Důvodová zpráva — zákon č. 111/2019 Sb.

A) Zhodnocení platného právního stavu, včetně zhodnocení současného stavu ve vztahu k zákazu diskriminace a ve vztahu k rovnosti mužů a žen

V rámci kontinuálního zajišťování slučitelnosti právního řádu České republiky s právem Evropské unie a v souladu s ustanovením § 24 zákona č. 2/1969 Sb., o zřízení ministerstev a jiných ústředních orgánů státní správy České republiky, ve znění pozdějších předpisů, byly aktuálně identifikovány sekundární právní předpisy Evropské unie, u nichž je třeba realizovat jeho implementaci do vnitrostátního práva. Těmito sekundárními právními předpisy Evropské unie jsou směrnice Evropského parlamentu a Rady (EU) 2016/681 ze dne 27. dubna 2016 o používání údajů jmenné evidence cestujících (PNR) pro prevenci, odhalování, vyšetřování a stíhání teroristických trestných činů a závažné trestné činnosti (dále také jen „směrnice 2016/681“) a směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV (dále také jen „směrnice 2016/680). Předkládaná novela rovněž v dotčených oblastech reaguje na nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále také jen „Obecné nařízení o ochraně osobních údajů“). Směrnice 2016/680 a nařízení o ochraně osobních údajů jsou součástí balíčku za účelem komplexní revize právního rámce ochrany osobních údajů v Evropské unii. Zatímco nařízení o ochraně osobních údajů je normou obecnou, nahrazující dosavadní směrnici, směrnice 2016/680 upravuje zpracování osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení, které bylo doposud upraveno pouze pro oblast justiční spolupráce v trestních věcech a policejní spolupráce zejména rámcovým rozhodnutím 2008/977/SVV. Směrnice 2016/681 se pak zaměřuje na specifické zpracování údajů z letecké dopravy. Hlavním cílem předloženého návrhu novelizace právních předpisů je tedy provést transpozici shora uvedených sekundárních předpisů Evropské unie, zajistit soulad vnitrostátní právní úpravy s těmito předpisy a tím splnit povinnost, která plyne České republice z členství v Evropské unii. Neprovedení transpozic uvedených právních předpisů EU by znamenalo nesplnění závazků plynoucích z členství České republiky v Evropské unii, což ve svém důsledku povede k uvalení finančních sankcí.

V souvislosti s novelizací nezbytnou v rámci plnění závazků ČR plynoucích ze členství v EU se navrhuje i dílčí novelizace souvisejících předpisů, která je požadovaná na základě identifikovaných nedostatků, a to zejména pak zákona č. 273/2009 Sb., o Policii České republiky, ve znění pozdějších předpisů a zákona č. 341/2011 Sb., o Generální inspekci bezpečnostních sborů (dále také jako „zákon o GIBS“), dále pak zákon č. č. 300/2013 Sb., o Vojenské policii, ve znění pozdějších předpisů, zákon č. 49/1997 Sb., o civilním letectví a o změně a doplnění zákona č. 455/1991 Sb., o živnostenském podnikání (živnostenský zákon), ve znění pozdějších předpisů, zákon č. 283/1993 Sb., o státním zastupitelství, ve znění pozdějších předpisů, zákon č. 257/2000 Sb., o Probační a mediační službě, ve znění pozdějších předpisů, zákon č. 269/1994 Sb., o Rejstříku trestů, ve znění pozdějších předpisů, zákon č. 555/1992 Sb., o Vězeňské službě a justiční stráži České republiky, ve znění pozdějších předpisů, zákon č. 141/1961 Sb., o trestním řízení soudním (trestní řád), ve znění pozdějších předpisů, zákon č. 104/2013 Sb., o mezinárodní justiční spolupráci ve věcech trestních, ve znění pozdějších předpisů, zákon č. 182/1993 Sb., o Ústavním soudu, ve znění pozdějších předpisů, zákon č. 99/1963 Sb., občanský soudní řád, ve znění pozdějších předpisů, zákon č. 150/2002 Sb., soudní řád správní, ve znění pozdějších předpisů, zákon č. 17/2012 Sb., o Celní správě České republiky, ve znění pozdějších předpisů (dále jen „ZCS“), zákon č. 280/2009 Sb., daňový řád, ve znění pozdějších předpisů (dále jen „daňový řád“), zákon č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu, ve znění pozdějších předpisů (dále jen „AML zákon“), zákon č. 234/2014 Sb., o státní službě, ve znění pozdějších předpisů, zákon č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů. Směrnice 2016/680 stanovuje zvláštní pravidla pro zpracování osobních údajů za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů nebo ochranných opatření, včetně ochrany před hrozbami pro veřejnou bezpečnost. Jsou-li osobní údaje zpracovány pro jiné účely, použije se Obecné nařízení o ochraně osobních údajů. V důsledku stanovení nových pravidel je třeba reflektovat směrnici 2016/680 v zákoně o policii v otázkách, které se týkají Policie ČR. Povinnosti ze směrnice 2016/680 plynoucí se dále transponují do nového zákona o zpracování osobních údajů, který je předkládán samostatně. Obecná pravidla, která dopadají na všechny justiční a policejní orgány, jsou tak upraveny v tomto novém předpise o zpracování osobních údajů. Nicméně dílčí ustanovení, která jsou úzce propojena s jednotlivými zvláštními zákony, je nutno upravit přímo v dotčených právních předpisech. Jedná se zejména o stanovení úkolů a účelů zpracování, zavedení povinnosti jmenovat pověřence, kdy je s přihlédnutím ke specifičnostem jednotlivých bezpečnostních sborů a justičních složek nutno zohlednit odlišnou proceduru pro jmenování pověřence pro ochranu osobních údajů.

Jen pro doplnění celkového přehledu hlavních norem v oblasti ochrany osobních údajů se dodává, že pro ČR je závazná též Úmluva Rady Evropy o ochraně osob se zřetelem na automatické zpracování osobních dat, vyhlášená pod č. 115/2001 Sb.m.s., jakož i její Dodatkový protokol, vyhlášený pod č. 29/2005 Sb.m.s.

Tato úmluva nerozlišuje, na rozdíl od předpisů Evropské unie, sektorové oblasti zpracování a zahrnuje jak zpracování civilní, tak policejní nebo justiční nebo zpravodajské.

Unijní cíl směrnice 2016/681 je vymezen v její preambuli. Tímto cílem je zajistit využití údajů shromažďovaných leteckými dopravci pro vlastní komerční účely (údajů jmenné evidence cestujících) k prevenci, odhalování, vyšetřování a stíhání terorismu a závažné trestné činnosti. Cílem směrnice naopak není ukládat povinnost leteckým dopravcům shromažďovat či uchovávat jiné údaje o cestujících, než které již v současné době pro vlastní komerční účely shromažďují (uchovávají). Posouzení údajů získaných ze jmenné evidence cestujících má umožnit identifikaci osob, reagovat na hrozbu teroristických trestných činů a závažné trestné činnosti a zároveň snížit riziko provádění kontrol a vyšetřování nevinných osob. Údaje předávané leteckými dopravci by měly obsahovat pouze informace o rezervacích a cestovních trasách, které příslušným orgánům umožní identifikovat ty cestující v letecké dopravě, kteří představují hrozbu pro vnitřní bezpečnost.

Ze směrnice 2016/681 plyne povinnost zřídit jednotku pro informace o cestujících, které budou letečtí dopravci údaje jmenné evidence cestujících předávat. Tato jednotka a s tím související oprávnění policie nakládat s těmito údaji dosud v právním řádu není zakotvena. Tento unijní cíl je realizován předloženým návrhem novelizace zákona č. 273/2008 Sb., o Policii ČR, ve znění pozdějších předpisů (dále také jako „zákon o policii“).

Letečtí dopravci podle stávající právní úpravy obsažené v ustanovení § 69 zákona č.49/1997 Sb., o civilním letectví a o změně a doplnění zákona č. 455/1991 Sb., o živnostenském podnikání (živnostenský zákon), ve znění pozdějších předpisů (dále jen „zákon o civilním letectví“), předávají Policii České republiky na její žádost údaje o cestujících, kteří překročí vnější hranici. Ustanovení § 69 bylo do zákona o civilním letectví vloženo jako transpoziční opatření ve vztahu k směrnici Rady 2004/82/ES ze dne 29. dubna 2004 o povinnosti dopravců předávat údaje o cestujících. Smyslem tohoto ustanovení je upravit předávání předběžných údajů o cestujících (údaje API) leteckými dopravci s cílem zlepšit hraniční kontroly a bojovat proti nedovolenému přistěhovalectví.

Předkládaná novela zákona o policii dále v návaznosti na usnesení vlády ČR ze dne 23. 2. 2015 č. 126 odstraňuje nedostatek současné právní úpravy v ustanovení § 44 zákona o policii, který reguluje vykázání osoby ze společné domácnosti v případech, kdy dochází k domácímu násilí. Ochrana, kterou příslušná ustanovení poskytují, se vztahuje na ohroženou osobu, která společně s osobou agresora sdílí společné obydlí. V praxi jde zejména o dospělé osoby, např. v postavení manžela, druha nebo seniora. Děti přítomné domácímu násilí v jejich rodinách nejsou přímo vnímány jako jeho oběti, protože většinou takové násilí ze strany agresora ani proti jejich osobě přímo nesměřuje, ač i na ně dopadá s důsledky obdobnými vystavení přímému týrání. Cílem navrhované novelizace je ochrana dítěte žijícího v domácnosti, kde dochází k domácímu násilí. Novelizace rovněž řeší v současnosti nedostatečnou právní úpravu v oblasti chráněných osob a nakládání s majetkem policie.

Změny dalších předpisů zajišťují souladnost a konzistentnost právního řádu a jeho provázanost s navrhovaným zákonem o zpracování osobních údajů a s nařízením 2016/679. V jednotlivých sektorových předpisech se tedy zejména poskytuje příslušným orgánům veřejné moci obecný titul pro zpracovávání osobních údajů, naplňuje se zásadu zákonnosti zpracovávání osobních údajů a omezení zpracování osobních údajů pro určité a legitimní účely, vymezuje se doba zpracování osobních údajů, stanoví pravidla pro výběr pověřence, realizuje směrnicí předvídaná možnost aplikace výjimky z povinnosti určit pověřence pro ochranu osobních údajů justičním orgánům, stanovit orgán vykonávající dohled nad zpracováním osobních údajů soudy a státními zastupitelstvími aj.

Jedním z cílů předloženého návrhu právního předpisu je také provedení adaptace vnitrostátního práva na Obecné nařízení o ochraně osobních údajů a zajištění souladu vnitrostátní právní úpravy s tímto předpisem. Navrhovaná právní úprava reaguje na Obecné nařízení o ochraně osobních údajů v tom smyslu, že upravuje některá zvláštní ustanovení o ochraně osobních údajů podle tohoto přímo použitelného předpisu. Tato ustanovení jsou obecně upravena zákonem o zpracování osobních údajů pro všechny dotčené subjekty. Některé právní úpravy jsou však svým charakterem natolik specifické, že v rámci tohoto zákona bylo přistoupeno k jejich zvláštním úpravám. Jedná se především o pravidla pro omezení práv a povinností subjektů údajů, která jsou upravena především v daňovém řádu, zákoně č. 456/2011 Sb., o Finanční správě České republiky, ve znění pozdějších předpisů (dále jen „zákon o Finanční správě ČR“), ZCS, AML zákoně a zákoně č. 300/2016 Sb., o centrální evidenci účtů, ve znění zákona č. 183/2017 Sb. (dále jen „ZCEÚ“).

Návrh novely ZCS vedle nezbytných transpozičních ustanovení obsahuje také návrh novelizace dílčích otázek, které vyvstaly z potřeb praxe, zejména v souvislosti s oprávněním používat „operativně pátrací prostředky“.

Návrh AML zákona pak obsahuje také návrh novelizace dílčích otázek, které vyvstaly z potřeb praxe, zejména v souvislosti s promítnutím transpozice AML směrnice.

Návrh novely zákona o Generální inspekci bezpečnostních sborů kromě nezbytných transpozičních ustanovení obsahuje návrh novelizace dílčích otázek, které vyvstaly z potřeb praxe, zejména v souvislosti s odnětím věci, požadování součinnosti. Návrh ustanovení vychází i obdobných ustanovení, které jsou již v současné chvíli platné pro policii.

Lze proto konstatovat, že právní úprava, jež je obsažena v návrzích novelizovaných právních předpisů, nemají žádné dopady ve vztahu k zákazu diskriminace. Z hlediska rovnosti mužů a žen je návrh neutrální a nemá v této oblasti negativní dopady, neboť navrhovaná právní úprava je pro obě pohlaví stejná.

B) Odůvodnění hlavních principů navrhované právní úpravy, včetně dopadů navrhovaného řešení ve vztahu k zákazu diskriminace a ve vztahu k rovnosti mužů a žen

Směrnice 2016/680 si klade za cíl zajistit vysokou úroveň ochrany osobních údajů fyzických osob a usnadnění výměny osobních údajů mezi příslušnými orgány členských států pro zajištění účinné justiční spolupráce v trestních věcech a policejní spolupráce. Směrnice 2016/680 je tak částečně transponována v rámci zvláštních zákonů (zákon o Policii ČR, ZCS, zákon o Generální inspekci bezpečnostních sborů, zákon o Vojenské policii a v dalších), a to do té míry, do jaké nelze oddělit předmětnou právní úpravu od ostatních ustanovení, která jsou v těchto zvláštních zákonech. Obecná část, která se vztahuje na orgány vymáhající právo je pak obsažena v předkládaném zákoně o zpracování osobních údajů. Na činnost justičních a policejních orgánů se tak bude vztahovat nejen zvláštní právní předpisy, které regulují jejich činnost, ale i zákon o zpracování osobních údajů, zejména v hlavě III. Nelze však přistoupit k tomu, že by právní úprava byla přijata pouze v rámci tohoto obecného zákona, neboť je potřeba reflektovat odlišné postavení a organizaci různých policejních a justičních orgánů (úkoly a účely zpracování, pověřenci, obecné zásady postupu apod.)

Za účelem zajištění dodržení příslušných záruk o ochraně osobních údajů při zpracovávání, uchování a předávání údajů jmenné evidence cestujících a zpracování osobních údajů dle směrnice 2016/680 obecně vznikne funkce pověřence pro ochranu osobních údajů. Úkolem pověřence bude mj. kontrolovat ochranu osobních údajů při nakládání s údaji jmenné evidence cestujících, poskytovat poradenství a školení o povinnostech v oblasti ochrany osobních údajů, hodnotit dopady využívání údajů PNR, přijímat stížnosti a žádosti subjektů údajů souvisejících se zpracováním osobních údajů policií.

K transpozici směrnice 2016/680 slouží jednak nový zákon o zpracování údajů, který je předkládán samostatně, jednak pak novelizace zvláštních právních předpisů, které upravují činnost orgánů, na nichž se zpracování osobních údajů podle směrnice 2016/680 vztahuje. Cílem návrhu novelizace v souvislosti s transpozicí směrnice 2016/681 je zajistit ochranu života a bezpečí osob tím, že se vytvoří právní rámec pro zpracování údajů jmenné evidence cestujících příslušnými orgány. Účinné využívání údajů jmenné evidence cestujících, například porovnáním údajů jmenné evidence cestujících s různými databázemi hledaných osob a předmětů nebo s vhodně připravenými kritérii, je nezbytné pro prevenci, odhalování, vyšetřování a stíhání teroristických trestných činů a závažné trestné činnosti. Posouzení údajů jmenné evidence cestujících umožní identifikaci osob, které dosud nebyly podezřelé z účasti na teroristických trestných činech nebo závažné trestné činnosti a které by měly být příslušnými orgány dále prověřeny. Údaje jmenné evidence cestujících (tzv. PNR údaje) obsahují pouze takové osobní údaje, které jsou nezbytné pro prevenci, odhalování, vyšetřování a stíhání teroristických trestných činů a závažné trestné činnosti. PNR data jsou cenným zdrojem informací, proto orgány vymáhající právo ve státech mimo Evropu data již dlouho analyzují a využívají (USA, Kanada, Jižní Korea, Austrálie, z EU i Velká Británie).

Policie ČR v souladu s tímto návrhem zákona shromažďuje údaje jmenné evidence cestujících od leteckých dopravců, uchovává je, zpracovává a využívá ty údaje, u nichž byla nalezena shoda s kritérii nebo s relevantními databázemi k plnění konkrétního úkolu souvisejícího s teroristickými trestnými činy nebo závažnými trestnými činy uvedenými v čl. 3 odst. 8 a 9 směrnice 2016/681.

Směrnice 2016/681 je promítnuta v návrhu novely zákona o civilním letectví a v zákoně o Policii ČR. Návrh zákona o civilním letectví obsahuje definici jmenné evidence cestujících ve smyslu článku 3 odst. 5 směrnice 2016/681 a stanoví povinnost leteckých dopravců předávat údaje ze jmenné evidence cestujících ve smyslu článku 8 uvedené směrnice. Údaje ze jmenné evidence cestujících jsou záznamy cestovních požadavků cestujících, které letecký dopravce shromažďuje při své obvyklé činnosti ve svém rezervačním systému, kontrolním systému odletů nebo obdobném systému. Tyto záznamy zahrnují veškeré údaje poskytnuté cestujícím nebo jeho jménem leteckému dopravci za účelem zpracování a kontroly rezervace místa na konkrétním letu.

Letecký dopravce bude povinen předávat údaje ze jmenné evidence cestujících Policii České republiky coby útvaru pro informace o cestujících ve smyslu článku 4 směrnice 2016/681. Návrh zákona stanoví také formu předávání těchto údajů a lhůtu, ve které musí být tyto údaje předány. Mimo tyto stanovené lhůty bude letecký dopravce povinen předávat údaje ze jmenné evidence cestujících také ad hoc na žádost Policie České republiky učiněnou v souvislosti s konkrétním ohrožením závažným protiprávním činem, a to neprodleně po doručení této žádosti.

Různý přístup umožňuje směrnice 2016/681, pokud jde o vymezení letů, na které se bude povinnost leteckých dopravců předávat údaje ze jmenné evidence cestujících vztahovat.

Směrnice 2016/681 se podle článku 1 odst. 1 písm. a) primárně vztahuje na předávání údajů ze jmenné evidence cestujících leteckými dopravci na letech mimo Evropskou unii, přičemž letem mimo Evropskou unii se podle článku 3 odst. 2 této směrnice rozumí jakýkoliv plánovaný nebo neplánovaný let provozovaný leteckým dopravcem ze třetí země, jenž má přistát na území členského státu, nebo let odlétající z území členského státu, jenž má přistát ve třetí zemi, v obou případech pak včetně letů s mezipřistáním na území členských států nebo třetích zemí. Letem uvnitř Evropské unie se podle článku 3 odst. 3 směrnice 2016/681 rozumí jakýkoliv plánovaný nebo neplánovaný let provozovaný leteckým dopravcem z území členského státu, jenž má přistát na území jednoho nebo několika jiných členských států bez mezipřistání na území třetí země.

Podle článku 2 směrnice 2016/681 se však členské státy mohou rozhodnout používat tuto směrnici i na lety uvnitř Evropské unie, což jsou povinny oznámit písemně Komisi, přičemž toto oznámení mohou členské státy kdykoli odvolat. Komise taková oznámení, případně jejich odvolání zveřejní v Úředním věstníku Evropské unie. Členský stát se může podle článku 2 odst. 3 směrnice 2016/681 rozhodnout, že tuto směrnici bude uplatňovat pouze na vybrané lety uvnitř Evropské unie, přičemž i v tomto případě může členský stát kdykoli rozhodnout o změně svého výběru takto určených letů uvnitř Evropské unie.

V rámci diskuse vedené po přijetí směrnice 2016/681se ministři na Radě JHA 4. prosince 2015 shodly na tom, že vzhledem k bezpečnostní situaci v Evropě je třeba využít možnosti vztáhnout povinnost předávat údaje ze jmenné evidence cestujících rovněž z vnitřních letů (viz dokument 15271/15). Z dosavadních diskuzí je zřejmé, že jednotlivé ČS toto oprávnění využijí a zavádějí povinnost rovněž na lety v rámci EU. Některé státy již sytém PNR vybudovaly předtím, než jej požadovala evropská směrnice a i tyto státy přistoupily k tomu, že povinnost poskytovat údaje vztáhly i na lety v rámci EU (např. Francie, Velká Británie, Rumunsko, Maďarsko). Navíc Česká republika nemá velká letiště, mnoho cestujících tak cestuje z okolních států (Německo – Frankfurt, Mnichov, Rakousko – Vídeň), nezavedení povinnosti předávat údaje i z vnitrostátních letů by do značné míry snížilo účinnost celého systému. Je proto nezbytné, aby ČR stejně jako ostatní státy EU respektovala shodu ministrů, které bylo dosaženo na jednání Rady pro justici a vnitro a zavedla tuto povinnost i na lety v rámci EU.

Z tohoto důvodu je povinnost uvedená v § 69a odst. 1 návrhu zákona koncipována obecně, tedy na všechny lety (jak uvnitř Evropské unie, tak mimo Evropskou unii), přičemž povinnost předání údajů ze jmenné evidence cestujících se vztahuje k letu se vzletem, mezipřistáním či přistáním na území České republiky. Předávání těchto údajů na území jiných členských států Evropské unie bude zabezpečováno v souladu s jejich právním řádem. Vzhledem k možnosti členského státu kdykoli odvolat oznámení o tom, že určené lety uvnitř Evropské unie spadají pod působnost směrnice 2016/681, jakož i k možnosti členského státu kdykoli změnit určení těchto letů, je obecná povinnost leteckého dopravce předávat údaje ze jmenné evidence cestujících ustanovením § 69a odst. 2 návrhu zákona upřesněna. Týkají-li se údaje ze jmenné evidence cestujících letu uskutečňovaného leteckým dopravcem z území členského státu Evropské unie s přistáním na území jednoho nebo několika jiných členských států Evropské unie bez mezipřistání mimo členské státy Evropské unie, tedy týkají-li se letu uvnitř Evropské unie, bude je letecký dopravce povinen předávat pouze v případě, půjde-li o let zveřejněný v Úředním věstníku Evropské unie. Za nesplnění povinnosti předávat údaje ze jmenné evidence bude možné uložit odpovídající sankci (pokutu); do zákona o civilním letectví se navrhuje doplnit příslušná skutková podstata přestupku. Orgánem příslušným k projednání tohoto přestupku v prvním stupni bude Policie České republiky, která rovněž projednává přestupek leteckého dopravce spočívající v nesplnění povinnosti předávat údaje o cestujících (údaje API) podle ustanovení § 69 zákona o civilním letectví. Při transpozici obou směrnice do návrhu novely zákona o Policii ČR respektuje stávající systematiku zákona. K provedení jednotlivých ustanovení tak budou přijaty příslušné interní akty řízení. Návrh novely zákona o Policii ČR nově upravuje nakládání s údaji jmenné evidence cestujících Policií ČR. Definovány jsou využívající orgány České republiky a Evropské unie. Je zakotven mechanismus pro zpracování údajů, a to včetně pravidel pro jejich zpracování a využití. V souladu se směrnicí 2016/681 se upravuje rovněž mezinárodní spolupráce se třetími státy.

Návrh novely zákona o policii rovněž zpřesňuje stávající problematiku vykázání osoby žijící ve společné domácnosti v případech domácího násilí, a to i s ohledem na právo dítěte žijícího v takové domácnosti.

Navrhovaná právní úprava neupravuje vztahy, které by se dotýkaly zákazu diskriminace ve smyslu antidiskriminačního zákona (tj. nerovného zacházení či znevýhodnění některé osoby z důvodu rasy, etnického původu, národnosti, pohlaví, sexuální orientace, věku, zdravotního postižení, náboženského vyznání, víry či světového názoru). Lze proto konstatovat, že právní úprava obsažená v návrhu zákona nemá žádné dopady ve vztahu k zákazu diskriminace. Z hlediska rovnosti mužů a žen je návrh neutrální nemá v této oblasti negativní dopady, neboť navrhovaná právní úprava je pro obě pohlaví stejná.

C) Vysvětlení nezbytnosti navrhované právní úpravy v jejím celku

Hlavním cílem předložených návrhů zákonů je provést transpozici směrnice 2016/681 a směrnice 2016/680. Neprovedení transpozic uvedených směrnic by znamenalo nesplnění závazků plynoucích z členství České republiky v Evropské unii, což ve svém důsledku vede k uvalení finančních sankcí.

Návrh zákona rovněž novelizuje některá ustanovení zákona č. 273/2008 Sb., o Policii České republiky týkající se institutu vykázání, policejní ochrany vybraných osob, a obsahuje nové ustanovení zmocňující ministerstvo vnitra vydat vyhlášku upravující požadavky na technické vybavení policie.

Návrh zákona také novelizuje zákona o GIBS. Nově by měla GIBS disponovat některými pravomocemi obdobnými pravomocím policie. Jde o uveřejňování informací hromadnými sdělovacími prostředky, odnětí věci nebo vstup do obydlí, jiného prostoru nebo na pozemek. K těmto novelizací dochází na základě naléhavé potřeby Policie ČR a GIBS, která má za cíl zlepšit práci policie při plnění úkolů policie, resp. GIBS.

Navrhuje se rovněž novelizace zákona o svobodném přístupu k informacím, a to s ohledem na směrnici 680/2016 a její implementaci do českého národního práva. Navržená novelizace má přinést při zachování stejného standardu poskytování informací, zakotveného v zákoně již nyní, vyšší právní jistotu, jednotnou praxi a účinnější ochranu spravedlivého procesu, při nižším administrativním zatížení orgánů činných v trestním řízení.

Novelizace dalších zákonů (o státním zastupitelství, o soudech a soudcích, o mezinárodní justiční spolupráci ve věcech trestních, aj.) je rovněž provedena s cílem implementovat zejména směrnici 680/2016 do českého národního práva, přičemž se v těchto předpisech stanoví zejména pravidla pro výběr pověřence, realizuje směrnicí předvídaná možnost aplikace výjimky z povinnosti určit pověřence pro ochranu osobních údajů justičním orgánům, naplňuje zásada zákonnosti zpracovávání osobních údajů a omezení zpracování osobních údajů pro určité a legitimní účely aj. Jedním z hlavních cílů předloženého návrhu zákona je také provedení adaptace na Obecné nařízení o ochraně osobních údajů. Jedná se pak především o promítnutí legislativních opatření k omezení rozsahu povinností a práv, které jsou v Obecném nařízení o ochraně osobních údajů založeny.

Návrhem novely daňového řádu jako obecného procesního předpisu upravujícího správu daní je třeba provést adaptační úpravu ve vztahu k Obecnému nařízení o ochraně osobních údajů, která jednak stanoví podmínky realizace některých práv subjektu údajů prostřednictvím jejich zasazení do existujících institutů daňového řádu, a jednak v návaznosti na článek 23 Obecného nařízení o ochraně osobních údajů stanoví výjimky upravující omezení některých z těchto práv. Cílem je provést adaptaci takovým způsobem, aby došlo k naplnění smyslu a účelu Obecného nařízení o ochraně osobních údajů a současně nedošlo ke zhoršení podmínek pro výkon správy daní a dalších působností oproti stávajícímu stavu.

Některé výjimky upravující omezení práv subjektu údajů, které se uplatní rovněž v rámci správy daní, jsou upraveny již samotným návrhem zákona o zpracování osobních údajů. Zejména platí, že jeho § 10 obecně upravuje omezení některých práv a povinností tak, že články 12 až 22 Obecného nařízení o ochraně osobních údajů a v odpovídajícím rozsahu též článek 5 Obecného nařízení o ochraně osobních údajů se použijí pouze částečně nebo se splnění povinností správce údajů nebo zpracovatele údajů nebo práva subjektu údajů stanovených těmito články odloží, je-li to nezbytné a přiměřené k předcházení vážného ohrožení ve vymezených oblastech. Jednou z takto vymezených oblastí je jiný důležitý cíl obecného veřejného zájmu Evropské unie nebo členského státu Evropské unie, zejména důležitý hospodářský nebo finanční zájem Evropské unie nebo členského státu Evropské unie, včetně peněžních, rozpočtových a daňových záležitostí, veřejného zdraví a sociálního zabezpečení. Do uvedené oblasti tak nepochybně spadá zájem na řádném výkonu správy daní. S ohledem na velmi obecný charakter této úpravy a současně na velmi široký záběr správy daní v procesním smyslu, která se nevztahuje pouze na správu daní v užším smyslu, ale rovněž na správu řady dalších peněžitých plnění a na výkonu dalších agend v procesním režimu daňového řádu, se nicméně jeví jako vhodné některá omezení práv subjektů údajů upravit v daňovém řádu výslovně, jakkoliv by zřejmě v řadě případů bylo možné tato omezení dovodit z obecné úpravy zákona o zpracování osobních údajů.

Naopak tam, kde návrh zákona o zpracování osobních údajů řeší explicitně konkrétní omezení práv subjektu údajů při výkonu veřejné moci, tj. i pro účely správy daní, není na místě řešit tato omezení v daňovém řádu, který v těchto případech spoléhá na obecnou úpravu.

Analogické řešení je třeba přijmout též pro oblast výkonu působnosti orgánů Finanční, resp. Celní správy České republiky, která je z velké míry tvořena právě výkonem správy daní, avšak vyžaduje aplikaci obdobného režimu též na zbylé agendy daných soustav orgánů, byť jsou vykonávána v jiném procesním režimu.

Současně je třeba provést adaptaci na Obecné nařízení o ochraně osobních údajů v oblasti opatření proti legalizaci výnosů z trestné činnosti a financování terorismu, která je provedena návrhem novely AML zákona. Vzhledem k velmi specifickému charakteru činnosti Finančního analytického úřadu (dále jen „FAÚ“) a velmi striktně upravené povinnosti mlčenlivosti a ochrany dat, které jsou pro jeho výkon nezbytné, je nutné ve vztahu k výkonům některých povinností, upravených v Obecném nařízení o ochraně osobních údajů, využít výjimky vyplývající z čl. 23 tohoto nařízení. Tyto výjimky je nutné aplikovat jak ve vztahu k činnosti FAÚ, tak ve vztahu k povinným subjektům, protože obě tyto kategorie zpracovávají osobní údaje pro účely předcházení či odhalování legalizace výnosů z trestné činnosti a financování terorismu. Vnitrostátní úprava výjimek v rámci této činnosti je rovněž předpokládána v čl. 41 odst. 4 směrnice Evropského parlamentu a Rady (EU) 2015/849 ze dne 20. května 2015 o předcházení využívání finančního systému k praní peněz nebo financování terorismu, o změně nařízení Evropského parlamentu a Rady (EU) č. 648/2012 a o zrušení směrnice Evropského parlamentu a Rady 2005/60/ES a směrnice Komise 2006/70/ES (dále jen „IV. AML směrnice Evropské Unie“). Obdobný účel má i činnost České národní banky (dále jen „ČNB“) při provozování centrální evidence účtů (dále jen „CEÚ)“.

Konečně je třeba provést adaptaci na Obecné nařízení o ochraně osobních údajů v oblasti CEÚ, která je provedena návrhem novely ZCEÚ. Vzhledem k velmi specifickému charakteru vedení této evidence, kdy ČNB nezasahuje do těchto údajů, je třeba využít výjimky vyplývající z čl. 23 tohoto nařízení. Tyto výjimky je nutné aplikovat jak ve vztahu k činnosti ČNB, tak ve vztahu k úvěrovým institucím, protože reálné zpracování osobních údajů probíhá pouze na úrovni úvěrových institucí.

D) Zhodnocení souladu navrhované právní úpravy s ústavním pořádkem České republiky

Navrhovaná právní úprava je plně v souladu s ústavním pořádkem České republiky, jak jej vymezuje čl. 112 Ústavy České republiky. Návrh zákona respektuje obecné zásady ústavního pořádku České republiky a jeho obsah neporušuje ústavní principy rovnosti v právech a zákazu retroaktivity.

Návrh zvolené úpravy respektuje ústavní principy Listiny základních práv a svobod.

Navrhovaná právní úprava nijak nesnižuje práva dotčených subjektů a nejsou jí diskriminovány žádné specifické skupiny adresátů právních norem, respektuje obecné zásady ústavního pořádku České republiky a není v rozporu s nálezy Ústavního soudu České republiky. Naopak novela zdůrazňuje principy nediskriminace.

Právní úprava je navrhována tak, aby byla v souladu se zásadami zákonnosti, legitimity cílů a přiměřenosti zásahu do základních práv a svobod. Na závěr je tedy možné uvést, že navrhovaná právní úprava je v souladu s ústavním pořádkem České republiky.

E) Zhodnocení slučitelnosti navrhované právní úpravy s právem Evropské unie

Navrhovaná právní úprava zajišťuje implementaci směrnice Evropského parlamentu a Rady (EU) 2016/681 ze dne 27. dubna 2016 o používání údajů jmenné evidence cestujících (PNR) pro prevenci, odhalování, vyšetřování a stíhání teroristických trestných činů a závažné trestné činnosti, dále pak směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV.

Předkládaná novela rovněž v dotčených oblastech reaguje na Obecné nařízení o ochraně osobních údajů.

Předkládaný návrh je v souladu s primárním právem Evropské unie, výše uvedeným sekundárním právním aktem Evropské unie i s obecnými zásadami práva Evropské unie. Na materii obsaženou v návrhu se nevztahuje žádná judikatura soudních orgánů Evropské unie.

Návrh je tedy plně slučitelný s právem Evropské unie jako celkem.

Z pohledu prevence nadbytečné regulatorní zátěže při implementaci práva EU lze z hlediska rozšiřujících podmínek konstatovat, že směrnice 2016/681 umožňuje takovou úpravu v čl. 2, kdy umožnuje členským státům stanovit povinnost i pro lety v rámci Evropské unie. ČR této možnosti využila, stejně tak jako ostatní členské státy. Nejedná se o nadbytečnou regulatorní zátěž, neboť zahrnutí vnitřních letů do evropského systému PNR bylo ministry členských států na Radě pro justici a vnitro konané v prosinci 2015 shledáno za zásadní a žádoucí. Naopak nezahrnutí vnitřních letů do systému evropských PNR by vedla k tomu, že by ČR pravděpodobně jako jediná tyto lety z povinnosti předávat údaje vyloučila.

Naopak ČR nepřistoupila k tomu, že by mezi povinné subjekty zahrnula cestovní agentury, jak předvídá recitál 33, který nevylučuje možnost členských států vztáhnout povinnost stanovenou vnitrostátním právem předávat údaje jmenné evidence cestujících nejen od leteckých dopravců, ale i od cestovních agentur.

V rámci pravidelného přezkumu podle čl. 19 odst. 3 pak bude proveden i přezkum účinnosti tohoto rozšíření u těch států, které k tomuto kroku přistoupí. ČR tuto možnost nezvolila z toho důvodu, že i při cestování v rámci charterových letů a zájezdy, které jsou organizovány cestovními kancelářemi, musí i letecký přepravce alespoň nějaké údaje shromáždit a ty potom následně jednotce pro cestující předat. Z tohoto důvodu bylo vyhodnoceno, že není třeba vztahovat povinnost i na cestovní agentury. ČR tak tedy nepřistoupila k tomu, že by stanovila nadměrnou neodůvodněnou regulatorní zátěž.

ČR využila rovněž i možnosti stanovené v čl. 32 odst. 1 směrnice 2016/680 a nestanovila povinnost pro soudy a státní zastupitelství určit pověřence ochrany osobních údajů ve smyslu této směrnice.

Z pohledu prevence nadbytečné regulatorní zátěže při transpozici práva Evropské unie lze z hlediska upravených omezení konstatovat, že Obecné nařízení o ochraně osobních údajů podle čl. 23 umožnuje členským státům prostřednictvím legislativního opatření z důvodu důležitého obecného veřejného zájmu omezit rozsah práv a povinností subjektů údajů. ČR této možnosti využila. Ve všech případech se jedná o opatření, která jsou s ohledem na uvedené regulace nezbytná a jejich rozsah je konstruován tak, aby byly za všech okolností přiměřené. Nejedná se tak o nadbytečnou regulatorní zátěž.

V rámci daňového řádu je třeba řešit dvě výjimky z práv subjektu údajů v mezích článku 23 Obecného nařízení o ochraně osobních údajů, a to z:

• práva na omezení zpracování údajů na základě popření přesnosti

zpracovávaných osobních údajů nebo na základě námitky subjektu údajů – zpochybněné údaje mohou být správcem daně i nadále zpracovány, a to i bez souhlasu subjektu údajů. Správci daně je známo, že tyto údaje a i jejich zpracování jsou subjektem údajů zpochybněny. Formou označení bude úřední záznam případně jiný vhodný způsob, který správce daně zvolí. Jedná se o speciální normu vůči ustanovení článku 18 odst. 1 písm.

a) a d) Obecného nařízení o ochraně osobních údajů.

