informačního obsahu. Neuvádí se již konkrétní předmět opravy či které údaje byly opraveny (což by mohlo jít proti smyslu opravy či výmazu), ale ani druh opravy, neboť by to v případě automatizovaných systémů aktualizace vyžadovalo zatěžující nepřetržitou analýzu obsahových změn, jejich vyhodnocování a popisování. Ve zbytku by pak měly postačit tradiční instituty opravy a odpovědi.

V odst. (2) se na druhé straně správci ukládá informační povinnost alespoň tam, kde údaje, které byly později opraveny, sám předal dalším subjektům, a kde proto požadavek na informování není nerealistický (nejde o blíže neurčený, resp. neomezený, okruh příjemců).

§ 21

Ustanovení § 21 zužuje právo na podání námitky proti zpracování osobních údajů, které by zejména ve stadiu před publikováním mohlo efektivně mařit zejména novinářskou práci, neboť do vyřízení námitky by nebylo možné údaje dále zpracovávat.

Ustanovení § 21 navazuje na čl. 21(1) a (4) Obecného nařízení o ochraně osobních údajů:

Smyslem úpravy je částečné převrácení důkazního břemena v případě, kdy subjekt údajů namítá převahu svých zájmů nad zájmem na zpracování osobních údajů, a to z důvodu, že podávání námitek, tím spíše námitek obecných, by mohlo velmi účinně mařit zpracování informací zejména pro zpravodajské nebo investigativní účely, ač třeba bude převažovat veřejný zájem na zpracování údajů nebo ač jsou námitky proti zpracování neoprávněné či nelegitimní.

Námitka proto musí být dostatečně konkrétní a týkající se konkrétní informace, a převaha osobních zájmů musí být alespoň osvědčena (podobně jako u návrhu na vydání předběžného opatření). Možnost uplatnit námitku se zároveň zužuje pouze na zveřejněné údaje, protože v rámci svobody projevu, resp. svobody tisku, teprve zveřejnění údajů podstatně zasahuje do práv subjektu údajů. Ve fázi přípravy článku či reportáže navíc obvykle není možné odpovědně rozhodnout o tom, zda je možné námitce vyhovět či nikoliv.

V případě postupu dle Obecného nařízení o ochraně osobních údajů by jinak v důsledku podávání námitek mohlo dojít až k paralýze výkonu svobody tisku, nebo by si vyřizování námitek vyžádalo enormní náklady, což by opět mělo nežádoucí negativní dopad na svobodu tisku.

Hlava III

V této hlavě se nacházejí ustanovení, která z části provádějí směrnici o ochraně osobních údajů v trestní soudní a policejní spolupráci 2016/680. Jde o ustanovení společná několika bezpečnostním sborům a dalším orgánům, která je vhodné soustředit do obecnějšího předpisu.

Při tomto zpracování zákon používá termín „spravující orgány“, aby předešel omylům, zdůraznil, že jde o jiný soubor pravidel, a tím vyloučil případnou nesprávnou aplikaci těchto pravidel jinými subjekty při zpracování, které správně podléhá hlavě II nebo případně hlavě IV.

Pokud tyto orgány zpracovávají údaje i v jiných oblastech (typicky půjde o oblast personální, případně o řízení podléhající předpisům Evropské unie z jiné oblasti, jako je problematika řízení ve věcech o pobytu cizinců nebo ve věcech zbraní a střeliva nebo v celních správních věcech), použijí Obecné nařízení o ochraně osobních údajů 2016/679.

§ 22

Obecné ustanovení upravuje zejména věcnou působnost hlavy III v odstavci 1 a 4 a personální působnost v odstavci 3. Dále přebírá definice z Obecného nařízení o ochraně osobních údajů 2016/679, které jsou totožné i pro směrnici 2016/680.

Pro zdůraznění odlišné věcné působnosti jsou orgány, které mohou být správci podle směrnice 2016/680, označovány jako „spravující orgány“, nikoli jako „správci.

Cílem je zahrnout orgány, které se specificky zabývají výkonem veřejné moci v oblasti prevence a potírání trestné činnosti. Proto se v odst. 1 využívá spojení „plnění úkolu a výkonu veřejné moci“. Navíc se v poznámce pod čarou uvádějí relevantní právní předpisy. Tím, jakož i stanovením osobní působnosti v odst. 3, dochází k odlišení spravujících orgánů od orgánů, které se na činnosti veřejné moci v oblasti prevence a potírání kriminality podílejí jen podpůrným způsobem.

Do působnosti hlavy III tak například nespadá činnost Úřadu pro zastupování státu ve věcech majetkových (ÚZSVM), přestože hospodaří i s majetkem, který propadl státu podle předpisů trestního práva hmotného nebo procesního.

Do působnosti hlavy III samozřejmě nespadá činnost dalších regulatorních orgánů, přestože tyto orgány plní určité úkoly související s postihem trestné činnosti nebo její prevence, ale jejich celkové zaměření je odlišné od potírání trestné činnosti a prevence bezpečnostních hrozeb. Z tohoto důvodu do hlavy III nespadá například činnost České národní banky, přestože plní určité úkoly související nebo preventivní (v oblasti oběhu hotovosti jde o problematiku padělků, dále např. o postih neoprávněně podnikajících osob na finančním trhu), nebo činnost jiných kontrolních nebo regulatorních orgánů.

Z obratu „…zajišťování veřejného pořádku a vnitřní bezpečnosti…“ je dále zjevné, že ani skutečnost, že nějaký úřad vede např. řízení o přestupcích s cílem chránit veřejný pořádek, není důvodem pro jeho zahrnutí do hlavy III, resp. do působnosti směrnice 2016/680. Směrnice se vztahuje na činnosti související s prevencí a potíráním trestné činnosti s jejich specifickými rysy, vyznačujícími se možností těch nejzávažnějších zásahů do lidských práv a základních svobod (odposlechy, nasazení agentů apod.), což je odůvodněno povahou potírání trestné činnosti jako ultima ratio, nebo na udržování veřejného pořádku s tím související. Rozšíření směrnice na velmi rozličné činnosti související se správním trestáním v různých situacích by vedlo jak k neodůvodněnému snížení ochrany osobních údajů při těchto činnostech, tak k neodůvodněné zátěži správního orgánu, který by například kontrolní činnost prováděl podle nařízení 2016/679, ale sankci za přestupky zjištěné touto činností ukládal podle směrnice 2016/680.

Stručně lze uvést, že předpisům o ochraně osobních údajů bude (podobně jako doposud) podléhat zpracování i jen z části automatizované (např. ukládané v digitální podobě), jakož i zpracování kartotéční, tj. neautomatické, ale zahrnující evidenci. Naopak prosté orientační náčrtky nebo poznámky na listu papíru, které nebudou řazeny do žádného spisu nebo evidence, těmito pravidly z pochopitelných důvodů (nejde o nijak systematickou činnost) upraveny nejsou.

§ 23

Obecné ustanovení o zásadách zpracování provádí článek 4 směrnice 2016/680. Zásady zákonnosti a přiměřenosti jsou již provedeny platnými ustanoveními relevantních předpisů (u zásady přiměřenosti lze uvést např. § 11 zákona o Policii ČR).

Vzhledem ke vztahu § 22 a § 23 v rámci téže hlavy může spravující orgán podle písm. a) stanovit jen takový účel, který spadá do jeho povinností podle § 22.

Ustanovení odst. 1 písm. a) zároveň presumuje kompatibilitu účelů, stanovených v článku 1(1) směrnice 2016/680, která ze směrnice obecně vyplývá, neboť článek 4(2) změnu účelů v rámci článku 1(1) nepodmiňuje jejich kompatibilitou, ale pouze zákonným titulem pro zpracování a nezbytností, které jsou vyjádřeny v platných ustanoveních relevantních předpisů.