• práva nebýt předmětem automatizovaného rozhodování, včetně profilování

– správce daně může provádět výkon správy daní výhradně na základě automatizovaného zpracování osobních údajů. Správce daně musí tuto činnost uvést v záznamu a uchovat jej nejméně po dobu jednoho roku od posledního použití zpracovaných osobních údajů daňového subjektu. Jedná se o speciální normu vůči ustanovení článku 22 Obecného nařízení o ochraně osobních údajů.

Analogické řešení je třeba přijmout též pro oblast výkonu působnosti orgánů Finanční, resp. Celní správy ČR, která je z velké míry tvořena právě výkonem správy daní, avšak vyžaduje aplikaci obdobného režimu též na zbylé agendy daných soustav orgánů, byť jsou vykonávána v jiném procesním režimu.

V rámci AML zákona, popř. ZCEÚ je nutné řešit tyto výjimky z práv subjektu údajů v mezích článku 23 Obecného nařízení o ochraně osobních údajů, a to z:

• práva subjektu údajů na přístup k osobním údajům – povinné osoby

a orgány příslušné v oblasti opatření proti legalizaci výnosů z trestné činnosti a financování terorismu nejsou povinny vydat subjektu údajů potvrzení, zda osobní údaje, které se ho týkají, zpracovávají, případně umožnit přístup k těmto údajům,

• práva subjektu údajů, aby mu byly oznámeny případy porušení

zabezpečení osobních údajů – FAÚ neoznámí porušení zabezpečení osobních údajů osobě, které se tyto údaje týkají, popřípadě oznámí pouze v takovém rozsahu, aby sdělením nedošlo k ohrožení plnění úkolu za účelem zabránění zneužívání finančního systému k legalizaci výnosů z trestné činnosti nebo k financování terorismu, vytváření podmínek pro odhalování legalizace výnosů z trestné činnosti nebo financování terorismu, nebo utajovaných informací,

• práva na opravu nebo likvidaci osobních údajů nebo jejich zpracování –

FAÚ nevyhoví žádosti o opravu nebo výmaz osobních údajů nebo omezení jejich zpracování, popřípadě vyhoví pouze částečně, pokud by vyhověním došlo k ohrožení plnění úkolu za účelem zabránění zneužívání finančního systému k legalizaci výnosů z trestné činnosti nebo k financování terorismu, vytváření podmínek pro odhalování legalizace výnosů z trestné činnosti nebo financování terorismu, nebo utajovaných informací. Pokud by i sdělením o nevyhovění žádosti, včetně odůvodnění, došlo k ohrožení těchto chráněných zájmů, FAÚ bude žadatele informovat takovým způsobem, aby se takovému ohrožení předešlo.

F) Zhodnocení souladu navrhované právní úpravy s mezinárodními smlouvami, jimiž je Česká republika vázána, včetně zhodnocení slučitelnosti navrhované právní úpravy s Úmluvou o ochraně lidských práv a základních svobod

Navrhovaná právní úprava je v souladu s obecně uznávanými zásadami mezinárodního práva, s mezinárodními smlouvami, jimiž je Česká republika vázána, včetně Smlouvy o Evropské unii a Smlouvy o fungování Evropské unie, a není tedy v rozporu se závazky vyplývajícími pro Českou republiku z mezinárodních smluv ani obecně uznávaných zásad mezinárodního práva.

Navrhovaná právní úprava je v souladu s Úmluvou o ochraně lidských práv a základních svobod a jejími protokoly, jakož i s judikaturou Evropského soudu pro lidská práva.

Na základě navrhované právní úpravy budou ukládány dostatečně předvídatelné sankce. Tyto sankce budou ukládány a vymáhány standardním způsobem prostřednictvím procesu, který zajišťuje všechna práva vyplývající z Úmluvy o ochraně lidských práv a základních svobod. Právo na spravedlivé řízení je korunováno systémem správního soudnictví, neboť všem osobám pravomocně uznaným vinnými z přestupku se umožňuje podat ke správnímu soudu žalobu proti pravomocnému rozhodnutí správního orgánu.

Návrh upravuje nakládání s osobními údaji, včetně údajů jmenné evidence cestujících, v souladu se zásadami ochrany soukromí. Jsou zajištěny dostatečné záruky pro zpracování údajů, definovány subjekty, které je mohou zpracovávat. Údaje jmenné evidence cestujících je možné zpracovávat pouze k definovaným účelům. Tím je zachován princip přiměřenosti ve vztahu k zásahu do práva na soukromí, přičemž sledovaným zájmem ospravedlňujícím zásah do práva na soukromí je ochrana veřejného pořádku, přecházení a odhalování trestné činnosti.

Návrh není rovněž v rozporu se závazky, vyplývajícími pro Českou republiku z členství v Evropské unii, zejména s předpisy Evropské unie, judikaturou soudních orgánů Evropské unie nebo obecnými právními zásadami práva Evropské unie.

G) Zhodnocení předpokládaného hospodářského a finančního dosahu navrhované právní úpravy na státní rozpočet, ostatní veřejné rozpočty, na podnikatelské prostředí České republiky, dále sociální dopady, včetně dopadů na specifické skupiny obyvatel a dopady na životní prostředí

Implementace směrnice 2016/680 je podmíněna splněním náročných finančních, technických a personálních požadavků týkajících se ochrany osobních údajů (jedná se například o zajištění bezpečnosti databází, náklady na implementaci posílených práv subjektů údajů, náklady na vyhodnocování ochrany osobních údajů v dalších státech, náklady na pověřence ochrany osobních údajů). V nemalé míře ovšem tyto činnosti zajišťují příslušné orgány již nyní.

Transpozice směrnice 2016/681 přináší povinnost zřídit jednotku pro analýzu informací o cestujících. Jednotka pro zpracování údajů PNR bude umístěna v rámci Policie ČR. Jednotka by měla být budována ve fázích podle objemu zpracovávaných dat, tedy personálních nároků na jejich zpracovávání. Veřejná zakázka bude realizována na základě rámcové smlouvy. Předpokládané náklady jsou 110 milionů Kč a mimo projekt 30 mil. Kč na navazující úpravy souvisejících IS. Předpokládáno je však refinancování části nákladů (na technickou část IS PNR) z evropských zdrojů (ISF) a to až ve výši 75 %, nejvíce však 60 milionů Kč.

Veškeré personální a finanční dopady vyvolané předmětným materiálem jsou zcela zohledněny v návrhu státního rozpočtu na r. 2018 a střednědobého výhledu na r. 2019 – 2020, který byl předložen ke schválení Poslanecké sněmovně.

Dle odhadu dopravců lze v případě tradičních/klasických leteckých dopravců lze obecně počítat s investičními náklady spojenými s navrhovanou právní úpravou v řádu stovek tisíc Kč (desítek tisíc Euro). Tyto náklady jsou odhadovány v rozmezí 540 000 až 675 000 Kč (20 000 až 25 000 Euro), a to v souvislosti s aktivací elektronického systému a dále s průběžnými provozními náklady, které se budou odvíjet nejen od počtu cestujících, ale také od objemu dat zasílaného ze systému (v řádu centů Euro za dávku). Zde bude zpoplatněno každé předání dat, která budou o cestujícím zasílány několikrát za jeden let (ve lhůtě 48 až 24 hod. před odletem a po tzv. uzavření letu).

Letečtí dopravci, kteří mají vydanou licenci k provozování obchodní letecké dopravy ze strany Úřadu pro civilní letectví, a kteří mají výrazně odlišný způsob podnikání (klientelu) a nevyužívají automatizovaného (a drahého) rezervačního systému, budou muset některé údaje sbírat a odevzdávat tzv. „ručně“. Z tohoto důvodu budou muset k počátečním investičním nákladům, které se odhadují v přibližné výši 100.000 až 300.000 Kč v závislosti na velikosti dopravce, připočítat průběžné personální náklady, a to v přibližné výši 20.000 Kč plus povinné pojistné a fond kulturních a sociálních potřeb zaměstnavatele (odhaduje se přibližně 0,4 až 0,5 stanovené týdenní pracovní doby jednoho zaměstnance), jakož i průběžné náklady za řádné zabezpečení dat (v rámci implementace nařízení na ochranu osobních údajů) v přibližné výši 10.000 až 25.000 Kč za měsíc. Většina „menších“ leteckých dopravců bude navrhovanou právní úpravou dotčena v prvním roce (včetně investičních nákladů) celkovými náklady v rozmezí 549.000 až 929.000 Kč a v dalších letech v rozmezí 449.000 až 629.000 Kč.

Více ovlivněni a dotčeni budou tedy „menší“ letečtí dopravci, kteří nebudou moci využívat automatizovaných systémů. Ti, jakkoli budou předávat mnohem méně údajů (s ohledem na jejich charakter provozu a s přihlédnutím k tomu, že mají předávat skutečně jen ty údaje, které mají ze své komerční činnosti k dispozici), nebudou moci počítat s jakýmikoli úsporami z rozsahu. Lze tak očekávat, že tyto zvýšené náklady povedou k nárůstu cen za jimi nabízené služby.

Navrhovaná právní úprava nepředpokládá žádné sociální dopady. Navrhovaná právní úprava neupravuje vztahy, které by se dotýkaly zákazu diskriminace ve smyslu antidiskriminačního zákona (tj. nerovného zacházení či znevýhodnění některé osoby z důvodu rasy, etnického původu, národnosti, pohlaví, sexuální orientace, věku, zdravotního postižení, náboženského vyznání, víry či světového názoru). Lze proto konstatovat, že právní úprava obsažená v návrhu zákona, nemá žádné dopady ve vztahu k zákazu diskriminace. Navrhovaná právní úprava nepředpokládá žádné dopady na životní prostředí.

H) Zhodnocení dopadů navrhovaného řešení ve vztahu k ochraně soukromí a osobních údajů

Směrnice 2016/680 má zajistit ochranu soukromí a osobních údajů v případech, kdy na zpracování osobních údajů nedopadá Obecné nařízení o ochraně osobních údajů. Předkládaná novela tedy slouží k zajištění dostatečné ochrany osobních údajů.

Směrnice 2016/681 předpokládá ve své preambuli, že povinnost předávat údaje ze jmenné evidence cestujících leteckými dopravci má být nastavena tak, aby odrážela legitimní požadavek veřejných orgánů na zajištění prevence, odhalování, vyšetřování a stíhání teroristických trestných činů nebo závažné trestné činnosti, ale zároveň aby byla ochráněna základní práva, zejména právo na soukromí a ochranu osobních údajů (viz odst. 15 preambule). Za tím účelem se uplatní standardy v souladu s Listinou základních práv Evropské unie, Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních údajů a Evropská úmluva o ochraně lidských práv a základních svobod.

Zpracování osobních údajů ze jmenné evidence cestujících leteckými dopravci bude probíhat v souladu s obecnými zásadami ochrany osobních údajů stanovené v Obecném nařízení na ochranu osobních údajů. Jednotka pro analýzu údajů o cestujících a využívající orgány se budou řídit speciálními ustanoveními pro ochranu osobních údajů, které jsou zakotveny v zákoně o policii a které přinese současně předkládaná novela zákona o ochraně osobních údajů a změně některých zákonů, ve znění pozdějších předpisů.

Každý subjekt, který by zjistil nebo se domníval, že zpracování jeho osobních údajů je prováděno v rozporu s ochranou soukromého nebo osobního života nebo v rozporu se zákonem, zejména by zjistil, že jeho údaje jsou s ohledem na jejich zpracování nepřesné, bude moci požádat o vysvětlení nebo se domáhat nápravy vzniklého stavu.

I) Zhodnocení korupčních rizik

Předkladatel provedl zhodnocení korupčních rizik, jak stanoví Hlava II., čl. 9 odst. 2 písm. i) Legislativních pravidel vlády, a to podle Metodiky CIA (Corruption Impact Assessment; Metodika hodnocení korupčních rizik), kterou uveřejnil Vládní výbor pro koordinaci boje s korupcí na webové stránce http://www.korupce.cz/assets/protikorupcni-agenda/cia/Metodika-hodnoceni- korupcnich-rizik-_CIA_.pdf.

Přiměřenost

Návrhem zákona dochází k transpozici směrnice 2016/681 a směrnice 2016/680, dále pak v dílčích otázkách adaptaci na Obecné nařízení o ochraně osobních údajů, přičemž navrhovaná právní úprava nejde nad rámec nezbytné a řádné transpozice. Navrhovaná právní úprava obsahuje pravidla pro zpracování osobních údajů pro vymezené účely a novelizací jednotlivých právních předpisů zajišťuje souladnost a konzistentnost právního řádu a jeho provázanost s navrhovaným zákonem o zpracování osobních údajů a s nařízením 2016/679. Novela rovněž stanovuje povinnost leteckých dopravců předávat údaje ze jmenné evidence cestujících, které shromažďují při své obvyklé činnosti, Policii České republiky ve stanovených lhůtách a stanoveným způsobem, přičemž za nesplnění této povinnosti může být v rámci správního řízení uložena odpovídající sankce za přestupek.

Navrhovaná právní úprava rozšiřuje okruh kontrolní činnosti a působnosti pro projednání přestupků na straně Policie České republiky, která bude v případě zjištění, že stanovenou povinnost letecký dopravce nesplnil, zahajovat a vést správní řízení pro spáchání odpovídajícího přestupku. Rozšíření kompetence Policie České republiky je úměrné povaze upravovaných vztahů.

V rámci oblasti správy daní a dalších oblastí s ní související lze uvést, že navržená právní úprava mění kompetence správních orgánů pouze způsobem, který modifikuje kompetence stávající, a to pouze v rozsahu nezbytném pro úpravu vztahů, které mají být právní úpravou nově regulovány, přičemž míra diskrece je vzhledem k vymezení povinností minimální.

Efektivita

Navrhovaná právní úprava je dostatečně určitá a předpokládá, že veřejná správa bude schopna kontrolovat a vynucovat dodržování dané regulace.

Odpovědnost

Z navrhované právní úpravy je zřejmé, že hlavní kompetenční roli bude v dané problematice sehrávat především Policie České republiky, případně Ministerstvo vnitra.

Přijetí sankčních opatření předvídá článek 14 směrnice Evropského parlamentu a Rady (EU) 2016/681 ze dne 27. dubna 2016 o používání údajů jmenné evidence cestujících (PNR) pro prevenci, odhalování, vyšetřování a stíhání teroristických trestných činů a závažné trestné činnosti, který ukládá České republice povinnost stanovit pravidla pro sankce za porušení vnitrostátních předpisů přijatých na základě uvedené směrnice a přijetí nezbytných opatření k zajištění jejich uplatňování. Stanovené sankce musí být účinné, přiměřené a odrazující.

Z hlediska soustředění pravomocí nepřináší navrhovaná právní úprava jejich nadměrné soustředění u jednoho orgánu, zároveň však nedochází k rozdělení pravomocí mezi vyšší počet neurčitých subjektů.

Subjekty odpovědné za konkrétní rozhodnutí lze jasně identifikovat. O přestupku, jehož skutková podstata bude spočívat v nepředání údajů ze jmenné evidence cestujících, bude v prvním stupni rozhodovat Policie České republiky (viz § 94 odst. 1 písm. c) návrhu zákona).

V rámci oblasti správy daní a dalších oblastí s ní související lze uvést, že zvolená právní úprava vždy jasně reflektuje požadavek čl. 79 odst. 1 Ústavy, podle něhož musí být působnost správního orgánu stanovena zákonem. Odpovědnou osobou na straně správce daně, resp. jiného správního orgánu je v daňovém řízení vždy úřední osoba. Určení konkrétní úřední osoby je prováděno na základě vnitřních předpisů, resp. organizačního uspořádání konkrétního správního orgánu, přičemž popis své organizační struktury je správní orgán povinen zveřejnit na základě zákona č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů. Totožnost konkrétní úřední osoby je přitom seznatelná zákonem předvídaným postupem (srov. § 12 odst. 4 daňového řádu); úřední osoba je povinna se při výkonu působnosti správního orgánu prokazovat příslušným služebním průkazem.

Opravné prostředky

Ve správním řízení mohou účastníci uplatňovat (v případě nesprávného postupu orgánu veřejné správy) opravné prostředky v souladu se správním řádem.

Proti rozhodnutí Policie České republiky o stanovení sankce za přestupek leteckého dopravce bude možné podat odvolání k Ministerstvu vnitra (k působnosti Ministerstva vnitra rozhodovat o opravném prostředku proti rozhodnutí Policie České republiky o uložení sankce za přestupek spočívající v nepředání údajů ze jmenné evidence cestujících vydanému v prvním stupni viz § 94 odst. 2 návrhu zákona).

V rámci oblasti správy daní a dalších oblastí s ní související lze uvést, že daňové subjekty mohou uplatňovat (v případě nesprávného postupu správce daně) opravné prostředky v souladu s daňovým řádem. Vedle opravných prostředků daňový řád připouští rovněž jiné prostředky ochrany, kterými je třeba rozumět např. stížnost (srov. § 261 daňového řádu). Právě institut stížnosti by měl podle návrhu zákona sloužit k realizaci práva subjektu údajů vznést námitku proti zpracování osobních údajů.

Kontrolní mechanismy

Navrhovaná právní úprava konkrétně upravuje role – odpovědnost Policie České republiky a Ministerstva vnitra.

V rámci oblasti správy daní a dalších oblastí s ní související lze uvést, že z hlediska systému kontrolních mechanismů se oblast daňového práva pohybuje v procesním režimu daňového řádu, jenž obsahuje úpravu kontroly a přezkumu přijatých rozhodnutí, a to primárně formou opravných prostředků. Proti rozhodnutím je možno podat odvolání anebo v určitých případech užít mimořádných opravných prostředků či jiných prostředků ochrany (viz předchozí bod). Vedle toho lze využít rovněž dozorčí prostředky, čímž je zaručena dostatečná kontrola správnosti a zákonnosti všech rozhodnutí vydávaných v režimu daňového řádu. Soustavy orgánů vykonávajících správu daní, resp. další dotčené působnosti současně disponují interním systémem kontroly v rámci hierarchie nadřízenosti a podřízenosti včetně navazujícího systému personální odpovědnosti. V případě vydání nezákonného rozhodnutí či nesprávného úředního postupu je s odpovědností konkrétní úřední osoby spojena eventuální povinnost regresní náhrady škody, za níž v důsledku nezákonného rozhodnutí nebo nesprávného úředního postupu odpovídá stát. Při správě daní se uplatňuje zásada neveřejnosti. Údaje o poměrech daňových subjektů jsou tak chráněny povinností mlčenlivosti pod hrozbou pokuty do výše 500 000 Kč a nemohou být zpřístupněny veřejnosti.

Transparence a otevřená data

Z hlediska transparentnosti a otevřenosti dat lze konstatovat, že navrhovaná úprava nemá vliv na dostupnost informací podle zákona č. 106/1999 Sb., o svobodném přístupu k informacím, ve znění pozdějších předpisů.

Dobrá praxe

Navrhovaná právní úprava se shoduje se známou dobrou praxí. Postupy, procesy a sankce v ní obsažené odpovídají stávajícím právním předpisům. Navrhovaný zákon nepřináší nové, inovativní postupy, ale využívá stávajících ověřených postupů.

Závěr hodnocení korupčních rizik

V rámci zhodnocení korupčních rizik podle Metodiky CIA konstatujeme, že návrh zákona splňuje kritéria přiměřenosti, efektivity a jednoznačné odpovědnosti. Návrh úpravy jako celek se shoduje se známou dobrou praxí a navrhované procesy v ní obsažené se jeví přiměřené při srovnání s obdobnou legislativou.

Návrh zákona nepředstavuje zvýšení korupčních rizik oproti stávajícímu stavu právní úpravy.

J) Zhodnocení dopadů na bezpečnost nebo obranu státu

Transpozice směrnice 2016/681 je zásadní pro zajištění bezpečnosti České republiky. Navrhovaná právní úprava bude mít pozitivní dopad na bezpečnost státu, neboť dojde k vytvoření systému zpracování údajů PNR a definování účelů pro nakládání s nimi, což v konečném důsledku pomůže k efektivnější práci bezpečnostních složek v České republice. Na základě analýzy údajů bude možné snáze identifikovat především pachatele terorismu a závažné trestné činnosti, kteří v minulosti unikali odhalení. Stěžejní je řádná a včasná transpozice rovněž pro zajištění bezpečnosti Evropské unie.

Pozitivní dopady na bezpečnost má i transpozice směrnice 2016/680, neboť obsahuje speciální pravidla pro zpracování osobních údajů tak, aby orgány podílející se na odhalování a předcházení trestné činnosti byly schopné dostát svým povinnostem ze zákona plynoucích.

K) Odůvodnění návrhu, aby Poslanecká sněmovna vyslovila s návrhem zákona souhlas již v prvém čtení

Navrhovanou právní úpravu je žádoucí přijmout tak, aby nabyla účinnosti do 25. května 2018, aby se Česká republika vyhnula případným sporům s Evropskou komisí podle čl. 258 a násl. Smlouvy o fungování Evropské unie vč. sporu před Soudním dvorem Evropské unie. Proto se navrhuje Poslanecké sněmovně Parlamentu České republiky vyslovit souhlas s navrhovanou právní úpravou již v prvním čtení.

ČÁST PRVNÍ

Změna trestního řádu

K poznámce pod čarou č. 11

Ustanovení § 466a obsahuje odkazy na příslušné předpisy Evropské unie, které jsou trestním řádem z podstatné části implementovány. Jelikož směrnice Evropského parlamentu a Rady (EU) 2016/1919 ze dne 26. října 2016 o právní pomoci pro podezřelé nebo obviněné osoby v trestním řízení a pro osoby vyžádané v rámci řízení týkajícího se evropského zatýkacího rozkazu je z podstatné části implementována právě trestním řádem, je podle legislativních pravidel nezbytné doplnit poznámku pod čarou č. 11 i o odkaz na tuto směrnici.

K § 466b

Obdobně jako navrhovaný § 12i zákona o státním zastupitelství poskytuje toto ustanovení ve vazbě na čl. 4 směrnice 2016/680 obecný titul pro zpracovávání osobních údajů Ministerstvem spravedlnosti při plnění úkolů spadajících do jeho působnosti v trestním řízení (úkoly v oblasti mezinárodní justiční spolupráce, agenda stížností pro porušení zákona, milostí a amnestie, kontrola výkonu trestu domácího vězení aj.). Toto ustanovení tak naplňuje tak zásadu zákonnosti zpracovávání osobních údajů a omezení zpracování osobních údajů pro určité a legitimní účely.

Stejně jako v obdobných ustanoveních dalších předpisů není nutné uvádět výslovně, že Ministerstvo spravedlnosti může zpracovávat „jakékoliv“ osobní údaje, včetně údajů „citlivých“ nebo jiných, protože je to nepochybné.

K § 466c

ČÁST DRUHÁ

Změna občanského soudního řádu

K § 26

Článek 80 nařízení 2016/679, stanoví: „Subjekt údajů má právo pověřit neziskový subjekt, organizaci nebo sdružení, jež byly řádně založeny v souladu s právem některého členského státu, jejichž statutární cíle jsou ve veřejném zájmu a jež vyvíjejí činnost v oblasti ochrany práv a svobod subjektů údajů ohledně ochrany jejich osobních údajů, aby jeho jménem podal stížnost, uplatnil práva uvedená v článcích 77, 78 a 79 a, pokud tak stanoví právo členského státu, uplatnil právo na odškodnění podle článku 82.“.

Problematika zástupčího práva v rámci civilního řízení sporného je přitom upravena v § 22 a n. zákona č. 99/1963 Sb., občanský soudní řád, ve znění pozdějších předpisů (dále jen „o.s.ř.“). Zde je obsaženo obecné pravidlo, dle kterého se účastník řízení může nechat dát zastoupit toliko fyzickou osobu, ledaže by zákon stanovil jinak.

Ze shora uvedeného plyne, že čl. 80 nařízení rozšiřují zástupčí právo i na neziskové subjekty, organizace nebo sdružení (tj. právnické osoby), pokud se jedná o spory ve věcech ochrany osobních údajů. Relevantní česká právní úprava se však nejeví ve světle tohoto ustanovení jako dostačující, neboť žádná z výjimek obsažených v § 26 o.s.ř. (prolamujících obecné pravidlo, že zastoupit je možné se nechat toliko fyzickou osobou, resp. advokátem) nepokrývá situace, jejichž vznik směrnice a nařízení předpokládají.

Z výše uvedených důvodu je proto nutné upravit znění o.s.ř. tak, aby vyhovovala unijní legislativě. V této souvislosti je nezbytné zdůraznit, že výchozím principem takového návrhu může být nutně toliko princip minimální transpozice, neboť je třeba respektovat českou koncepci soudních řízení, která obecně zastupování právnickými osobami nepřipouští. Za účelem adaptace české právního řádu na čl. 80 nařízení se proto navrhuje upravit znění § 26 o.s.ř. tak, že se do něho včlení nový odstavec, který rozšíří zástupčí právo na právnické osoby v případě, že se spor bude týkat ochrany osobních údajů.

Konkrétní návrh novelizace občanského soudního řádu je přitom inspirován již existující právní úpravou. Zástupčí právo právnických osob je tak omezeno tím, že zisk takovéto osoby se nerozděluje, že takováto osoba musí mít zastupování uvedené ve svých stanovách jako svojí činnost, jakož i tím, že za právnickou osobu může jednat toliko zaměstnanec nebo člen, který má vysokoškolské právnické vzdělání, které je podle zvláštních právních předpisů vyžadováno pro výkon advokacie. Důvodů pro tato omezení je hned několik. Primárním účelem a smyslem zastoupení je z pohledu soudů (ale i účastníků) zjednodušit a zrychlit průběh sporu. Proto také jsou strany zpravidla zastoupeny advokáty, u nichž se předpokládá dobrá znalost právního řádu. Zájem státu je v tomto ohledu demonstrován i existencí zvláštní právní úpravy regulující poskytování právních služeb, mezi které patří i zastupování v rámci soudních řízení. Přijetím výjimky, kdy budou moci zastupovat i právnické osoby, by ovšem mohlo docházet k obcházení státem nastaveného systému, což rozhodně není žádoucí.

V souvislosti s užitou formulací „jejíž zisk se nerozděluje“ je třeba říci, že samotná směrnice (a rovněž tak i nařízení) hovoří o neziskových subjektech, organizacích nebo sdruženích. Český právní řád však nezná definici neziskové organizace, pouze tzv. veřejnou prospěšnost (srov. § 146 a n. zákona č. 89/2012, občanský zákoník). Nicméně veřejnou prospěšnost dle občanského zákoníku nelze bez dalšího zcela ztotožnit s neziskovými subjekty, organizacemi nebo sdruženími dle směrnice a nařízení, neboť česká právní úprava (na rozdíl od směrnice a nařízení) vyžaduje od veřejně prospěšných subjektů podíl na přispívání k dosahování obecného blaha. V rámci adaptace českého právního řádu se proto navrhuje navázat rozšíření zástupčího oprávnění ve věcech ochrany osobních údajů nikoliv na veřejnou prospěšnost ve smyslu § 146 občanského zákoníku, nýbrž na přesnější kritérium nerozdělování zisku. Problematika rozdělování zisku je přitom upravena nejen v příslušných ustanoveních vztahujících se k jednotlivým právnickým osobám, nýbrž i v daňovém právu. V tomto slova smyslu je proto toto kritérium z pohledu právního řádu nepochybně dostatečně jednoznačně zakotveno. Jiná věc je, že navržené ustanovení na první pohled nekonkretizuje, kterak by toto nerozdělování mělo být posuzováno. Prima facie by se tak mohlo zdát, že vyvstává otázka, zdali postačí, pokud např. nedošlo k rozdělení zisku v posledním roce (např. na základě usnesení valné hromady), nebo zdali musí být toto "nerozdělování zisku" zakotveno přímo v zakladatelském právním jednání. Tyto obavy je nicméně nezbytné odmítnout jako nepodložené, neboť ve skutečnosti z textace samotného ustanovení plyne, že ono nerozdělování musí být zakotveno v zakladatelském právním jednání (srov. "se nerozděluje" x "nebyl rozdělen"). Opačný výklad by byl zcela absurdní a v rozporu s obecným chápáním pojmu „nezisková organizace“.

K § 114a

Článek 58 odst. 5 GDPR stanoví: „Každý členský stát v právních předpisech stanoví, že jeho dozorový úřad má pravomoc upozornit na porušení tohoto nařízení justiční orgány, a pokud je to vhodné, zahájit soudní řízení či se do něj jinak zapojit s cílem vymoci dodržení tohoto nařízení.“.

Článek 58 odst. 5 je možné rozdělit na 2 části: (i) první se týká pravomoci upozornit na porušení; (ii) druhá možnosti zahájení nebo zapojení do soudního řízení.

Co se týče části prvé, možnost ÚOOÚ obracet se na justiční orgány je v českém právním řádu saturována možností ÚOOÚ obrátit se na státní zastupitelství prostřednictvím podání trestního oznámení (v souvislosti se speciální skutkovou podstatou v § 180 trestního zákoníku).

Co se týče části druhé, čl. 58 odst. 5 GDPR výslovně hovoří o možnosti zahájení soudního řízení nebo zapojení dozorového úřadu do soudního řízení s cílem vymoci dodržení GDPR. V této souvislosti je na prvním místě nezbytné zdůraznit, že v kontextu českého právního řádu platí, že ÚOOÚ má pravomoc ukládat sankce (což konečně plyne za samotného GDPR). Proti rozhodnutí ÚOOÚ je pak v souladu s § 65 zákona č. 150/2002 Sb., soudní řád správní, ve znění pozdějších předpisů (dále jen „s.ř.s.“ nebo „soudní řád správní“) přípustná správní žaloba. Tohoto řízení by se přitom účastnil na základě § 69 s.ř.s. i ÚOOÚ. Navíc pokud by Úřad nesouhlasil s rozhodnutím prvostupňového soudu, může v souladu s § 102 s.ř.s. podat proti tomuto rozhodnutí kasační opravný prostředek. Lze proto uzavřít, že již současná právní úprava umožňuje úřadu zapojovat se do soudního řízení (jakožto účastník) nebo zahajovat soudní řízení (v případě řízení o kasačním opravném prostředku) s cílem vymoci GDPR.

Nicméně čl. 58 odst. 5 GDPR se zjevně neomezuje na situace, které jsou již v současnosti pokryty českým právním řádem. Naopak se týká všech soudních řízení, a to včetně civilního řízení sporného (v rámci kterého můžou být projednávány např. žaloby na náhradu újmy, která byla subjektům údajům způsobena porušením pravidel v oblasti ochrany osobních údajů). Jinými slovy řečeno, má-li dojít k řádné adaptaci českého právního řádu na čl. 58 odst. 5 GDPR, musí být odpovídajícím způsobem upravena i právní úprava civilního řízení sporného. V této souvislosti budiž zdůrazněno, že adaptovat český právní řád prostřednictvím novelizace občanského soudního řádu je výhodné i v tom, že s ohledem na subsidiární užití občanského soudního řádu v ostatních druzích řízení (viz např. § 64 s.ř.s.) se tím zákonodárce vyhne nutnosti řešit zapojení ÚOOÚ do soudních řízení v každém předpise zvlášť.

V dané souvislosti se navrhuje využít v právním řádu již zaužívaného institutu předzvědné osoby. Jde o osobu, o jejíž názor by se měl soud v určitém řízení zajímat proto, aby k němu v zájmu správnosti svého rozhodnutí mohl přihlédnout (srov. např. § 474 odst. 3 zákona o zvláštních řízeních soudních).

ČÁST TŘETÍ

Změna zákona o organizaci a provádění sociálního zabezpečení

K odstavci 1

Do zákona o organizaci a provádění sociálního zabezpečení se navrhuje vložit nové ustanovení, který bude představovat obecnou úpravu zpracování údajů orgány sociálního zabezpečení. Navrhuje se výslovně formulovat právní základ, na němž tyto orgány zpracovávají osobní údaje a jiné údaje, jsou-li potřebné pro výkon jejich působnosti. Toto oprávnění je dosud dovozováno z obecných procesních předpisů, z ostatních ustanovení tohoto zákona (např. otázka předávání údajů třetím osobám je řešena v ustanovení § 14) a jeho celkového pojetí; v souvislosti s precizováním ochrany osobních údajů je však vhodné výslovné uvedení tohoto oprávnění, které je současně pro orgány sociálního zabezpečení i zavazující povinností. K odstavci 2 písm. a): Právo na omezení zpracování z důvodu popření přesnosti osobních údajů subjektem údajů nebo na základě námitky subjektu údajů (čl. 18 odst. 1 písm. a) a d) nařízení). Nařízení v čl. 18 odst. 1 písm. a) upravuje právo subjektu údajů požadovat, aby správce omezil zpracování osobních údajů, jejichž přesnost subjekt údajů popírá, a to do doby, než je jejich přesnost správcem ověřena. Dále čl. 18 odst. 1 písm. d) upravuje právo subjektu údajů požadovat, aby správce omezil zpracování osobních údajů, vznesl-li subjekt údajů námitku proti zpracování, dokud nebude ověřeno, zda oprávněné důvody správce pro zpracování převažují nad oprávněnými důvody subjektu údajů. (Právo na omezení zpracování uvedené v čl. 18 odst. 1 písm. b) a c) bude pravděpodobně představovat okrajové případy, které není třeba legislativně omezovat.) Omezení zpracování, kterým se podle čl. 4 odst. 3 nařízení rozumí označení uložených osobních údajů za účelem omezení jejich zpracování v budoucnu, bude prováděno vhodným způsobem, a to mimo jiné i v závislosti na způsobu zpracovávání dotčených osobních údajů. Samotné právo subjektu údajů požadovat omezení zpracování není navrhovanou úpravou ve své podstatě omezeno a v tomto směru tedy úprava výjimku nestanovuje. Úpravou jsou pouze vyloučeny důsledky realizace práva na omezení zpracování spočívající v nemožnosti dalšího zpracování osobních údajů bez existence titulu uvedeného v čl. 18 odst. 2 nařízení (např. souhlas subjektu údajů, důležitý veřejný zájem členského státu apod.). Nemožnost dalšího zpracování by v praxi mohla přinést problémy a vést k narušení řádného provádění důchodového pojištění, výběru pojistného na sociální zabezpečení, popř. i dalších agend vykonávaných podle tohoto zákona, konkrétně např. komplikace při rozhodování o dávkách důchodového pojištění či při evidenci zaplaceného pojistného. Navrhovaná úprava proto výslovně stanovuje, že dotčené osobní údaje lze zpracovávat i bez zvláštního souhlasu subjektu údajů, který čl. 18 odst. 2 nařízení předpokládá.

K odstavci 2 písm. b)

Právo nebýt předmětem rozhodnutí založeného výhradně na automatizovaném zpracování, které má pro subjekt údajů právní účinky nebo se ho obdobným způsobem významně dotýká (čl. 22 nařízení). „Rozhodování“ upravené v čl. 22 má velice širokou působnost – chrání subjekt údajů před rozhodnutími, které pro něho mají právní účinky, ale i před rozhodnutími, které pro něho právní účinky nemají, ale pouze se ho obdobným způsobem významně dotýkají. Nerozlišuje ani mezi pozitivními a negativními důsledky pro subjekt údajů a pro oba druhy dopadů stanovuje stejnou regulaci. Určení kam až sahá „rozhodování“, které se subjektu údajů významně dotýká, a spadá proto pod působnost čl. 22, je v praxi značně nesnadné. Rozhodováním založeným výhradně na automatizovaném zpracování osobních údajů ve smyslu čl. 22 GDPR je míněn stav, kdy je konkrétní rozhodnutí zasahující do práv a povinností subjektů vydáno plně na základě automatizovaného vyhodnocení automatizovaně sledovaných rozhodných skutečností zcela bez zásahu lidského faktoru. V rámci působnosti orgánů sociálního zabezpečení dochází – především v oblasti důchodového pojištění – k některým činnostem, které budou definici uvedenou čl. 22 více nebo méně splňovat. Takovouto činností, která v obecném podvědomí není za rozhodování vůbec považována (mj. proto, že se u ní nevydává rozhodnutí), je např. každoroční zvyšování důchodů na základě provedené valorizace. Jedná se ovšem o činnost, která má pozitivní důsledky pro subjekt údajů, je prováděna automatizovaně a bez žádosti subjektu údajů.

Naproti tomu nelze za automatizované individuální rozhodování považovat rozhodování, které není založeno výhradně na automatizovaném zpracování údajů a v němž se „lidský faktor“ v určité míře uplatní. Proto např. situaci, kdy na základě posudku lékaře OSSZ dojde ke změně stupně invalidity, výsledek této změny se zadá do systému pro automatizované zpracování a ten na jeho základě „sám“ vydá jednoduché rozhodnutí o změně výše invalidního důchodu či o jeho odnětí, nelze považovat za rozhodnutí založené „výhradně na automatizovaném zpracování osobních údajů“.

Navrhované ustanovení § 13a odst. 1 písm. b) proto z důvodu potřeby realizace těchto činností upravuje výjimku z úpravy uvedené v čl. 22 pro provádění sociálního zabezpečení a ostatních činností prováděných podle zákona č. 582/1991 Sb., a dovoluje „rozhodování“ založené výhradně na automatizovaném zpracování osobních údajů, nejedná-li se o vydávání rozhodnutí. Rozhodnutí jako správní akt tedy nelze na základě výjimky vydat (takový postup by nebyl možný ani s ohledem na úpravu např. ve správním řádu). Současně je uvedeno, že bude-li orgán sociálního zabezpečení provádět výkon své působnosti výhradně na základě automatizovaného zpracování osobních údajů (s výše uvedenou výjimkou), bude muset uchovávat v záznamech o činnosti zpracování osobních údajů popis počítačových algoritmů a výběrová kritéria, na jejichž základě je toto zpracování prováděno, a to v zájmu umožnění pozdější kontroly. Současně je stanovena minimální jednoroční lhůta pro uchování těchto informací, která běží od posledního použití pro zpracování osobních údajů subjektu údajů.

K odstavci 3

Opatřením zajišťujícím ochranu práv subjektu údajů je právo vznést námitku upravené v čl. 21 nařízení. Právo vznést námitku proti zpracování osobních údajů, je- li zpracování nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci správcem bude přímo použitelné a navrženou úpravou zůstává nedotčeno. Subjekt údajů se tedy bude moci ohradit a bude na orgánu sociálního zabezpečení, aby prokázal převažující závažné oprávněné důvody pro zpracování. Jak v případě námitky, tak uvedených jiných prostředků ochrany, které nařízení předpokládá, nicméně nařízení neupravuje specifický procesní postup pro uplatnění a vyřízení těchto procesních institutů. V zájmu jejich ukotvení v rámci procesních postupů používaných orgány sociálního zabezpečení se proto navrhuje stanovit, že právo vznést námitku nebo jiný prostředek ochrany proti zpracování osobních údajů uplatňuje subjekt údajů obdobným využitím institutu stížnosti podle § 175 správního řádu. Tím je realizace uvedených práv umožněna pomocí standardního institutu správního řádu, který je podložen dostatečnou procesní úpravou a dlouhodobou aplikační praxí. Současně platí, že na základě § 175 odst. 1 správního řádu si i stížnost proti zpracování osobních údajů ponechá subsidiární charakter stížnosti, která se aplikuje pouze v případě, že správní řád či zákon o organizaci a provádění sociálního zabezpečení neupravují v dané věci jiný prostředek ochrany. Například nesprávnost údajů o výši započitatelných příjmů občana v konkrétním kalendářním roce zpracovávaných orgánem sociálního zabezpečení, která měla vliv na rozhodnutí o výši důchodu, bude moci být napadena pouze prostředkem k tomu určeným, tj. námitkami podanými podle § 88 odst. 1 zákona č. 582/1991 Sb.

ČÁST ČTVRTÁ

Změna notářského řádu

K § 46

Tato novelizace je vynucena navrhovaným zněním § 95a, přičemž účel a smysl této novelizace je zavést legislativní zkratku „evidenční pomůcky“.

K § 95

Tato novelizace se provádí v návaznosti na nově navrhovaný § 95a.

K § 95a

Toto ustanovení ve vazbě na čl. 6 nařízení 2016/679 poskytuje obecný titul pro zpracovávání osobních údajů notáři a naplňuje tak zásadu zákonnosti zpracovávání osobních údajů a omezení zpracování osobních údajů pro určité a legitimní účely. Toto ustanovení nezakládá notářům nová práva, nýbrž je třeba jej chápat toliko jako titul, na základě něhož notáři provádějí operace s osobními údaji.

Ke změně názvu nadpisu části desáté a vytvoření nových oddílů

Tyto změny byly vynuceny v návaznosti na začlenění nových paragrafů 109fa a 109fb do notářského řádu, a to z důvodu zpřehlednění novelizovaného zákona, jakož i vyloučení možných pochybností, které by jinak z důvodu systematického výkladu mohly přicházet v úvahu.

K § 109fa

Článek 55 odst. 3 nařízení stanoví, že dozorový úřad není příslušný k dozoru nad operacemi zpracování, které provádějí soudy jednající v rámci svých soudní pravomocí. Samotné nařízení 2016/679 přitom naneštěstí blíže nespecifikuje, co se rozumí „soudy jednajícími v rámci svých soudních pravomocí“.

Co se týče notářů, ty nelze z pohledu unijního práva považovat za soudy v úzkém slova smyslu, s výjimkou případů kdy jednají v rámci řízení o pozůstalosti. Řízení o pozůstalosti je totiž bezpochyby soudním řízením (konkrétně civilním soudním řízením upraveným v zákoně č. 292/2013 Sb., o zvláštních řízeních soudních, ve znění pozdějších předpisů). Notář provádí v řízení o pozůstalosti úkony jménem soudu prvního stupně, u něhož probíhá řízení o pozůstalosti (viz ustanovení § 100 odst. 1 a § 103 odst. 3 zákona o zvláštních řízeních soudních). Navíc notáři jsou považováni za soud (pokud jednají v rámci řízení o pozůstalosti) i samotným unijním právem, konkrétně nařízením Evropského parlamentu a Rady (EU) č. 650/2012 ze dne 4. července 2012 o příslušnosti, rozhodném právu, uznávání a výkonu rozhodnutí a přijímání a výkonu veřejných listin v dědických věcech a o vytvoření evropského dědického osvědčení (viz čl. 3 odst. 2 nařízení 650/2012 ve spojení s bodem 20 recitálu tohoto nařízení). Konečně v neposlední řadě je nezbytné upozornit na skutečnost, že smyslem čl. 55 odst. 3 GDPR je zajistit dostatečnou ochranu nezávislosti soudů. Řízení o pozůstalosti je řízením nalézacím; nalézacím řízením se rozumí druh civilního procesu, který vede k rozhodnutí, jímž soud buď zjišťuje, co je právem, anebo právo (ve smyslu právního vztahu a jeho komponent) vytváří. Zájem na dodržení nejvyšších záruk nezávislosti je proto v tomto případě třeba chápat jako otázku nejvyšší důležitosti.

Vzhledem ke shora řečenému a k účelu a smyslu GDPR (tj. zajištění dostatečné ochrany základního práva ve smyslu čl. 8 Listiny základních práv EU za současného řádného zajištění ochrany nezávislosti soudů) se proto jeví smysluplný takový výklad pojmu „soudy jednající v rámci svých soudních pravomocí“, dle kterého jsou notáři považováni za „soud jednající v rámci svých soudních pravomocí“ pokud jednají jako soudní komisaři v rámci řízení o pozůstalosti. V této souvislosti budiž zdůrazněno, že pakli se dospěje k závěru, dle kterého dozorový úřad podle nařízení 2016/679 není příslušný k dozoru nad zpracováním osobních údajů prováděných notáři jakožto soudními komisaři, nelze z toho bez dalšího dovodit, že tato oblast zpracování osobních údajů by měla zůstat zcela mimo jakýkoliv mechanismus kontroly. Právě naopak bod 20 recitálu nařízení 2016/679 jednoznačně zdůrazňuje, že je s ohledem na cíle sledované nařízením (tj. zajištění realizace jednoho ze základních práv, práva na ochranu osobních údajů) účelné a vhodné, aby dozor nad zpracováním osobních údajů prováděných soudy jednajících v rámci svých soudních pravomocí bylo možné svěřit zvláštnímu orgánu. Tímto orgánem budiž pozůstalostní soud, který již v současnosti je vybaven vůči notářům jako soudním komisařům kárnými pravomocemi [viz § 49 odst. 4 písm. e) notářského řádu].

Pro úplnost se dodává, že právní úprava obsažená v procesních kodexech (jako např. v zákoně č. 99/1963 Sb., občanský soudní řád, ve znění pozdějších předpisů) a jiných právních předpisech (viz např. vyhláška č. 37/1992 Sb., o jednacím řádu pro okresní a krajské soudy, ve znění pozdějších předpisů) má povahu speciálních ustanovení vůči ustanovením zákona č. 101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů. Na tomto vztahu (tj. na vztahu předpisů v oblasti ochrany osobních údajů a procesních předpisů) se nic nezmění ani se vstupem nařízení 2016/679 v platnost, resp. přijetí směrnice 2016/680.

V neposlední řadě budiž zdůrazněno, že podstatou činnosti pozůstalostního soudu podle navrhovaného ustanovení není vedení řízení o opravných prostředcích proti rozhodnutí notáře jako soudního komisaře ve věci osobních údajů. Soud, který pověřil notáře provedením úkonů v řízení o pozůstalosti jako soudního komisaře, podle tohoto odstavce ani nebude stricto sensu v postavení dozorového úřadu ve smyslu nařízení 2016/679. Podstatu činnosti tohoto soudu nebude tvořit taktéž vyřizování žádostí týkajících se ochrany osobních údajů, rozhodování o individuálních právech a povinnostech. Půjde o činnost vykonávanou ryze z moci úřední spočívající ve sledování systému nakládání s osobními údaji a plnění zákonných povinností notářů jako soudních komisařů v pozici správců osobních údajů. Navržené ustanovení je tak nezbytné chápat jako ustanovení sui generis, které se svojí povahou blíží např. řízením o stížnosti dle § 164 a n. zákona o soudech a soudcích. Odstavec druhý pak inter alia zajišťuje především ochranu důležitých úkolů před jejich ohrožením vyrozuměním o způsobu vyřízení podnětu, které by se týkalo osobních údajů. Stanoví se proto explicitně, že pokud bude osoba, která dala podnět, vyrozumívána, bude vyrozumívána tak, aby tomuto ohrožení bylo předcházeno.

K § 109fb

Smyslem navrhovaného ustanovení je využití možnosti stanovené v čl. 23 nařízení 2016/679. Navrhované ustanovení je nezbytné chápat jako lex specialis vůči ustanovení § 11 navrhovaného zákona o ochraně osobních údajů.

Toto stanovení je omezené co do chráněných cílů podle písm. a) až d), je však nezbytné z hlediska činnosti notářů.

Použití čl. 12 až 14 nařízení 2016/679 se vylučuje s ohledem na skutečnost, že aplikace těchto ustanovení by přenášela na notáře neúnosnou ekonomickou zátěž. Notáři nedisponují žádnými informačními systémy, které by umožňovaly přístup třetích osob k požadovaným informacím. Přenos neúnosné ekonomické zátěže na notáře by pak potenciálně mohl ohrozit jejich fungování, jakožto důležitého článku justičního systému České republiky. S ohledem na fakt, že činnost notářů je vyčerpávajícím způsobem regulována zákonem se navíc nejeví aplikace čl. 12 a 14 nařízení 2016/679 ve vztahu k notářům jako vhodná a účelná.

Použití čl. 15 až 22 se vylučuje s ohledem na skutečnost, že by aplikace tohoto ustanovení mohla vážně narušit činnost notářů. Pokud se týká čl. 20 GDPR, pak smyslem čl. 20 GDPR je umožnit subjektu údajů získat údaje ve strojově čitelném formátu a předat je jinému správci (typicky při změně správce). Změna správce ale bude zpravidla vyloučena v případech, kdy je notář jako soudní komisař pověřován soudem podle rozvrhu a i pokud má dojít ke změně soudního komisaře, použije se postup zakotvený v procesním právu včetně předání spisu a s ním osobních údajů. Pokud se týká čl. 21 GDPR, pak toto ustanovení sice umožňuje prokázat správci, že jsou dány závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků. To ale stojí na koncepci povinnosti přerušit zpracování údajů a poté prokázat existenci těchto důvodů. Nejeví se únosné, aby soudní komisař musel vždy tyto skutečnosti prokazovat a otázka prokazování, který zájem převažuje, může být velmi ošidné.

K § 109fc

ČÁST PÁTÁ

Změna zákona o Vězeňské službě ČR

K § 23a

Obdobně jako navrhovaný § 12i zákona o státním zastupitelství poskytuje toto ustanovení ve vazbě na čl. 4 směrnice 2016/680 obecný titul pro zpracovávání osobních údajů Vězeňskou službou ČR a naplňuje tak zásadu zákonnosti zpracovávání osobních údajů a omezení zpracování osobních údajů pro určité a legitimní účely. Ustanovení dále zajišťuje oprávnění předávat osobní údaje příslušným orgánům, je-li to nezbytné pro výkon jejich zákonem stanoveného úkolu.

Stejně jako v obdobných ustanoveních dalších předpisů není nutné uvádět výslovně, že Vězeňská služba může zpracovávat „jakékoliv“ osobní údaje, včetně údajů „citlivých“ nebo jiných, protože je to nepochybné.

Úprava evidence osob ve výkonu zabezpečovací detence, vazby a výkonu trestu odnětí svobody na území České republiky se v zásadě přebírá z dosavadní úpravy, nicméně ve vazbě na čl. 5 směrnice 2016/680 se navrhuje stanovit jednoznačně lhůtu doby uložení osobních údajů. Dále se, s ohledem na čl. 14 této směrnice, nahrazuje problematika informování o obsahu evidence osob ve výkonu zabezpečovací detence, vazby a výkonu trestu odnětí svobody obecnou právní úpravou přístupu k osobním údajům a výjimek z práva na přístup k osobním údajům dle hlavy II zákona o zpracování osobních údajů.

K § 23b

Navrhované ustanovení provádí články 32 až 34 směrnice 2016/680, upravuje tedy pověřence pro ochranu osobních údajů (pokud jde o zpracování osobních údajů ve smyslu této směrnice), stanoví jeho úkoly a s ohledem na čl. 32 odst. 3 směrnice umožňuje budoucí písemnou dohodu mezi Vězeňskou službou ČR a Ministerstvem spravedlnosti (podle § 160 odst. 3 správního řádu) na tom, že pověřenec určený Ministerstvem spravedlnosti bude vykonávat své úkoly i ve vztahu k Vězeňské službě ČR.

K § 23c

Navrhovaný § 23b (viz novelizační bod 6 této části) doplňuje do zákona o Vězeňské službě úpravu pověřence, a to do části věnované zpracovávání osobních údajů. Vzhledem k tomu, že není žádoucí označovat jednotlivé paragrafy zdvojenými písmeny, nebylo možné obsah navrhovaného § 23b označit jako § 23aa. Z důvodů ryze legislativně technických se proto zvolila varianta, kdy došlo k „přeznačení“ stávajícího ustanovení § 23b na ustanovení § 23c. K žádným věcným změnám nedochází.

ČÁST ŠESTÁ

Změna zákona o České národní bance

K § 50a

Odstavec 1 zmocňuje Českou národní banku (dále též „ČNB“) ke zpracování osobních údajů pro plnění jejích právním předpisem stanovených úkolů, a zároveň toto zpracování omezuje tak, aby k němu nedocházelo nad rámec nezbytného rozsahu. Podle ustanovení § 1a zákona o České národní bance se ČNB podílí se na plnění cílů a úkolů Evropského systému centrálních bank. Ustanovení § 2 zákona o České národní bance počítá s tím, že ČNB provádí i další činnosti stanovené jinými zákony. Takovými zákony jsou např. zákon č. 136/2011 Sb., o oběhu bankovek a mincí (zkrácený název), zákon č. 300/2016 Sb., o centrální evidenci účtů nebo zákon č. 240/2000 Sb., krizový zákon. Zmocnění uvedené v odstavci 1 tudíž platí i pro úkoly či činnosti ČNB stanovené jinými zákony, přičemž každý jednotlivý zákon může stanovit další podmínky či omezení zpracování. Ve smyslu čl. 6 písm. c) a e) Nařízení Evropského parlamentu a Rady (EU) 2016/679 (dále jen „Nařízení“) nepotřebuje ČNB při výkonu těchto činností ke zpracování osobních údajů souhlas subjektů údajů.

Ustanovení § 50a upravuje v souladu s čl. 23 Nařízení určité odůvodněné výjimky z obecně závazných pravidel ochrany osobních údajů pro činnosti vykonávané Českou národní bankou. Neupravuje-li tedy toto ustanovení určitý aspekt ochrany osobních údajů odlišně jako lex specialis, použije se při činnosti České národní banky Nařízení a též obecný zákon o zpracování osobních údajů (např. jeho § 7 umožňující splnit informační povinnosti správce osobních údajů podle čl. 13 a 14 Nařízení zveřejněním příslušných informací způsobem umožňujícím dálkový přístup).

Odstavec 2 zakotvuje nezbytné výjimky z aplikace vybraných článků Nařízení ve vazbě na dohledovou činnost ČNB, a to v souladu s článkem 23 Nařízení. Dohledová činnost České národní banky patří mezi její nejvýznamnější činnosti, zároveň ale také mezi činnosti, při jejichž výkonu dochází k největšímu rozsahu zpracování osobních údajů. Nejde jen o osobní údaje dohlížených osob, které jsou samy fyzickými osobami, ale i o osobní údaje klientů nebo obchodních partnerů dohlížených fyzických a právnických osob. Dále pak může jít o osobní údaje osob s majetkovými či jinými účastmi na dohlížené osobě, anebo osob nominovaných na vysoké manažerské pozice v dohlížené osobě, atd.

V oblasti bankovního dohledu (včetně dohledu nad spořitelními a úvěrními družstvy), pojišťovnictví a oblasti dohledu na kapitálovém trhu i platebních služeb platí přísná dohledová mlčenlivost vyžadovaná evropským právem, což znamená, že všechny osoby provádějící dohled v dané oblasti jsou povinny zachovávat mlčenlivost o všech údajích získaných v souvislosti s výkonem svého povolání, zaměstnání nebo funkce. Třetím osobám mohou poskytovat pouze informace v souhrnné podobě, individuální informace mohou poskytovat pouze taxativně vymezeným subjektům (srov. např. § 25a zákona č. 21/1992 Sb. o bankách, ve znění pozdějších předpisů). Účelem Nařízení není stanovení dalšího průlomu do dohledové mlčenlivosti, tudíž je namístě omezit některá oprávnění subjektů údajů ve smyslu čl. 23 Nařízení. Je proto navrhována výjimka z práva subjektů na přístup k osobním údajům (čl. 15). Přístup subjektu údajů ke zpracovávaným údajům by mohl zmařit účel, pro který jsou zpracovávány (např. osoba usilující o licenci či vysoký manažerský post by se mohla takto ujistit, že ČNB nedisponuje informacemi o nějakém jejím závadném jednání, což by ji umožnilo tuto licenci či tento post získat bez rizika ztráty pověsti při zamítnutí; osoba usilující o obchod s dohlíženou finanční institucí by si mohla ověřit, jaké informace má o ní tato dohlížená instituce k dispozici, atd.). Eliminování práva na omezení zpracování (čl. 18) je nezbytným předpokladem řádného výkonu dohledu, jelikož znemožňuje účelové jednání fyzických osob znemožňující dohledu disponovat konkrétními údaji právě v okamžiku, kdy je to z hlediska dohledu nutné. Dále se vylučuje právo subjektu údajů na informaci, komu ČNB oznámila opravu nebo výmaz jeho osobních údajů při plnění jejích zákonných úkolů (čl. 19 věta druhá). Důvodem je skutečnost, že takováto informace by mohla zmařit činnost osob, jimž byla informace poskytnuta (orgánům činným v trestním řízení, Finančnímu analytickému útvaru, orgánům dohledu na finančním trhu jiných států apod.). Vzhledem k nezávislosti ČNB a důvěrnosti údajů získaných při výkonu dohledu, kterou právo EU neumožňuje prolomit vůči ÚOOÚ, se neaplikuje kompetence ÚOOÚ ve smyslu čl. 34 odst. 4 Nařízení, spočívající v jeho oprávnění požadovat, aby správce osobních údajů oznámil dotčenému subjektu porušení zabezpečení osobních údajů.

Od roku 2015 právní předpisy (unijní a následně i české) rozlišují dohled nad finančním trhem a pravomoci v souvislosti s řešením krize na finančním trhu, které zahrnují i řadu preventivních a průběžně uplatňovaných nástrojů (zákon č. 374/2015 Sb., o ozdravných postupech a řešení krizí), které se podstatně neliší od nástrojů dohledových. Proto je na místě výše popsané výjimky uplatnit i na postupy České národní banky jako tzv. orgánu pro řešení krize.

Odstavec 3 zakotvuje nutné výjimky z aplikace vybraných článků Nařízení v souvislosti s výkonem činností ČNB v rámci krizové legislativy, a to v souladu s článek 23 Nařízení. Opatření podle zákona č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů, ve znění pozdějších předpisů (krizový zákon), která projednává ČNB s vládou a jejichž dodržování vynucuje či z něj povoluje výjimky, stejně jako opatření podle zákona č. 241/2000 Sb., o hospodářských opatřeních pro krizové stavy, ve znění pozdějších předpisů, jsou vzhledem ke svému účelu a případným následkům předčasného informování veřejnosti připravována za přísných podmínek k zajištění jejich utajení. Opatření uvedená v § 23 odst. 3 zákona č. 241/2000 Sb., ve znění pozdějších předpisů, nemusí být využita pouze plošně. Tato opatření mohou být v případě krizového stavu směřována vůči konkrétním osobám (např. v případě omezení nebo zákazu výkonu činností povolených ČNB či přerušení správních řízení vedených ČNB). V případě přípravy opatření, které směřuje proti fyzické osobě podnikající, není možné takové opatření připravit bez zpracování jejích osobních údajů. S ohledem na závažnost a mimořádnost situací předvídaných výše uvedenými zákony je třeba zajistit náležité utajení připravovaných opatření. Je třeba zajistit, aby toto utajení nemohlo být prolomeno v souvislosti se zpracováním osobních údajů osob, které takovými opatřeními budou dotčeny. Informace související se zpracováním osobních údajů by tedy mohla výrazně snížit efektivitu opatření či jej dokonce zmařit. Rizika z hlediska práv a svobod subjektů údajů jsou jednoznačně převážena naléhavostí veřejného zájmu, ve kterém jsou opatření dle krizové legislativy připravována a vyhlašována. Čl. 14 a čl. 13 odst. 3 Nařízení je proto třeba eliminovat, a to i přes obecnou možnost zveřejnit uvedené informace způsobem umožňujícím dálkový přístup podle § 8 zákona o zpracování osobních údajů. Důvodem je skutečnost, že nelze předem poskytnout Nařízením požadovanou obecnou informaci. Historicky ještě nenastala situace charakterizovaná jako krizový stav, která by vyžadovala zásah ze strany ČNB, tudíž není ani představitelná do potřebných detailů. Pokud by byla informace poskytnuta v okamžiku zpracování krizového opatření, bude subjektu údajů zřejmé, že na něm ČNB pracuje, což by mohlo být nežádoucí. Postup podle čl. 14 by pak rovněž vedl ke zmaření nového účelu zpracování informací, neboť ten může být zmařen už pouhou informací o zpracování, aniž by i byl sdělen jeho účel. Eliminována jsou i práva subjektů na přístup k osobním údajům (čl. 15). Přístup subjektu údajů ke zpracovávaným údajům opět implikuje, že subjekt údajů by se o zpracování musel dozvědět. Čl. 18 a čl. 19 větu druhou je třeba vyloučit z obdobných důvodů jako v případě dohledových informací. Vzhledem k nezávislosti ČNB a k nemožnosti se v době krizového stavu zabývat časově náročnými administrativními postupy na úkor řešení krizového stavu se neaplikuje čl. 34.

Odstavec 4 zakotvuje nutné výjimky z aplikace vybraných článků Nařízení v souvislosti s dozorováním peněžního provozu v ČNB, a to v souladu s článek 23 Nařízení. Je nepochybné, že plnění dvou ze základních úkolů ČNB, jmenovitě vydávání bankovek a mincí (emise) a ochrana peněžního oběhu a platebního styku, jak jsou uvedeny v § 2 odst. 2 písm. b) a c) zákona č. 6/1993, o České národní bance, ve znění pozdějších předpisů, je záležitostí značného veřejného zájmu i ochrany životně důležitých zájmů, k níž je ČNB povolána. Uvedené se mimo jiné projevuje i ve skutečnosti, že údaje o technickobezpečnostních systémech, kontrolních a řídicích systémech technologických celků zajišťujících chod peněžních a výpočetních provozů nezbytných pro plnění uvedených úkolů, včetně jejich systémů napájení elektrickou energií a projektová dokumentace těchto systémů, jsou utajovanou informací podle pořadového čísla 4 přílohy č. 11 nařízení vlády č. 522/2005 Sb., kterým se stanoví seznam utajovaných informací. Zcela nezbytnou součástí řečených systémů jsou pak systémy pořizující obrazové záznamy v místech, kde peněžní provoz probíhá. Zpřístupnění či poskytnutí kopie osobních údajů zpracovaných za pomoci těchto systémů subjektu údajů, jak požaduje čl. 15 Nařízení, by znamenalo zpřístupnění subjektu konkrétních záznamů, ze kterých je pak možno vypozorovat technické řešení celého systému (slepé úhly kamer, kvalitu záznamu, užité technologie atd.), tedy utajovanou informaci. Bez zpracování osobních údajů by za dané situace nešlo vyhovět veřejnému zájmu na vydávání bankovek a mincí i na ochraně peněžního oběhu a platebního styku jako celku, tedy společensky fundamentálnímu úkolu ČNB vymezenému jí zákonem č. 6/1993 Sb., o České národní bance, ve znění pozdějších předpisů, na základě odkazu dle čl. 98 odst. 2 Ústavy České republiky. Ustanovení Čl. 16 sice lze jen těžko v praxi aplikovat na kamerový záznam, nicméně v zájmu právní jistoty a v zájmu prevence před případnými spory se subjekty údajů se jeho aplikace přímo vylučuje.

Odstavec 5 zakotvuje nutné výjimky z aplikace vybraných článků Nařízení v souvislosti se zajištěním úkolů ČNB při práci s výkazy ve smyslu § 41 odst. 1. Ty jsou využívány jak pro měnovou a makroobezřetnostní politiku, k plnění povinností vůči evropským institucím, tak pro dohled nad finančním trhem, případně k jejím dalším zákonným úkolům. Z výkazů mohou (nemusí) být tvořeny též různé statistiky (§ 43a), proto se vedle výjimek podle čl. 23 mohou v této oblasti na ČNB uplatnit též výjimky podle čl. 89 odst. 2 Nařízení.

Při tvorbě statistik může ČNB zpracovávat osobní údaje pouze ve formě statistického výkaznictví vycházejícího z evropské úpravy (na základě Nařízení Rady (ES) č. 2533/98). Osobní údaje mohou být ve formě identifikace statistické zpravodajské jednotky sloužící výlučně pro účely zajištění kontroly plnění vykazovací povinnosti. Taková identifikace je poskytována výlučně vykazující osobou a její případné změny jsou prováděny na základě výkaznické (reportovací) povinnosti. Osobní údaje ve formě identifikace protistran obchodních vztahů vykazujících subjektů jsou zpracovávány pouze za účelem konsolidace těchto vztahů napříč finančními sektory nebo mezi vykazujícími subjekty. Neslouží tedy ke zpracování informací o každé jednotlivé protistraně. Statistické výkazy jsou zpracovávány za účelem agregace údajů pro vytvoření statistik s cílem zabránit přímému nebo nepřímému určení jednotlivé vykazující nebo vykazované osoby. V tomto smyslu jsou statistické informace obsahující údaje týkající se jednotlivé vykazující osoby přísně utajovány na základě požadavků evropské úpravy (Nařízení Rady (ES) č. 2533/98 v platném znění). Podle zákona mohou být důvěrné statistické informace poskytnuty pouze Evropské centrální bance nebo jinému členu Evropského systému centrálních bank při splnění statistické zpravodajské povinnosti, Eurostatu, jinému členu evropského statistického systému, Českému statistickému úřadu nebo pro účely vědeckého výzkumu s jistým omezením. Statistické informační systémy proto nejsou konfigurovány tak, aby bylo možné generovat informace podle jednotlivých vykazujících osob. Statistika ČNB je činností ve veřejném zájmu, jejímž cílem je hromadné zpracování dat za účelem jejich agregace a tvorby dílčích statistik.

Jsou-li v rámci vykazovací povinnosti poskytnuty osobní údaje, jsou poskytovány přímo vykazujícím subjektem – subjektem údajů, který je má tudíž k dispozici. Jakékoliv změny hlásí vykazující subjekt na základě své vykazující povinnosti. Pokud jsou osobní údaje poskytnuty jiným vykazujícím subjektem jako součást vykazovací povinnosti o jeho obchodních vztazích se subjektem údajů, je nutné, aby jakékoliv změny či úpravy prováděl přímo vykazující subjekt. Česká národní banka není oprávněna měnit nebo jakkoliv upravovat vykázané skutečnosti, neboť tyto jsou předmětem kontroly plnění vykazovacích povinností zpravodajských jednotek. Jednostranný zásah do vykazovaných povinností by proto představoval zásah do práv vykazujících subjektů. Zásahy do databází s cílem filtrace údajů o jednotlivých subjektech není účelný ani žádoucí z důvodu samotné ochrany dat a naplnění cíle zpracování těchto dat pro statistické účely. Poskytování informací vykázaných zpravodajskými jednotkami subjektu údajů, který svým rozsahem činností může ovlivňovat významné ukazatele z hlediska statistiky, a který usiluje o skrytí případně nebezpečných tendencí ve vývoji statistiky, by mohlo mařit odhalení těchto tendencí v rámci statistiky a jejich řešení v rámci národohospodářských opatření (zkreslování informací, maření účelu).

Odstavec 6 zohledňuje skutečnost, že Česká národní banka je při výkonu dohledu nad finančním trhem vázána speciální zákonnou povinností mlčenlivosti o skutečnostech, které se dozvěděla při výkonu dohledu. Tato povinnost vyplývá z práva EU a je transponována do řady zákonů (např. zákon o bankách, zákon o spořitelních a úvěrních družstvech, zákon o pojišťovnictví, zákon o dohledu v oblasti kapitálového trhu) s tím, že výjimky z této povinnosti, tj. průlomy do mlčenlivosti, jsou stanovené taxativním způsobem (další průlomy právo EU neumožňuje). Pokud není orgán dozoru nad ochranou osobních údajů mezi těmito průlomy uveden, nelze mu tyto informace poskytnout. V ostatních případech zřejmě naplní poskytnutí informací Úřadu pro ochranu osobních údajů podmínku „veřejného zájmu“ nebo „ochrany zájmů České národní banky“ podle § 50 odst. 2 zákona o České národní bance.

ČÁST SEDMÁ

Změna zákona o stavebním spoření a státní podpoře stavebního spoření

Nově doplňované ustanovení v rámci specifické oblasti stavebního spoření explicitně využije výjimek stanovených v čl. 23 nařízení Evropského parlamentu a Rady (EU) 2016/679, upravujících omezení některých práv osob, kterých se týkají zpracovávané osobní údaje (subjekt údajů).

U práva na omezení zpracování údajů na základě popření přesnosti zpracovávaných osobních údajů nebo na základě námitky subjektu údajů (podle čl. 18 odst. 1 písm. a) a d) nařízení) je nutné zohlednit hrozící kolizi práv na ochranu zpracovávaných osobních údajů subjektu údajů na jedné straně a veřejný zájem na funkčním informačním systému stavebního spoření se státní podporou na straně druhé. U současného technického nastavení informačního systému stavebního spoření totiž hrozí, že při pozastavení zpracování osobních údajů z důvodu vznesení námitky, případně při omezení zpracování osobních údajů, jejichž přesnost subjekt údajů popírá, by vzhledem k dávkovému systému datového toku a logickým návaznostem kontrolních mechanismů nemuselo být zaručeno správné fungování systému jako celku a připisování státní podpory jako takové. Vzhledem k faktu, že účast v systému stavebního spoření je dobrovolná a její účastníci (v tomto případě subjekty údajů) na jejím základě čerpají benefity (státní podpora), jeví se jako krajně nepravděpodobná situace, kdy by byl subjekt údajů nucen využít práva na omezení zpracování údajů na základě popření přesnosti zpracovávaných osobních údajů nebo na základě námitky. Při využití tzv. balančního testu by pak měl převážit zájem na řádném fungování informačního systému stavebního spoření. Je navíc nutno uvést, že fungování systému stavebního spoření samo předpokládá vyhledávání a opravu chybných (nepřesných) údajů ex ante. Jako oprávněná se navíc může jevit i obava ze zneužití institutu námitek, jež by mohlo teoreticky vyústit v celkové paralyzování systému stavebního spoření, popřípadě výrazné omezení jeho funkčnosti.

V případě omezení práva nebýt předmětem automatizovaného individuálního rozhodování podle čl. 22 nařízení je třeba přihlédnout k fungování informačního systému stavebního spoření, kdy samotný nárok na výplatu státní podpory vzniká pouze po splnění zákonem stanovených podmínek. Vzhledem k počtu účastníků stavebního spoření a tím objemu zpracovávaných dat, ale i s přihlédnutím k výši vyplácených ročních záloh státní podpory stavebního spoření, která se pohybuje v řádu několika miliard Kč, se jedná o situaci, kdy splnění podmínek ze strany subjektu údajů lze ověřit primárně automatizovaným systémem zpracování údajů. Fungování informačního systému stavebního spoření, respektive princip vyhodnocení nároku na přiznání státní podpory a její následné výplaty by pak bylo možné subsumovat pod pojem algoritmus, jakožto předem stanovený postup, který je následně prováděn automatizovaně.

Textace pak explicitně uvádí záruku (s možností pozdější kontroly) pro ochranu před zneužitím automatizovaného zpracování osobních údajů ve formě povinnosti Ministerstva financí uchovávat v záznamech o činnostech zpracování osobních údajů popis počítačových algoritmů a výběrová kritéria, na jejichž základě je toto zpracování prováděno, pokud bude pro fungování informačního systému stavebního spoření použito výhradně automatizované zpracování osobních údajů. Současně je upravena minimální jednoletá lhůta pro uchování těchto informací od posledního použití pro zpracování osobních údajů účastníků stavebního spoření.

ČÁST OSMÁ

Změna zákona o Ústavním soudu

K § 25b

Odstavec 1

Toto ustanovení ve vazbě na čl. 4 směrnice 2016/680 poskytuje obecný titul pro zpracovávání osobních údajů Ústavním soudem a naplňuje tak zásadu zákonnosti zpracovávání osobních údajů a omezení zpracování osobních údajů pro určité a legitimní účely.

Toto ustanovení nezakládá Ústavnímu soudu nová práva, nýbrž je třeba jej chápat toliko jako titul, na základě něhož Ústavní soud provádí operace s osobními údaji. Procesní rámec těchto operací je vymezen v příslušných procesních předpisech.

Stejně jako v obdobných ustanoveních dalších předpisů není nutné uvádět výslovně, že Ústavní soud může zpracovávat „jakékoliv“ osobní údaje, včetně údajů „citlivých“ nebo jiných, protože je to nepochybné.

Odstavec 2

Toto ustanovení zajišťuje možnost předávání osobních údajů orgánům příslušným k předcházení, vyhledávání a odhalování trestné činnosti a stíhání trestných činů, výkonu trestů a ochranných opatření, zajišťování bezpečnosti České republiky, veřejného pořádku a vnitřní bezpečnosti, včetně pátrání po osobách a věcech, je-li to nezbytné pro plnění jejich úkolů.

K § 25c

K § 25d

Odstavec 1

Článek 45 směrnice stanoví, že dozorový úřad není příslušný k dozoru nad operacemi zpracování, které provádějí soudy jednající v rámci svých soudní pravomocí (obdobně i čl. 55 odst. 3 nařízení 2016/679). Ustanovení § 25d tak provádí shora zmiňovaný článek, a to s přihlédnutím k níže uvedenému.

Zaprvé, právní úprava obsažená v procesních a jiných právních předpisech (jako je zákon o ústavním soudu) má povahu speciálních ustanovení vůči ustanovením zákona č. 101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů. Na tomto vztahu se nic nezmění ani se vstupem nařízení 2016/679 v platnost, resp. přijetí směrnice 2016/680. Naopak i nařízení je třeba chápat vůči právní úpravě obsažené v procesních a jiných právních předpisech jako úpravu obecnou.