§ 24

Nové ustanovení provádí v nezbytném a relevantním rozsahu článek 6 směrnice 2016/680, jenž v jistých případech vyžaduje rozlišování mezi různými kategoriemi subjektů údajů, a článku 7 téže směrnice, který se zabývá kvalitou údajů, s využitím dosavadního ustanovení § 79 odst. 3 zákona o Policii ČR.

V zásadě se ovšem vychází z toho, že rozlišování procesního postavení osob je neoddělitelnou součástí a do jisté míry samotnou podstatou trestního řízení. Zároveň pro spravující orgán platí základní zásada, že musí udržovat osobní údaje aktuální a přesné ve vztahu k účelu zpracování.

§ 25

Toto ustanovení provádí článek 13 odst. 1 směrnice 2016/680 s využitím recitálu (42) téže směrnice, který umožňuje informovat subjekty údajů o zpracování prostřednictvím webové stránky.

Článek 13 odst. 2 a 3 směrnice jsou v relevantních případech provedeny již existujícími zvláštními ustanoveními právního řádu, jako příklad lze uvést § 88 trestního řádu.

§ 26

Toto ustanovení provádí články 14 a 15 směrnice 2016/680 o právu subjektu údajů na přístup k osobním údajům, které jsou o něm zpracovávány, a o omezeních tohoto práva. Stanoví se informace, na které má subjekt údajů nárok. Zároveň se stanoví v souladu s čl. 15 výše uvedené směrnice důvody, pro které lze přístup poskytnout pouze částečně nebo žádosti nevyhovět vůbec.

§ 27

Toto ustanovení provádí článek 16 směrnice 2016/680, včetně vzájemného vztahu mezi právem na výmaz, na opravu a na omezení zpracování. V souladu s článkem 16 této směrnice se upravují důvody, pro které lze vyhovět žádosti subjektu údajů pouze částečně nebo jí nevyhovět vůbec.

§ 28

Společné ustanovení pro vyřizování žádostí slouží k provedení článku 12 směrnice 2016/680 v rozsahu, ve kterém implementace nevyplývá z jiných ustanovení právního řádu. Např. to, že nelze ukládat poplatky za podání žádosti, plyne a contrario ze zákona o správních poplatcích. Obdobně kvalita komunikace se subjektem údajů předepsaná článkem 12(1) této směrnice (stručně, srozumitelně, přístupně, jasně a jednoduše) se již dostatečně odráží v základních zásadách právního řádu a správního řízení, což platí i o ustanovení článku 12(2).

V odst. 1 se provádí odst. 3 článku 12 této směrnice.

V odst. 2 se provádí odst. 4 téhož článku s tím, že po konzultaci všech věcně odpovědných resortů bylo zvoleno řešení, podle kterého se žádostem odmítá vyhovět, tj. byla odmítnuta varianta zpoplatnění žádosti jako neefektivní. Za standardních okolností se krátkou dobou, ve které se žádost subjektu údajů v téže věci opakuje, rozumí 6 měsíců, a to v souladu s účinným zněním zákona č. 273/2008 Sb., o Policii České republiky, stejně jako zákona č. 300/2013 Sb., o Vojenské policii, a zákona č. 341/2011 Sb., o Generální inspekci bezpečnostních sborů.

V odst. 3 se stejně jako podle platné úpravy subjekt údajů informuje o možnostech přezkumu nebo ochrany, čímž se provádějí články 15(3) a 16(4) věta poslední téže směrnice.

Odst. 4 se přebírá z dosud platného znění § 12 odst. 4 zákona o ochraně osobních údajů. S ohledem na dosavadní praxi zohledňující povinnost přijmout taková opatření, aby nedošlo k neoprávněnému zpracovávání osobních údajů, např. tím, že se dostanou do nepravých rukou, se výslovně doplňuje oprávnění požadovat kvalifikovaný průkaz plné moci zmocněnce subjektu údajů.

V odst. 4 se provádí požadavky na odůvodnění obsažené v článcích 15(3) a 16(4) směrnice 2016/680.

V odst. 5 6 se v souladu s § 50 odst. 5 stanoví výjimka pro soudy a státní zastupitelství, která nepodléhají v této oblasti dozorové pravomoci úřadu.

§ 29

V tomto koncepčně novém ustanovení se upravuje výkon práv subjektu údajů prostřednictvím ÚOOÚ, resp. možnost (nikoli povinnost, jak plyne z článku 46(1)(g) směrnice 2016/680) ÚOOÚ prověřit na základě takového podnětu zákonnost nejméně těch zpracování, u kterých mohlo dojít k omezení práv subjektu údajů.

Odstavec 2 stanoví některé situace, ve kterých Úřad nemusí podnětu vyhovět.

Odstavec 3 vyžaduje, aby Úřad svůj postup odůvodnil, pokud ověření zákonnosti neprovedl (například protože je ověření zákonností napadeného zpracování obsaženo v kontrolním plánu Úřadu na příští rok a proto by ověřování jednotlivé stížnosti bylo neúčelné).

Odst. 4 upravuje informační povinnost Úřadu.

§ 30

Odstavec 1 provádí článek 19 směrnice 2016/680, který stanoví základní povinnosti spravujícího orgánu, včetně přijetí technickoorganizačních opatření pro zajištění ochrany osobních údajů. Vzhledem k tomu, že povinnosti podle směrnice budou plnit převážně orgány policejní povahy, nepočítá se přímo s „koncepcemi“ ochrany osobních údajů, spravující orgány v této oblasti nicméně standardně přijímají vnitřní předpisy (např. pokyny policejního prezidenta) upravující zpracování a ochranu informací v rámci určitého informačního systému.

Odstavec 2 provádí článek 20 téže směrnice, který stanoví povinnosti pro záměrnou a standardní ochranu osobních údajů. Jde o to, aby spravující orgán již při přípravě zpracování (například při pořizování vhodné techniky) usiloval o co nejmenší nezbytné zásahy do ochrany osobních údajů. Pro větší přehlednost jsou cíle záměrné a standardní ochrany osobních údajů vypočteny.

Odstavec 3 doplňuje dokumentační povinnost správce, která plyne z relevantních ustanovení výše uvedené směrnice.

Odstavec 4 provádí článek 24 co do povinností spravujícího orgánu, tj. jeho odstavce 1 a 3. Záznamy o činnostech zpracování je nutno odlišovat od tzv. logů, které směrnice 2016/680 upravuje v článku 25. Nejde o záznamy o nějaké (nebo každé) operaci zpracování, tj. o každém úkonu, který lze s osobním údajem provést, ale o souhrnné záznamy o tom, jak probíhají určité typy zpracování, například jak probíhá ztotožňování osob podle otisků prstů nebo jak probíhá dotaz do evidence odcizených vozidel. Účelem těchto záznamů je poskytnou správci, pověřenci i dozorovému úřadu dostatečný přehled o typech zpracování, která u správce probíhají, na obecné úrovni.

Odstavec 5 provádí související články 7(3), 16(5) a (6) směrnice 2016/680, které se týkají předávání nepřesných údajů, nesprávného předávání, a zpětné opravy nepřesností, resp. navazující opravy, výmazu nebo omezení zpracování předaných osobních údajů.

§ 31

Ustanovení provádí článek 21 směrnice 2016/680 o dělbě odpovědnosti společných spravujících orgánů. V české praxi v oblasti prevence a potírání trestné činnosti půjde o výjimečné situace. Písemnou dohodou se rozumí veřejnoprávní smlouva uzavřená podle § 160 odst. 3 správního řádu.