Zadruhé, soudní řízení je nezbytné vnímat jako organický celek. Nepřipadá v úvahu, aby jednotlivé jeho části byly od sebe oddělovány a podléhaly kontrole ze strany dozorového orgánu, který by stál mimo soudnictví a který by byl nadán pravomocí ukládat sankce. V opačném případě by byla vážně ohrožena nezávislost a nestrannost soudů, jejíž ochrana je účelem a smyslem existence čl. 55 odst. 3 nařízení 2016/679 (viz bod 20 preambule nařízení 2016/679) a čl. 45 odst. 2 směrnice 2016/680.

Zatřetí, podstatou činnosti orgánu k tomu určeného není podle navrhovaného ustanovení vedení řízení o opravných prostředcích proti rozhodnutí soudu jako správce osobních údajů. Orgán určený podle tohoto odstavce ani nebude v postavení dozorového úřadu ve smyslu směrnice 2016/680 a nařízení 2016/679. Podstatou taktéž není vyřizování žádostí nebo stížností týkajících se ochrany osobních údajů, rozhodován o individuálních právech a povinnostech. Jde o činnost vykonávanou ryze z moci úřední spočívající ve sledování systému nakládání s osobními údaji a plnění zákonných povinností soudu jakožto správce.

Odstavec 2

Navržené ustanovení je tak nezbytné chápat jako ustanovení sui generis, které se svojí povahou blíží např. řízením o stížnosti dle § 164 a n. zákona č. 6/2002 Sb., o soudech a soudcích, ve znění pozdějších předpisů.

K § 25e

K § 69a

Vedle vlády a Veřejného ochránce práv je vhodné institucionalizovat rovněž spolupráci mezi ÚS a ÚOOÚ. Vzhledem k unijnímu přesahu ÚOOÚ a unijnímu základu regulace zpracování osobních údajů, je nanejvýš vhodné, aby ÚOOÚ mohl ÚS předložit svůj expertní názor k uvážení, jako se to v řadě případů děje, např. Hartman v. ABS, jehož podstatou bylo rozlišení mezi zpřístupněním a zveřejněním osobních údajů, nebo návrhu na zrušení zadržení údajů v zákonu o elektronických komunikacích.

ČÁST DEVÁTÁ

Změna zákona o státním zastupitelství

K § 12i

Toto ustanovení ve vazbě na čl. 4 směrnice 2016/680 poskytuje obecný titul pro zpracovávání osobních údajů státním zastupitelstvím a naplňuje tak zásadu zákonnosti zpracovávání osobních údajů a omezení zpracování osobních údajů pro určité a legitimní účely (úkoly státního zastupitelství jsou v obecné rovině vymezeny v § 4 zákona č. 283/1993 Sb., o státním zastupitelství, ve znění pozdějších předpisů). Zároveň toto ustanovení umožňuje zpracovávání osobních údajů i k jiným účelům, než pro který byly původně shromážděny, což je nezbytné pro výkon trestní i mimotrestní působnosti státního zastupitelství. Toto zpracovávání zahrnuje jakákoliv operace se shromážděnými osobními údaji, včetně jejich sdružování (čl. 3 odst. 2 směrnice 2016/680). Dále toto ustanovení upravuje možnost předávání osobních údajů stanoveným orgánům, včetně např. orgánů veřejné správy pro výkon jejich působnosti, např. pro potřeby správního trestání nebo sociálně-právní ochranu dětí, orgánům a osobám provozujícím zařízení, ve kterém je podle zákonného oprávnění omezována osobní svoboda (zařízení, kde je vykonáváno ústavní ochranné léčení apod.) aj.

Stejně jako v obdobných ustanoveních dalších předpisů není nutné uvádět výslovně, že státní zastupitelství může zpracovávat „jakékoliv“ osobní údaje, včetně údajů „citlivých“ nebo jiných, protože je to nepochybné.

V souvislosti se zrušením § 5 odst. 2 zákona 101/2000 Sb. o ochraně osobních údajů, který vázal zpracování primárně na souhlas subjektu údajů a teprve v případě jeho absence uváděl další tituly pro zpracování, již není nutno ani z důvodu posílení právní jistoty připomínat, že pokud má nějaký orgán oprávnění zpracovávat osobní údaje k plnění svých úkolů ze zákona, má jej i v případě absence souhlasu, resp. že takový orgán si nemusí souhlas subjektu údajů opatřovat ani se o to pokoušet. Centrální evidence stíhaných osob se upravuje v souladu se stávajícím zněním § 12i odst. 1 věty druhé platného zákona o státním zastupitelství, pouze se výslovně zdůrazňuje, že tuto evidenci vede Nejvyšší státní zastupitelství, které je správcem této evidence. Nadále platí, že centrální evidence stíhaných osob není informačním systémem veřejné správy ve smyslu zákona č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění pozdějších předpisů. Je sice vedena Nejvyšším státním zastupitelstvím jako orgánem veřejné moci, ale má povahu specifické evidence údajů z trestního řízení sloužících pro potřeby státního zastupitelství, a dále pak jiným orgánům činným v trestním řízení a Probační a mediační službě (v rozsahu plnění jejích úkolů) pro účely trestního řízení, národnímu členu Eurojustu pro účely plnění úkolů v Eurojustu a Ministerstvu spravedlnosti pro účely plnění úkolů podle zákona o mezinárodní justiční spolupráci ve věcech trestních. Má tedy obdobnou povahu, jako jsou kriminalisticko-technické, kriminalisticko-taktické a podobné evidence policie, které rovněž nejsou informačními systémy veřejné správy [viz § 3 odst. 3 písm. b) zákona č. 365/2000 Sb.], navíc tu platí i další výluka z věcné působnosti zmíněného zákona podle jeho § 3 odst. 3 písm. c), podle něhož se zákon nevztahuje na informační systémy veřejné správy vedené orgány činnými v trestním řízení v souvislosti s trestním řízením, s výjimkou evidence Rejstříku trestů. Jiným osobám a pro jiné účely, než jsou uvedeny v § 12i odst. 4, se údaje neposkytují, databáze není veřejně přístupná.

Zákon vymezuje nově účel vedení centrální evidence stíhaných osob i kategorie osobních údajů, které jsou v centrální evidenci stíhaných osob zpracovávány. Vzhledem k potřebě zachovat nezbytnou míru flexibility jde o jejich obecné vymezení (stanovení kategorií – např. „rozhodnutí, opatření a příkazy vztahující se k osobě, proti které se řízení vede, včetně údajů o jejich výkonu“), přičemž bližší specifikace, které konkrétní druhy osobních údajů budou takto zpracovávány (např. základní údaje o zadržení a vazbě, datum vzetí do vazby, datum počátku vazby, datum propuštění z vazby), bude obsaženo v interních předpisech.

Bližší podrobnosti týkající se bližší specifikace zpracovávaných osobních údajů, přístupových práv jednotlivých osob k této databázi, podrobnosti její správy, zabezpečení vkládání dat a jejich aktualizace, přístupu do databáze, na poskytnutí informací o údajích o ní vedených, budou obsaženy v interních předpisech státního zastupitelství, a to v pokynu obecné povahy (v současné době jde o pokyn obecné povahy nejvyšší státní zástupkyně ze dne 19. června 2009 č. 2/2009) a provozním řádu centrální evidence stíhaných osob (v současné době opatření nejvyššího státního zástupce ze dne 20. dubna 2012 č. 4/2012).

Nově se v souladu s čl. 5 směrnice 2016/680 stanovuje doba, po jejímž uplynutí dochází k likvidaci vedených osobních údajů. Tato doba je navázána na uplynutí skartační lhůty spisu, ve kterém byl učiněn úkon, na základě kterého byl záznam osobních údajů v centrální evidenci stíhaných osob proveden, tj. po skartaci spisu dojde rovněž k likvidaci z něj „pocházejících“ osobních údajů vedených v centrální evidenci stíhaných osob.

K § 12k

S přihlédnutím k organizační struktuře a velikosti správců nebo zpracovatelů, kteří jsou orgánem veřejné moci či veřejným subjektem, jim může být dle čl. 37 odst. 3 nařízení 2016/679 jmenován jediný pověřenec pro ochranu osobních údajů. Navrhuje se využít této možnosti a stanovuje se proto, aby nejvyšším státním zástupcem byl určen pověřenec, který bude svoji funkci vykonávat ve vztahu ke všem státním zastupitelstvím. Navrhuje se výslovně stanovit, že funkci pověřence pro ochranu osobních údajů ve smyslu nařízení 2016/679, který musí být určen pro státní zastupitelství, může na základě dohody státního zastupitelství a Ministerstva spravedlnosti vykonávat pověřenec jmenovaný Ministerstvem spravedlnosti, který tak bude vykonávat funkci pověřence jak ve vztahu k Ministerstvu spravedlnosti, tak ve vztahu k soustavě státního zastupitelství.

Zároveň se navrhuje aplikovat výjimku z povinnosti určit pověřence pro ochranu osobních údajů dle čl. 32 směrnice 2016/680, která tento postup umožňuje pro činnost justičních orgánů. Jádrem činnosti státního zastupitelství je zastupování veřejné žaloby (čl. 80 odst. 1 Ústavy), přičemž činnost státního zastupitelství lze charakterizovat jako činnost justiční povahy, která je determinována charakterem státního zastupitelství jako orgánu veřejné moci. Státní zastupitelství má charakter orgánu justičního, který nevykonává soudní moc, ale jeho justiční úkony mají povahu obdobnou výkonu soudní pravomoci. Pravomoc provádět úkony justiční povahy činí ze státního zastupitelství též předstupeň (zejména v oblasti trestní) nezbytný pro výkon soudní moci. Tímto je zvýrazněna souvislost činnosti státního zastupitelství s činností soudu, která je v oblasti trestní závislá na uskutečňování výhradní pravomoci státního zastupitelství. Pro posouzení státního zastupitelství jakožto jiného nezávislého justičního orgánu je též nutné zdůraznit roli státního zastupitelství při ochraně veřejného zájmu ve věcech svěřených zákonem do jeho působnosti. Jde o klíčovou zásadu charakterizující povahu státního zastupitelství, slučitelnou s vymezením funkce státního zastupitelství v Doporučení Výboru ministrů Rady Evropy členským státům č. R (2000)19, o úloze veřejné žaloby v systému trestní justice. Státní zastupitelství též plní nezastupitelnou úlohu při uplatňování principů restorativní justice, jmenovitě odklonů v trestním řízení. Postavení státního zastupitelství jako nezávislého justičního orgánu lze dovozovat též z § 2 písm. a) zákona č. 104/2013 Sb. o mezinárodní justiční spolupráci ve věcech trestních, nebo z usnesení Ústavního soudu IV. ÚS 1953/16. Při aplikaci výjimky podle čl. 45 směrnice 2016/680 a soustředění sledování dodržování právních předpisů, pokud jde o ochranu osobních údajů, na Nejvyšším státním zastupitelství, se taktéž jeví povinnost určit pověřence jako nadbytečná.

K § 12l

V souladu s aplikací výjimky podle čl. 45 odst. 2 směrnice 2016/680 a povinností vyplývajících z čl. 8 odst. 3 Listiny základních práv EU se svěřuje Nejvyššímu státnímu zastupitelství povinnost z moci úřední sledovat soulad postupu státního zastupitelství s právními předpisy v oblasti ochrany osobních údajů, pokud jde o jejich zpracování, které spadá do působnosti této směrnice. Podstatou činnosti Nejvyššího státního zastupitelství podle navrhovaného ustanovení není vedení řízení o opravných prostředcích proti rozhodnutí státního zastupitelství jako správce osobních údajů ve smyslu hlavy III zákona o zpracování osobních údajů, neboť opravné prostředky nejsou ve vztahu ke státnímu zastupitelství přípustné (Nejvyšší státní zastupitelství není v pozici dozorového úřadu ve smyslu směrnice 2016/680, soudní ochrana proti rozhodnutí státního zastupitelství jako správce osobních údajů však vyloučena není). Podstatou taktéž není vyřizování žádostí nebo stížností týkajících se ochrany osobních údajů, rozhodování o individuálních právech a povinnostech, nebo podnětů k tomu, aby Nejvyšší státní zastupitelství podle navrhovaného ustanovení postupovalo. Jde o činnost vykonávanou z moci úřední spočívající ve sledování systému nakládání s osobními údaji a plnění zákonných povinností státního zastupitelství jakožto správce.

Odstavec 2 zajišťuje především ochranu důležitých úkolů státního zastupitelství před jejich ohrožením vyrozuměním o způsobu vyřízení podání, které by se týkalo osobních údajů. Stanoví se proto explicitně, že státní zastupitelství, pokud bude podatele vyrozumívat, jej vyrozumí tak, aby tomuto ohrožení předcházelo.

K § 12m

V souladu s čl. 23(1) nařízení 2016/679 se stanoví pro vyřízení některých žádostí subjektu údajů v oblastech, na které dopadá toto nařízení, stejný postup, jako na vyřízení obdobných žádostí podle směrnice 2016/680, aby došlo k přiměřenému omezení příslušných práv v zájmu ochrany integrity trestního řízení, ochrany utajovaných informací atd.

K § 13 odst. 1

Legislativně technická úprava reagující na zavedení legislativní zkratky „ministerstvo“ již v nově navrhovaném § 12i odst. 4.

ČÁST DESÁTÁ

Změna zákona o Rejstříku trestů

K § 2

Obdobně jako navrhovaný § 12i zákona o státním zastupitelství poskytuje toto ustanovení ve vazbě na čl. 4 směrnice 2016/680 obecný titul pro zpracovávání osobních údajů Rejstříkem trestů a naplňuje tak zásadu zákonnosti zpracovávání osobních údajů a omezení zpracování osobních údajů pro určité a legitimní účely.

Stejně jako v obdobných ustanoveních dalších předpisů není nutné uvádět výslovně, že Rejstřík trestů může zpracovávat „jakékoliv“ osobní údaje, včetně údajů „citlivých“ nebo jiných, protože je to nepochybné.

K novému znění § 2b

Navrhované ustanovení provádí články 32 až 34 směrnice 2016/680, upravuje tedy pověřence pro ochranu osobních údajů (pokud jde o zpracování osobních údajů ve smyslu této směrnice), stanoví jeho úkoly a s ohledem na čl. 32 odst. 3 směrnice umožňuje budoucí písemnou dohodu (podle § 160 odst. 3 správního řádu) mezi Rejstříkem trestů a Ministerstvem spravedlnosti na tom, že pověřenec určený Ministerstvem spravedlnosti bude vykonávat své úkoly i ve vztahu k Rejstříku trestů.

K novému § 2c

Navrhovaný § 2b (viz novelizační bod 4 této části) doplňuje úpravu nakládání s osobními údaji v rámci činnosti Rejstříku trestů, která je dosud systematicky řazena v části první zákona (v obecných ustanoveních). Vzhledem k tomu, že není žádoucí označovat jednotlivé paragrafy zdvojenými písmeny, nebylo možné obsah navrhovaného § 2b označit jako § 2aa. Z důvodů ryze legislativně technických se proto zvolila varianta, kdy se „posunul“ začátek druhé části zákona a došlo k „přeznačení“ stávajícího ustanovení § 2b na ustanovení § 2c. K žádným věcným změnám nedochází.

K § 15a

Navrhované ustanovení rozšiřuje mechanismus ochrany orgánů, které si vyžádaly za účelem zajištění bezpečnosti státu, obrany, veřejné bezpečnosti a obdobných zájmů údaje z evidence Rejstříku trestů upravený ve stávajícím § 15a odst. 1 v souladu s výjimkami upravenými v čl. 13 a násl. směrnice 2016/680, zejména pokud jde o údaj o příjemcích osobních údajů, kterým byly tyto zpřístupněny.

ČÁST JEDENÁCTÁ

Změna zákona o platu a dalších náležitostech spojených s výkonem funkce představitelů státní moci a některých státních orgánů a soudců a poslanců Evropského parlamentu

V reakci na změnu organizační struktury Úřadu v zákoně o zpracování osobních údajů se určuje plat a další náležitosti předsedovi a dvěma místopředsedům Úřadu, a to ve stejné výši jako prezidentovi a členu Nejvyššího kontrolního úřadu. Jde o princip převzatý z rušeného zákona o ochraně osobních údajů, podle kterého se plat a další náležitosti předsedy ÚOOÚ řídily podle platu a dalších náležitostí prezidenta NKÚ, zatímco sedmi inspektorům náležely plat a další náležitosti jako členům NKÚ.

ČÁST DVANÁCTÁ

Změna zákona o advokacii

K bodu 1 a 2

Zákon o zpracování osobních údajů svěřuje Úřadu kompetence, které se dotýkají povinnosti mlčenlivosti advokáta podle ust. § 21 zákona o advokacii. Z tohoto důvodu předmětný zákon řeší tento střet s využitím mechanismu zástupce Komory při provádění kontroly podle zákona o zpracování osobních údajů, a to modelově obdobně k postupu podle ust. § 85b tr. ř. nebo § 255 daňového řádu. Orgánem Komory oprávněným k nahrazení souhlasu zástupce komory k seznámení se s informacemi, které jsou nezbytné pro provedení kontroly dle zákona o zpracování osobních údajů, bude kontrolní rada, pro kterou je nutné zřídit toto oprávnění obdobně jako v případě AML zákona. Zároveň s tím je potřeba na toto správní řízení vztáhnout výjimky ze správního řádu obdobně jako při rozhodování jiných orgánů komory (upraveno v ust. § 55 zákona o advokacii). Vzhledem k tomu, že je kontrolní rada kolegiální orgán (má 70 členů) a způsob jejího rozhodování je upraven v organizačním řádu ČAK (čl. 15 a násl. usnesení sněmu č. 3/1999 Věstníku, ve znění pozdějších předpisů), je v tomto směru zapotřebí vyloučit ustanovení § 134 správního řádu, které upravuje rozhodování kolegiálního orgánu.

K bodu 4

Česká advokátní komora vydává Věstník, který je úředním listem. Ve věstníku se publikuje celá řada skutečností, o kterých to stanoví buď zákona, nebo stavovský předpis Komory. Podrobnosti o vydávání věstníku svěřuje zákonodárce Komoře (skrze usnesení představenstva). Princip publikace Věstníku je v současné době založen na rozesílání; okruh adresátů je rovněž upraven stavovským předpisem a zahrnuje kromě advokátů a advokátních koncipientů celou řadu dalších subjektů, jejichž osobní údaje musí Komora za tímto účelem zpracovávat. Roční náklady na vydávání Věštníku přitom činí cca 1 mil. Kč. V souvislosti s přijetím GDPR a chystaného zákona o zpracování osobních údajů se proto navrhuje, aby byla publicita informací ve Věstníku nově zajištěna nikoli rozesíláním jeho jednotlivých částek, ale jejich zveřejněním, přičemž způsob zveřejnění bude stanovit stavovský předpis (a půjde po vzoru nového zákona č. 222/2016 Sb., o Sbírce zákonů a mezinárodních smluv, o zveřejnění skrze informační systém ČAK). Odpadne tak velká administrativní zátěž spočívající ve zpracovávání osobních údajů okruhu adresátů, v tisku jednotlivých částek Věstníku a jejich rozesílání adresátům prostřednictvím držitele poštovní licence.

ČÁST TŘINÁCTÁ

Změna zákona o veřejném zdravotním pojištění

Do zákona o veřejném zdravotním pojištění se navrhuje vložit nový § 40a, který v návaznosti na čl. 23 nařízení omezuje některá práva subjektu údajů.

Právo na omezení zpracování z důvodu popření přesnosti osobních údajů subjektem údajů nebo na základě námitky subjektu údajů (čl. 18 odst. 1 písm. a) a d) nařízení).

Nařízení v čl. 18 odst. 1 písm. a) upravuje právo subjektu údajů požadovat, aby správce omezil zpracování osobních údajů, jejichž přesnost subjekt údajů popírá, a to do doby, než je jejich přesnost správcem ověřena. Dále čl. 18 odst. 1 písm. d) upravuje právo subjektu údajů požadovat, aby správce omezil zpracování osobních údajů, vznesl-li subjekt údajů námitku proti zpracování, dokud nebude ověřeno, zda oprávněné důvody správce pro zpracování převažují nad oprávněnými důvody subjektu údajů.

Právo na omezení zpracování uvedené v čl. 18 odst. 1 písm. b) a c) budou pravděpodobně představovat okrajové případy, které není třeba legislativně omezovat.

Omezení zpracování, kterým se podle čl. 4 odst. 3 nařízení rozumí označení uložených osobních údajů za účelem omezení jejich zpracování v budoucnu, bude prováděno vhodným způsobem, a to mimo jiné i v závislosti na způsobu zpracovávání dotčených osobních údajů.

Samotné právo subjektu údajů požadovat omezení zpracování není navrhovanou úpravou ve své podstatě omezeno a v tomto směru tedy úprava výjimku nestanovuje. Úpravou jsou pouze vyloučeny důsledky realizace práva na omezení zpracování spočívající v nemožnosti dalšího zpracování osobních údajů bez existence titulu uvedeného v čl. 18 odst. 2 nařízení (např. souhlas subjektu údajů, důležitý veřejný zájem členského státu apod.). Nemožnost dalšího zpracování by v praxi mohla přinést problémy a vést k narušení řádného provádění veřejného zdravotního pojištění, konkrétně např. komplikace při provádění úhrad hrazených služeb jejich poskytovatelům. Je např. představitelná situace, kdy subjekty údajů (pojištěnci) budou rozporovat obsah/provedení některých z výkonů vykázaných poskytovatelem zdravotních služeb zdravotní pojišťovně, přičemž jejich osobní údaje o poskytnutých hrazených službách přesto bude třeba dále pro účely úhrady poskytovateli zpracovávat i přes současné ověřování jejich správnosti.

Navrhovaná úprava proto výslovně stanovuje, že dotčené osobní údaje lze zpracovávat i bez zvláštního souhlasu subjektu údajů, který čl. 18 odst. 2 nařízení předpokládá.

„Rozhodování“ upravené v čl. 22 má velice širokou působnost – chrání subjekt údajů před rozhodnutími, které pro něho mají právní účinky, ale i před rozhodnutími, které pro něho právní účinky nemají, ale pouze se ho obdobným způsobem významně dotýkají. Nerozlišuje ani mezi pozitivními a negativními důsledky pro subjekt údajů a pro oba druhy dopadů stanovuje stejnou regulaci. Určení kam až sahá „rozhodování“, které se subjektu údajů významně dotýká, a spadá proto pod působnost čl. 22, je v praxi značně nesnadné.

V rámci působnosti zdravotní pojišťovny dochází na příjmové i výdajové straně k řadě činností, které budou definici uvedenou čl. 22 více nebo méně splňovat. Tyto činnosti, které mají pozitivní důsledky pro subjekt údajů, jsou prováděny v zásadě automatizovaně a bez žádosti subjektu údajů. Jedná se např. o adresné zvaní pojištěnců k návštěvě preventivního screeningového vyšetření v rámci podobory prevence vybraných nádorových onemocnění, kde jsou v aplikaci zpracovány adresné výzvy k návštěvě preventivního screeningového vyšetření pojištěncům vybraným podle předem stanovených kritérií; zpracování doplatků za předepsané ze zdravotního pojištění částečně hrazené léčivé přípravky nebo potraviny pro zvláštní lékařské účely a finanční vypořádání přeplatků převyšujících zákonný limit doplatků prováděné na základě § 16b zákona č. 48/1997 Sb., o veřejném zdravotním pojištění, kde v aplikaci dochází k hromadnému čtvrtletnímu vygenerování přeplatků pro pojištěnce, kteří překročili zákonem stanovený limit a odeslání těchto přeplatků do 60 kalendářních dnů po uplynutí kalendářního čtvrtletí nebo o „měkké vymáhání“ pohledávek užívané pro zefektivnění výběru pojistného, kde jsou při splnění stanovených charakteristik dlužníkům automaticky generovány a zasílány výzvy k úhradě dlužného pojistného.

§ 40a písm. b) proto z důvodu potřeby realizace těchto činností upravuje výjimku z úpravy uvedené v čl. 22 pro provádění veřejného zdravotního pojištění a dovoluje „rozhodování“ založené výhradně na automatizovaném zpracování osobních údajů, nejedná-li se o vydávání rozhodnutí. Rozhodnutí jako správní akt tedy nelze na základě výjimky vydat (takový postup by nebyl možný ani s ohledem na úpravu např. ve správním řádu).

Současně je uvedeno, že bude-li zdravotní pojišťovna provádět výkon své působnosti výhradně na základě automatizovaného zpracování osobních údajů (s výše uvedenou výjimkou), bude muset uchovávat v záznamech o činnosti zpracování osobních údajů popis počítačových algoritmů a výběrová kritéria, na jejichž základě je toto zpracování prováděno, a to v zájmu umožnění pozdější kontroly. Současně je stanovena minimální jednoroční lhůta pro uchování těchto informací, která běží od posledního použití pro zpracování osobních údajů subjektu údajů.

Úprava navržená v § 40a se bude vztahovat na zdravotní pojišťovnu při zpracování osobních údajů, k němuž dochází v souvislosti s výkonem její působnosti podle tohoto zákona, podle jiných právních předpisů (např. zák. č. 592/1992 Sb., o pojistném na veřejné zdravotní pojištění, podle kterého je Všeobecná zdravotní pojišťovna České republiky správcem centrálního registru pojištěnců) nebo při plnění úkolu prováděného ve veřejném zájmu v oblasti veřejného zdravotního pojištění.

ČÁST ČTRNÁCTÁ

Změna zákona o civilním letectví

K bodu 1

Úprava referenčního odkazu (poznámky pod čarou č. 1) reaguje na přijetí sekundárního právního aktu Evropské unie. V poznámce pod čarou č. 1 se tak doplňuje směrnice Evropského parlamentu a Rady (EU) 2016/681 ze dne 27. dubna 2016 o používání údajů jmenné evidence cestujících (PNR) pro prevenci, odhalování, vyšetřování a stíhání teroristických trestných činů a závažné trestné činnosti.

K bodu 2

Do ustanovení § 2 zákona o civilním letectví se za účelem provedení transpozice směrnice Evropského parlamentu a Rady (EU) 2016/681 ze dne 27. dubna 2016 o používání údajů jmenné evidence cestujících (PNR) pro prevenci, odhalování, vyšetřování a stíhání teroristických trestných činů a závažné trestné činnosti doplňuje definice jmenné evidence cestujících ve smyslu článku 3 odst. 5 uvedené směrnice. Jmennou evidencí cestujících se rozumí záznamy cestovních požadavků cestujících, které letecký dopravce shromažďuje při své obvyklé činnosti, tedy při provozování obchodní letecké dopravy, a které jsou obsaženy v rezervačním systému leteckého dopravce, kontrolním systému odletů, případně v jiném obdobném systému jím používaném. Tyto záznamy zahrnují veškeré údaje poskytnuté leteckému dopravci cestujícím nebo jeho jménem za účelem zpracování a kontroly rezervace místa na konkrétním letu.

Z legislativně technického hlediska návrh zákona reaguje na změnu zákona o civilním letectví, ke které došlo zákonem, kterým se mění zákon č. 49/1997 Sb., o civilním letectví a o změně a doplnění zákona č. 455/1991 Sb., o živnostenském podnikání (živnostenský zákon), ve znění pozdějších předpisů, ve znění pozdějších předpisů, a některé další zákony. Uvedený návrh zákona byl vyhlášen ve Sbírce zákonů pod č. 261/2017 Sb.

K bodu 3

Do zákona o civilním letectví se za účelem provedení transpozice článku 8 směrnice 2016/681 vkládá nové ustanovení § 69a, které stanoví novou povinnost leteckého dopravce předávat Policii České republiky údaje ze jmenné evidence cestujících. Tato povinnost bude dopadat na letecké dopravce (§ 2 odst. 11 zákona o civilním letectví), tuzemské letecké dopravce (§ 2 odst. 12 zákona o civilním letectví), letecké dopravce jiného členského státu (§ 2 odst. 13 zákona o civilním letectví) i letecké dopravce ze třetí země (§ 2 odst. 14 zákona o civilním letectví), a to pokud půjde o údaje ze jmenné evidence cestujících týkající se jimi uskutečňovaného letu se vzletem, mezipřistáním nebo přistáním na území České republiky. Povinnost leteckého dopravce předávat stanovené údaje se vztahuje pouze na údaje, které letecký dopravce shromažďuje při své obvyklé činnosti za účelem zpracování či kontroly rezervace místa na konkrétním letu, tedy na údaje, které má na základě své obvyklé činnosti k dispozici.

Různý přístup umožňuje směrnice 2016/681, pokud jde o vymezení letů, na které se bude povinnost leteckých dopravců předávat údaje ze jmenné evidence cestujících vztahovat.

Podle článku 2 směrnice 2016/681 se členské státy mohou rozhodnout používat tuto směrnici i na lety uvnitř Evropské unie, což jsou povinny oznámit písemně Komisi, přičemž toto oznámení mohou členské státy kdykoli odvolat. Komise taková oznámení, případně jejich odvolání zveřejní v Úředním věstníku Evropské unie. Členský stát se může podle článku 2 odst. 3 směrnice 2016/681 rozhodnout, že tuto směrnici bude uplatňovat pouze na vybrané lety uvnitř Evropské unie, přičemž i v tomto případě může členský stát kdykoli rozhodnout o změně svého výběru takto určených letů uvnitř Evropské unie.

Z dosavadních diskusí je zřejmé, že členské státy EU přistoupí k tomu, že tato povinnost bude vztažena i na lety v rámci EU, neboť vynětí těchto letů ze systému evropského PNR by značně omezilo efektivitu systému. Navíc ČR nemá žádné velké letiště na rozdíl od okolních států, pro ČR je tedy důležité, aby jednotka pro analýzu údajů o cestujících mohla získat i údaje z vnitřních letů. Z tohoto důvodu je povinnost uvedená v § 69a odst. 1 návrhu zákona koncipována obecně, tedy na všechny lety (jak uvnitř Evropské unie, tak mimo Evropskou unii), přičemž povinnost předání údajů ze jmenné evidence cestujících se vztahuje k letu se vzletem, mezipřistáním či přistáním na území České republiky. Předávání těchto údajů na území jiných členských států Evropské unie bude zabezpečováno v souladu s jejich právním řádem.

Vzhledem k možnosti členského státu kdykoli odvolat oznámení o tom, že určené lety uvnitř Evropské unie zahrnují pod působnost směrnice 2016/681, jakož i k možnosti členského státu kdykoli změnit určení těchto letů, je obecná povinnost leteckého dopravce předávat údaje ze jmenné evidence cestujících ustanovením § 69a odst. 2 návrhu zákona upřesněna. Týkají-li se údaje ze jmenné evidence cestujících letu uskutečňovaného leteckým dopravcem z území členského státu Evropské unie s přistáním na území jednoho nebo několika jiných členských států Evropské unie bez mezipřistání mimo členské státy Evropské unie, tedy týkají-li se letu uvnitř Evropské unie, bude je letecký dopravce povinen předávat pouze v případě, vyplývá-li to z informace o předávání takových údajů zveřejněné v Úředním věstníku Evropské unie. Z informací jednotlivých členských států vyplývá, že všechny státy přistoupí nebo již přistoupily k zavedení povinnosti předávat údaje i pro lety v rámci EU.

Ustanovení § 69a odst. 1 stanoví v souladu s článkem 8 odst. 3 směrnice 2016/681 rovněž formu předávání údajů ze jmenné evidence cestujících a lhůty, ve kterých k předání údajů ze jmenné evidence cestujících ze strany leteckého dopravce musí dojít. Údaje ze jmenné evidence cestujících bude letecký dopravce povinen předat elektronicky, nebo nebude-li to technicky možné, jiným vhodným způsobem, a ve lhůtě 24 až 48 hodin před plánovaným časem odletu (první předání) a následně bezprostředně po nástupu cestujících na palubu letadla připraveného k odletu (druhé předání bezprostředně po uzavření letu). V § 69a odst. 3 je pak v souladu s článkem 3 odst. 4 směrnice 2016/681 umožněno, aby letecký dopravce údaje předané bezprostředně po nástupu cestujících na palubu letadla připraveného k odletu předal pouze formou aktualizace údajů již předaných před plánovaným časem odletu (tedy předaných při prvním předání).

Ustanovení § 69a odst. 4 stanoví povinnost leteckého dopravce předat údaje ze jmenné evidence cestujících rovněž na žádost Policie České republiky, čímž bude zajištěna transpozice článku 8 odst. 5 směrnice 2016/681, přičemž je pro splnění této povinnosti stanovena lhůta (neprodleně po doručení žádosti). Vymezení protiprávních činů ve smyslu ustanovení § 69a odst. 4 návrhu zákona je dáno definicemi uvedenými v článku 3 odst. 8 a 9 směrnice 2016/681. Teroristickými trestnými činy se podle článku 3 odst. 8 směrnice 2016/681 rozumí trestné činy podle vnitrostátního práva uvedené v článcích 1 až 4 rámcového rozhodnutí 2002/475/SVV, závažnými trestnými činy pak podle článku 3 odst. 9 směrnice 2016/681 trestné činy uvedené v příloze II této směrnice, za který lze podle vnitrostátního práva členského státu uložit trest odnětí svobody nebo ochranné opatření spojené s odnětím svobody s horní hranicí trestní sazby v délce nejméně tří let. Je tedy zřejmé, že protiprávními činy ve smyslu ustanovení § 69a odst. 4 není totožné s okruhem protiprávních činů ve smyslu části osmé zákona o civilním letectví.

Ustanovení § 69a odst. 5 obsahuje výčet údajů ze jmenné evidence cestujících tak, jak je obsahuje příloha I směrnice 2016/681. Letecký dopravce však nebude povinen předávat Policii České republiky veškeré údaje v tomto výčtu obsažené, ale pouze ty údaje ze jmenné evidence cestujících, které shromažďuje při své obvyklé činnosti.

Rezervační systém dopravce obsahuje údaje týkající se daného cestujícího a jeho cesty. Jednotlivé údaje se nazývají elementy. Např. v rezervačním systému Amadeus může být vloženo do jmenné evidence cestujících až 999 elementů. Rozlišujeme jmennou evidenci cestujících (PNR) pro jednotlivce, která může obsahovat 1 – 9 jmen, a pro skupiny, která může obsahovat až 99 jmen. Všechny údaje, které letecký dopravce přijme od cestujícího nebo jeho jménem za účelem zpracování a kontroly rezervace místa na konkrétním letu, jsou uložena v rezervačním systému dopravce. Při procesu odbavení jsou údaje z rezervačního systému dopravce uvolněny do odbavovacího systému dopravce (Departure Control System) pro další využití. Při samotném odbavení cestujícího dochází k doplnění dat o cestujícím např. o údaje o zavazadlech či požadavcích na sedadlo.

V případě, kdy si cestující kupuje let prostřednictvím cestovní agentury, obdrží letecký dopravce jen omezený počet údajů o cestujícím. Jde o číslo letu, datum letu, jméno a příjmení cestujícího, číslo věrnostního programu a speciální požadavky cestujícího. Kontaktní adresy na cestujícího agentura většinou nepředává, protože se jedná o jejího přímého klienta. Rovněž v případě charterových (nepravidelných letů) je počet dat o klientovi velmi omezen. Letecký dopravce totiž prodává kapacitu letadla jako celek (např. cestovní agentuře, firmě) a jmenný seznam cestujících může obdržet v termínu kratším než je 24 hodin před odletem.

Údaji o provedené platbě jsou údaje zahrnující detaily o platbě, např. skutečnost, že šlo o platbu v hotovosti, platbu provedenou elektronicky, převodem z účtu, číslo karty, platnost karty. Byla-li platba provedena prostřednictvím agentury, potom se tyto údaje mohou týkat čísla účtu nebo karty prodejní agentury.

Identifikačním kódem cestovní kanceláře je kód cestovní kanceláře, který je této kanceláři přidělen konkrétním rezervačním systémem (např. v systému Amadeus je tento kód 9místný). Tento kód lze rozklíčovat a zjistit tak jméno, adresu a kontaktní údaje agentury.

Údaji o vyčlenění cestujícího z rezervace ze jmenné evidence cestujících jsou údaje o separaci (vyčlenění) cestujícího z původně realizované skupinové rezervace. Rezervaci pod jedním rezervačním kódem lze učinit až pro 9 lidí. Pokud si chce následně některý z těchto cestujících změnit cestu (např. její datum nebo směrování), je z této původně učiněné rezervace separován, vyčleněn. V systému se objeví datum separace, kdo provedl separaci (agent), ID kanceláře a označení jmenné evidence cestujících (PNR), z níž byla separace provedena, jakož i označení jmenné evidence cestujících (PNR), pod kterým byla nová rezervace utvořena.

Údaji z automatizovaného systému cen a rezervačních podmínek leteckého dopravce (ATFQ – Automated Ticket Fare Quote) jsou údaje ze systému leteckého dopravce, ve kterém je cena letenky určena v závislosti na rezervačních omezeních

– např. nelze měnit datum cesty, nejsou zahrnuta zavazadla, letenka je nevratná)

Kódem leteckého dopravce uváděným v rámci společného označování linek je kód sjednaný leteckými dopravci v rámci jejich obchodní spolupráce týkající se tzv. code- sharu, kdy je let uskutečňován provozujícím leteckým dopravcem, avšak prodáván může být i pod tzv. IATA kódem marketingového dopravce (kód přidělený Mezinárodní asociací leteckých dopravců). Tomu je na základě code-sharové dohody poskytnuta určitá kapacita sedaček k prodeji od provozujícího leteckého dopravce. Ve jmenné evidenci cestujících (PNR) se pak objeví IATA kód dopravce, z jehož kapacity je tento let prodán.

K bodům 4 až 8

Do ustanovení § 93 odst. 4 zákona o civilním letectví se doplňuje skutková podstata přestupku, kterého se letecký dopravce dopustí, nepředá-li v rozporu s novým ustanovením § 69a odst. 1 jím shromážděné údaje ze jmenné evidence cestujících, nepředá-li je ve stanovené lhůtě nato stanoveným způsobem, čímž dochází k transpozici článku 14 směrnice 2016/681, podle něhož členské státy přijmou pravidla pro sankce za porušení vnitrostátních předpisů přijatých na základě této směrnice a přijmou veškerá opatření nezbytná k zajištění, aby byly tyto sankce uplatňovány.

Podle článku 14 odst. 3 směrnice 2016/681 musí být stanovené sankce účinné, přiměřené a odrazující. Za uvedený přestupek se navrhuje stanovit sankci (pokutu) do 500 000 Kč, tedy pokutu ve stejné (maximální) výši, jako v případě přestupku spočívajícího v nepředání údajů o cestujících leteckým dopravcem podle ustanovení § 69 zákona o civilním letectví (předávání údajů API), jehož skutková podstata je upravena v ustanovení § 93 odst. 4 písm. a) zákona.

K bodům 9 až 11

Navrhuje se, stejně jako je tomu v případě přestupku spočívajícího v nepředání údajů o cestujících leteckým dopravcem podle ustanovení § 69 zákona o civilním letectví (předávání údajů API), jehož skutková podstata je upravena v ustanovení § 93 odst. 4 písm. a) zákona o civilním letectví, stanovit i v případě přestupku spočívajícího v nepředání údajů ze jmenné evidence cestujících leteckým dopravcem působnost Policie České republiky k jeho projednání v prvním stupni. O odvolání proti rozhodnutí Policie České republiky by v tomto případě rozhodovalo Ministerstvo vnitra.

ČÁST PATNÁCTÁ

Změna zákona o svobodném přístupu k informacím

K § 2 odst. 3

Ustanovení se doplňuje o vynětí informování o probíhajícím trestním řízení z působnosti zákona o svobodném přístupu k informacím, s výjimkou informování o meritorních rozhodnutích (srovnej § 265a odst. 2 trestního řádu). Ustanovení je jinou formou vyjádření normy, která již byla obsažena v ustanovení § 11 odst. 4 písm. a)

zákona o svobodném přístupu k informacím, kde však judikatura Nejvyššího správního soudu dovodila, že přes výslovný pokyn zákonodárce neposkytovat takové informace (není zde ani prostor pro správní uvážení) se má přesto zkoumat, zda je ochrana nezbytná, resp. zda trvá naléhavý zájem na neposkytnutí informace. Tato změna zapříčinila dalekosáhlé zatížení orgánů činných v trestním řízení, které musely vždy podrobně zdůvodňovat, proč informaci nelze poskytnout (pokud ji neposkytly), a to s obtížemi vyplývajícími i z otázky, jak argumentovat, aniž by informace samy nebyly použity. To vše přes jednoznačný záměr zákonodárce, který již na úrovni zákona provedl trest proporcionality a určil hranici pro poskytování tohoto druhu informací. Vyloučením probíhajícího trestního řízení z působnosti informačního zákona tak dosavadní norma materiálně nedozná změn, odpadne však administrativní zatížení orgánů činných v trestním řízení, odvíjející se od povinnosti své kroky detailně odůvodňovat. Informování veřejnosti o postupu probíhajícího trestního řízení pak bude realizováno (pouze) na základě trestního řádu. Změna pozitivně ovlivní i další problém, a to nejednotný postup jednotlivých orgánů činných v trestním řízení, kdy veřejnost či novinář osloví více subjektů najednou, a každý z nich dojde k jinému závěru, a některé informace jsou poskytovány i bez vědomí či proti vůli orgánu, který řízení vede. Na právě uvedené navazuje i doplnění ustanovení § 14 odst. 5 písm. c), která má zabránit praxi oslovování dokonce i jiných subjektů, než orgánů činných v trestním řízení (např. Hasičský záchranný sbor) s žádostmi o informace, které však už jsou předmětem probíhajícího trestního řízení.

Změna je dále reakcí na usnesení Poslanecké sněmovny ze dne 12.9.2017, reagujícímu na Závěrečnou zprávu vyšetřovací komise Poslanecké sněmovny k prověření, zda nedocházelo k protiprávnímu jednání v souvislosti s možným neoprávněným získáváním spisů orgánů činných v trestním řízení nebo informací z těchto spisů a zda informace takto získané nebyly zneužívány k ovlivňování politické soutěže nebo destabilizaci demokratického právního státu. V usnesení Sněmovna mj. vyzývá vládu ČR k předložení změny zákona č. 106/1999 Sb., o svobodném přístupu k informacím, v platném znění, tak, aby nedocházelo k prolamování zásady neveřejnosti přípravného trestního řízení. Na základě zkušeností orgánů činných v trestním řízení, včetně GIBS, nelze než potvrdit, že k této praxi skutečně dochází, navzdory zájmu na ochraně informací zejména z přípravného řízení.

Informace tak má nadále poskytovat, i s ohledem na zajištění práva na spravedlivý proces, který medializace podkladů z řízení ohrožuje až narušuje, pouze orgán činný v trestním řízení, který řízení vede či dozoruje, a režimu informačního zákona podléhají (tak, jako dosud) až meritorní rozhodnutí soudů anebo informace z ukončeného trestního řízení (kdy krom jiného již není ohroženo právo na obhajobu a obecně právo na spravedlivý proces). Pro případ, že by se požadované informace týkaly zvláštních informací (např. specializovaných kriminalistických postupů, vyšetřovací taktiky apod.), lze informace v omezeném rozsahu neposkytnout na základě (aktuálně zestručněného) ustanovení § 11 odst. 6 informačního zákona, opět tak, jako doposud.

Úprava tak má přinést při zachování stejného standardu poskytování informací, zakotveného v zákoně již nyní, vyšší právní jistotu, jednotnou praxi a účinnější ochranu spravedlivého procesu, při nižším administrativním zatížení orgánů činných v trestním řízení.

K § 7

Ustanovení se upřesňuje tak, aby byly chráněny nejen utajované informace, ale i skutečnosti, jejichž zveřejnění či jiný způsob poskytnutí by mohl ohrozit ochranu utajovaných informací, spolehlivost jejich ochrany nebo realizaci činnosti, jichž se utajované informace týkají. V neposlední řadě se ochrana musí vztahovat i na osoby, které s utajovanými informacemi (typicky ve stupni utajení Důvěrné a vyšším) v rámci hlavního či podstatného výkonu své úřední činnosti pracují. Posiluje se proto i jejich ochrana, resp. ochrana jejich osobních údajů.

Na druhé straně je ochrana vázána pouze na ochranu utajovaných informací a souvisejících skutečností a činností, netýká se tak např. běžné úřední činnosti, která již s utajovanými informacemi nesouvisí. Ustanovení tak nelze vztáhnout na určitou osobu jen z důvodu, že je prověřena na určitý stupeň utajení (typicky Důvěrné a vyšší), ač se jinak zabývá i běžnou úřední agendou, zejména pokud rozhoduje o právech a povinnostech. Na druhé straně může být ustanovení vztaženo např. na požadavek k identifikaci osob, které jako hlavní či podstatnou součást své práce nakládají s utajovanými informacemi, vykonávají činnosti s tím související, nebo třeba i o lokalizaci nebo konstrukci tzv. režimových objektů či zařízení apod.

Předkladatel volí podobnou konstrukci, jaká je již obsažena v ustanovení § 10a zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů.

Pro úplnost lze dodat i to, že Mezirezortní pracovní skupina „Dopady elektronizace veřejné správy na činnost bezpečnostních složek České republiky“, která má za úkol identifikovat negativní dopady elektronizace veřejné správy na činnost zmíněných složek, identifikovala právě poskytování osobních údajů dle zákona o svobodném přístupu k informacím o osobách, které pracují s utajovanými informacemi, zejména stupně utajení Přísně tajné, Tajné nebo Důvěrné, za negativní dopad na činnost bezpečnostních složek. Některé činnosti zpravodajských služeb a bezpečnostních sborů jsou utajovány ve smyslu nařízení vlády č. 522/2005 Sb., kterým se stanoví seznam utajovaných informací, avšak při plnění některých svých úkolů spolupracují s orgány veřejné správy. Informace o takové spolupráci je zapotřebí nezveřejňovat, a to i včetně dílčích údajů, ze kterých by taková spolupráce mohla být dovozena, neboť subjekty ve veřejné správě, které se na takové spolupráci podílejí, mají povinnost tyto údaje především chránit. Poskytováním (resp. shromažďováním) osobních údajů o osobách majících přístup k utajovaným informacím uvedených stupňů může být identifikována skupina osob disponující citlivými informacemi, na které pak lze efektivněji cílit jak pro účely získání daných informací, tak jinými způsoby, které ohrožují zájmy České republiky. Totéž se obdobně může týkat osob pracujících v režimových objektech či na projektech opírajících se o nakládání s utajovanými informacemi.

Navržené ustanovení je zároveň promítnutím závěrů Usnesení Bezpečnostní rady státu č. 22/D ze dne 3. května 2017.

K § 8a odst. 2

Novým ustanovením § 8a odst. 2 zákona o svobodném přístupu k informacím je řešena otázka zúžení působnosti ustanovení § 35 odst. 3 písm. f) zákona č. …/2018, o zpracování osobních údajů (dříve ustanovení § 5 odst. 2 písm. f) zákona č. 101/2000 Sb., o ochraně osobních údajů) pouze na zpravodajské služby. Zatímco doposud bylo ustanovení § 5 odst. 2 písm. f) zákona č. 101/2000 Sb., obsahující oprávnění sdělit vymezené osobní údaje o úřední osobě užíváno jako opora pro žádosti o informace tohoto druhu, nově se dotčené ustanovení netýká jiných správců, potažmo orgánů veřejné moci, než zpravodajských služeb. Proto se formulačně upravená norma přesouvá do zákona o svobodném přístupu k informacím tak, aby bylo výslovně deklarováno právo na poskytnutí zmíněných základních údajů o úředních osobách.

Tím však není dotčena ochrana takových osob ve zvláštních případech, např. dle § 7 věta druhá zákona o svobodném přístupu k informacím, dle § 11 odst. 4 písm. c) zákona o svobodném přístupu k informacím nebo dle § 11 odst. 6 zákona o svobodném přístupu k informacím (viz níže), je-li třeba určité úřední osoby chránit (např. příslušníci zvláštních útvarů, zpravodajských služeb, úřední osoby pracující s utajovanými informacemi, úřední osoby podílející se na zajištění bezpečnosti České republiky).

Dále je třeba upozornit, že garance poskytnutí informací se vztahuje pouze na informace o úřední činnosti či zařazení, netýká se tak otázek věcí nesouvisejících s výkonem úřední činnosti, tedy např. soukromí, světonázoru, příbuzenských vztahů, mimopracovní činnosti atd., tedy obecně otázek nesouvisejících s plněních úkolů a agend svěřených tomu kterému orgánu veřejné moci, resp. veřejné správy, zákonem, kde je úřední osoba pouze konkrétním vykonavatelem (prostředníkem k plnění) těchto úkolů, kde je na veřejné kontrole oprávněný zájem.

K § 11 odst. 1 písm. d)

Navrhovaná úprava má přispět k řádnému plnění kompetencí Ministerstva zahraničních věcí stanovených zákonem č. 2/1969 Sb., o zřízení ministerstev a jiných ústředních orgánů státní správy České republiky, ve znění pozdějších předpisů, které mimo jiné zahrnují i zajišťování ochrany zájmů České republiky a jejích občanů v zahraničí, typicky v rámci mezinárodních jednání. Ochrana zájmů České republiky v zahraniční je upravena v zákoně č. 150/2017 Sb., o zahraniční službě, zejména v § 2 písm. a), § 5 písm. b) nebo § 11 odst. 1 písm. i). Výjimka ve spojení s § 2 písm. a) zákona o zahraniční službě (definujícím zahraniční službu jako činnost zaměřenou na navazování, udržování a rozvíjení vztahů s cizími státy a ostatními subjekty mezinárodního práva, jakož i ochrana zájmů ČR a jejích občanů v zahraničí, vykonávaná v Ministerstvu zahraničních věcí) směřuje na ochranu informací, jejichž poskytování, potažmo zveřejnění, by vedlo k maření efektivity (i důvěryhodnosti) výkonu zahraniční služby ze strany České republiky v mezinárodním kontextu.

Návrh samotný je reakcí na požadavky na poskytnutí informací, které je obtížné podřadit pod některou z výjimek pro poskytování informací, avšak jejichž poskytnutí by mělo značně negativní dopady právě na efektivitu prosazování zájmů České republiky v zahraničí v rámci diplomatického vyjednávání, sjednávání smluv, dohod, hlasování, včetně hlasování tajného, přípravy na taková hlasování a jednání samotného, nebo pokud se např. jedná o osudu občanů, kteří se ocitli v zahraničí v nepříznivé situaci. Těmito informacemi mohou být např. instrukce pro tajné hlasování v mezinárodních organizacích, dokumenty od jiných států či mezinárodních organizací nebo podklady k jednání o občanech zadržovaných v zahraničí, které stricto sensu nelze považovat za utajované informace, avšak jejichž citlivost je značná a je jen obtížně představitelné, že by důvěrné informace či např. instrukce pro tajná hlasování byly poskytovány a návazně zveřejňovány. Podobná praxe není obvyklá ani v jiných státech, ostatně i přístup institucí Evropské unie je velmi restriktivní a vyžadující zachování důvěrnosti. Proto jsou před zveřejněním, resp. poskytnutím, chráněny informace, kde by ohrožení jejich důvěrnosti mělo za následek narušení ochrany zájmů České republiky v zahraničí nebo efektivity poskytování ochrany a pomoci českým občanům v zahraničí, resp. obecně výkonu zahraniční služby dle příslušného zákona za výše uvedených okolností.

K § 11 odst. 4 písm. a)

Explicitní vyjádření uvedené výluky, speciální vůči informování o rozhodovací činnosti soudů, zde ve vazbě na orgány Evropské unie, má odbřemenit povinný subjekt od podrobně odůvodňovaného odmítání žádostí o informace, podávaných v domnění, že na tento typ řízení informační povinnost dopadá, ač opak je pravdou.

Stávající podoba výjimek pro odmítnutí poskytnutí informace upravených v § 11 nedává jednoznačně najevo, že na informace ze zmíněných (a níže specifikovaných) řízení se výjimky vztahují, přestože taková možnost vyplývá z judikatury Soudního dvora EU a potvrzuje ji také judikatura českých soudů.

Navrhované doplnění tedy nemění stávající právní stav, avšak přispělo by ke zvýšení jasnosti úpravy a povědomí veřejnosti o existence uvedené výjimky, což by mimo jiné mohlo vést ke snížení administrativní zátěže při vyřizování žádostí o tyto informace.

Konkrétně se jedná o vyřizování žádosti o poskytnutí informací o vyjádřeních ČR nebo Evropské komise (dále jen“Komise“) v rámci řízení pro porušení unijního práva, v rámci působnosti Kanceláře vládního zmocněnce pro zastupování ČR před Soudním dvorem EU (dále jen „Kancelář VLZ“), kam patří krom zastupování ČR před Soudním dvorem EU také zastupování ČR v řízeních o porušení Smlouvy dle článku 258 a násl. Smlouvy o fungování Evropské unie (dále jen „SFEU“) i zastupování ČR v tzv. řízení EU Pilot, které představuje méně formální předstupeň řízení o porušení Smlouvy.

Již nyní lze § 11 odst. 4 písm. b) odmítnout poskytnutí informace, týká-li se dožadovaná informace rozhodovací činnosti soudů. Do této rozhodovací činnosti soudů je zahrnuta nejen rozhodovací činnost soudů vnitrostátních, ale rovněž soudů nadnárodních, jejichž jurisdikci je Česká republika podřízena, a to na základě mezinárodní smlouvy, včetně Soudního dvora EU, tedy na základě eurokonformního výkladu. Ustanovení § 11 odst. 4 písm. b) stávajícího zákona tedy ve vztahu k řízení podle čl. 258 a násl. SFEU dopadá na fázi soudního řízení (tzn. poté, co Komise, příp. jiný členský stát, podá žalobu) před Soudním dvorem EU, avšak v praxi se objevují problémy ohledně aplikace daného ustanovení též na kroky, které předcházející samotnému soudnímu řízení po podání žaloby. Podání žaloby totiž předchází tzv. prejudiciální fáze řízení, a to zpravidla nejprve méně formální fáze řízení, tzv. EU Pilot, poté fáze formálního upozornění a poté fáze odůvodněného stanoviska. S ohledem na specifičnost řízení pro porušení unijního práva je nezbytné chápat tuto prejudiciální fázi řízení jako nedělitelnou součást řízení před Soudním dvorem EU, neboť na rozdíl od vnitrostátního soudního řízení je předmět sporu specifikován již v těchto „prejudiciálních“ fázích. Předmět případné následné žaloby pak musí odpovídat těmto fázím řízení, jinak je žaloba nepřípustná. Tato interpretace je v souladu s judikaturou Soudního dvora EU k povinnosti zachovávat důvěrnost procesních písemností v rámci tohoto typu řízení, která považuje právo členských států a Komise hájit své zájmy nezávisle na jakémkoli vnějším vlivu, zejména ze strany veřejnosti, za jeden ze stěžejních prvků práva na spravedlivý proces a za předpoklad řádného průběhu navazujícího soudního řízení (viz např. rozsudek Soudního dvora ze dne 21. září 2010, Švédsko a další v. API a Komise, spojené věci C-514/07 P, C-528/07 P a C-532/07 P, EU:C:2010:541 či rozsudek Soudního dvora ze dne 14. listopadu 2013, LPN a Finsko v. Komise, spojené věci C-514/11 P a C- 605/11 P, EU:C:2013:738, co se týče řízení EU Pilot např. rozsudek ze dne 11. května 2017, Švédsko v. Komise, C-562/14 P, EU:C:2017:356). Správnost odmítnutí poskytnutí informací v takovýchto případech potvrzuje i rozhodovací činnost českých správních soudů (viz např. rozsudek Městského soudu v Praze ze dne 29. května 2014, č.j. 8A 7/2011-57). Nedochází tedy k omezení informačního práva, ale k omezení administrativy spojené s odmítáním nepřípustných žádostí.

Původní znění ustanovení § 11 odst. 4 písm. a) je nadále nadbytečné, neboť daná otázka je řešena změnou ustanovení § 2 odst. 3 (viz výše), a proto se nahrazuje novým obsahem, týkajícím se řízení před orgány EU.

K § 11 odst. 4 písm. b)

V návaznosti na doplnění § 2 odst. 3 vztahujícího se na trestní věci a umožňující dle tohoto zákona poskytnout informace o meritorních rozhodnutích (viz výše) se slaďuje terminologie stran druhu rozhodnutí soudů, která se poskytují, a to i v návaznosti na judikatorní vývoj směřující k poskytování širšího okruhu rozhodnutí (nález ÚS ze dne 30.3.2010, sp.zn. Pl. ÚS 2/10), a to bez ohledu na typ soudního řízení.

K § 11 odst. 4 písm. c)

Ustanovení § 11 odst. 4 písm. c) se mění ve dvou ohledech. Prvním je nahrazení slov „plnění úkolů“ slovem „činnosti“. Touto změnou dojde ke sladění terminologie např. s písm. e) a f), kde se také mluví o jejich činnosti. Samotný termín „činnost“ je zároveň širší, než termín „plnění úkolů“. Navržená úprava je reakcí na praktické zkušenosti zpravodajských služeb i útvaru Policie České republiky, u kterého jsou zařazeni příslušníci Policie České republiky vybraní v zájmu plnění závažných úkolů Policie České republiky ministrem vnitra ve smyslu § 141 odst. 1 zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti (dále jen „určený útvar“), kde je potřeba chránit informace, které plnění úkolů sice podmiňují (např. logistické zabezpečení, materiálně technické vybavení, různé neutajené, nicméně neveřejné, směrnice a postupy). Totéž obdobně platí o specializovaných odděleních GIBS.

Druhá změna spočívá v doplnění určeného útvaru (či oddělení GIBS) do textu ustanovení a vychází z náplně činnosti určeného útvaru. Určený útvar se zabývá zvláštní ochranou osob, kterým v souvislosti se svědectvím hrozí újma na zdraví nebo životě, dále zajišťuje použití agentů v trestním řízení (§158e trestního řádu) a zajišťuje předstírané převody (§ 158c trestního řádu) v rámci trestního řízení. V neposlední řadě určený útvar zajišťuje výrobu krycích dokladů pro útvary Policie ČR a další bezpečnostní sbory a složky. U takových osob je potřebná intenzivnější ochrana jejich osobních údajů, jakož i dalších souvisejících informací.

Jak je patrné z naznačeného výčtu, charakter činností, které určený útvar (či oddělení GIBS) zajišťuje, je velice blízko zpravodajskému způsobu práce. Tomu také odpovídá ochrana příslušníků určeného útvaru a zajištění jeho činností. Většina zásadních informací o činnosti a fungování určeného útvaru podléhá, stejně jako u zpravodajských služeb, utajení. V příloze č. 8 nařízení vlády č. 522/2005 Sb., kterým se určuje seznam utajovaných informací, jsou v bodech 13. až 15. zakotveny základní zásady ochrany informací o určeném útvaru. Samotný tento výčet však nestačí, existuje velké množství informací, které z podstaty utajit nelze, a přesto není možné o nich volně hovořit nebo je na žádost sdělovat. Navržené ustanovení tak zlepšuje ochranu příslušníků uvedeného útvaru i výkonu jejich činností. Jako příklad právní úpravy, kde je určený útvar také součástí „zpravodajské výjimky“, lze uvést § 2 odst. 2 zákona č. 269/1994 Sb., o Rejstříku trestů (účinnost od 1. října 2016).

Je zásadním zájmem každého státu, aby jeho instituce, které zajišťují bezpečnost a pracují především utajeným způsobem (např. ustanovení § 158b a následující zákona č. 141/1961 Sb., zákon č. 137/2001 Sb., zákon č. 153/1994 Sb. a § 141 zákona č. 412/2005 Sb.) neposkytovaly detaily o své činnosti. Zájem státu na zajištění vlastní bezpečnosti v tomto případě převyšuje právo na informace. Není možné předpokládat, že instituce, jejichž úspěšnost do značné míry závisí právě na utajení, budou efektivně pracovat, pokud bude možnost rozkrytí jejich činností např. i cestou mozaikového sběru neutajovaných informací (počty pracovníků, služebních vozů, lokace pracovišť, jejich vybavení, nákupech techniky atd.). V případě určeného útvaru by mohlo dojít i k ohrožení života osob, které se rozhodly svědčit v nejzávažnějších případech (typicky násilná nebo nejzávažnější hospodářská trestná činnost).

Návrh může být vnímán jako omezení práva na informace, je jím však z důležitých důvodů upřednostněna ochrana zpravodajských složek, citlivých informací a vnitřní i vnější bezpečnosti České republiky, aktuálně nabývající na významu zejména v kontextu boje proti terorismu a hybridním hrozbám. Z hlediska veřejné kontroly jde zároveň o zanedbatelné omezení, v porovnání s podstatně významnějšími subjekty a celými sektory veřejné moci a správy, kde probíhají ty skutečně zásadní toky veřejných prostředků a kde je veřejná kontrola efektivity a hospodárnosti výkonu veřejné moci klíčová a kde zůstává nedotčena. Kontrola jako taková zároveň není zcela eliminována už s ohledem na skutečnost, že zpravodajské služby či jiné specializované útvary jsou předmětem kontroly např. Parlamentních orgánů. V souvislosti s reformou zpravodajských služeb, provedenou zákonem č. 325/2017 Sb., naopak do budoucna dochází k prohloubení a posílení kontroly zpravodajských služeb (srovnej § 12 a násl., včetně § 12e, zákona č. 153/1994 Sb. o zpravodajských službách České republiky, ve znění cit. novely).

Pro úplnost se zdůrazňuje, že důvodem neposkytnutí informace je pouze riziko ohrožení plnění úkolů vymezených povinných subjektů, tzn. informace z tohoto hlediska irelevantní (např. náklady na upomínkové předměty, dětský den, vybavení nové kanceláře apod.) se poskytnou. Dochází tedy k určitému rozšíření výjimky na „činnost“, ovšem s limitující podmínkou, že poskytnutí informace skutečně může ohrozit plnění úkolů vymezených složek veřejné moci. Účelem není zamezení informování a veřejné kontroly tam, kde je legitimní a žádné riziko nehrozí.

Navržené ustanovení je rovněž promítnutím závěrů Usnesení Bezpečnostní rady státu č. 22/D ze dne 3. května 2017.

K § 11 odst. 6

Ustanovení § 11 odst. 6 je zjednodušeno a zestručněno s ohledem na úpravy provedené v § 2 odst. 3 informačního zákona (viz výše), tak, že se zbytkově chrání kvalifikované údaje související s předcházením trestné činnosti a dále i ochranou bezpečnosti osob, majetku a veřejného pořádku tak, aby zajišťování těchto úkolů nebylo ohroženo či narušeno. Ustanovení se bude zároveň (oproti dosavadní neobratné formulaci dotčeného ustanovení) jednoznačně vztahovat na všechny orgány, podílející se na plnění uvedených úkolů, a to třeba i mimo rámec nebo časový interval probíhajícího trestního řízení. Explicitně je též oproti dosavadnímu znění zohledněna např. potřeba efektivity zajišťování ochrany veřejného pořádku či bezpečnosti osob.

Bez této úpravy by (zejména) Policie ČR musela poskytnout např. informace o kriminalisticko-taktických postupech a technikách, o způsobu ochrany ústavních činitelů nebo výzbroji policistů Ochranné služby či jiných specializovaných útvarů, o plánu bezpečnostních opatření před rizikovými demonstracemi extremistického charakteru, o krizovém a havarijním plánování a kritické infrastruktuře, o přijatých opatřeních a získaných informacích týkajících se prevence a postihování terorismu, o opatřeních souvisejících se zajišťováním ochrany hranic, strategické informace o konstrukci nebo způsobu vybavení možných terčů teroristického útoku, o vybavení policie nebo o počtech, lokaci a personálním obsazení vyčleněných sil určených k plnění konkrétního úkolu, jakož i informace o vnitřní bezpečnosti, připravenosti čelit bezpečnostním hrozbám a vůbec zajištění bezpečnosti České republiky, které mohou jednotlivě i po souhrnné analýze poskytnout strategické informace umožňující tuto bezpečnost ohrozit nebo narušit.

Právě osoby, na které činnost Policie ČR nebo dalších bezpečnostních sborů dopadá, mají eminentní zájem na zjištění citlivých informací, které se jich nebo činnosti bezpečnostních složek týkají, aby mohly vůči orgánům státu postupovat efektivněji a jeho činnost mařit. Proto je třeba zajistit, že pro ně takové informace nebudou dostupné.

Ustanovení naopak nedopadá na informování o typicky rutinních úředních, policejních či trestněprávních postupech, resp. postupech a úkonech, kde poskytnutí informací výše nastíněné chráněné zájmy nemůže ohrozit a kde už opět vystupuje do popředí zájem na veřejné kontrole orgánů veřejné moci.

Navržené ustanovení je rovněž promítnutím závěrů Usnesení Bezpečnostní rady státu č. 22/D ze dne 3. května 2017.

K § 14 odst. 5 písm. c)

Ustanovení v návaznosti na úpravu ustanovení § 2 odst. 3 a zájmy sledované touto změnou (viz odůvodnění výše) upřesňuje nakládání s žádostí o informace materiálně se týkající probíhajícího trestního řízení, nerozhoduje-li o žádosti sám orgán činný v trestním řízení.

ČÁST ŠESTNÁCTÁ

Změna zákona o Probační a mediační službě

K § 4a

Obdobně jako navrhovaný § 12i zákona o státním zastupitelství poskytuje toto ustanovení ve vazbě na čl. 4 směrnice 2016/680 obecný titul pro zpracovávání osobních údajů Probační a mediační službou a naplňuje tak zásadu zákonnosti zpracovávání osobních údajů a omezení zpracování osobních údajů pro určité a legitimní účely. Ustanovení dále zajišťuje oprávnění předávat osobní údaje příslušným orgánům, je-li to nezbytné pro výkon jejich zákonem stanoveného úkolu.

Stejně jako v obdobných ustanoveních dalších předpisů není nutné uvádět výslovně, že Probační a mediační služba může zpracovávat „jakékoliv“ osobní údaje, včetně údajů „citlivých“ nebo jiných, protože je to nepochybné.

K § 4b

Navrhované ustanovení provádí články 32 až 34 směrnice 2016/680, upravuje tedy pověřence pro ochranu osobních údajů (pokud jde o zpracování osobních údajů ve smyslu této směrnice), stanoví jeho úkoly a s ohledem na čl. 32 odst. 3 směrnice umožňuje budoucí písemnou dohodu (podle § 160 odst. 3 správního řádu) mezi Probační a mediační službou a Ministerstvem spravedlnosti na tom, že pověřenec určený Ministerstvem spravedlnosti bude vykonávat své úkoly i ve vztahu k Probační a mediační službě.

ČÁST SEDMNÁCTÁ

Změna zákona o soudech a soudcích

K § 122b

Odstavec 1

Toto ustanovení ve vazbě na čl. 4 směrnice 2016/680 poskytuje obecný titul pro zpracovávání osobních údajů soudy a naplňuje tak zásadu zákonnosti zpracovávání osobních údajů a omezení zpracování osobních údajů pro určité a legitimní účely.

Toto ustanovení nezakládá soudům nová práva, nýbrž je třeba jej chápat toliko jako titul, na základě něhož soudy provádějí operace s osobními údaji. Procesní rámec těchto operací je vymezen v příslušných procesních předpisech.

Toto ustanovení sleduje logiku obdobných ustanovení dalších předpisů, ve kterých se nejeví jako nutné uvádět výslovně, že soudy mohou zpracovávat „jakékoliv“ osobní údaje, včetně údajů „citlivých“ nebo jiných, protože je to nepochybné.

Odstavec 2

Článek 4 nařízení 2016/679 (obdobně i čl. 3 směrnice 2016/680) stanoví, že správcem se rozumí: „[…] fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely a prostředky tohoto zpracování určeny právem Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení.“. Protože účely a prostředky zpracování osobních údajů soudy jsou stanoveny vnitrostátním zákonem, v souladu s čl. 4 nařízení 2016/679 a čl. 3 směrnice 2016/680 se za správce stanovují soudy, které tvoří soudní soustavu, jež je vymezena v § 8 zákona o soudech a soudcích.

K § 122c

Odstavec 1 a 2

Dle článku 32 odst. 1 směrnice 2016/680 členské státy stanoví, že správce určí pověřence pro ochranu osobních údajů, přičemž je možné zprostit této povinnosti soudy, pokud jednají v rámci svých justičních pravomocí (srov. čl. 37 odst. 1 nařízení 2016/679). S ohledem na princip minimální transpozice, jakož i zajištění ústavně garantované nezávislosti soudů, se proto stanovuje, že pověřenec pro ochranu osobních údajů není jmenován pro úkoly, které by vykonával ve vztahu ke zpracovávání osobních údajů soudem, které jsou potřebné pro plnění povinností soudu za účelem předcházení, vyhledávání a odhalování trestné činnosti a stíhání trestných činů, výkonu trestů a ochranných opatření, zajišťování bezpečnosti České republiky, veřejného pořádku a vnitřní bezpečnosti, včetně pátrání po osobách a věcech a za účelem projednávání a rozhodování sporů a jiných věcí a činnostmi s tím nezbytně spojenými patřícími do jejich pravomoci podle zákonů o občanském soudním řízení, zákonů o soudním řízení správním a v dalších případech stanovených zákonem nebo mezinárodní smlouvou, s níž vyslovil souhlas Parlament, jíž je Česká republika vázána a která byla vyhlášena.

Článek 32 odst. 3 směrnice 2016/680 stanoví, že je-li správce nebo zpracovatel orgánem veřejné moci či veřejným subjektem, může být s přihlédnutím k jejich organizační struktuře a velikosti jmenován jediný pověřenec pro ochranu osobních údajů pro několik takových orgánů nebo subjektů (obdobná právní úprava se nachází v čl. 37 odst. 3 nařízení 2016/679). V tomto ohledu zakotvuje odstavec 2 navrhovaného ustanovení mechanismus, kterak bude tento jediný (společný) pověřenec určován. V prvé řadě se tak bude dít na základě dohody soudů. Dále protože v souladu s § 119 odst. 1 zákona o soudech a soudcích je ústředním orgánem státní správy soudů Ministerstvo spravedlnosti ČR, navrhuje se, aby jediného (společného) pověřence na základě dohody se soudy mohlo rovněž určit Ministerstvo spravedlnosti ČR. Výkonem funkce pověřence pro ochranu osobních údajů tak může být pověřen rovněž některý ze zaměstnanců Ministerstva spravedlnosti ČR, který se nachází ve služebním poměru.

Pro úplnost se dodává, že navržená právní úprava je úmyslně co nejobecnější, tak aby zbytečně nevylučovala taková řešení, která se s ohledem na danou problematiku jeví jako účelná a vhodná. Právní úpravu navrženého § 122c odst. 2 je tak nezbytné chápat toliko jako možnost, nikoliv povinnost. Jinými slovy řečeno, ustanovení § 122c odst. 2 v žádném případě nestanovuje pro jakýkoliv soud povinnost zajišťovat výkon funkce pověřence pro ochranu osobních údajů pro jiné soudy, bez toho aniž by s tím tento soud výslovně souhlasil. To plyne již ze samotného jazykového výkladu, neboť dotčené ustanovení jednoznačně hovoří o dohodě mezi soudy; bylo by zcela v rozporu s chápáním dohody, pokud by se ostatní soudy mohly dohodnout, že funkci pověřence pro ochranu osobních údajů pro ně bude vykonávat např. Nejvyšší soud ČR, bez toho aniž by s takovýmto řešením samotný Nejvyšší soud ČR souhlasil. Stejně tak platí, že nic v navržené právní úpravě nebrání jakémukoliv soudu, aby měl svého pověřence vlastního (např. v podobě interního pověřence, svého zaměstnance). Na druhou stranu pokud s tím budou soudy souhlasit, může pro vícero soudů vykonávat funkci pověřence pověřenec jediný (a to včetně pověřence „ministerského“).

K § 122d

Odstavec 1 až 3

Článek 45 směrnice stanoví, že dozorový úřad není příslušný k dozoru nad operacemi zpracování, které provádějí soudy jednající v rámci svých soudní pravomocí (obdobně i čl. 55 odst. 3 nařízení 2016/679). Ustanovení § 122d tak provádí shora zmiňovaný článek, a to s přihlédnutím k níže uvedenému.

Zaprvé, právní úprava obsažená v procesních kodexech (jako např. v zákoně č. 99/1963 Sb., občanský soudní řád, ve znění pozdějších předpisů) a jiných právních předpisech (viz např. vyhláška č. 37/1992 Sb., o jednacím řádu pro okresní a krajské soudy, ve znění pozdějších předpisů) má povahu speciálních ustanovení vůči ustanovením zákona č. 101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů. Na tomto vztahu se nic nezmění ani se vstupem nařízení 2016/679 v platnost, resp. přijetí směrnice 2016/680. Naopak i nařízení je třeba chápat vůči právní úpravě obsažené v procesních kodexech a jiných právních předpisech jako úpravu obecnou.