§ 32

Odstavce 1 – 3 provádějí článek 22 směrnice 2016/680 včetně požadavků kladených na zpracovatele i na právní akt, kterým je ke zpracování spravující orgán zmocněn.

Na rozdíl od pojmu „zvláštní kategorie osobních údajů“, který používá ve smyslu většiny tzv. „citlivých osobních údajů“ nařízení 2016/679 v článku 9, nestanoví předpisy práva EU definici pojmů „typ osobních údajů“ nebo „kategorie subjektů údajů“.

Pojem „kategorie subjektů údajů“ je tak nutno interpretovat zejména ve vztahu k okolnostem, které by zakládaly zvláštní povinnosti spravujícího orgánu nebo zpracovatele. V kontextu směrnice pak půjde zejména o vymezení skupin osob, jejichž osobní údaje pro správce zpracovává zpracovatel (tj. o vymezení, že údaje jiných skupin osob nezpracovává), ale může jít i například o zdůraznění skupin osob, s jejichž zpracováním se vážou zvláštní povinnosti, např. povinnost informovat a poučovat děti přiměřeně jejich věku apod.

Pojem „typ osobních údajů“ pak v kontextu směrnice opět zejména vymezuje údaje, které pro správce zpracovává zpracovatel (např. jméno a příjmení, příslušnost ke sdružením a spolkům, fotografie způsobilé pro biometrické porovnávání, tělesné znaky, profil DNA apod.).

Odstavec 4 provádí článek 24 v rozsahu, ve kterém se použije na zpracovatele, tj. jeho odstavce 2 a 3.

§ 33

Toto ustanovení provádí článek 23 směrnice 2016/680, tedy základní pravidlo odlišující (kromě volby účelů a prostředků zpracování) spravující orgán od zpracovatele – zpracovatel (a jeho zaměstnanci) nakládá se svěřenými osobními údaji jen dle pokynu správce.

V praxi českých orgánů působících při prevenci a potírání kriminality a hrozeb veřejnému pořádku se ovšem vztah správce a zpracovatele předpokládá pouze výjimečně.

§ 34

Toto ustanovení provádí článek 25 směrnice 2016/680 a věnuje se pořizování automatických záznamů o konkrétních jednotlivých operacích (úkonech) zpracování, tj. o ukládání a využívání logů. Tyto záznamy nelze zaměňovat se záznamy o činnostech zpracování podle článku 24 téže směrnice.

V odst. 3 se provádí článek 25(2), který omezuje využití logů, přičemž je rozveden ve směrnici použitý obecný pojem „vlastní kontroly“.

Pro účely právní jistoty se v odst. 4 stanoví maximální doba uchování těchto údajů, která se odvozuje od okamžiku likvidace osobních údajů, k nimž se záznamy vztahují. Vzhledem k tomu, že uchování záznamů je významným opatřením na straně správce z hlediska zajištění korektního zpracování osobních údajů, není nutno regulovat minimální dobu uchování.

Odst. 5 v souladu se směrnicí 2016/680 stanoví, že stejné povinnosti dopadají na zpracovatele obdobně.

§ 35

Toto ustanovení provádí článek 27 směrnice 2016/680 o posouzení dopadů zpracování na ochranu osobních údajů v případě, že zpracování vede k vysokému riziku.

§ 36

Toto ustanovení provádí článek 28 směrnice 2016/680 o konzultacích s ÚOOÚ v případech, kdy vysoké riziko způsobuje nová technologie (například rozeznávání osob podle záznamu jejich chůze) nebo kdy jsou např. pochybnosti, že je vysoké riziko kompenzováno plánovanými opatřeními správce.

§ 37

Toto ustanovení provádí článek 11 směrnice 2016/680. Vzhledem k tomu, že v rámci činností podléhajících směrnici (tj. prevence a potírání trestné činnosti a hrozeb veřejné bezpečnosti a souvisejících) se zásadně zásahy do práv neprovádí automaticky (tj. nepřijímá se opatření ovlivňující právní postavení nebo podobně závažné jiné opatření pouze na základě počítačového profilování nebo podobné automatické techniky), je stanoveno, že takové rozhodování bude možné, pouze pokud jej (budoucí) zákon výslovně povolí. Toto ustanovení nevylučuje automatizovanou fázi analýzy rizika, například při tipování podezřelých osob nastupujících do letadla; podmínkou však je, že před jakýmkoli zásahem dojde k posouzení situace člověkem.

§ 38

Toto ustanovení provádí článek 29 směrnice 2016/680 o zabezpečení zpracování. Odstavec 1 stanoví obecnou povinnost zabezpečit zpracování, odstavec 2 shrnuje jednotlivé formy zabezpečení automatizovaného zpracování, které poněkud mnohomluvně rozvádí směrnice ve svém odstavci 2.

§ 39

Toto ustanovení provádí článek 30 směrnice 2016/680, podle kterého se ohlašuje „technické“ porušení zabezpečení údajů, například ztráta nosiče dat, ztráta zařízení, které může přistupovat k údajům uloženým v evidenci, nebo např. odhalené případy kybernetických útoků na relevantní databáze nebo informační systémy.

Ustanovení se nevztahuje na celý veřejný sektor, ale na ty složky, které jsou nejlépe schopné zajistit integritu svých databází a vyšetřit případné úniky a narušení bezpečnosti. Jde naopak o motivaci správce zajistit adekvátní ochranu osobních údajů preventivně, tj. snížit riziko plynoucí z úniku nejen organizačními a technickými bezpečnostními opatřeními, ale také minimalizací dat, jejich pseudonymizací, šifrováním apod.

§ 40

Toto ustanovení provádí článek 31 směrnice 2016/680, podle kterého se ty případy narušení, jež upravuje předchozí článek, a které znamenají velké riziko pro subjekt údajů, sdělují subjektům údajů.

Hlava IV

§ 41 až § 47

Reforma ochrany osobních údajů, kterou přineslo obecné nařízení o ochraně osobních údajů 2016/679 a směrnice 2016/680, přenesla existující hmotněprávní ustanovení, která jsou provedením směrnice 95/46(ES), do přímo použitelného výše uvedeného nařízení. Pokud jde o směrnici 2016/680, jsou tato ustanovení významně upravena a nově provedena dílem v nové hlavě III, dílem ve zvláštních zákonech (např. zákon o Policii ČR, zákon o Vojenské policii, zákon o Celní správě ČR).

Je navrženo, aby se výše uvedená reforma ochrany osobních údajů se nevztahovala na zpracování osobních údajů například zpravodajskými službami, protože Evropská unie nemá působnost v oblasti národní bezpečnosti a právo EU se na tuto oblast nevztahuje.

V souladu se zvláštní povahou činnosti zpravodajských služeb, kterou respektuje i recitál 14 směrnice 2016/680, se v § 41 odst. 1 výslovně do výlučné působnosti hlavy IV vtahuje veškeré zpracování osobních údajů zpravodajskými službami. Ve všech případech, včetně zpracování prováděného zpravodajskými službami, je tato úprava je výslovně uvedena jako subsidiární vůči speciální úpravě, kterou obsahují jiné právní předpisy, tj. například příslušné zákony o zpravodajských službách.

Vzhledem k závazkům ČR plynoucím z Úmluvy o ochraně osob se zřetelem na automatizované zpracování osobních dat, vyhlášené pod č. 115/2001 Sb. m. s. a Dodatkového protokolu k ní vyhlášeného pod č. 29/2005 Sb. m. s., které mají širší působnost, je však namístě ponechat relevantní ustanovení nadále v platnosti pro tuto oblast. Přitom se zásadně vychází z platného právního stavu, zejména z výjimek, které stanovil dosavadní § 3 odst. 6 zákona o ochraně osobních údajů, jakož i z povahy věci (neupravují se kupříkladu zpracování za účelem nabízení služeb nebo registrace zpracování, která se obecně ruší) a částečně i ze vztahu speciality. Tak nemá například smysl zvlášť upravovat možnost zpravodajských služeb zpracovávat citlivé osobní údaje, protože zpravodajské služby mají podle jiných zákonů oprávnění zpracovávat jakékoli osobní údaje bez rozdílu. Tomuto přístupu odpovídá i okruh definic, které se z nařízení 2016/679 vtahují, který je velmi omezený na základní pojmy z této právní oblasti.

Lze shrnout, že úprava zpracování za účelem ochrany bezpečnostních nebo obranných zájmů ČR nedoznává věcných změn oproti zákonu 101/2000 Sb., protože to není předmětem transpozičních ani adaptačních prací. Obdobně nedochází k žádnému posunu při zpracování osobních údajů Národním bezpečnostním úřadem. Navrhují se pouze nevyhnutelné legislativně technické úpravy související se zařazením této hlavy, zejména:

- název hlavy IV a text § 41 odst. 1 je zvolen tak, aby terminologicky nekolidoval s hlavou III, zejm. § 22 odst. 1 a 3

- v § 42 a § 45, které odpovídají § 6 a § 15 zákona o ochraně osobních údajů, bylo sjednoceno používání obratu „technická a organizační opatření“.

- v § 47 se odkazuje na tuto hlavu nebo jiný zákon, přičemž odpovídající § 21 zákona o ochraně osobních údajů odkazoval na zákon. Myšleny jsou zejména zákony o zpravodajských službách, případně jiné zákony, upravující zpracování za účelem ochrany národní bezpečnosti, stejně jako v § 43.

- do hlavy IV se na základě projednání v Legislativní radě vlády z důvodu obecnosti a duplicity, nebo jejich překonání vývojem právního řádu, nepromítla ustanovení odpovídající dřívějším ustanovením § 5 odst. 3, § 8 odst. 1 poslední věta, § 10, § 14 a § 21 odst. 3 zákona o ochraně osobních údajů.

- do hlavy IV se na základě projednání v Legislativní radě vlády naopak promítly další drobné úpravy, jako je ustanovení o délce uchování dokumentace v § 44 odst. 2.

Nadále platí, že Úřad nevykonává dozor nad zpracováním osobních údajů zpravodajskými službami (srov. § 52 odst. 4).

Kromě zpracování prováděného zpravodajskými službami spadají do působnosti této hlavy další zpracování, u kterých je to odůvodněné jejich předmětem nebo účelem (např. povolávání branců, resp. obrana státu) nebo podmínkami, ve kterých probíhají (např. zpracování za krizového stavu, při požáru apod.). V souvislosti s řešením mimořádné události v časové tísni se často zpracovávají i osobní údaje, byť jde o mnohdy nesystémové (incidenční) zpracování, např. tísňový hovor linky 112, zásah na místě a hlášení na krajská operační a informační střediska HZS ČR z místa zásahu, zpracování zprávy o zásahu. Zpravidla nejsou tyto informace (i osobní údaje) ukládány ve strukturované podobě (jsou např. jen v textové položce) nebo nejsou ucelené a někdy mohou být i mylné nebo neověřené. Zpracování ve strukturované podobě často není možné z časových důvodů. Také tato zpracování se řídí ustanovením hlavy IV, což odpovídá platné úpravě podle zákona 101/2000 Sb.

Do budoucna je ovšem nutno uvést, že vzhledem k pracím na modernizaci výše uvedené Úmluvy o ochraně osob se zřetelem na automatizované zpracování osobních dat, které by měly být v dohledné době v rámci Rady Evropy dokončeny, bude nejen vhodné, ale také nutné, přistoupit k důkladné revizi ustanovení o ochraně osobních údajů v této oblasti. Vzhledem k tomu, že modernizace dosud dokončena není, ani není znám finální rozsah dopadů na zpracování prováděné k ochraně bezpečnostních a obranných zájmů ČR, a protože je nezbytné přijmout transpoziční a adaptační úpravu, se však navrhuje tuto oblast řešit pozdější změnou zákona a pro, jak předkladatel předpokládá, relativně krátké období do dokončení modernizace výše uvedené Úmluvy, ponechat stávající znění.

Hlava V

§ 48

Jako doposud, ÚOOÚ bude mít působnost podle všech obecných předpisů na ochranu osobních údajů s výjimkou dozoru nad zpravodajskými službami a nově též s určitými výjimkami justičními orgány, což je stanoveno v § 52.

ČR nebude zřizovat zvláštní dozorový úřad např. pro oblast bezpečnostních sborů nebo státní správy.

Orgán dohlížející nad dodržováním pravidel pro ochranu osobních údajů je „nezávislý“ podle článku 8(3) Listiny základních práv Evropské unie, jak je rozebráno v obecné části důvodové zprávy, a podle článku 52 odst. 1 nařízení (EU) 2016/679 „zcela nezávislý“.

ÚOOÚ je nadále ústředním správním úřadem, což je běžně užívaná kategorie, se kterou souvisí další aspekty institucionálního postavení (např. povinnost vedoucího takového úřadu dostavit se na schůzi výboru podle § 39 odst. 2 zákona 90/1995 Sb., o jednacím řádu Poslanecké sněmovny).

§ 49

Ustanovení v odst. 1 speciální úpravou vyjasňuje, že při výkonu působnosti podle tohoto zákona a nařízení 2016/679 postupuje úřad zcela nezávisle (do tohoto výkonu nelze zasahovat např. usneseními vlády), jak je popsáno v obecné části důvodové zprávy. Nové ustanovení v odst. 1 odstraňuje konflikt mezi článkem 52(1) obecného nařízení o ochraně osobních údajů a § 20 kompetenčního zákona. Ten totiž rozšířením legislativní zkratky „ministerstvo“ vztáhl povinnost řídit se usneseními vlády i na ÚOOÚ, což je neslučitelné s jeho nezávislostí (srov. též rozsudky Soudního dvora ve věcech Komise proti Německu, Rakousku a Maďarsku C-518/07, C-614/10 a C-288/12).

Odst. 2 přebírá obdobné ustanovení z platného zákona 101/2000 Sb.

Odst. 3 provádí čl. 52 odst. 5 nařízení 2016/679, a zajišťuje, že rozhodnutí ve věcech služby státních zaměstnanců v ÚOOÚ nepodléhá druhé instanci v rámci Ministerstva vnitra. Ve světle rozhodovací praxe Soudního dvora nelze očekávat restriktivní interpretaci čl. 52 odst. 5 Obecného nařízení v tom, že pokud dozorový úřad např. propustí nebo kázeňsky postihne zaměstnance, výkonná moc to v nadřízené instanci bude moci změnit. Proti prvoinstančnímu rozhodnutí ÚOOÚ se samozřejmě státní zaměstnanec může dovolávat soudní ochrany.

Toto řešení je vyvoláno mimořádnými požadavky Soudního dvora na „úplnou“ nezávislost právě dozorového orgánu pro ochranu osobních údajů a proto bylo zapracováno do toho předpisu, který postavení dozorového orgánu v ČR upravuje.

§ 50

Ustanovení v zásadě přebírá způsob jmenování a postavení předsedy ÚOOÚ, který vyhovuje článku 53(1) obecného nařízení o ochraně osobních údajů ve spojení s recitálem 121 věta první téhož nařízení.