Zadruhé, soudní řízení je nezbytné vnímat jako organický celek. Nepřipadá v úvahu, aby jednotlivé jeho části byly od sebe oddělovány (např. v podobě řízení o osvobození od soudních poplatků, provádění důkazů nebo práva nahlížet do spisu) a podléhaly kontrole ze strany dozorového orgánu, který by stál mimo soudnictví a který by byl nadán pravomocí ukládat sankce. V opačném případě by byla vážně ohrožena nezávislost a nestrannost soudů, jejíž ochrana je účelem a smyslem existence čl. 55 odst. 3 nařízení 2016/679 (viz bod 20 preambule nařízení 2016/679) a čl. 45 odst. 2 směrnice 2016/680.

Zatřetí, existuje řada typových řízení, ve kterých se nelze vyhnout tomu, že se pro účely vedení řízení a rozhodnutí ve věci nachází ve spise osobní a citlivé údaje účastníků – typicky řízení opatrovnická, o náhradu škody na zdraví apod. Zásadní listiny, jako je např. znalecký posudek, mohou obsahovat osobní a citlivé údaje, avšak zároveň se jedná o důkazy, které je nutno provést a zhodnotit a musí se s nimi seznámit i protistrana. Nadto existují i řízení, jako např. řízení o osvobození od soudních poplatků dle § 138 a § 44 zákona č. 99/1963 Sb., občanský soudní řád, ve znění pozdějších předpisů a dle § 13 odst. 1 zákona č. 549/1991 Sb., o soudních poplatcích, ve znění pozdějších předpisů, v rámci kterých se vyplňují formuláře o příjmových a dalších poměrech účastníka řízení, které se zakládají do spisu. Takovéto údaje v úplně a pravdivě vyplněném formuláři o příjmových a dalších poměrech účastníka jsou významným důkazním prostředkem pro řadu rozhodnutí ve věci samé, ale také pro rozhodování o nákladech řízení. Nepřipadá přitom v úvahu, že by tyto osobní a citlivé údaje byly ze spisu vyřazovány nebo že by nebyly zmiňovány v rozhodnutích soudu (pokud to soud v rámci odůvodnění svého rozhodnutí uzná za vhodné). Takový požadavek by totiž byl v přímém rozporu s principem nezávislosti soudní moci (čl. 82 odst. 1 Ústavy), poněvadž by nepřípustně omezoval soudce v tom, jakým způsobem může své rozhodnutí odůvodnit a mohl by vést až k nepřezkoumatelnosti takového rozhodnutí pro nedostatek důvodů.

Začtvrté, podstatou činnosti orgánu k tomu určeného není podle navrhovaného ustanovení vedení řízení o opravných prostředcích proti rozhodnutí soudu jako správce osobních údajů. Orgán určený podle tohoto odstavce ani nebude stricto sensu v postavení dozorového úřadu ve smyslu směrnice 2016/680 a nařízení 2016/679.

Podstatou činnosti tohoto orgánu nebude tvořit rozhodování o individuálních právech a povinnostech. Jde o činnost vykonávanou ryze z moci úřední spočívající ve sledování systému nakládání s osobními údaji a plnění zákonných povinností soudu jakožto správce. Navržené ustanovení je tak nezbytné chápat jako ustanovení sui generis, které se svojí povahou blíží např. řízením o stížnosti dle § 164 a n. zákona o soudech a soudcích.

Odstavec 4

Odstavec 4 zajišťuje především ochranu důležitých úkolů soudů před jejich ohrožením vyrozuměním o způsobu vyřízení podnětu, které by se týkalo osobních údajů. Stanoví se proto explicitně, že pokud bude orgán podle odstavce 1 osobu, která dala podnět, vyrozumívat, vyrozumí jí tak, aby tomuto ohrožení předcházel.

K § 122e

Toto ustanovení lze použít v rámci rozhodovací činnosti podle jakékoli procesní normy, kterou se soudy řídí.

Ustanovení využívá v písm. a)-d) jen vybraných chráněných cílů podle článku 23(1) nařízení 2016/679. Z povahy věci plyne, že použití důvodů podle písm. a)-d) bude záviset na povaze řízení a okolnostech případu, takže např. pro civilní řízení budou nejpoužívanějšími zřejmě důvody podle písm. b) až d) a pro správní řízení půjde typicky o důvody podle písm. b) a c).

ČÁST OSMNÁCTÁ

Změna soudního řádu správního

K § 34

Novelizace § 34 soudního řádu správního je nezbytná s ohledem na novelizaci § 35, tak aby obsahově nedošlo v § 34 k žádné změně.

K § 35

Článek 55 směrnice 2016/680 stanoví: „Členské státy […] stanoví, že subjekt údajů má právo pověřit neziskový subjekt, organizaci nebo sdružení, jež byly řádně založeny v souladu s právem některého členského státu, jejichž statutární cíle jsou ve veřejném zájmu a jež jsou činné v oblasti práv a svobod subjektů údajů ohledně ochrany jejich osobních údajů, aby jeho jménem podal stížnost a uplatnil [právo na účinnou soudní ochranu].“ V bodech 86 a 87 preambule směrnice se k této problematice uvádí: „Každá fyzická nebo právnická osoba by měla mít právo podat u příslušného vnitrostátního soudu účinný prostředek nápravy proti rozhodnutí dozorového úřadu, které vůči ní zakládá právní účinky […] Pokud se subjekt údajů domnívá, že jeho práva podle této směrnice byla porušena, měl by být oprávněn pověřit určitý subjekt, jehož cílem je chránit práva a zájmy subjektů údajů v souvislosti s ochranou jejich osobních údajů a jenž byl řádně zřízen podle práva členského státu, aby podal jeho jménem stížnost u dozorového úřadu a uplatnil právo na soudní ochranu. Právem na zastupování subjektů údajů by nemělo být dotčeno procesní právo členského státu, které může vyžadovat povinné zastupování subjektů údajů advokátem u vnitrostátních soudů […]“. Obdobné ustanovení obsahuje rovněž nařízení, a to konkrétně čl. 80, který upravuje zastupování subjektů údajů takto: „Subjekt údajů má právo pověřit neziskový subjekt, organizaci nebo sdružení, jež byly řádně založeny v souladu s právem některého členského státu, jejichž statutární cíle jsou ve veřejném zájmu a jež vyvíjejí činnost v oblasti ochrany práv a svobod subjektů údajů ohledně ochrany jejich osobních údajů, aby jeho jménem podal stížnost, uplatnil práva uvedená v článcích 77, 78 a 79 a, pokud tak stanoví právo členského státu, uplatnil právo na odškodnění podle článku 82.“.

Platí, že soudní spory vzešlé z právní úpravy transponující směrnici budou ve smyslu čl. 53, 54 a 55 směrnice spory týkající se tzv. veřejných subjektivních práv, neboť budou bezprostředně souviset s předchozí realizací správní činnosti, jakož i nečinnosti konkrétního orgánu veřejné správy. Ve smyslu § 2 zákona č. 150/2002 Sb., soudního řádu správního, ve znění pozdějších předpisů (dále jen „s.ř.s.“), tak budou příslušné k poskytování účinné soudní ochrany dle čl. 53 a 54 směrnice správní soudy. Problematika zástupčího práva v rámci soudního řízení správního je přitom upravena v § 35 s.ř.s. Zde je obsaženo obecné pravidlo, dle něhož se účastník řízení může nechat dát zastoupit fyzickou osobou (resp. advokátem). Dále jsou zde vymezeny výjimky, kdy je možné nechat se zastoupit i právnickými osobami.

Ze shora uvedeného plyne, že čl. 55 směrnice a čl. 80 nařízení rozšiřují zástupčí právo i na neziskové subjekty, organizace nebo sdružení (tj. právnické osoby), pokud se jedná o spory ve věcech ochrany osobních údajů. Relevantní česká právní úprava se však nejeví ve světle tohoto ustanovení jako dostačující, neboť žádná z výjimek obsažených v § 35 s.ř.s. (prolamujících obecné pravidlo, že zastoupit je možné se nechat toliko fyzickou osobou, resp. advokátem) plně nepokrývá situace, jejichž vznik směrnice a nařízení předpokládají. Nebude se totiž jednat o případy azylové či cizinecké (§ 35 odst. 5 s.ř.s.). Naopak částečně by mohly být případy předvídané směrnicí a nařízením pokryty výjimkami navázanými na diskriminaci, resp. členství v odborové organizaci (§ 35 odst. 3 a 4). Nicméně spory týkající se ochrany osobních údajů v sobě nutně nemusí zahrnovat aspekty diskriminace (jakkoliv tuto možnost nelze dopředu vyloučit) a výjimka stanovená v čl. 55 směrnice, resp. čl. 80 nařízení, se nepoužije pouze ve vztahu k odborům, nýbrž ve vztahu k jakémukoliv neziskovému subjektu, organizaci nebo sdružení, které jsou činné v oblasti práv a svobod subjektů údajů ve veřejném zájmu.

Z výše uvedených důvodu je proto nutné upravit znění s.ř.s. tak, aby vyhovovalo unijní legislativě. V této souvislosti je nezbytné zdůraznit, že výchozím principem takového návrhu může být nutně toliko princip minimální transpozice, neboť je třeba respektovat českou koncepci soudních řízení, která obecně zastupování právnickými osobami nepřipouští. Za účelem transpozice čl. 55 směrnice a adaptace české právního řádu na čl. 80 nařízení se proto navrhuje upravit znění § 35 s.ř.s. tak, že se do něj včlení nový odstavec, který rozšíří zástupčí právo na právnické osoby v případě, že se spor bude týkat ochrany osobních údajů.

Konkrétní návrh novelizace soudního řádu správního je přitom inspirován již existující právní úpravou. Zástupčí právo právnických osob je tak omezeno tím, že zisk takovéto osoby se nerozděluje, že takováto osoba musí mít zastupování uvedené ve svých stanovách jako svojí činnost, jakož i tím, že za právnickou osobu může jednat toliko zaměstnanec nebo člen, který má vysokoškolské právnické vzdělání, které je podle zvláštních právních předpisů vyžadováno pro výkon advokacie. Důvodů pro tato omezení je hned několik. Primárním účelem a smyslem zastoupení je z pohledu soudů (ale i účastníků) zjednodušit a zrychlit průběh sporu. Proto také jsou strany zpravidla zastoupeny advokáty, u nichž se předpokládá dobrá znalost právního řádu. Zájem státu je v tomto ohledu demonstrován i existencí zvláštní právní úpravy regulující poskytování právních služeb, mezi které patří i zastupování v rámci soudních řízení. Přijetím výjimky, kdy budou moci zastupovat i právnické osoby, by ovšem mohlo docházet k obcházení státem nastaveného systému, což rozhodně není žádoucí. Konečně pro úplnost je v souvislosti s užitou formulací „jejíž zisk se nerozděluje“ třeba říci, že samotná směrnice (a rovněž tak i nařízení) hovoří o neziskových subjektech, organizacích nebo sdruženích. Český právní řád však nezná definici neziskové organizace, pouze tzv. status veřejné prospěšnosti (srov. § 146 a n. zákona č. 89/2012, občanský zákoník a návrh zákona o statusu veřejné prospěšnosti). Nicméně status veřejné prospěšnosti nelze bez dalšího zcela ztotožnit s neziskovými subjekty, organizacemi nebo sdruženími dle směrnice a nařízení, neboť česká právní úprava (na rozdíl od směrnice a nařízení) vyžaduje od subjektů s tímto statusem podíl na přispívání k dosahování obecného blaha. Navrhuje se proto navázat rozšíření zástupčího oprávnění ve věcech ochrany osobních údajů nikoliv na status veřejné prospěšnosti, nýbrž na přesnější kritérium nerozdělování zisku.

ČÁST DEVATENÁCTÁ

Změna zákona o podnikání na kapitálovém trhu

V návaznosti na čl. 23 nařízení Evropského parlamentu a Rady (EU) 2016/679 (dále jen „nařízení“) se navrhuje vložit nový § 134a upravující omezení některých práv osob, kterých se týkají zpracovávané údaje.

Hlavní funkcí Garančního fondu obchodníků s cennými papíry (dále jen „Garanční fond“) je přispívat k zachování finanční stability tím, že zajišťuje vyplácení náhrad zákazníků obchodníka s cennými papíry, který není schopen dostát svým závazkům. Garanční fond je zároveň povinen ověřovat nároky zákazníků na vyplacení náhrad. Garanční fond ve lhůtě 3 měsíců ode dne ověření a vypočtení nároku je povinen realizovat výplatu náhrad. Během relativně krátké lhůty je tak Garanční fond povinen zpracovat velké množství osobních údajů.

Pro zachování hladkého průběhu vyplácení náhrad z Garančního fondu se proto navrhuje omezit některá práva subjektu údajů, jejichž výkon by mohl ztížit či zabránit Garančnímu fondu v plnění povinností v zákonem stanovených lhůtách. Obdobná formulace se navrhuje ze shodného důvodu i v zákoně č. 374/2015 Sb. o ozdravných postupech a řešení krize na finančním trhu ve vztahu ke Garančnímu systému finančního trhu.

ČÁST DVACÁTÁ

Změna zákona o archivnictví

K bodu 1

Zejména u zdravotnické dokumentace, ale i v jiných případech, kdy jsou předmětem výběru archiválií dokumenty obsahující osobní údaje, potřebuje původce průkazně potvrdit, že ke zničení dokumentů došlo legálně (srv. kontrolu Úřadu pro ochranu osobních údajů u Lázní Darkov, a.s. https://www.uoou.cz/lazne-darkov-a-s/ds-3927). U zdravotnické dokumentace lze navíc na základě vyhlášky č. 98/2012 Sb., o zdravotnické dokumentaci, ve znění pozdějších předpisů, použít jen výběr mimo skartační řízení, stejně jako v případě soukromoprávních původců. V dosavadním znění zákona č. 499/2004 Sb. absentuje písemný doklad obdobný soupisu dokumentů, které lze zničit, který je obligatorní náležitostí protokolu o provedeném skartačním řízení. Vypuštěním citace písmen z § 12 odst. 2 zákona č. 499/2004 Sb. se umožní protokol o výběru mimo skartační řízení koncipovat shodně s protokolem o výběru ve skartačním řízení, tedy včetně soupisu dokumentů, které lze zničit [§ 10 odst. 2 písm. c) zákona č. 499/2004 Sb.].

K bodu 3

Terminologicky dochází z posléze uvedeného důvodu k náhradě „evidence dokumentů“ za „evidenční pomůcku“. Stávající znění zákona č. 499/2004 Sb. trpí určitou nejednotností v užívání termínu „evidence dokumentů“ Ten je pojímán jak ve smyslu činnostním, tj. evidování, tak i ve smyslu prostředku (pomůcky) užívaného k této činnosti. Tímto nedostatkem byla v minulosti stižena i vyhláška č. 259/2012 Sb., v jejím textu však následně došlo k zúžení používání pojmu „evidence dokumentů“ pouze na činnost, zatímco pro prostředek (pomůcku) při této činnosti se používá pojmu „evidenční pomůcka“. Záměnou pojmu „evidence dokumentů“ za pojem „evidenční pomůcka“ je tak usilováno o zajištění užívání termínu v jediném významu a provázání s dalšími předpisy reglementujícími spisovou službu [vyhláška č. 259/2012 Sb. rozlišuje mezi základními (elektronický systém spisové služby a podací deník) a ostatními evidenčními pomůckami (samostatná evidence dokumentů)]. V této souvislosti je nutno artikulovat, že jmenný rejstřík nejsou pouze doplňkové údaje, ale jedná se o samostatnou součást evidenční pomůcky. Předpokládá se také „vyjmutí“ osobních údajů z metadat vlastního elektronického systému spisové služby (tyto budou pouze ve jmenném rejstříku). Osobní údaje se používají mimo jiné jako názvy typových spisů. U těch může nastat okamžik, kdy nebudou obsahovat žádný dokument (lze je vytvářet automatizovaně pro danou agendu), je proto nezbytné stanovit minimální skartační lhůtu, aby nebyla existence typového spisu ohrožena. Její stanovení se ponechává na původci (s ohledem na ustanovení § 66 odst. 2 zákona č. 499/2004 Sb. ve spisovém a skartačním plánu, který je obligatorní součástí spisového řádu), avšak její maximální délka je omezena. Funkčnost elektronických systémů spisové služby musí být o vedení rejstříků doplněna, protože se jedná o jejich integrální součást zasahující do obligatorních údajů evidence dokumentů (nejde tedy o pouhou nadstavbu jako dosud). V tomto smyslu bude upraven i národní standard pro elektronické systémy spisové služby [zmocnění pro úpravu jmenného rejstříku v tomto aktu zakládá § 70 odst. 2 písm. b) zákona č. 499/2004 Sb. ve spojení s § 64 téhož zákona, ve znění předmětného návrhu, z něhož je patrné, že vedení jmenného rejstříku je součástí evidence dokumentů].

Oproti stavu de lege lata se současně odstraňuje disharmonie v tom, jaké údaje se vedou o odesílatelích (dle dosavadního § 64 odst. 4 se vedou údaje o adresách odesílatelů a údaje o adresátech, dosavadní § 64 odst. 5 se však v případě odesílatelů zjevně neomezuje na adresy). Lze mít též pochybnosti, zda údaje obsažené v dosavadním § 64 odst. 4 lze nazývat adresnými údaji. Koncepce odstavců 5 a 6 vychází z toho, že některé údaje mají být vedeny povinně (musí-li vést určený původce jmenný rejstřík nebo využije-li určený původce oprávnění vést jmenný rejstřík), a to bez ohledu na to, zda jde o údaje fyzických osob (tj. údaje osobní) nebo údaje osob právnických, eventuálně i jiných právních uspořádání (organizačních složek státu apod.). Současně se však nevylučuje, aby ve jmenném rejstříku mohly být vedeny i údaje jiné. Tuto skutečnost není nutné explicitně zmiňovat, neboť vedení spisové služby není výkonem veřejné moci, a proto se uplatní ústavní zásada „co není zakázáno, je povoleno“. V případě údajů o fyzických osobách by však takové „nadstandardní“ vedení vyžadovalo souhlasu subjektů údajů, což je nepraktické, a proto se v podobě odstavce 6 navrhuje „zákonné“ zakotvení oprávnění.

Prováděcí nařízení Komise (EU) 2015/1501 o rámci interoperability podle čl. 12 odst. 8 nařízení Evropského parlamentu a Rady (EU) č. 910/2014 o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu uvádí ve své příloze minimální soubor osobních identifikačních údajů, která dostačuje pro účely identifikace fyzické nebo právnické osoby v přeshraničním kontextu. S ohledem na rozvoj elektronických služeb je tedy žádoucí ve jmenných rejstřících evidovat stejné údaje, jako jsou uváděny právě v prováděcím nařízení Komise (EU) 2015/1501. Část z nich je nutné evidovat povinně, další je možné evidovat fakultativně.

údaje dostačující pro identifikaci fyzické nebo právnické osoby:

1. Minimální soubor údajů pro fyzické osoby

Minimální soubor údajů pro fyzické osoby musí obsahovat všechny tyto povinné atributy:

a) současné (současná) příjmení;

b) současné jméno (jména);

c) datum narození;

d) jedinečný identifikátor vytvořený odesílajícím členským státem v souladu s technickými specifikacemi pro účely přeshraniční identifikace a pokud možno následně neměnný.

Minimální soubor údajů pro fyzické osoby může obsahovat jeden nebo více těchto dalších atributů:

a) jméno (jména) a příjmení při narození;

b) místo narození;

c) současnou adresu;

d) pohlaví.

2. Minimální soubor údajů pro právnické osoby

Minimální soubor údajů pro právnické osoby musí obsahovat všechny tyto povinné atributy:

a) současný oficiální název;

b) jedinečný identifikátor vytvořený odesílajícím členským státem v souladu s technickými specifikacemi pro účely přeshraniční identifikace a pokud možno následně neměnný.

Minimální soubor údajů pro právnické osoby může obsahovat jeden nebo více těchto dalších atributů:

a) současnou adresu;

b) identifikační číslo pro účely DPH;

c) daňové registrační číslo;

d) identifikační kód uvedený v čl. 3 odst. 1 směrnice Evropského parlamentu a Rady 2009/101/ES;

e) identifikační kód právnické osoby uvedený v prováděcím nařízení Komise (EU) č. 1247/2012;

f) registrační a identifikační číslo hospodářských subjektů (EORI) uvedené v prováděcím nařízení Komise (EU) č. 1352/2013 (3);

g) číslo pro účely spotřebních daní stanovené v čl. 2 bodu 12 nařízení Rady (ES) č. 389/2012.

Dále se nově navrhuje, aby ve jmenném rejstříku mohly být vedeny osobní údaje osob, které nejsou ani odesílateli, ani adresáty dokumentu (v dokumentu se nicméně jejich osobní údaje vyskytují), a to za účelem realizace práva tohoto subjektu údajů na přístup k osobním údajům podle Obecného nařízení o ochraně osobních údajů.

K bodu 4 a 5

Obecné nařízení o ochraně osobních údajů ve svém čl. 89 umožňuje členskému státu stanovit pro účely archivace ve veřejném zájmu odchylky od práv uvedených v čl. 15 a 16 a čl. 18 až 21, tedy od práva subjektu údajů na přístup k osobním údajům, práva na opravu údajů, práva na výmaz a práva na omezení zpracování, pokud je pravděpodobné, že by tato práva znemožnila nebo vážně ohrozila splnění zvláštních účelů, a tyto odchylky jsou pro splnění těchto účelů nezbytné.

Pokud jde o výjimku z práva uvedeného v čl. 15 Obecného nařízení o ochraně osobních údajů, tj. práva subjektu údajů na přístup k osobním údajům, odchylka je nezbytná s ohledem na technickou složitost a časovou náročnost takového úkonu pro archivy. Zůstává tak na subjektu údajů, aby sám označil archiválie, ve kterých by jeho osobní údaje mohly být obsaženy.

Čl. 16 Obecného nařízení o ochraně osobních údajů zakotvuje právo subjektu na opravu nepřesných osobních údajů, které se ho týkají, a s přihlédnutím k účelům zpracování právo na doplnění neúplných osobních údajů. Výjimka z uplatňování tohoto práva pro účely archivnictví se stanoví s ohledem na zajištění nedotknutelnosti obsahu archiválií – údaje obsažené v archiváliích by vzhledem k významu jejich obsahu neměly být archivy opravovány, přestože je jejich nepřesnost nebo nepravdivost zjištěna a prokázána. Tento princip zachová i § 78 odst. 3 zákona č. 499/2004 Sb. Stávající formulace se v zákoně ponechává z důvodu právní jistoty. Ustanovení neporušuje zásadu přesnosti osobních údajů podle čl. 5 odst. 1 Obecného nařízení o ochraně osobních údajů, neboť účelem archivace je uchování dokumentů historické a kulturní hodnoty v původním stavu, nikoli rozhodování o jejich správnosti a přesnosti.

Právo na omezení zpracování osobních údajů podle čl. 18 Obecného nařízení o ochraně osobních údajů dává subjektu údajů možnost požádat správce, aby omezil zpracování osobních údajů, které se ho týkají, v případech stanovených v čl. 18 odst. 1 pod písmeny a) až d), tj. pokud

a) subjekt údajů popírá přesnost osobních údajů,

b) zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití,

c) správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků, nebo

d) subjekt údajů vznesl námitku proti zpracování podle čl. 21 odst. 1 Obecného nařízení o ochraně osobních údajů.

Pro účely archivnictví přichází s ohledem na stanovení výjimek z čl. 16 Obecného nařízení o ochraně osobních údajů (oprava nepřesných osobních údajů), z čl. 21 Obecného nařízení o ochraně osobních údajů (námitka proti zpracování osobních údajů) a neexistenci důvodu spočívajícího v protiprávním zpracování v případě zpracování pro účely archivnictví (zpracování probíhá na základě plnění právní povinnosti stanovené zákonem č. 499/2004 Sb.) v úvahu pouze důvod stanovený v písmenu c). Tato odchylka je nezbytná s ohledem na technickou složitost a časovou náročnost takového úkonu pro archivy. Gró osobních údajů bude nadto obsaženo v samotných archiváliích, které mají být uchovány trvale, takže situace, kdy budou osobní údaje v nich obsažené z hlediska archivu nepotřebné, budou zcela výjimečné (pouze při přehodnocení významu archiválie a jejího následného vyřazení).

Čl. 19 Obecného nařízení o ochraně osobních údajů stanoví oznamovací povinnost ohledně opravy nebo výmazu osobních údajů nebo omezení zpracování provedeného v souladu s čl. 16, čl. 17 odst. 1 a čl. 18 nařízení. S ohledem na skutečnost, že z těchto ustanovení se stanoví výjimka z jejich použití pro účely archivnictví, neaplikuje se rovněž čl. 19 Obecného nařízení o ochraně osobních údajů.

Právo na přenositelnost údajů vyplývá subjektu údajů z čl. 20 Obecného nařízení o ochraně osobních údajů. Toto právo se uplatní, pouze pokud je prováděno automatizovaně a zároveň je buď založeno na souhlasu podle čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a) Obecného nařízení o ochraně osobních údajů, nebo na smlouvě podle čl. 6 odst. 1 písm. b) Obecného nařízení o ochraně osobních údajů. Uplatnění tohoto práva na základě jiných právních titulů je vyloučeno. V současné době se automatizovaně zpracovávají osobní údaje v evidenci badatelů v informačním systému (údaje badatelských listů dle vyhlášky č. 645/2004 Sb., kterou se provádějí některá ustanovení zákona o archivnictví a spisové službě a o změně některých zákonů) či v evidenci Národního archivního dědictví v případě, že dárcem, prodejcem nebo uschovatelem, popřípadě původcem je žijící fyzická osoba.

Čl. 21 Obecného nařízení o ochraně osobních údajů zakotvuje právo subjektu údajů vznést kdykoli námitku proti zpracování osobních v následujících situacích:

a) zpracování je prováděno na základě oprávněného zájmu nebo plnění úkolu ve veřejném zájmu nebo při výkonu veřejné moci [tj. na základě právních titulů pro zpracování uvedených v čl. 6 písm. e) nebo f) Obecného nařízení o ochraně osobních údajů],

b) zpracování je prováděno pro účely přímého marketingu, nebo

c) zpracování je prováděno pro účely vědeckého nebo historického výzkumu nebo pro statistické účely podle čl. 89 odst. 1 Obecného nařízení o ochraně osobních údajů.

Správce osobní údaje po vznesení námitky dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků. Při zpracování osobních údajů pro účely archivnictví hypoteticky přichází v úvahu toliko důvod pro vznesení námitky podle písmene a), tj. plnění úkolu ve veřejném zájmu nebo při výkonu veřejné moci, byť díky legislativnímu zakotvení archivnictví v právním řádu cestou zákona naplňuje zpracování osobních údajů obsažených v archiváliích na základě zákona č. 499/2004 Sb. čl. 6 odst. 1 písm. c) Obecného nařízení o ochraně osobních údajů, podle kterého je zpracování osobních údajů nezbytné pro splnění právní povinnosti. Subsumpce oprávnění ke zpracování osobních údajů v oblasti archivnictví pod plnění právní povinnosti ve většině případů konzumuje i plnění úkolů prováděných ve veřejném zájmu nebo při výkonu veřejné moci, tj. titul podle čl. 6 odst. 1 písm. e) Obecného nařízení o ochraně osobních údajů. Důvodem je skutečnost, že v České republice nelze veřejnou moc vykonávat bez zákonného oprávnění, což znamená, že ta minorita činností v archivnictví, která představuje výkon veřejné moci, musí mít oporu v zákoně (v tomto případě v zákoně č. 499/2004 Sb.), a takto vyjádřený právní titul z hlediska Obecného nařízení o ochraně osobních údajů představuje právní povinnost (vykonavatele veřejné moci). Pokud jde o úkoly ve veřejném zájmu, pro ty v České republice nutně nemusí existovat právní titul na úrovni zákona (jsou-li realizovány soukromoprávními prostředky), v případě archivnictví tomu tak nicméně je. Specifickou formu námitky, která chrání práva subjektu údajů, navíc umožňuje § 37 zákona č. 499/2004 Sb. Z důvodu právní jistoty se nicméně čl. 21 rovněž uvádí ve výčtu výjimek ze zpracování pro účely archivnictví.

ČÁST DVACÁTÁ PRVNÍ

Změna zákona o nemocenském pojištění

K odstavci 1

Do zákona o nemocenském pojištění se navrhuje vložit nové ustanovení, které bude představovat obecnou úpravu zpracování údajů orgány nemocenského pojištění. Navrhuje se výslovně formulovat právní základ, na němž tyto orgány zpracovávají osobní údaje a jiné údaje, jsou-li potřebné pro výkon jejich působnosti. Toto oprávnění je dosud dovozováno z obecných procesních předpisů, z ostatních ustanovení tohoto zákona (typicky např. z ustanovení § 120) a jeho celkového pojetí, v souvislosti s precizováním ochrany osobních údajů je však vhodné výslovné uvedení tohoto oprávnění, které je současně pro orgány nemocenského pojištění i zavazující povinností.

K odstavci 2 písm. a)

Právo na omezení zpracování z důvodu popření přesnosti osobních údajů subjektem údajů nebo na základě námitky subjektu údajů (čl. 18 odst. 1 písm. a) a d) nařízení).

Samotné právo subjektu údajů požadovat omezení zpracování není navrhovanou úpravou ve své podstatě omezeno a v tomto směru tedy úprava výjimku nestanovuje. Úpravou jsou pouze vyloučeny důsledky realizace práva na omezení zpracování spočívající v nemožnosti dalšího zpracování osobních údajů bez existence titulu uvedeného v čl. 18 odst. 2 nařízení (např. souhlas subjektu údajů, důležitý veřejný zájem členského státu apod.). Nemožnost dalšího zpracování by v praxi mohla přinést problémy a vést k narušení řádného provádění nemocenského pojištění, konkrétně např. komplikace při výplatě dávek nemocenského pojištění. Navrhovaná úprava proto výslovně stanovuje, že dotčené osobní údaje lze zpracovávat i bez zvláštního souhlasu subjektu údajů, který čl. 18 odst. 2 nařízení předpokládá.

K odstavci 2 písm. b)

Rozhodováním založeným výhradně na automatizovaném zpracování osobních údajů ve smyslu čl. 22 GDPR je míněn stav, kdy je konkrétní rozhodnutí zasahující do práv a povinností subjektů vydáno plně na základě automatizovaného vyhodnocení automatizovaně sledovaných rozhodných skutečností zcela bez zásahu lidského faktoru. V rámci působnosti orgánů nemocenského pojištění dochází k některým činnostem, které budou definici uvedenou čl. 22 více nebo méně splňovat. Takovouto činností, která v obecném podvědomí není za rozhodování vůbec považována, je např. každoroční zvyšování dávek nemocenského pojištění prováděné vždy k 1. lednu konkrétního kalendářního roku; toto zvýšení se provádí u všech dávek, u nichž denní vyměřovací základ přesáhl výši prvé redukční hranice stanovenou pro předchozí kalendářní rok. Jedná se ovšem o činnost, která má pozitivní důsledky pro subjekt údajů, je prováděna automatizovaně a bez žádosti subjektu údajů, zvýšení je provedeno formou tzv. zkráceného řízení (§ 153 ZNP), v němž se rozhodnutí nevydává (pojištěnec ovšem obdrží oznámení o výši vyplácené dávky).

Naproti tomu nelze za automatizované individuální rozhodování považovat rozhodování, které není založeno výhradně na automatizovaném zpracování údajů a v němž se „lidský faktor“ v určité míře uplatní. Proto např. situaci, kdy na základě žádosti pojištěnce o dávku nemocenského pojištění příslušný pracovník orgánu nemocenského pojištění posoudí splnění zákonem stanovených podmínek a údaje pro výpočet dávky zadá do systému pro automatizované zpracování a ten na jeho základě provede výpočet výše dávky, nelze považovat za rozhodnutí založené „výhradně na automatizovaném zpracování osobních údajů“.

Navrhované ustanovení § 123b odst. 1 písm. b) proto z důvodu potřeby realizace těchto činností upravuje výjimku z úpravy uvedené v čl. 22 pro provádění nemocenského pojištění a dovoluje „rozhodování“ založené výhradně na automatizovaném zpracování osobních údajů, nejedná-li se o vydávání rozhodnutí. Rozhodnutí jako správní akt tedy nelze na základě výjimky vydat (takový postup by nebyl možný ani s ohledem na úpravu např. ve správním řádu).

Současně je uvedeno, že bude-li orgán nemocenského pojištění provádět výkon své působnosti výhradně na základě automatizovaného zpracování osobních údajů (s výše uvedenou výjimkou), bude muset uchovávat v záznamech o činnosti zpracování osobních údajů popis počítačových algoritmů a výběrová kritéria, na jejichž základě je toto zpracování prováděno, a to v zájmu umožnění pozdější kontroly. Současně je stanovena minimální jednoroční lhůta pro uchování těchto informací, která běží od posledního použití pro zpracování osobních údajů subjektu údajů.

K odstavci 3

Jak v případě námitky, tak uvedených jiných prostředků ochrany, které nařízení předpokládá, nicméně nařízení neupravuje specifický procesní postup pro uplatnění a vyřízení těchto procesních institutů. V zájmu jejich ukotvení v rámci procesních postupů používaných orgány nemocenského pojištění se proto navrhuje stanovit, že právo vznést námitku nebo jiný prostředek ochrany proti zpracování osobních údajů uplatňuje subjekt údajů obdobným využitím institutu stížnosti podle § 175 správního řádu. Tím je realizace uvedených práv umožněna pomocí standardního institutu správního řádu, který je podložen dostatečnou procesní úpravou a dlouhodobou aplikační praxí.

Současně platí, že na základě § 175 odst. 1 správního řádu si i stížnost proti zpracování osobních údajů ponechá subsidiární charakter stížnosti, která se aplikuje pouze v případě, že správní řád či zákon o organizaci a provádění sociálního zabezpečení neupravují v dané věci jiný prostředek ochrany. Například nesprávnost údajů o výši započitatelných příjmů pojištěnce v rozhodném období pro výpočet dávek nemocenského pojištění, evidovaných (tj. zpracovávaných) orgánem nemocenského pojištění, která měla vliv na rozhodnutí o výši dávky nemocenského pojištění, bude moci být napadena pouze prostředkem k tomu určeným, tj. žádostí o vydání rozhodnutí o dávce ve správním řízení, bylo-li rozhodováno ve zkráceném řízení (§ 153 odst. 6 zákona o nemocenském pojištění), popř. odvoláním proti rozhodnutí okresní správy sociálního zabezpečení, bylo-li rozhodnuto v obvyklém správním řízení.

ČÁST DVACÁTÁ DRUHÁ

Změna zákona o výkonu zabezpečovací detence

Vedení evidence osob ve výkonu zabezpečovací detence je v současné době upraveno jak v zákoně 555/1992 Sb., o Vězeňské službě a justiční stráži České republiky, ve znění pozdějších předpisů, tak v zákoně č. 129/2008 Sb., o výkonu zabezpečovací detence a o změně některých souvisejících zákonů, ve znění pozdějších předpisů, přičemž jde o shodnou úpravu. Navrhuje se proto tuto duplicitu odstranit ve prospěch zákona o Vězeňské službě, který bude upravovat vedení evidence všech osob ve výkonu zabezpečovací detence, vazby i výkonu trestu odnětí svobody.

ČÁST DVACÁTÁ TŘETÍ

Změna zákona o některých opatřeních proti legalizaci výnosů z trestné činnosti

a financování terorismu

AML zákon je v převážné míře transpozicí aktuálně platné IV. AML směrnice Evropské unie. Podle této směrnice se na ochranu osobních údajů použije směrnice 95/46/ES, kterou ale nahradí Obecné nařízení o ochraně osobních údajů. Proto je třeba v rámci adaptace provést některé menší změny i v AML zákoně.

S ohledem na účel AML zákona, jak je vyjádřen v § 1 AML zákona, je stále diskutabilní, zda se na činnosti podle něj vykonávané nevztáhne spíše směrnice 2016/680. Pak by ovšem i v tomto zákoně musela být provedena transpozice příslušných ustanovení, aby případným přímým uplatněním bez stanovení přípustných výjimek nebyl zmařen jeho účel. S ohledem na formální podřazení dané problematiky pod Obecné nařízení o ochraně osobních údajů však k tomuto kroku nebylo přistoupeno. Současně s ohledem na zkušenosti s požadavky výboru Moneyval Rady Evropy a na požadavky IV. AML směrnice Evropské unie a zejména s ohledem na šíři spektra povinných osob je třeba, aby zásadní prvky ochrany osobních údajů byly upraveny přímo v tomto zákoně, nebo alespoň konkrétním odkazem.