Ustanovení stanoví nezbytné předpoklady pro výkon funkce předsedy úřadu, zejména morální (bezúhonnost) a kvalifikační (vzdělání v oboru právo nebo informatika, doložitelná praxe v oblasti ochrany osobních údajů nebo lidských práv a základních svobod, neboť ochrana osobních údajů je sice součástí základních lidských práv, ale součástí vyznačující se ucelenou, rozsáhlou a komplexní správní regulací. Z toho plyne, že ochranou lidských práv a základních svobod se může zabývat např. soudce, naproti tomu ochranou osobních údajů se může zabývat např. pověřenec se vzděláním v oblasti informatiky. Kvalifikaci pověřence nelze přitom považovat za méně relevantní.

Dále se stanoví nezbytné jazykové znalosti, a to anglického, německého nebo francouzského jazyka, neboť předseda úřadu se bude muset podílet na fungování Evropského sboru pro ochranu osobních údajů, přičemž znalost alespoň jednoho z těchto jazyků je nezbytnou podmínkou pro účinné prosazování stanovisek ÚOOÚ v rámci Sboru nejen kvůli dorozumění se bez nutnosti přítomnosti tlumočníka, ale také kvůli navrhování a posuzování kompromisních návrhů apod.).

Délka praxe se stanoví na 5 let. Tříletá praxe justičního čekatele je totiž zakončena zkouškou. Naopak delší, sedmiletá praxe v oboru energetiky podle § 17b energetického zákona, není doplněna požadavkem na určitý typ vysokoškolského vzdělání. Ve svém souhrnu tak představují kvalifikační požadavky vyvážený celek.

Kvůli jednoznačnosti a jasnější návaznosti na nařízení 2016/679 se stanoví, že předseda je „členem“ ve smyslu tohoto nařízení.

§ 51

Nově se zavádějí dva místopředsedové úřadu, kteří jsou také „členem“ ve smyslu nařízení 2016/679 a na rozdíl od dosavadních inspektorů budou předsedu zastupovat, čímž je zajištěna plná funkčnost úřadu za všech předvídatelných okolností.

Na rozdíl od dosavadních inspektorů i předsedy je odlišně upraven způsob jmenování místopředsedů, ovšem též v souladu s nařízením 2016/679.

Jejich postavení a kvalifikační požadavky jsou do velké míry shodné s předsedou.

Institut inspektorů se do nového zákona nepřebírá, protože z pohledu požadavků unijního práva nelze funkčnost úřadu a jeho schopnost přeshraniční spolupráce omezit tím, že maximálně sedm osob v celém úřadu řídí kontrolní týmy, a protože ve shodě s jinými kontrolními orgány bude tuto činnost nadále provádět větší množství kvalifikovaných osob, které budou přijímány výběrovým řízením podle zákona o státní službě.

§ 52

Toto ustanovení obsahuje jak adaptační části (odst. 1, 3, 4) ve vztahu k materii upravené Hlavou II a nařízením 2016/679, tak transpoziční části (odst. 2, 4) ve vztahu k úpravě Hlavy III, transponující směrnici 2016/680.

Odst. 1 upřesňuje tam, kde by o tom mohly být pochybnosti, podle jakých vnitrostátních procesních norem úřad postupuje pří výkonu svých relevantních pravomocí zejména podle článku 58 nařízení 2016/679. Při tom je nutno uvést, že koncepční rozdělení pravomocí v tomto článku je věcí evropského práva a nelze jej bez dalšího automaticky přenášet do práva vnitrostátního (např. sankce považuje čl. 58 odst. 2 písm. i) za nápravné opatření). Adaptační normy se naopak drží smyslu jednotlivých pravomocí a jejich koncepčního uchopení ve vnitrostátních předpisech, jakož i dosavadní praxe úřadu s využitím institutů stávajícího zákona (např. písm. b).

Úřad bude typicky postupovat a rozhodovat podle správního řádu, což je u většiny pravomocí zmíněných článkem 58 nařízení 2016/679 jasné a není nutno to uvádět při adaptaci.

Odst. 2 upravuje postup úřadu při dozoru nad zpracováním podle Hlavy III, a způsobem obvyklým a částečně převzatým ze zákona 101/2000 Sb. transponuje odpovídající požadavky směrnice 2016/680.

Odst. 3 shrnujícím způsobem stanoví další činnosti úřadu související jak se směrnicí 2016/680, tak s nařízením 2016/679. V písm. c) částečně implementuje požadavek čl. 36 odst. 4 nařízení 2016/679 o vnitrostátních konzultacích s úřadem v případech, na které nedopadá postup podle Legislativních pravidel vlády, způsobem nezasahujícím do jednacích řádů komor Parlamentu.

Odst. 4 Vzhledem k tomu, že zpracování osobních údajů zpravodajskými službami má zvláštní povahu a nepodléhá právu Evropské unie, ponechává se stávající vyloučení těchto orgánů z pravomoci Úřadu.

V návaznosti na článek 45 odst. 2 směrnice 2016/680 se plní legislativní povinnost spočívající ve vyloučení dozoru Úřadu nad soudy, pokud provádějí zpracování v rámci svých soudních pravomocí. Důvodem tohoto vyloučení je, stejně jako u pověřenců podle článku 32(1) směrnice 2016/680, ochrana nezávislosti justice.

Podle čl. 45 odst. 2 směrnice (EU) 2016/680 platí, že členské státy mohou stanovit, že dozorové úřady nejsou příslušné k dozoru nad operacemi zpracování, které provádějí jiné nezávislé justiční orgány v rámci svých justičních pravomocí. Navrhuje se tedy vedle aplikace výjimky pro soudy aplikovat výjimku i na státní zastupitelství, neboť podle některých názorů lze činnost státního zastupitelství charakterizovat jako činnost justiční povahy, která je determinována charakterem státního zastupitelství jako orgánu veřejné moci, ačkoliv systematicky ústava řadí státní zastupitelství do moci výkonné. Podle části doktríny na základě komparace s románskými právními řády má státní zastupitelství charakter orgánu justičního, který nevykonává soudní moc, ale jeho justiční úkony mají povahu obdobnou výkonu soudní pravomoci. Pravomoc provádět úkony justiční povahy činí ze státního zastupitelství též předstupeň (zejména v oblasti trestní) nezbytný pro výkon soudní moci. Tímto je zvýrazněna souvislost činnosti státního zastupitelství s činností soudu, která je v oblasti trestní závislá na uskutečňování výhradní pravomoci státního zastupitelství.

Pro posouzení státního zastupitelství jakožto jiného nezávislého justičního orgánu je též nutné zdůraznit roli státního zastupitelství při ochraně veřejného zájmu ve věcech svěřených zákonem do jeho působnosti. Jde o klíčovou zásadu charakterizující povahu státního zastupitelství, slučitelnou s vymezením funkce státního zastupitelství v Doporučení Výboru ministrů Rady Evropy členským státům č. R (2000)19, o úloze veřejné žaloby v systému trestní justice. Státní zastupitelství též plní nezastupitelnou úlohu při uplatňování principů restorativní justice, jmenovitě odklonů v trestním řízení.

Postavení státního zastupitelství jako nezávislého justičního orgánu lze dovozovat též z § 2 písm. a) zákona č. 104/2013 Sb. o mezinárodní justiční spolupráci ve věcech trestních, nebo z usnesení Ústavního soudu IV. ÚS 1953/16.

Tuto výjimku je nutno vykládat tak, že nepostihuje ostatní činnosti justičních orgánů, tedy zejména činnosti administrativní povahy, v jejichž rámci dochází ke zpracování osobních údajů, ať již k plnění zákonem stanovené povinnosti, nebo z rozhodnutí justičního orgánu samotného ÚOOÚ tedy je dozorovým úřadem pro zpracování osobních údajů zaměstnanců a osobních údajů zpracovávaných v souvislosti s fyzickým zabezpečením prostor justičních orgánů.

Ochrana jednotlivce v souvislosti s rozhodnutím Soudního dvora EU ve věci Schrems (viz rozsudek ze dne 6. října 2015, Schrems, C-362/14, bod 65):

Rozhodnutí ve věci Schrems vyžaduje existenci mechanismu, který by umožnil dozorovému orgánu uplatnit výtky (přednesené jednotlivci v rámci stížností uplatňovaných u příslušného dozorového orgánu), jež považuje za opodstatněné, před vnitrostátními soudy, aby tyto soudy v případě, že sdílejí pochybnosti vyjádřené tímto orgánem ohledně platnosti rozhodnutí Komise, předložily žádost o rozhodnutí o předběžné otázce za účelem přezkumu platnosti tohoto rozhodnutí.

Shora popsané závěry Soudního dvora vycházejí inter alia ze znění čl. 25 odst. 3 směrnice 95/46. Dle tohoto ustanovení platí, že členské státy a Komise se vzájemně informují o případech, kdy se domnívají, že některá třetí země nezajišťuje odpovídající úroveň ochrany. Nicméně právní úprava obsažená v čl. 45 nařízení 2016/679/EU žádnou podobnou informační povinnost nezakotvuje. Je sice pravda, že rozhodnutí Soudního dvora ve věci Schrems se rovněž opírá o čl. 28 směrnice 95/46 ve spojení s čl. 8 odst. 3 Listiny základních práv EU, přičemž pravomoci dozorového orgánu v tomto ohledu zůstávají nedotčeny (článek 48 nařízení 2016/679), avšak to nic nemění na skutečnosti, že rozhodnutí Soudního dvora ve věci Schrems se týká právní úpravy, kterou nařízení 2016/679 zcela zřetelně mění. Pochybnosti o možnosti aplikace závěrů Soudního dvora ve věci Schrems na právní poměry, které zde budou panovat po vstupu nařízení 2016/679 v účinnost, je možné je najít i v odborném diskurzu (viz např. Loïc AZOULAI a Marijn van der SLUIS.

Institutionalizing personal data protection in times of global institutional distrust: Schrems. Common Market Law Review, 2016, 53, s. 1343-1472).

V této souvislosti je rovněž nezbytné zdůraznit, že rozhodnutí ve věci Schrems bylo vydáno v době, kdy orgány dozoru v členských státech měly v případě existence rozhodnutí Komise o adekvátní ochraně v třetí zemi pouze značně omezenou možnost zastavit tok dat do třetí země, o jejíž úrovni ochrany pochyboval (srov. článek 3 rozhodnutí 2000/520/ES, tzv. „Safe Harbor“). Tyto orgány byly z důvodu existence platného unijního aktu v zásadě nuceny, a to i v případě vlastních pochybností, akceptovat názor Komise o adekvátní ochraně, aniž by se mohly obrátit na soud či samy položit předběžnou otázku. Právě výše uvedená východiska vedla Soudní dvůr ke konstatování, že je třeba, aby dozorový orgán, v případě toku dat do země, v níž dle jeho názoru není adekvátní ochrana, mohl dotčenou věc předložit vnitrostátnímu soudu za účelem položení předběžné otázky. Účelem tohoto mechanismu bylo, aby možnost domoci se položení této předběžné otázky, a v konečném důsledku zastavení toku do třetí země s neadekvátní ochranou osobních údajů, nebyly závislé čistě na aktivitě subjektu údajů.

Výše popsaná situace se však v návaznosti na rozsudek Schrems značně změnila. Současná rozhodnutí o adekvátní ochraně již počítají v zásadě s neomezenou možností orgánu dozoru zastavit tok dat do dotčené třetí země (srov. článek 3 rozhodnutí 2016/1250, tzv. „Privacy Shield“, resp. prováděcí rozhodnutí Komise 2016/2295 a 2016/2297, která předpokládají stejné změny i vůči ostatním existujícím prováděcím rozhodnutím Komise o adekvátní úrovni ochrany). Stejnou pravomoc svěřuje orgánům dozoru i čl. 58 odst. 2 písm. j) obecného nařízení. Je tedy zřejmé, že dospěje-li v současnosti orgán dozoru k závěru, že v třetí zemi i přes existující rozhodnutí Komise neexistuje adekvátní ochrana, má sám možnost zastavit tok dat do této třetí země, aniž by v daném případě bylo potřeba spoléhat na aktivitu subjektu údajů.

Cílů sledovaných rozhodnutím ve věci Schrems tak již bylo do značné míry dosaženo v rámci změn přímo použitelných aktů unijního práva, a není jej tedy třeba v současnosti do vnitrostátního práva provádět.

Navíc pokud je chápána podstata judikátu Schrems z hlediska zajištění dostatečné ochrany jednotlivců za situace, kdy jsou jejich osobní údaje předávány do třetích zemí na základě rozhodnutí Komise o odpovídající ochraně, pak je v této souvislosti třeba upozornit, že jednotlivci nemají jenom možnost obracet se prostřednictvím stížností na dozorový orgán, nýbrž dle platné české právní úpravy mohou podávat i žaloby v rámci civilního řízení sporného (viz § 1 a 79 zákona č. 99/1963 Sb., občanský soudní řád, ve znění pozdějších předpisů). In concreto v těchto případech připadá v úvahu podání tzv. negatorní žaloby, pomocí níž se mohou jednotlivci domáhat toho, aby nedocházelo k předávání jejich osobních údajů do třetích zemí. V rámci takovéhoto soudního řízení je pak možné i podat předběžnou otázku dle čl. 267 Smlouvy o fungování EU. Jinak řečeno, kontrola nezávislou mocí ve smyslu čl. 8 odst. 3 Listiny základních práv EU je v těchto případech již dostatečně zajištěna nezávislými a nestrannými orgány, obecnými soudy. Jeví se proto jako zcela nadbytečné pokoušet se vytvářet složité a českému právnímu řádu cizí právní konstrukce.

Z výše uvedených důvodů tudíž není doplňována další pravomoc, resp. aktivní legitimace ÚOOÚ specificky reflektující judikát Schrems nad rámec Obecného nařízení o ochraně osobních údajů.

Pro úplnost se dále uvádí, že bezpodmínečný požadavek stanovený v ustanovení čl. 58 odst. 5 Obecného nařízení o ochraně osobních údajů umožnit ÚOOÚ obracet se na justiční orgány je v českém právním řádu saturován možností ÚOOÚ obrátit se na státní zastupitelství prostřednictvím podání trestního oznámení (v souvislosti se speciální skutkovou podstatou v § 180 trestního zákoníku).

V této souvislosti je nezbytné jasně rozlišovat mezi bezpodmínečným požadavkem na pravomoc ÚOOÚ „upozornit justiční orgány“ a požadavkem na možnost „zahájit soudní řízení či se do něj jinak zapojit“, je-li to vhodné. Předkladatel v tomto ohledu pečlivě zvažoval možnost ÚOOÚ zapojit se do jednotlivých druhů soudních řízení. Nicméně koncepce českého civilního a správního soudního řízení je postavena výlučně na ochraně subjektivních práv, nikoliv široké kontrole veřejné správy. Možnosti zapojení ÚOOÚ proto musí být logicky limitované. Proto byla v rámci novely občanského soudního řádu, která je součástí změnového zákona, navržena povinnost předsedy senátu v rámci přípravy jednání zpravidla zjistit názor ÚOOÚ, pokud předmět řízení bezprostředně souvisí s otázkou ochrany osobních údajů (§ 114a), a obdobná novela zákona o Ústavním soudu (§ 69a).