V rámci novely se dále navrhuje pouze několik technických změn nad rámec adaptace na Obecné nařízení o ochraně osobních údajů.

K bodu 1 (§ 16 odst. 2 a 3) a bodu 2 (§ 16 odst. 4)

Smyslem této úpravy je uvést AML zákon do souladu s čl. 17 Obecného nařízení o ochraně osobních údajů a současně s čl. 40 IV. AML směrnice Evropské unie, která požaduje, aby povinné osoby uchovávaly dokumenty a informace získané v průběhu identifikace a kontroly klienta po dobu maximálně 10 let a po uplynutí této doby veškeré osobní údaje smazaly.

K bodu 3 (§ 17a)

Jedná se o adaptační ustanovení ve vztahu k nařízení. Pokud jde o zpracování osobních údajů povinnými osobami na základě tohoto zákona, stanovuje se zde jednoznačný právní titul, kterým je v souladu s čl. 6 odst. 1 písm. c) Obecného nařízení o ochraně osobních údajů splnění právní povinnosti. Z čl. 6 odst. 1 písm. c) Obecného nařízení o ochraně osobních údajů současně vyplývá oprávnění povinných osob zpracovávat osobní údaje i bez souhlasu subjektu údajů; toto pravidlo tedy není třeba zvlášť normovat.

Povinné osoby poskytnou subjektu údajů podle § 24 odst. 2 AML zákona pouze obecné upozornění týkající se povinnosti povinných osob podle tohoto zákona zpracovávat osobní údaje pro účely předcházení legalizace výnosů z trestné činnosti a financování terorismu. Veškeré konkrétní údaje, získané povinnou osobou při plnění povinností podle AML zákona, zejména při provádění kontroly klienta není možné subjektu údajů sdělovat, protože mohou být podkladem pro případné oznámení o podezřelém obchodu. Toto ustanovení je zároveň v souladu s článkem 41 odst. 4 IV. AML směrnice Evropské unie, která stanoví podmínky, za kterých lze v oblasti předcházení zneužívání finančního systému k praní peněz a financování terorismu zcela nebo zčásti omezit právo subjektu údajů na přístup k osobním údajům, které se jej týkají, a to k údajům vedeným jak povinnými osobami, tak příslušným vnitrostátním orgánem. V čl. 41 odst. 4 písm. a) IV. AML směrnice Evropské unie je výslovně uvedeno, že právo subjektu údajů na přístup k osobním údajům lze omezit nebo zcela odmítnout za tím účelem, aby mohly povinné osoby a příslušné vnitrostátní orgány řádně plnit své povinnosti v oblasti boje proti praní peněz a financování terorismu a dále aby se nebránilo analýzám a šetřením prováděným v souladu s touto směrnicí a aby nebylo ohroženo předcházení, vyšetřování a odhalováni praní peněz a financování terorismu.

K bodu 4 (§ 24 odst. 2)

Jedná se o legislativně technickou změnu reagující na skutečnost, že na ochranu osobních údajů u povinných osob v rozsahu působnosti AML zákona bude nově dopadat kromě vnitrostátní zákonné úpravy i Obecné nařízení o ochraně osobních údajů. Současně se zpřesňuje požadavek čl. 41 odst. 3 IV. AML směrnice Evropské unie o informacích poskytovaných klientovi tak, aby nedocházelo v budoucnosti k výkladovým sporům.

K bodu 5 (§ 31 odst. 1)

Jedná se o drobnou terminologickou úpravu reagující na nové právní předpisy v oblasti ochrany osobních údajů.

K bodu 6 (§ 31 odst. 2)

Legislativně technická úprava - z důvodu přehlednosti byla celá problematika ochrany osobních údajů přesunuta do nového § 31a AML zákona.

K bodu 7 (§ 31a)

Jedná se o adaptační ustanovení ve vztahu k Obecnému nařízení o ochraně osobních údajů.

Článek 37 nařízení stanoví povinnost jmenovat pověřence pro ochranu osobních údajů. Pokud jde o další úpravu institutu pověřence, jeho práv a povinností, tato úprava vyplývá z přímo aplikovatelného Obecného nařízení o ochraně osobních údajů. S ohledem na specifika činnosti FAÚ a rozsah kompetencí pověřence nelze využít např. společného pověřence pro resort Ministerstva financí, FAÚ proto musí mít vlastního pověřence. Aby působnost pověřence podle nových předpisů pro oblast ochrany osobních údajů naplnila svůj účel, bude muset mít přístup do všech systémů včetně aktuálně šetřených oznámení podezřelých obchodů.

Účelem ustanovení odstavce 2 je zejména zakotvení právního titulu pro zpracování osobních údajů FAÚ.

V odstavci 3 je v souladu s čl. 23 Obecného nařízení o ochraně osobních údajů výslovně stanoveno, z jakých důvodů může FAÚ nevyhovět žádosti o přístup k osobním údajům, nebo vyhovět pouze částečně. Toto ustanovení je zároveň v souladu s článkem 41 odst. 4 IV. AML směrnice Evropské unie, která stanoví podmínky, za kterých lze v oblasti předcházení zneužívání finančního systému k praní peněz a financování terorismu zcela nebo zčásti omezit právo subjektu údajů na přístup k osobním údajům, které se jej týkají.

V odstavci 4 je upravena možnost informovat subjekt údajů, o kterém FAÚ má ve své databázi informace, včetně osobních údajů, stejným způsobem jako ten subjekt, jehož osobní údaje FAÚ nevede, což je pro zachování jeho specifické „zpravodajské“ činnosti nezbytné. Jak vyplývá z § 38 AML zákona, je FAÚ povinen zachovávat mlčenlivost o všech skutečnostech týkajících se oznámení a šetření podezřelého obchodu, úkonů učiněných FAÚ nebo plnění informační povinnosti. Z tohoto ustanovení jednoznačně vyplývá, že FAÚ nemůže subjektu údajů sdělit údaj, že na něj vede informaci ve své databázi, ale ani že jeho osobní údaje nevede, obojí by bylo porušením této povinnosti mlčenlivosti a mohlo by závažně ohrozit probíhající šetření.

V odstavci 5 je v souladu s novou unijní legislativou ochrany osobních údajů upraveno omezení práva na opravu nebo likvidaci osobních údajů nebo jejich zpracování obdobně, jako je navrhováno např. v zákoně o policii. Úprava v zákoně o policii je implementací směrnice 2016/680. Na činnost FAÚ jako finanční zpravodajské jednotky se v oblasti ochrany osobních údajů nevztahuje tato směrnice, ale nařízení, nicméně vzhledem k jeho velmi specifické činnosti je řada jeho aktivit na pomezí těchto dvou právních předpisů, protože smyslem činnosti FAÚ a náplní jeho práce je zcela nepochybně prevence, vyšetřování a odhalování trestných činů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení. Z tohoto důvodu je smysluplné, aby úprava některých institutů byla obdobná, jako u orgánů spadajících pod režim této směrnice.

V odstavci 6 je v souladu s úpravou v § 12 návrhu zákona o zpracování osobních údajů využita výjimka z oznámení porušení zabezpečení osobních údajů.

K bodu 8 (§ 48 odst. 5)

Jedná se pouze o legislativně technickou úpravu, vztahující se k povinnostem stanoveným pro „korespondenční vztahy“ nově nejen úvěrových, ale i finančních institucí podle § 25 AML zákona. Změna se při transpozici IV. AML směrnice Evropské unie provedené zákonem č. 368/2016 Sb. nedopatřením nepromítla do skutkové podstaty přestupku v § 48 odst. 5 AML zákona.

K bodu 9 (§ 54 odst. 10)

Vzhledem k výše navrženému se ponechání ustanovení, které ve vztahu k dosavadní úpravě ochrany osobních údajů představovalo posílení právní jistoty, jeví jako nadbytečné, a proto se toto ustanovení na základě zásady přehlednosti právního řádu zcela vypouští.

ČÁST DVACÁTÁ ČTVRTÁ

Změna zákona o Policii České republiky

K § 66a

Navrhovaná změna zakládá možnost policie využívat již nyní zpracovávané informace z uvedených databází k vytvoření pravidelně aktualizované referenční databáze digitálních podob osob, které lze použít ve vztahu ke konkrétním známým osobám, ale i za účelem automatické identifikace konkrétních neznámých osob. Navrhovaná změna přináší policii možnost softwarového vyhledávání a rozpoznávaní obličejů, která v případě potřeby dokáže významným způsobem zkrátit čas k odhalení pachatele, případně zabránit dalším hrozícím útokům. Možnost porovnání obrazových záznamů s referenční anonymizovanou databází nejen zefektivní plnění úkolů policie, ale zároveň sníží míru zásahů do práv občanů, neboť k osobním údajům konkrétních osob bude přistupováno až na základě anonymního vytipování shody v podobě s hledanou zájmovou osobou (nikoliv plošně a manuálně na základě velmi obecných a nepřesných kritérií), a teprve poté budou zjišťovány další osobní údaje shodující se osoby. Potřeba navrženého zpracování fotografií za účelem identifikace je odůvodněna celou řadou okolností. V důsledku zvýšené migrace neztotožněných osob se např. zahraniční bezpečnostní orgány obracejí na policii se specifickými požadavky ve formě dotazů na pohyb a průjezd vozidel a osob. Z důvodu, že policie nemá k dispozici vhodný rozpoznávací nástroj, nemůže tyto požadavky řádně plnit a je výrazně omezena i její možnost eliminovat případné hrozby. Možnost využití nové databáze se pozitivně dotkne i dalších činností policie, zejména v souvislosti s šetřením trestných činů, kde je nutné zpracovávat obrazové záznamy, selektovat lidské tváře a zajišťovat procesy ke ztotožnění. Nyní je policie odkázána na zjištění informací z kriminálního prostředí využitím operativní činnosti anebo je nutné potenciální pachatele složitě manuálně vyhledávat v dostupných souborech obrazových záznamů, aniž by to vždy vedlo k výsledku. Alternativou je zveřejnění podoby v hromadných sdělovacích prostředcích, což však představuje podstatně citelnější zásah do práv a zájmů těchto osob, který může využití nové databáze eliminovat.

Předkladatel zvážil i nedávnou judikaturu Soudního dvora EU, která se staví k jakémukoli plošnému zpracovávání osobních údajů značně restriktivně, i v případech boje proti závažné trestné činnosti (např. rozsudek ve spojených věcech C-203/15 a C-698/15). Na rozdíl od posuzovaných případů se však navrhovaná úprava netýká osobních údajů, které jsou v dispozici soukromých osob, nadto pak osobních údajů, které by byly chráněny zvláštní povinností mlčenlivosti. Policie ani nezískává přístup k těm údajům v dispozici státu, ke kterým by dosud přístup neměla, nebo by jej neměla za stanoveným účelem.

Z tohoto důvodu předkladatel nepovažoval za přiměřené omezit porovnávání fotografií na důvody postihu závažné nebo zvláště závažné trestné činnosti. Takové omezení by mohlo v principu vést k tomu, že by osoby spojené s méně závažnou trestnou činností nemohly být takto ztotožněny, a jejich soukromí by bylo narušeno podstatně závažněji, pokud by jejich podoba musela být zveřejněna (pátrání po pachateli výtržnictví, krádeže, fyzického napadení).

V neposlední řadě lze připomenout posudek Soudního dvora ve věci dohody mezi EU a Kanadou o využívání údajů cestujících v letecké dopravě (C-1/15), kde Soudní dvůr v poměrně širokém rámci povolil i plošný sběr údajů státním orgánem.

V této souvislosti je užitečné připomenout, že v příloze č. II ke směrnici 2016/681 o využití údajů cestujících v letecké dopravě se uvádí seznam relevantních trestných činů, ale není určen odkazem na jejich závažnost (stanovenou například výší trestní sazby), nýbrž pouze typově a s ohledem na povahu instrumentu zaměřeného na pohyb lidí přes hranice pomocí letecké dopravy.

Navrhovaná úprava se tedy od případů dotčených výše uvedenou judikaturou Soudního dvora liší tím, že jde o využití již údajů plošně státem shromažďovaných, jejichž zpracování neomezuje ani důvěrnost dopravovaných zpráv, ani svobodu projevu, a jejichž zpracování představuje čistě proporcionální zásah do ochrany osobních údajů.

Získané fotografie musí být aktualizovány, aby policie vždy v porovnání využila poslední dostupné fotografie. Předpokládá se velmi častá aktualizace fotografií, více než jednou týdně. Při této aktualizaci policie nahradí novou fotografií z určité evidence starší fotografii z této evidence.

K § 79

Obecný titul ke zpracování osobních údajů, společný pro oblast upravenou směrnicí 2016/680 i Obecným nařízením o ochraně osobních údajů 2016/679, je ustanovení § 60, které též vyjadřuje zásadu minimalizace dat, tj. zpracování jen v nezbytném rozsahu. V odst. 1 se stanoví, v souladu s čl. 1(1) směrnice 2016/680, na která zpracování policie se použijí pravidla provádějící směrnici.

Stejně jako v obdobných ustanoveních dalších předpisů není nutné (a to ani kvůli čl. 8(2) téže směrnice) uvádět výslovně, že policie může zpracovávat „jakékoliv“ osobní údaje, včetně údajů „citlivých“ nebo jiných, protože je to nepochybné. Z povahy věci neexistují (např. při trestněprávním postihu jako ultima ratio) kategorie osobních údajů, které by policie zpracovávat nesměla.

Toto ustanovení nemá vliv na zákonem dané a omezené pravomoci policie předmětné osobní údaje skutečně získat, pouze zajišťuje, že jestliže policie takové údaje zákonným postupem (například povolenou domovní prohlídkou nebo odnětím věci) získá, může je zpracovávat.

Zároveň se v odst. 2 reflektuje, že směrnice 2016/680 neumožňuje orgánům vymáhání práva zpracovávat osobní údaje na základě souhlasu (nebo žádosti) subjektu údajů, neboť EU se obává nerovnovážného postavení mezi takovým orgánem a fyzickou osobou a tím i fakticky nesvobodného souhlasu. Přesto se vyskytují případy, kdy policie zpracovává osobní údaje na podnět fyzických osob a v jejich prospěch – například vystavení potvrzení, kdy osoba nahlásila přepadení spojené s odcizením dokladu totožnosti, může pomoci řešit trestní i jiné případy zneužití identity v cizině.

Odst. 3 provádí článek 10 směrnice 2016/680 a stanoví přísnější pravidla pro zacházení s většinou kategorií osobních údajů, které byly dosud označovány jako tzv. „citlivé“ (z kontextu směrnice logicky plyne například, že údaje o odsouzení a trestu se nepovažují za zvláště chráněné). Vhodnou zárukou ve smyslu článku 10 směrnice 2016/680 je zejména Princip 2.4 doporučení Výboru ministrů Rady Evropy (87)15, na které odkazují také relevantní unijní instrumenty. Tento princip volá po omezení sběru citlivých dat pouze na případy, kdy je to zcela nezbytné pro účely určitého šetření. V jiném případě policie (tak jako doposud) možnost uvedené údaje sbírat vůbec nedostane.

Odst. 3 je, pokud jde o provedení článku 10 směrnice 2016/680, doplněn specifickými ustanoveními, která ještě restriktivněji upravují nakládání s genetickými údaji a údaji biometrickými, kterými lze jedinečně identifikovat osobu. Jde zejména o § 65 zákona o policii, případně ztotožnění neznámé osoby podle § 63 odst. 4 téhož zákona.

V odst. 4 se zajišťuje (podle dosavadního § 85 odst. 2 zákona o policii), aby se různé režimy pro zpracování osobních údaje uplatnily v praxi.

V odst. 5 se provádí čl. 9(1)(2) směrnice 2016/680. Zákon povoluje (odst. 4 ve spojení s § 60 a § 78 odst. 1 zákona o policii) zpracování i pro jiné úkoly policie, včetně spolupráce s jinými s orgány veřejné moci – v takovém případě se přímo uplatní pravidla Obecného nařízení o ochraně osobních údajů 2016/679, která nemohou být předmětem transpozice.

Odst. 6 se přebírá pro zachování právní jistoty z dosavadního § 85 zákona o policii.

K § 79a

Toto ustanovení provádí články 32 – 34 směrnice 2016/680, která vyžaduje, aby orgány příslušné pro potírání a prevenci trestné činnosti a bezpečnostních hrozeb, s výjimkou nezávislých orgánů justičních, určily pověřence pro ochranu osobních údajů. Podle článku 32(3) lze určit jednoho pověřence pro více orgánů. Této možnosti se nevyužívá; pověřenec bude plnit své úkoly ve vztahu k Policii ČR jako celku, což předpokládá náležitou personální podporu.

Pověřenec má být podle čl. 32(2) směrnice 2016/680 určen na základě svých profesních kvalit, což reflektuje odstavec 2.

Odst. 1 provádí i požadavek zveřejnění kontaktních údajů pověřence; sdělení těchto údajů ÚOOÚ ze strany Policie ČR proběhne standardní cestou.

Odst. 2 písm. a) provádí článek 33(1) směrnice 2016/680.

Odst. 2 písm. b), c) a e) provádějí požadavky na činnost pověřence stanovené článkem 34 písm. a) až e) směrnice 2016/680.

Odst. 2 písm. b) zároveň plní požadavky článku 5(1) směrnice 2016/681, tj. zajistit, aby pracovník na ochranu osobních údajů kontroloval dodržování povinností při zpracování údajů jmenné evidence cestujících a dodržování příslušných záruk. Vzhledem k tomu, že pověřenec nebude podřízen vedoucímu útvaru pro informace cestujících (PIU), ale je tím zároveň splněn požadavek článku 5(2) téže směrnice, tj. zajistit, aby mohl pověřenec nezávisle plnit své úkoly.

Odst. 2 písm. d) zajišťuje, vzhledem k tomu, že do útvaru pro informace o cestujících (PIU) lze vyslat za účelem posílení analytických kapacit PIU i pracovníka Celní správy, dostatečné pravomoci pro kontrolu jeho činnosti ze strany pověřence. Totéž platí i pro případy poskytnutí přístupu k údajům jmenné evidence cestujících pro využívající orgány, aby bylo zajištěno dodržování článku 5(1) směrnice 2016/681.

Odst. 2 písm. e) provádí požadavek článku 5(3) směrnice 2016/681, tj. zajistit, aby se subjekty údajů mohly v souvislosti se zpracováním osobních údajů na pracovníka pro ochranu údajů obrátit jako na jednotné kontaktní místo.

Odst. 3 provádí požadavek článku 33(2) směrnice 2016/680 ohledně zajištění odpovídajících podmínek k řádnému plnění jeho úkolů.

K § 80

Upravené ustanovení stanoví obecné podmínky pro předání nebo zpřístupnění osobních údajů.

Přejímá se úprava dosavadního § 80 odst. 1 jako základní úprava pro jakékoli předávání nebo zpřístupňování osobních údajů podle následujících ustanovení. Vzhledem k vypuštění § 80 odst. 2 se do návětí § 80 odst. 1 vyjasňuje, že policie může osobní údaje předat i bez žádosti.

Vypouští se původní odst. 2, který působil výkladové problémy ohledně původce žádosti podle písm. c), jakož i s ohledem na to, že podle směrnice o ochraně osobních údajů souhlas subjektu údajů nemůže být pro policii titulem ke zpracování jejích osobních údajů.

Vypouští se původní odstavec 3, který je nahrazen § 24 písm. a) zákona o zpracování osobních údajů, jehož aplikace je širší, neboť se nevztahuje jen na předání, ale i na jiné zpracování osobních údajů v souladu s článkem 6 směrnice 2016/680(EU).

Do nového odst. 2 se přebírá a upravuje § 80 odst. 4, který se doplňuje podle požadavků čl. 16 odst. 5, 6 směrnice o ochraně osobních údajů o zpětné informování příslušného orgánu, který nepravdivé nebo nepřesné informace policii předal – to se podle směrnice 2016/680 v článku 16(5) omezuje na spolupracující příslušné orgány (tj. nejde např. o svědky), aby se udržela integrita a důvěrnost procesu odhalování nebo vyšetřování trestné činnosti.

Do nového odst. 3 se beze změny přebírá dosavadní odstavec 5, který koresponduje s článkem 9(3)(4) směrnice 2016/680. Vzhledem k tomu, jak v článku 3(10) tato směrnice i nařízení 2016/679 v článku 4(9) pojem „příjemce“ definují, nespadá mezi příjemce orgán provádějící zvláštní kontrolní činnost nebo šetření, například v daňové, celní, finanční či jiné správní oblasti (srov. recitál 22 směrnice 2016/680), při které se dílčím způsobem seznamuje s relevantními osobními údaji (např. s údaji osob odpovědných za zajištění určité povinnosti stanovené jiným předpisem, s údaji některých zaměstnanců jednajících za správce apod.). Pokud takový orgán může na základě právního předpisu získané údaje využít i pro jiný účel, než pro který byly poskytnuty, nepotřebuje k tomu svolení policie podle tohoto ustanovení.

Text dosavadního odstavce 6 se přesouvá do § 80a, který podle požadavků směrnice o ochraně osobních údajů 2016/680 upravují předávání v rámci EU resp. mimo tento rámec.

V odst. 4 se přebírá a upravuje dosavadní odstavec 7, který doplněn v souladu s článkem 9(3)(4) směrnice 2016/680. V souladu s čl. 3(10) směrnice 2016/680 (EU) se příjemcem rozumí fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoliv. Orgány veřejné moci, které mohou získat osobní údaje v rámci zvláštního šetření v souladu s právem členského státu, se za příjemce nepovažují; zpracování těchto osobních údajů těmito orgány veřejné moci musí být v souladu s použitelnými pravidly pro ochranu údajů v souladu s účely zpracování.

Text dosavadního odst. 8 se přesouvá do § 80b, který upravuje předávání osobních údajů mimo EU.

Vypouští se původní odst. 9, protože povolení dozorového orgánu k předání osobních údajů jinému státu již nebude součástí zákona o ochraně osobních údajů; směrnice o ochraně osobních údajů 2016/680 takové povolení nepředpokládá. Povolení dozorového úřadu podle článku 46 odst. 3 Obecného nařízení o ochraně osobních údajů 2016/679 nemůže být předmětem implementace ani výjimek.

K § 80a

Zvláštní ustanovení se věnuje předávání osobních údajů v rámci EU a schengenského prostoru. Podle článku 9(4) směrnice 2016/680 v podstatě nelze předávání v rámci tohoto prostoru omezit více, než vnitrostátní předávání mezi orgány příslušnými pro potírání trestné činnosti.

Odst. 1 se přebírá s drobnými úpravami z dosavadního § 80 odst. 6 písm. b) zákona o policii. Původní bod 1. o mezinárodní organizaci Interpol se nepřebírá; taková předání budou upravena v § 80b, který se týká spolupráce mimo EU. V bodu 1. se dříve používaný termín „zahraniční bezpečnostní sbor“ omezuje na „bezpečnostní sbor“ členského státu EU nebo přidruženého státu (Švýcarsko, Norsko, Lichtenštejnsko a Island jakožto země přidružené ke Schengenské spolupráci uplatňují předpisy k provedení směrnice 2016/680 jako celku, není tedy důvod mezi nimi a členskými státy EU v rámci možností předání osobních údajů odlišovat). V bodu 2. se doplňuje Eurojust za účelem zlepšení vzájemné spolupráce.

Odst. 2 se přebírá beze změn z dosavadního § 80 odst. 6 písm. a) zákona o policii. Jde o titul pro předávání a zpřístupňování osobních údajů v rámci využívání Schengenského informačního systému zejména pro oblast trestní justiční a policejní spolupráce a souvisí s § 84. Směrnicí 2016/680 nejsou tato ustanovení dotčena. Není zde třeba, obdobně jako v dosavadním znění zákona o policii, specificky odkazovat na systémy výměny informací, které jsou upraveny přímo příslušnými nařízeními, jako je např. EURODAC nebo VIS.

Na předání podle § 80b se uplatní podmínky podle § 80.

K § 80b

Odst. 1 se přebírá s drobnými úpravami z dosavadního § 80 odst. 6 písm. b) bodů 1 a 2 zákona o policii. Vzhledem ke snížení počtu subjektů je ustanovení zjednodušeno a body vypuštěny. Vyjádřením nezbytnosti se plní požadavek čl. 35 odst. 1 písm. a) směrnice o ochraně osobních údajů 2016/680. Kvalifikací příjemců (Interpol, zahraniční bezpečnostní sbor nebo obdobný orgán mezinárodní organizace) se plní požadavek čl. 35 odst. 1 písm. b) téže směrnice.

Odst. 2 odkazuje na článek 36 směrnice 2016/680, který upravuje tzv. adequacy decisions. Podle judikatury Soudního dvora musí být úroveň ochrany osobních údajů ve třetí zemi v zásadě rovnocenná pravidlům EU, byť nemusí být dosažena stejnými prostředky. Posuzování a vydávání rozhodnutí o odpovídající ochraně je náročný a dlouhotrvající proces, od roku 1995 jich bylo vydáno a v platnosti je pouze 12, ani jedno se ovšem nevztahuje na oblast policejní spolupráce ani justiční spolupráce v trestních věcech. Proces probíhá na úrovni EU, ustanovení článku 36 odst. 2 – 6 a 8 směrnice 2016/680 tudíž není nutno implementovat.

Odst. 3 implementuje článek 37 směrnice 2016/680, ze kterého plyne, že vhodné záruky mohou být stanoveny buď dohodou na úrovni EU (jako je tzv. zastřešující dohoda mezi EU a USA vyhlášená v Úředním věstníku pod č. 2016/2220) nebo na úrovni vnitrostátního práva třetího státu. Zvláštní ustanovení o ochraně osobních údajů je běžnou součástí smluv o policejní spolupráci nebo o boji proti trestné činnosti. Záruky může stanovit také vnitrostátní předpis třetího státu, kterému jsou osobní údaje předávány.

Odst. 4 a 5 provádí požadavky článku 36 směrnice 2016/680 s využitím dalších ustanovení a obvyklé terminologie zákona o policii. Jde o ustanovení, které bude využíváno zejména v případech málo frekventované spolupráce se třetími zeměmi, se kterými nejsou uzavřeny relevantní mezinárodní smlouvy nebo se na ně nevztahují jiné obvyklé postupy, které by poskytovaly odpovídající záruky, ale spolupráce je pro splnění úkolů policie přesto nutná. Jako příklad lze uvést pátrání policie po pachateli, který se skrývá v jižní Asii, Latinské Americe nebo Africe. V takových případech je nutné provést vážení základních práv a svobod dotčené osoby a veřejného zájmu na plnění úkolu policie nebo na ochraně právních zájmů jiné osoby (například je namístě nepředat citlivé osobní údaje vypovídající o sexuální orientaci podezřelého nebo obviněného do státu, který takovou sexuální orientaci závažným způsobem trestá, a to ani v případech, ve kterých by to mělo napomoci jeho dopadení).

Odst. 6 se přebírá s úpravami z dosavadního § 80 odst. 8 tak, aby vyhovoval požadavkům článku 35 odst. 1 písm. e) směrnice 2016/680.

Odst. 7 stanovuje záruky ochrany osobních údajů při jejich předání mezinárodní organizaci nebo zahraničnímu bezpečnostnímu sboru.

K § 80c

Koncepčně nové ustanovení zapracovává článek 39 směrnice 2016/680. Jde o článek přijatý na základě praxe řady západních členských států, kde se policejní orgány při zjišťování informací ze zahraničí k jednotlivým případům obracejí nejen na policejní orgány druhého státu, ale také na jiné orgány nebo na soukromoprávní subjekty. Typické to může být u orgánů, které vedou evidence, nebo u soukromoprávních subjektů, které spravují informace pro jiné (například poskytují bezplatné emailové schránky nebo poskytují nějaké komunikační platformy a mohou identifikovat jejich uživatele). Takové orgány nebo subjekty často mohou podle vnitrostátního práva vyhovět žádosti cizího policejního orgánu a informovat jej o relevantních skutečnostech.

Ustanovení tedy upravuje podmínky, za kterých může policie v rámci svého dotazu do třetí země předat osobní údaje, ke kterým hodlá zjistit další skutečnosti.

Ustanovení samo žádné povinnosti dožádaným osobám nebo orgánům nestanoví; záleží zcela na jejich právních předpisech, zda žádosti vyhoví.

Smyslem ustanovení je poskytnout právní základ pro spolupráci, která neprobíhá přímo s orgánem policejní nebo justiční povahy druhého státu.

Slučitelnost postupu s mezinárodními dohodami podle článku 39 odst. 2 směrnice 2016/680 není nutno požadovat z důvodu jejich aplikační přednosti před zákonem.

K § 82 odst. 2

Navrhovaný odstavec 2 upravuje rozšířené možnosti policie získávat informaci z Rejstříku trestů, a to za účelem řádného, účinného a dostatečného prověřování potřebnosti dalšího zpracování osobních údajů.

K bodu 19 (§ 83)

§ 83 se ruší a úprava se změnami se přesouvá do § 26 - 28 zákona č. …/2018, o zpracování osobních údajů.

K § 84a

Odst. 1 stanoví pravomoc policie zpracovávat údaje jmenné evidence cestujících, které jsou uvedené § 69a odst. 5 zákona o civilním letectví, výsledky jejich požadovaného zpracování a výsledky posuzování cestujících. Policie tedy zastává roli národní jednotky pro informace o cestujících podle čl. 4 směrnice 2016/681. Policie České republiky tak je zároveň národní jednotkou pro informace o cestujících. Druhá věta stanoví v souladu s čl. 4 odst. 3 směrnice možnost Celní správy se souhlasem Policejního prezidia vyslat do národního útvaru pro informace o cestujících své příslušníky. Smyslem ustanovení je umožnit participaci Celní správy na zpracování údajů jmenné evidence cestujících, posuzování cestujících a přípravě kritérií přímo v rámci jednotky pro informace o cestujících, a to za účelem větší efektivity PIU při odhalování určitých druhů trestné činnosti (např. drogová trestná činnost, trestná činnost proti životnímu prostředí, atd.) a zároveň zajistit, aby údaje byly zpracovávány v souladu s cíli směrnice za současné vysoké ochrany zpracovávaných údajů.

Odst. 2 vyjmenovává tzv. využívající orgány, tj. orgány České republiky nebo členských států, jejichž působností je předcházení, vyhledávání, odhalování nebo stíhání trestné činnosti. Tyto orgány mají některá oprávnění týkající se údajů jmenné evidence cestujících, vyjmenované v dalších ustanoveních. Využívající orgány České republiky jsou přímo taxativně vyjmenovány, využívající orgány členských států jsou v intencích směrnice určeny odkazem na příslušnou publikaci v Úředním věstníku EU. Využívajícím orgánem může být rovněž samotná Policie České republiky, resp. její příslušné útvary. V této souvislosti je totiž nutné rozlišit Policii České republiky jako národní jednotku a Policii České republiky jako využívající orgán.

Odst. 3 stanoví pro účely návrhu zákona obsah pojmu „posuzování cestujících“. Rovněž se zde stanoví, v zájmu ochrany osobních údajů, že policie uchovává výsledky posuzování pouze po dobu nezbytnou k rozhodnutí, zda je uchování dále potřebné ve prospěch cestujícího k vyloučení jeho nesprávného budoucího posouzení.

Odst. 4 určuje pro účely zákona obsah pojmu „příprava kritérií“. Smyslem těchto kritérií je efektivní vyhledání cestujících, u nichž je potřebné jejich další (neautomatizované) prověření policií, využívajícími orgány nebo Evropským policejním úřadem před jejich plánovaným příletem nebo odletem. Bez správného nastavení vyhledávacích kritérií by byla detekce rizikových cestujících nemožná, stejně tak by mohlo docházet ke zbytečnému prověřování nerizikových cestujících. Na tvorbě těchto kritérií se mohou podílet i využívající orgány, a to například osobní součinností při tvorbě kritérií nebo v podobě požadavků směřující vůči Policii České republiky jako vůči národní jednotce pro informace o cestujících.

Odst. 5 definuje, co se rozumí „jednotkou pro informace o cestujících“, a to rovněž odkazem na publikaci v Úředním věstníku EU.

K § 84b

Odst. 1 taxativně stanoví účel zpracování údajů jmenné evidence cestujících. Účel je stanoven plně v souladu s textem směrnice 2016/681. Využití údajů jmenné evidence cestujících je možné pouze pro odhalování závažné terorismu a závažné trestné činnosti tak, jak je definováno ve směrnici, resp. v příloze II směrnice. Příloha II směrnice pak obsahuje okruh trestných činů, přičemž tento seznam je obdobný seznamu pro evropský zatýkací rozkaz. Z hlediska transpozice přílohy II do textu zákona je nutno zdůraznit, že není možné zvolit přístup přepisu jednotlivých skutkových podstat do textu zákona. Obdobně se dle § 207 ZMJS nepřezkoumává trestnost založená na unijním seznamu přiloženém k evropskému zatýkacímu rozkazu. Vzhledem k tomu, že se stejně jako v případě postupu podle výše uvedeného evropského zatýkacího rozkazu v rámci spolupráce mezi členskými státy nepřezkoumává oboustranná trestnost, tj. nesrovnávají se jednotlivé skutkové podstaty, bylo by uvedení českých skutkových podstat zcela zavádějící. Pod stejným typovým jednáním může totiž zákon jiného členského státu rozumět skutkovou podstatu značně nebo zcela odlišnou (srov. např. vývoj české skutkové podstaty znásilnění). Česká policie v kapacitě národní jednotky pro informace o cestujících přitom nemá právo odmítnout žádost cizího orgánu proto, že je odůvodněna vyšetřováním typového jednání zachyceného zcela odlišnou skutkovou podstatou od skutkové podstaty v českém trestním zákoníku. Sestavení seznamu trestných činů by proto nevedlo ke zvýšení právní jistoty, ale k jejímu neustálému podrývání v praxi.

Odst. 2 transponuje ustanovení čl. 13 odst. 4 téže směrnice o likvidaci citlivých údajů jmenné evidence cestujících, které by mohly vést k diskriminaci. Rovněž je zde v souladu s čl. 6 odst. 1 směrnice stanovena povinnost policie zlikvidovat veškeré přijaté údaje, které podle § 69a odst. 5 zákona o civilní letectví nejsou údaji jmenné evidence cestujících.

Odst. 3 zapracovává ustanovení čl. 6 odst. 8 téže směrnice.

Odst. 4 stanoví povinnost zpracovávat údaje jmenné evidence cestujících odděleně od jiných evidencí, kterými policie disponuje. Cílem je lepší ochrana osobních údajů, neboť jmenná evidence cestujících obsahuje v naprosté většině případů osobní údaje osob bez jakéhokoliv vztahu k trestné činnosti, na rozdíl od jiných policejních evidencí, které obsahují osobní údaje podezřelých, obviněných, svědků, apod.

Odst. 5 zapracovává čl. 6 odst. 3 písm. a) směrnice 2016/681.

Odst. 6 stanoví dobu znepřístupnění (6 měsíců) a dobu likvidace (5 let) údajů jmenné evidence cestujících. Tyto lhůty jsou závazně stanoveny v čl. 12 směrnice.

Znepřístupnění údajů znamená omezení přístupu pouze na zákonem dané důvody, které jsou stanoveny v § 84c. Povinnost likvidace se nevztahuje na údaje využívané při plnění konkrétního úkolu souvisejícího s trestnou činností uvedenou v čl. 3 odst. 8 a 9 směrnice – tyto údaje budou zlikvidovány, jakmile pomine jejich účel zpracování podle § 87 odst. 1 zákona o policii, nejpozději však po pravidelné tříleté kontrole podle § 85 zákona o policii.

K § 84c

Odst. 1 upravuje postup policie v případě pozitivního nálezu (tzv. hit) rizikového cestujícího. Policie předá údaje jmenné evidence cestujících, výsledky jejich zpracování a výsledky posuzování cestujících využívajícím orgánům České republiky a jednotkám pro informace o cestujících, a to i bez jejich žádosti.

Odst. 2 upravuje situace, kdy policie disponuje konkrétními informacemi o ohrožení souvisejícím s trestnou činností uvedenou v čl. 3 odst. 8 a 9 směrnice 2016/681. V tomto případě je policie oprávněna vyžádat údaje jmenné evidenci cestujících od leteckého dopravce i v jiném okamžiku, než pro předání stanoví zákon o civilním letectví (24 až 48 hodin před plánovaným časem odletu a bezprostředně po nástupu cestujících na palubu letadla připraveného k odletu).