§ 53

Přebírá se úprava stávajícího zákona 101/2000 Sb., a doplňuje se o rodná čísla v odst. 3, což je odůvodněno potřebou praxe.

§ 54

Toto ustanovení transponuje požadavky směrnice 2016/680 na mezinárodní spolupráci dozorových orgánů členských států EU a dalších států, které (z titulu schengenského acquis) budou tuto směrnici též provádět. Velmi podobnou přímo použitelnou úpravu obsahuje čl. 61 nařízení 2016/679.

§ 55

Ustanovení společné pro dozorové činnosti úřadu podle hlavy II i hlavy III určuje, komu a kdy předseda výroční zprávu předkládá. Zveřejnění zprávy pro veřejnost (i Komisi) je již upraveno článkem 59 nařízení 2016/679.

§ 56

Ustanovení transponuje požadavky směrnice a zároveň staví najisto, jaká jsou oprávnění úřadu při získávání informací v rámci plnění svých úkolů (typicky kontrol, správních řízení o udělení pokuty apod.)

Odkaz na § 16 zákona o státní statistické službě uvedený v poznámce pod čarou v souladu s dosavadní praxí umožňuje seznámit se s údaji chráněnými mlčenlivostí podle tohoto zákona po složení příslušného slibu.

Odst. 2 obsahuje úpravu přístupu k informacím chráněným povinností mlčenlivosti podle zákona o advokacii, která je speciální ke druhé větě odstavce 1. Úprava byla po dohodě mezi ČAK a ÚOOÚ koncipována principiálně obdobně jako úprava přístupu orgánů činných v trestním řízení nebo přístupu správce daně, ale se specifickým novým prvkem v podobě vnitřní přezkumná role, kterou návrh svěřuje kontrolní radě České advokátní komory. Tento prvek má zlepšit fungování celého kontrolního mechanismu.

Odst. 3 reaguje na obavy praxe z účelového zneužívání institutu (bezplatné) stížnosti k úřadu s cílem získat chráněné informace (např. algoritmy zpracování, obchodní tajemství, autorskoprávní ochrana atd.). Ustanovení nemá nahradit zákony o poskytování informací, ale má navíc vyjasnit, že další informace se neposkytují. V tom reaguje jak na obavy soukromého sektoru z účelových stížností motivovaných konkurenčními ohledy, tak na dosavadní problémy v praxi Úřadu týkající se dotazů na výsledky kontrol apod. Ustanovení by mělo pokrývat veškeré chráněné informace; k ochraně zdroje a obsahu informace v novinářské činnosti výslovně viz odůvodnění k hlavě II oddílu 2, zejm. § 16 odst. 4. Při formulaci odst. 3 se předkladatel inspiroval ustanovením § 21c odst. 1 o ochraně hospodářské soutěže.

Odst. 4 vyjasňuje, že se přebírá dosavadní právní stav, tj. pokud jsou informace utajované podle jiného zákona, musí mít kontrolující oprávnění se s informacemi v požadovaném stupni utajení seznamovat.

§ 57

Stanoví se způsobem obvyklým mlčenlivost zaměstnanců v úřadu, jakož i případy, ve kterých se jí nelze dovolávat, a její zprošťování.

Odstavec 2 rozpracovává ochranu některých informací, které získal dozorový orgán při výkonu své činnosti, a které jsou, u původního správce, chráněny mlčenlivostí i vůči soudu nebo orgánům činným v trestním řízení. V takovém případě se může zaměstnanec úřadu mlčenlivosti dovolávat za stejných podmínek. Tj. pokud např. soud v trestním řízení prolomí nějakou mlčenlivost nebo tajemství, nemůže se vůči takovým informacím získaným od subjektu povinného takovou mlčenlivost nebo tajemství dovolávat ani zaměstnanec úřadu. Pokud ale podmínky prolomení mlčenlivosti nebo tajemství u povinného subjektu splněny nejsou, zaměstnanec úřadu se mlčenlivosti dovolá.

§ 58

Přebírá se platná úprava ze zákona 101/2000 Sb., která se osvědčila v praxi – úřad může ve vhodných případech upozornit na protiprávní stav a dosáhnout jeho nápravy dobrovolnou spoluprací správce.

Hlava VI

§ 59

Přebírá se platná úprava ze zákona 101/2000 Sb., která vynucuje zákazy zveřejňování stanovené např. § 8a až 8d trestního řádu vůči fyzickým osobám.

§ 60

S využitím článku 83 odst. 8 nařízení 2016/679 se stanoví, že porušení nařízení uvedená v jeho článku 83 odst. 4 až 6 jsou přestupky ve smyslu vnitrostátních předpisů. Vzhledem k právní formě nařízení nelze přepisovat skutkové podstaty ani sankce stanovené nařízením; smyslem ustanovení nicméně je, aby se na projednání a ukládání sankcí stanovených článkem 83 nařízení 2016/679 úřadem použily předpisy o správním trestání.

V odstavci 5 se na základě článku 83 odst. 7 nařízení 2016/679 omezuje horní hranice správní pokuty pro veřejnoprávní entity shodně s dosavadní úpravou podle zákona 101/2000 Sb. Důvodem tohoto omezení (jehož horní limit ještě nebyl v praxi využit) je snaha smířit odrazující a sankční povahu pokuty s faktem, že finanční prostředky těchto pokutovaných institucí zpravidla plynou z veřejných rozpočtů. V těchto případech nemá smysl stanovit horní hranici ve výši 20 mil. euro, jako to činí pro podnikatelské subjekty nařízení 2016/679. Zejména v případě institucí s menším rozpočtem by v zásadě šlo o pouhé formální přesuny finančních prostředků v rámci státního rozpočtu, neboť takové instituce by musely o finanční prostředky na úhradu pokuty dodatečně žádat.

Zároveň nedochází k využití možnosti vyloučit sankce pro veřejnoprávní entity zcela, neboť stávající stav nebyl v praxi zpochybněn a i v rámci jiných typů řízení je možné při porušení zákona sankce veřejnoprávním entitám ukládat. Omezení horní hranice správní pokuty na 10 mil. Kč a zachování tak stávající nejvyšší možné výši správní pokutu se tak jeví jako vyhovující. Zároveň lze zdůraznit, že platí obecná pravidla při ukládání správních pokut, kdy by správní pokuta mj. neměla být likvidační.

Stanovení povinnosti jmenovat pověřence podle § 14 je provedeno jen pro účely jmenování pověřence, aby se povaha příslušných povinných subjektů blížila povaze „orgánů veřejné moci“, protože jen tak lze odůvodnit jmenování pověřence i u orgánů neprovádějících rozsáhlá a riziková zpracování.

Článek 83 odst. 7 nařízení 2016/679 umožňuje členským státům stanovit, zda a do jaké míry je možno ukládat správní pokuty orgánům veřejné moci a veřejným subjektům.

Zde je logika nařízení jiná. Sankce jsou podle recitálu 150 (posl. věta) a podle čl. 83(2) nařízení jen jedním z prostředků, jak mají dozorové orgány zajistit dodržování povinností stanovených nařízením. Podle recitálu 150 (předposl. věta) je na úvaze členského státu, zda správní pokuty vůči orgánům veřejné moci a veřejným subjektům umožní.

Je tedy přirozené, že členské státy mají postupovat způsobem vnitrostátně obvyklým. V ČR přitom není nijak neobvyklé, že se správní sankce ukládají i veřejnoprávním subjektům.

Přesto je i v podmínkách ČR významné, zda je správce nějakým způsobem součástí široce chápané veřejnoprávní sféry, resp. systémově využívá veřejné prostředky. V tomto ohledu je namístě přihlédnout k pojmu „veřejné instituce“ podle § 2 zákona o svobodném přístupu k informacím. Pokuta dosahující 20 mil. euro, tj. něco přes půl miliardy korun, není pro většinu orgánů veřejné moci, resp. veřejných subjektů, jako jsou příspěvkové organizace, smysluplným trestem, nýbrž problémem řešitelným jen skrze administrativní přesuny mezi veřejnými rozpočty.

Proto dochází k zachování dosavadní horní hranice pokuty podle zákona 101/2000 Sb., tj. 10 mil. korun, což poskytuje dostatečný prostor pro odstupňování pokut a zároveň jde o citelné zásahy do těch zdrojů správce, se kterými může nakládat podle svého uvážení.

Nebudou tedy výjimkou případy, kdy určitá instituce není povinna jmenovat pověřence podle článku 37 odst. 1 písm. a) nařízení 2016/679 ve spojení s § 14 (např. Národní knihovna jako příspěvková organizace nebo Všeobecná zdravotní pojišťovna jako zákonem zřízená právnická osoba k provádění veřejného zdravotního pojištění), ale bude se na ni vztahovat omezení horní hranice pokut podle článku 83 odst. 7 nařízení 2016/679 ve spojení s § 60.

To je dáno i tím, že „veřejné subjekty“ se v nařízení 2016/679 vyskytují ve více situacích, aniž nutně zahrnovaly stejnou skupinu správců. Nařízení 20126/679 tudíž zná nejen veřejné subjekty povinné jmenovat pověřence podle čl. 37 odst. 1 písm. a), ale také jiné, zahraniční, veřejné subjekty, které nejsou povinné jmenovat zástupce podle čl. 27 odst. 2 písm. a), veřejné subjekty plnící úkoly podle předpisů členského státu ve smyslu recitálu 93, aniž o nich něco uváděl příslušný čl. 35 odst. 10, jakož i veřejné subjekty vnitrostátní i zahraniční, které pomocí správních ujednání sjednávají vhodné záruky ochrany osobních údajů podle recitálu 108 a čl. 46 odst. 3. Zatímco v těchto případech jsou veřejné subjekty uváděny zpravidla vedle orgánů veřejné moci, nařízení 2016/679 mimo toho zná skupinu „veřejných nebo soukromých subjektů“ držící dokumenty za účelem plnění úkolu ve veřejném zájmu podle čl. 86.

§ 61

Stanoví se přestupky odpovídající povinnostem spravujícího orgánu podle čl. 57 směrnice 2016/680. Přebírá se dosavadní horní hranice správní pokuty.

Vzhledem k tomu, že správci a zpracovatelé budou mít část povinností (zřízení pověřence, zákonnost zpracování, zpracování citlivých údajů, předávání údajů včetně předávání do třetích zemí) stanovenu jinými zákony, obsahuje sankční ustanovení i odkaz na porušení takových povinností.

§ 62

Přebírá se platná úprava ze zákona 101/2000 Sb., o ochraně osobních údajů.

§ 63

Zvláštní ustanovení o odložení věci, obdobné § 46e zákona o České národní bance, vychází z horizontální povahy zpracování osobních údajů, které prolíná všemi odvětvími života společnosti, a záměrně preferuje co nejjednodušší a co nejméně formální způsoby řešení přestupků proti povinnostem správce nebo zpracovatele.

ČÁST DRUHÁ – Přechodná, zrušovací a závěrečná ustanovení

§ 64

Bod 1

Aby bylo zastupování místopředsedy efektivní, nebude jejich funkční období začínat ve stejnou dobu. Toto ustanovení zajišťuje střídání funkčních období místopředsedů, aby se zachovala účinná kontinuita plného fungování Úřadu i v období, kdy končí funkční obdobní předsedy a jednoho místopředsedy. Zároveň se rozložením nominací v čase zajišťuje větší důraz na odbornou stránku nominací a zvyšuje se stabilita a nezávislost Úřadu. Různou délku funkčních období při prvním jmenování vedení dozorového úřadu výslovně dovoluje čl. 54 odst. 1 písm. d), který umožňuje jmenování člena dozorového úřadu na kratší dobu než 4 roky.

Zřízením nové funkce 2 místopředsedů se nebude takovým způsobem zatěžovat státní rozpočet. Vzhledem k tomu, že funkční období prvních inspektorů skončí až v roce 2020, uvolní se dodatečné prostředky na druhého místopředsedu až po tomto roce. Legislativně technickou inspirací byl článek VI bod 4 písm. b) novely č. 366/2011 Sb.

Při vyčíslených ročních výdajích na 1 inspektora se tedy jedná o roční úsporu prostředků na platy vč. příslušenství a přídělu FKSP ve výši 12 488 000 Kč. Je ve schopnostech kapitoly, která má schválený objem prostředků pro rok 2017 na úrovni 160 mil. Kč, si dané prostředky, tj. 15,7 mil. Kč, nalézt a zajistit v rámci stávajícího rozpočtovaného objemu výdajů pro kapitolu ÚOOÚ jak pro rok 2018, tak pro SDV 2019 a 2020 a léta následující. Tyto zvýšené potřeby lze nalézt v rámci stávajícího limitu výdajů pro tuto kapitolu.

Body 2 a 3

Přechodné ustanovení vyjasňuje, že již jmenovaní inspektoři dokončí svá funkční období podle dosavadních předpisů; to se vztahuje i na veškerá plnění, na která mají ze zákona nárok. Tito inspektoři budou nadále řídit kontroly, ovšem kromě nich tak budou moci učinit i příslušně kvalifikovaní státní zaměstnanci v úřadu, čímž se odstraní neodůvodněné riziko snížené akceschopnosti úřadu. Práva a povinnosti inspektora se nebudou oproti dosavadním předpisům měnit. Jde zejména o řízení kontroly podle § 33 zákona o ochraně osobních údajů, dále pak o práva podle § 30 ZOOÚ.

Bod 4

V zájmu právní jistoty a informovanosti subjektů údajů se stanoví osmnácti měsíční doba pokračujícího zveřejnění dosud vedeného registru zpracování (tento registr byl zrušením směrnice 95/46 opuštěn a dále se nepovede). Doba 18 měsíců byla zvolena s ohledem na zkušenosti z praxe ohledně období, v jakém bývají registrovaná zpracování aktualizována.

Bod 5

Obvyklý způsob úpravy řízení zahájených podle předchozí úpravy.

Bod 6

Definice pojmu „citlivý údaj“, pro všechny dosavadní právní předpisy, které tento pojem obsahují. Tato definice se velmi blíží dosavadnímu § 4 písm. b) zákona o ochraně osobních údajů, ale svým obsahem odpovídá zvláštním kategoriím osobních údajů podle čl. 9 a 10 nařízení 2016/679.

Bod 7

Toto ustanovení zachovává platnost souhlasů se zpracováním osobních údajů po přechodu na novou právní úpravu

§ 65

Zrušovací ustanovení.

§ 66

Stanoví se účinnost dnem vyhlášení.

V Praze dne 21. března 2018

Předseda vlády:

Ing. Andrej Babiš v. r.

Ministr vnitra: Mgr. Lubomír Metnar v. r.

Předsedkyně Úřadu pro ochranu osobních údajů: JUDr. Ivana Janů v. r.