Odst. 3 zapracovává čl. 6 odst. 2 písm. a) téže směrnice. Dalším zpracováním údajů je právě reakce na tzv. pozitivní hit při posuzování cestujících. Věta druhá pak odpovídá požadavkům téže směrnice pro použití znepřístupněných údajů při tomto dalším zpracování stanoveným v čl. 12 odst. 3.

Odst. 4 stanoví oprávnění využívajícího orgánu České republiky a jednotky pro informace o cestujících podat policii řádně zdůvodněnou žádost k postupu podle odstavce 2.

Odst. 5 stanoví oprávnění využívajícího orgánu České republiky, jednotky pro informace o cestujících, Europolu a v naléhavých případech také využívajícího orgánu členského státu podat policii řádně zdůvodněnou žádost k postupu podle odstavce 3.

Odst. 6 obsahuje oprávnění policie analogické k oprávnění využívajícího orgánu České republiky, jednotky pro informace o cestujících, Europolu a využívajícího orgánu členského státu v odstavci 5.

Odst. 7 stanoví oprávnění policie využít již získaných údajů jmenné evidence cestujících, výsledků jejich požadovaného zpracování nebo výsledků posouzení cestujících i pro stíhání trestné činnosti neuvedené v čl. 3 odst. 8 a 9 směrnice 2016/681. Stanovení tohoto oprávnění umožňuje směrnice výslovně v čl. 7 odst. 5.

K § 84d

Odst. 1 stanoví podmínky předání údajů jmenné evidence cestujících, výsledků jejich požadovaného zpracování nebo výsledků posouzení cestujících státu, který neuplatňuje právní předpisy k provedení směrnice 2016/681.

Odst. 2 stanoví výjimku z podmínky souhlasu členského státu s předáním údajů, které od něj policie obdržela, do státu který neuplatňuje právní předpisy k provedení téže směrnice.

K § 85

Vypouští se odst. 1 písm. a), které je nahrazeno § 23 písm. b) a § 24 písm. b) zákona o zpracování osobních údajů.

Vypouští se odst. 1 písm. b), které je nahrazeno obecnou slučitelností účelů podle § 79 odst. 1 a pro zpracování, která podléhají nařízení 2016/679, zvláštním ustanovením § 88b odst. 2 zákona o policii.

Původní písmena c) a d) se přesouvají do § 79 odst. 6.

Odst. 2 se vypouští; je nahrazen ustanovením § 79 odst. 4 zákona o policii. Ustanovení je možno zrušit.

K § 86

Ustanovení se vypouští, neboť písm. a) je nahrazeno § 23 písm. a) zákona o zpracování osobních údajů, a ohlašovací povinnost podle písm. b) zanikla na úrovni EU a byla překonána instituty posouzení vlivu na ochranu osobních údajů a konzultací s ÚOOÚ podle § 35 a 36 zákona o zpracování osobních údajů.

K § 87

Vypouští se odst. 1, který je nahrazen § 23 odst. 1 písm. c) zákona o ochraně osobních údajů.

Odst. 2 představuje ve skutečnosti zákonné upřesnění, ve kterých situacích účel zpracování osobních údajů nepominul, resp. závisí na jiných procesech, například trestním řízení. Ponechává se z důvodu právní jistoty.

Odst. 3 se vypouští, protože institut blokace nová směrnice 2016/680 nepřevzala. K obdobnému účelu slouží částečně ustanovení § 79 odst. 1 písm. b) nebo odst. 2 písm. b), případně institut omezení zpracování podle § 27 zákona o zpracování osobních údajů.

K § 88

Upravuje se odkaz na úkoly policie podle § 79 odst. 1. Ustanovení koresponduje s možností postupovat podle článku 13(2)(3) směrnice 2016/680 tak, aby nebyl kompromitován účel zpracování.

K § 88a

Původní ustanovení § 80a zákona o policii se přebírá v dosavadní podobě, ale systematicky se zařazuje jinam.

Jak plyne z recitálu 94 a z článku 60 směrnice 2016/680, Komise jako předkladatel návrhu směrnice nedostála své odpovědnosti při identifikaci dílčích pravidel, která bylo namístě zrušit současně s přijetím obecné úpravy ochrany osobních údajů v této směrnici. To souvisí s razantním postupem Komise při předložení reformy ochrany osobních údajů bez náležitého zhodnocení, jak se v praxi uplatňuje rámcové rozhodnutí 2008/977/SVV. Nezrušená pravidla upravující zpracování osobních údajů mezi členskými státy nebo přístup určených orgánů členských států do informačních systémů zřízených v EU, obsažená v předpisech EU o policejní spolupráci, jsou nadále platná, tudíž zůstává v platnosti i jejich implementace a nijak se nemění.

Pro usnadnění se nově odkazuje na nejpoužívanější takové předpisy, tj. na rámcové rozhodnutí Rady 2006/960/SVV ze dne 18. prosince 2006 o zjednodušení výměny operativních a jiných informací mezi donucovacími orgány členských států Evropské unie a na rozhodnutí Rady 2008/615/SVV ze dne 23. června 2008 o posílení přeshraniční spolupráce, zejména v boji proti terorismu a přeshraniční trestné činnosti.

K § 88b

Jde o zvláštní ustanovení, které se týká těch zpracování osobních údajů ze strany policie, která nespadají do věcné působnosti směrnice 2016/680, nýbrž do působnosti Obecného nařízení o ochraně osobních údajů 2016/679.

Odst. 1 využívá možnosti dané článkem 23 výše uvedeného nařízení a stanoví omezení práv subjektů údajů v rozsahu dosud daném ustanovením § 83 zákona o policii.

Odst. 2 vychází z ustanovení článku 6 výše uvedeného nařízení a stanoví možnost používat osobní údaje shromážděné podle tohoto nařízení i pro plnění úkolů policie, na které dopadá směrnice 2016/680, pokud je to nezbytné.

ČÁST DVACÁTÁ PÁTÁ

Změna daňového řádu

V daňovém řádu jako obecného procesního předpisu upravujícího správu daní je třeba provést adaptační úpravu ve vztahu k Obecnému nařízení o ochraně osobních údajů, která jednak stanoví podmínky realizace některých práv subjektu údajů prostřednictvím jejich zasazení do existujících institutů daňového řádu, a jednak v návaznosti na čl. 23 uvedeného nařízení stanoví výjimky upravující omezení některých z těchto práv.

Některé výjimky upravující omezení práv subjektu údajů, které se uplatní rovněž v rámci správy daní, jsou upraveny již samotným zákonem o zpracování osobních údajů. Zejména platí, že jeho § 11 obecně upravuje omezení některých práv a povinností tak, že články 12 až 22 Obecného nařízení o ochraně osobních údajů a v odpovídajícím rozsahu též článek 5 tohoto nařízení se použijí pouze částečně nebo se splnění povinností správce údajů nebo zpracovatele údajů nebo práva subjektu údajů stanovených těmito články odloží, je-li to nezbytné a přiměřené k předcházení vážného ohrožení ve vymezených oblastech. Jednou z takto vymezených oblastí je jiný důležitý cíl obecného veřejného zájmu Evropské unie nebo členského státu Evropské unie, zejména důležitý hospodářský nebo finanční zájem Evropské unie nebo členského státu Evropské unie, včetně peněžních, rozpočtových a daňových záležitostí, veřejného zdraví a sociálního zabezpečení. Do uvedené oblasti tak nepochybně spadá zájem na řádném výkonu správy daní. S ohledem na velmi obecný charakter této úpravy a současně na velmi široký záběr správy daní v procesním smyslu, která se nevztahuje pouze na správu daní v užším smyslu, ale rovněž na správu řady dalších peněžitých plnění a na výkonu dalších agend v procesním režimu daňového řádu, se nicméně jeví jako vhodné některá omezení práv subjektů údajů upravit v daňovém řádu výslovně, jakkoliv by zřejmě v řadě případů bylo možné tato omezení dovodit z obecné úpravy zákona o zpracování osobních údajů.

Naopak tam, kde zákon o zpracování osobních údajů řeší explicitně konkrétní omezení práv subjektu údajů při výkonu veřejné moci, tj. i pro účely správy daní, není na místě řešit tato omezení v daňovém řádu, který v těchto případech spoléhá na obecnou úpravu.

Příkladem může být omezení práva být informován o zpracování osobních údajů (čl. 13 a 14 Obecného nařízení o ochraně osobních údajů), a to buď již při získání údajů přímo od subjektu údajů (při správě daní by se tak dělo ve formě podání daňového tvrzení, učinění jiného libovolného podání apod.), nebo do jednoho měsíce od získání údajů jiným způsobem. Předmětné právo je při správě daní v obecné rovině realizováno tím, že subjektu údajů je skutečnost, že správce daně bude zpracovávat jeho osobní údaje, zjevná již ze samotné podstaty výkonu pravomoci tohoto orgánu. V konkrétní rovině je pak třeba obligatorní povinnost správce daně informovat subjekt údajů při každém podání a jiném získání údajů třeba explicitně vyloučit zákonem, neboť realizace tohoto práva by v praxi s ohledem na kvantitu těchto získání vedla k možnosti narušení řádné správy daní, a tím i narušení jejího cíle.

K dosažení tohoto cíle postačí obecné ustanovení § 8 zákona o zpracování osobních údajů. Pokud provádí správce údajů zpracování nezbytné pro splnění své právní povinnosti nebo svého úkolu prováděného ve veřejném zájmu nebo při výkonu své pravomoci, pak může podle tohoto ustanovení poskytnout informace subjektu údajů podle článku 13 odst. 1 až 3 nebo článku 14 odst. 1, 2 a 4 Obecného nařízení o ochraně osobních údajů také zveřejněním informací způsobem umožňujícím dálkový přístup. To na straně druhé nevylučuje, aby byl subjekt údajů ze strany správce daně v typických případech, kdy takový postup nezatěžuje výkon správy daní, fakultativně informován jiným způsobem. Není např. vyloučeno, aby předmětná informace byla integrována do daňových tiskopisů či byla sdělována i v případě jiných podání. V zájmu vyvážení klientského přístupu na jedné straně a funkčnosti správy daní na druhé straně (a to jak z pohledu správce daně, tak z pohledu daňového subjektu) nicméně není na místě, aby byl správce daně povinen individuálně předmětné informování provádět obligatorně ve všech případech.

Pokud by toto právo nebylo omezeno, pak by sdělení muselo obsahovat mimo jiného informaci o tom, že data mohou být použita při profilování nebo informaci o tom, že údaje budou předávány do zahraničí (například při mezinárodní spolupráci při správě daní nebo při rozhodování ve sporných případech podle zákona č. 586/1992 Sb., o daních z příjmů, ve znění pozdějších předpisů).

Zákon o zpracování osobních údajů v § 6 současně opravňuje správce daně zpracovávat osobní údaje i k jinému účelu, než pro který byly shromážděny. Obecné ustanovení § 8 zákona pak podobně omezuje právo subjektu údajů na poskytnutí informace o tomto zpracování k jinému účelu (jde o poskytnutí podle čl. 13 odst. 3 Obecného nařízení o ochraně osobních údajů).

Obecná úprava § 8 zákona o zpracování osobních údajů omezující informační povinnost správce údajů naopak není ve vztahu ke správě daní nezbytná tam, kde se údaje subjektu údajů nesdělují automaticky, ale na žádost, resp., kde se jedná o údaje obecného charakteru v rovině právního poučení. Tak je tomu např. v případě povinnosti správce údajů podle čl. 15 odst. 2 Obecného nařízení o ochraně osobních údajů sdělit subjektu údajů informace o vhodných zárukách podle čl. 46 tohoto nařízení v případě, kdy jsou osobní údaje předávány do třetí země nebo mezinárodní organizace. Zde se jedná o informace obecného charakteru, přičemž s ohledem na čl. 12 odst. 3 uvedeného nařízení se subjektu údajů poskytnou výlučně na žádost; zahrnutí této informační povinnosti pod zjednodušený režim § 8 zákona o zpracování osobních údajů tedy není nezbytné.

Dalším příkladem může být omezení práva na zpracování osobních údajů (čl. 18 odst. 1 Obecného nařízení o ochraně osobních údajů). Toto ustanovení garantuje právo subjektu údajů na omezení zpracování údajů např. na základě popření přesnosti zpracovávaných osobních údajů nebo na základě námitky subjektu údajů. Obecná úprava v § 13 zákona o zpracování osobních údajů stanoví, že v případě omezení zpracování osobních údajů podle článku 18 odst. 1 Obecného nařízení o ochraně osobních údajů není dotčena povinnost správce nebo zpracovatele tyto osobní údaje předat nebo zpřístupnit, je-li tato povinnost stanovena právním předpisem. Tyto údaje se při předání nebo zpřístupnění označí jako údaje uvedené v článku 18 odst. 1 Obecného nařízení o ochraně osobních údajů.

Obecně platí, že právo na omezení zpracování osobních údajů nemůže být prostředkem vyloučení dalšího zpracování údajů zejména při výkonu veřejné moci, např. při správě daní (podrobněji k tomu viz odůvodnění k § 59a odst. 1 písm. a) daňového řádu). Obecná úprava v § 13 zákona o zpracování osobních údajů proto explicitně stanoví, že i v případě omezení zpracování osobních údajů jejich zpochybněním, nemůže být toto omezení zpracování důvodem nesplnění informační povinnosti stanovené zákonem, tedy např. informační povinnosti vůči správci daně. Zachováno je nicméně omezení zpracování údajů v podobě označení jako údajů, jako např. údajů, jejichž správnost byla popřena nebo proti jejichž zpracování byla vznesena námitka.

Tato obecná úprava v zákoně o zpracování osobních údajů by měla dopadat nejen na informační povinnosti orgánů a osob vůči správci daně podle daňového řádu, ale i na informační povinnosti podle jiných zákonů (tj. také např. na povinnost finančních institucí podle zákona č. 164/2013 Sb., o mezinárodní spolupráci při správě daní a o změně dalších souvisejících zákonů, ve znění pozdějších předpisů).

Ačkoliv Obecné nařízení o ochraně osobních údajů v čl. 23 odst. 1 připouští zákonné omezení práv subjektu údajů, požaduje současně úpravu určitých mantinelů, v nichž se takové omezení může pohybovat. V prostředí správy daní jsou tyto mantinely v principu dány obecnou procesní úpravou daňového řádu a garancí práv daňového subjektu.

Omezení práv subjektu údajů v rámci daňového řádu je spojeno s výkonem pravomoci správců daně, tj. zákonem definovaného okruhu správců údajů, k nimž se tato omezení vztahují (viz čl. 23 odst. 2 písm. e) uvedeného nařízení). Správcem daně se ve smyslu § 10 odst. 1 daňového řádu rozumí správní orgán nebo jiný státní orgán v rozsahu, v jakém mu je zákonem nebo na základě zákona svěřena působnost v oblasti správy daní. Správcem daně jsou především orgány Finanční a Celní správy České republiky, ale také řada jiných orgánů, které spravují určitá peněžitá plnění v režimu daňového řádu, a to včetně orgánů územní samosprávy či soudů.

Podle ustanovení § 9 odst. 3 daňového řádu může správce daně shromažďovat osobní údaje a jiné údaje, jsou-li potřebné pro správu daní, a to jen v rozsahu, který je nezbytný pro dosažení cíle správy daní. K tomu, aby správce daně mohl daň správně zjistit a stanovit, musí mimo jiné získat nezbytné informace. Tyto informace mu umožňují provést nezbytné úkony, vést příslušná řízení a v důsledku daň zjistit a stanovit, eventuálně zabezpečit její úhradu. Předmětné informace jsou z povahy věci z velké míry současně osobními údaji.

Veškerá činnost správce daně je tedy z formálního hlediska limitována zákonem a z materiálního hlediska je limitována základním cílem správy daní – tj. správným zjištěním a stanovením daní a zabezpečením jejich úhrady (viz § 1 odst. 2 daňového řádu). Tím je definován účel zpracování osobních údajů (viz čl. 23 odst. 2 písm. a) Obecného nařízení o ochraně osobních údajů).

Zpracování osobních údajů správcem daně je rovněž limitováno nezbytností údajů pro výkon správy daní, a to v podobě konkrétního úkolu správce daně, což vytváří zákonem stanovený okruh osobních údajů, které má správce daně pravomoc zpracovávat (viz čl. 23 odst. 2 písm. b) Obecného nařízení o ochraně osobních údajů). Konkrétním úkolem je kterýkoliv úkol vykonávaný v rámci zákonné působnosti správce daně konkrétní úřední osobou, která je k jeho provádění oprávněna, pokud jsou uvedené údaje nezbytné pro plnění tohoto úkolu. Korektivem pro uchopení těchto úkolů je jednak explicitní zákonná pravomoc, ze které ten který úkol vyvěrá, jednak obecné limity dané především základním cílem správy daní, který představuje pro správce daně pozitivní vymezení jeho působnosti – tj. správce daně smí vykonávat to, co mu umožní zákon pro naplnění základního cíle správy daní, a zároveň negativní vymezení – správce daně nesmí vykonávat to, co je již nad rámec základního cíle správy daní. Správce daně při výkonu své působnosti musí rovněž vycházet ze základních zásad správy daní (viz § 5 až 9 daňového řádu).

Pokud jde o rozsah v rámci daňového řádu zavedených omezení práv subjektů údajů, je tento rozsah definován v rámci navržené úpravy těchto omezení, která nejsou normována jako absolutní vyloučení předmětných práv, ale samotná legislativní konstrukce těchto omezení upravuje podmínky, za nichž k těmto omezením může dojít, což naplňuje požadavek čl. 23 odst. 2 písm. c) Obecného nařízení o ochraně osobních údajů.

Daňový řád současně poskytuje daňovému subjektu, popř. třetím osobám řadu prostředků ochrany a dalších souvisejících institutů, které lze v konkrétním případě využít jak k získání informací ohledně zpracování osobních údajů správcem daně, tak k brojení proti případnému excesu správce daně při tomto zpracování (viz čl. 23 odst. 2 písm. d) Obecného nařízení o ochraně osobních údajů). Předně se jedná o instituty nahlížení do spisu, nahlížení do osobního daňového účtu či potvrzení o skutečnostech obsažených ve spisu (§ 66 a násl. daňového řádu). Nápravy lze obecně dosáhnout obdobným využitím institutu stížnosti (viz § 261 daňového řádu), pokud zákon neposkytuje jiný prostředek ochrany (zde pak podle okolností daného případu, v němž k případnému excesu došlo, lze uvažovat o aplikaci opravných a dozorčích prostředků, námitky, podnětu proti nečinnosti atd. – viz § 108 a násl., § 159 a § 38 daňového řádu).

Další úroveň garancí práv subjektu údajů představuje skutečnost, že zpracování osobních údajů správcem daně podléhá dozorové kompetenci Úřadu pro ochranu osobních údajů, vůči němuž je v tomto rozsahu prolomena daňová mlčenlivost (§ 53 odst. 1 písm. g) daňového řádu). Ochrana údajů v rámci činnosti správců daně se řídí též právní úpravou zákona č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dalších zákonů, ve znění pozdějších předpisů, a vyhlášky č. 529/2006 Sb., o požadavcích na strukturu a obsah informační koncepce a provozní dokumentace a o požadavcích na řízení bezpečnosti a kvality informačních systémů veřejné správy (vyhláška o dlouhodobém řízení informačních systémů veřejné správy). Prostřednictvím naplnění požadavků těchto předpisů je zejména zajištěno, aby se získanými údaji nakládaly toliko úřední osoby, které vykonávají předmětné úkoly (zejména sledování které osoby a v jakém rozsahu s údaji nakládají).

Informace získávané správcem daně na základě zákonných pravomocí, které se vztahují ke konkrétním daňovým subjektům, jsou součástí příslušných spisů. Nakládání s nimi, včetně otázek jejich případné skartace, se rovněž řídí předpisy o archivnictví (viz čl. 23 odst. 2 písm. f) Obecného nařízení o ochraně osobních údajů). Skutečnost, že daný údaj je potřebný pro výkon dané působnosti (plnění konkrétního úkolu), je přezkoumatelná jednak prostřednictvím příslušného spisu, a jednak prostřednictvím interních postupů správců daně, které podléhají kontrolním mechanismům v souladu s právní úpravou ochrany osobních údajů.

K bodu 1 (§ 9 odst. 3)

V § 9 odst. 3 daňového řádu je třeba reagovat na obecnou terminologii evropské i národní úpravy ochrany osobních údajů, která považuje shromažďování osobních údajů pouze za jednu z forem zpracování osobních údajů, které tak představuje v tomto ohledu zastřešující pojem. Vzhledem k obecnému charakteru předmětného ustanovení daňového řádu, které materiálně odkazuje ke zpracování osobních údajů, je třeba pojem „shromažďování“ v tomto ustanovení nahradit širším pojmem „zpracování“.

K bodu 2 (§ 59a)

Do daňového řádu se navrhuje vložit nový § 59a, který bude reagovat na právní úpravu Obecného nařízení o ochraně osobních údajů tím, že v návaznosti na jeho čl. 23 stanoví ve svém odstavci 1 výjimky upravující omezení některých práv subjekt údajů, a to nad rámec výjimek vyplývajících z obecné úpravy zákona o zpracování osobních údajů. Tyto výjimky se vztahují k následujícím právům.

Právo na omezení zpracování údajů na základě popření přesnosti zpracovávaných osobních údajů nebo na základě námitky subjektu údajů (čl. 18 odst. 1 písm. a) a d) Obecného nařízení o ochraně osobních údajů). Uvedené nařízení zde předpokládá jednak právo na vznesení námitky, která vede k pozastavení zpracování osobních údajů, pokud se neprokáží závažné oprávněné důvody pro zpracování, převažující nad zájmy, právy nebo svobodami subjektu údajů. Současně má subjekt údajů právo požadovat, aby správce údajů omezil zpracování osobních údajů, jejichž přesnost subjekt údajů popírá, a to až do doby, než je jejich přesnost správcem údajů ověřena. Samotné právo subjektu údajů brojit proti zpracování osobních údajů správcem daně by nemělo být v principu omezeno. Nicméně plná realizace uvedených práv v podobě limitace zpracování údajů by v praxi vedla k možnosti narušení řádné správy daní, a tím i narušení jejího cíle. Zejména s přihlédnutím k široce chápanému okruhu osobních údajů a jejich využití při správě daní by účelové brojení proti zpracování osobních údajů správcem daně s uvedeným omezujícím účinkem mohlo paralyzovat činnost správce daně a být velmi snadno aplikovatelným obstrukčním nástrojem. Právo na omezení zpracování v návaznosti na situace uvedené v čl. 18 odst. 1 písm. b) a c), které budou představovat v prostředí výkonu veřejné moci spíše okrajové případy bez obstrukčního potenciálu, není třeba legislativně omezovat. V souvislosti s navrženým omezením práva subjektu údajů podle čl. 18 je třeba též poznamenat, že alternativním řešením by teoreticky mohlo být zavedení pravidla o stavění lhůty pro stanovení daně podle § 148 daňového řádu po dobu vyjasňování oprávněnosti zpracování a pravdivosti osobních údajů, což by do značné míry eliminovalo možný obstrukční potenciál výkonu uvedeného práva. Toto řešení však nelze považovat za vhodné s ohledem na negativní dopady jak na daňové subjekty, tak na správu daní zejména v podobě další komplikace systému zákonných lhůt.

V souladu s recitálem 67 Obecného nařízení o ochraně osobních údajů správce daně údaje, jejichž správnost byla popřena nebo proti jejichž zpracování byla vznesena námitka, pro účely dalšího zpracování správcem daně označí jako údaje, jejichž další zpracování musí být sledováno. Tato povinnost správce daně je v navrženém ustanovení daňového řádu explicitně normována. Současně je však normováno, že zpracování zpochybněných údajů bude nadále pokračovat, a to i bez souhlasu subjektu údajů. Operace s údaji tedy budou dále pokračovat, ale správci daně bude jednoznačně známo, že tyto údaje a jejich zpracování jsou subjektem údajů zpochybněny. Formou označení pak bude úřední záznam nebo jiný vhodný způsob, který správce daně zvolí.

To, že navržené ustanovení explicitně zmiňuje možnost absence souhlasu subjektu údajů s jejich dalším zpracováním, není nadbytečnou deklarací. Je obecným principem, že pokud zákon stanoví určitému orgánu pravomoc osobní údaje zpracovávat, bez dalšího to znamená, že souhlas subjektu údajů není k takovému zpracování potřebný. Nicméně v případě předmětného ustanovení daňového řádu se jedná o speciální normu vůči ustanovení čl. 18 odst. 2 Obecného nařízení o ochraně osobních údajů, které v případě dalšího zpracování zpochybněných údajů s tímto souhlasem zvlášť výslovně počítá. Na tento požadavek tedy musí být výslovně reagováno navrženým ustanovením.

Právo nebýt předmětem automatizovaného rozhodování, včetně profilování (čl. 22 Obecného nařízení o ochraně osobních údajů), tedy hodnocení některých osobních aspektů vztahujících se k subjektu údajů, týkajících se například jeho ekonomické situace, spolehlivosti nebo místa kde se nachází. Využití profilování je nezbytné zejména v oblasti daňové analytiky a v rámci boje proti daňovým únikům, kdy je aplikováno např. v souvislosti s výběrem daňových subjektů ke kontrole (jak v rámci správy peněžitých plnění tak, např. v oblasti celního řízení), tak v jiných oblastech správy daní (např. v souvislosti s automatizovaným avizováním nedostatků elektronických podání). Ačkoliv procesů, ve kterých je automatizované rozhodování, resp. profilování zcela výlučným prvkem (tj. neexistuje zde žádný, byť jen korekční, prvek zásahu úřední osoby), je v současnosti relativně omezené množství, s budoucím rozvojem elektronizace veřejné správy lze spíše počítat se vzestupným trendem, na který by měla být legislativní úprava pokud možno připravena. Je tak nutné, aby existovalo legislativní povolení výhradně automatizovaného zpracování osobních údajů při správě daní.

Rozhodováním ve smyslu Obecného nařízení o ochraně osobních údajů se nicméně rozumí rozhodování v širším smyslu („decision making“), nikoliv pouze vydávání rozhodnutí jako správního aktu ve smyslu procesních předpisů. Fakticky se tedy v případě rozhodování v širším smyslu jedná o nejrůznější formalizované i neformalizované dílčí kroky v rámci výkonu působnosti správního orgánu. V případě rozhodnutí jako správních aktů nicméně nelze jejich automatizované vydávání připustit, a ani se tak v praxi neděje. Navržené omezení práva subjektu údajů nebýt předmětem automatizovaného rozhodování ze strany správce daně se tak výslovně nevztahuje k vydávání rozhodnutí jako procesního aktu.

Současně je výslovně normováno, že pokud správce daně bude provádět výkon správy daní výhradně na základě automatizovaného zpracování osobních údajů (s výše uvedenou výjimkou), pak bude muset uchovávat v záznamech o činnostech zpracování osobních údajů popis počítačových algoritmů a výběrová kritéria, na jejichž základě je toto zpracování prováděno, a to v zájmu umožnění pozdější kontroly. Současně je upravena minimální jednoroční lhůta pro uchování těchto informací od posledního použití pro zpracování osobních údajů daňového subjektu.

V navrženém § 59a odst. 2 daňového řádu je řešeno právo subjektu údajů na přístup k osobním údajům (čl. 15 Obecného nařízení o ochraně osobních údajů), tedy právo zjistit, jaké jeho údaje jsou zpracovávány a současně vybrané podobnosti o tomto zpracování (např. účely zpracování či informace o příjemci a zdroji osobních údajů). V rámci správy daní nicméně není na místě realizaci tohoto práva pojmout jako samostatný institut, neboť daňový řád již dnes obsahuje osvědčený mechanismus, který poskytuje dostatečnou možnost daňového subjektu seznámit se (nejen) s osobními údaji, které o něm správce daně vede. Touto možností je institut nahlížení do spisu, resp. do osobního daňového účtu podle § 66 a násl. daňového řádu. Navržené ustanovení § 59a odst. 2 daňového řádu proto výslovně normuje, že právo podle článku 15 Obecného nařízení o ochraně osobních údajů je při správě daní realizováno prostřednictvím uvedených institutů, které jsou současně cestou obdobné aplikace vztaženy i na postup při uplatnění práva na přístup k osobním údajům zpracovávaným při správě daní ze strany třetí osoby. Institut nahlížení do spisu v sobě současně integruje podrobná pravidla, která upravují kdy a za jakých podmínek lze toto nahlížení provést. Tato pravidla budou současně vztažena též na realizaci práva podle článku 15 Obecného nařízení o ochraně osobních údajů. Významným je především fakt, že spis podle daňového řádu obsahuje tzv. vyhledávací část a do této části spisu nemá subjekt údajů bez dalšího přístup, jakkoliv se nejedná o časově nelimitované omezení.

V navrženém § 59a odst. 3 daňového řádu je následně řešena otázka realizace práva vznést námitku nebo jiný prostředek ochrany proti zpracování osobních údajů. Právo vznést námitku předpokládá Obecné nařízení o ochraně osobních údajů ve svém čl. 21. Ačkoliv lze toto právo s ohledem na zastřešující význam pojmu „zpracování“ osobních údajů chápat jako garanci univerzálního prostředku ochrany v souvislosti s ochranou osobních údajů, uvedené nařízení současně zmiňuje některá další práva, která může subjekt údajů realizovat prostřednictvím příslušného podání (např. právo na opravu a právo na doplnění neúplných osobních údajů podle čl. 16 a právo na výmaz podle čl. 17). Není zcela jasné, zda realizace těchto práv má probíhat formou námitky (konstrukce ustanovení čl. 18 odst. 1 písm. a) a d) spíše svědčí tomu, že se jedná o samostatná podání stojící vedle námitky). V navrženém legislativním textu je proto vedle námitky výslovně odkazováno právě také k „jiným prostředkům ochrany“. Mezi tyto prostředky nicméně nebude patřit institut potvrzení o zpracování údajů podle čl. 15 Obecného nařízení o ochraně osobních údajů. Tento institut však není třeba v rámci adaptace na uvedené nařízení zvlášť normovat, neboť je v rámci správy daní realizován institutem potvrzení o skutečnostech obsažených ve spisu podle § 67 odst. 3 daňového řádu.

Jak v případě námitky, tak uvedených jiných prostředků ochrany, které Obecné nařízení o ochraně osobních údajů předpokládá, nicméně neupravuje specifický procesní postup pro uplatnění a vyřízení těchto procesních institutů. V zájmu jejich ukotvení v rámci daňového řádu se proto navrhuje stanovit, že právo vznést námitku nebo jiný prostředek ochrany proti zpracování osobních údajů uplatňuje subjekt údajů obdobným využitím institutu stížnosti podle § 261 daňového řádu. Tím je realizace uvedených práv umožněna pomocí standardního institutu daňového řádu, který disponuje dostatečnou procesní úpravou a dlouhodobou aplikační praxí. Současně platí, že na základě § 261 odst. 1 daňového řádu si i stížnost proti zpracování osobních údajů ponechá subsidiární charakter stížnosti, která se aplikuje pouze v případě, že daňový řád neupravuje v dané věci jiný prostředek ochrany. Například nesprávnost údajů zpracovávaných správcem daně, která měla vliv na průběh nalézacího řízení při správě daní a vedla k vydání nezákonného rozhodnutí, bude moci být napadena pouze prostředkem k tomu určeným, tj. odvoláním proti tomuto rozhodnutí.

ČÁST DVACÁTÁ ŠESTÁ

Změna zákona o Generální inspekci bezpečnostních sborů

Návrhy změn zejména provádějí směrnici 2016/680 o ochraně osobních údajů.

K § 43 až 53b

Z důvodu implementace směrnice 2016/680 se v těchto ustanoveních provádějí obdobné změny, jako v ustanoveních § 79 až 88a zákona o policii. Tyto změny jsou v zásadě (viz níže) obsahově stejné, nicméně vycházejí ze systematiky a specifické terminologie zákona o GIBS.

V podrobnostech se odkazuje na rozbor změn u § 79 – 88b zákona o policii. Substantivní odlišnosti jsou zejména v tom, že:

- zákon o GIBS neobsahuje úpravu odpovídající novému § 80b odst. 2 zákona o policii, neboť GIBS není orgánem odpovědným za provoz Schengenského informačního systému v rámci ČR; a takovou úpravu neobsahoval ani dříve

- zákon o GIBS neobsahuje úpravy odpovídající novým § 84a až 84d zákona o policii, neboť do tohoto zákona není nutno zapracovat směrnici 2016/681 o využití údajů jmenné evidence cestujících (PNR)

- úprava pověřence v § 53a zákona o GIBS je stručnější, neboť do tohoto zákona není nutno zapracovat směrnici 2016/681 o využití údajů jmenné evidence cestujících (PNR).

ČÁST DVACÁTÁ SEDMÁ

Změna zákona o doplňkovém penzijním spoření

V souvislosti s adaptací právního řádu na nové nařízení GDPR je nutné upravit také zákon o doplňkovém penzijním spoření tak, aby byla zcela nepochybně upravena zákonnost zpracování potřebných osobních údajů Ministerstvem financí při poskytování státního příspěvku a výkonu zákonných povinností a penzijními společnostmi při vykonávání zákonných povinností.

ČÁST DVACÁTÁ OSMÁ

Změna zákona o Finanční správě České republiky

K bodu 1 (nadpis části čtvrté)

Jedná se o legislativně technickou úpravu, kdy se nadpis dává do souladu s textem ustanovení.

K bodu 2 (§ 17a)

Do zákona o Finanční správě České republiky se navrhuje vložit nový § 17a, který bude představovat obecnou úpravu zpracování údajů orgány Finanční správy České republiky. V odstavci 1 se navrhuje explicitně uvést výchozí normu, podle níž tyto orgány zpracovávají osobní údaje a jiné údaje, jsou-li potřebné pro výkon jejich působnosti. Tato skutečnost je dosud dovozována z obecných procesních předpisů, v duchu symetrie s obdobně koncipovaným zákonem č. 17/2012 Sb., o Celní správě České republiky, ve znění pozdějších předpisů (dále jen „ZCS“), je však vhodné explicitní uvedení, které navíc vhodně zahajuje úpravu celé části čtvrté zákona.

Dále ustanovení reaguje v odstavcích 2 a 3 na právní úpravu Obecného nařízení o ochraně osobních údajů, a to v zásadě analogicky s právní úpravou navrženého § 59a daňového řádu. V návaznosti na čl. 23 uvedeného nařízení se stanoví v odstavci 2 výjimky upravující omezení některých práv subjektu údajů a v odstavci 3 je pak řešen princip realizace práva vznést námitku nebo jiný prostředek ochrany proti zpracování osobních údajů obdobným využitím institutu stížnosti (podle § 261 daňového řádu, resp. podle § 175 správního řádu v závislosti na procesním režimu příslušné agendy, v jejímž rámci je stížnost aplikována). Pokud jde o limity předmětných omezení práv subjektu údajů, platí do značné míry analogicky to, co bylo podobně uvedeno v odůvodnění novely daňového řádu (při využití obdobných norem správního řádu v případě agend, které orgány Finanční správy České republiky vykonávají v tomto procesním režimu).

V odstavci 4 je konečně stanoveno, že funkce pověřence pro ochranu osobních údajů (předvídaná Obecným nařízením o ochraně osobních údajů) může být vykonávána jednou osobou pro celou soustavu orgánů Finanční správy České republiky, popřípadě pro několik těchto orgánů, aniž by musel být tento pověřenec jmenován zvlášť pro každý finanční úřad, resp. pro Odvolací finanční ředitelství, přičemž je zde zejména najisto postaveno, že jmenování pověřence nebo pověřenců je v pravomoci generálního ředitele Generálního finančního ředitelství (toto vyjasnění má význam zejména s ohledem na to, že pověřencem bude státní zaměstnanec, který může být zařazen na některém z nižších orgánů soustavy a generální ředitel vůči němu obecně nemusí být v postavení služebního orgánu podle zákona č. 234/2014 Sb., o státní službě, ve znění pozdějších předpisů).

ČÁST DVACÁTÁ DEVÁTÁ

Změna zákona o Celní správě České republiky

V rámci novely ZCS se s ohledem na spektrum působnosti orgánů Celní správy České republiky řeší jak adaptace na Obecné nařízení o ochraně osobních údajů, tak implementace směrnice 2016/680. V rámci novely se současně navrhuje několik změn nad rámec této problematiky, které jsou dlouhodobě poptávány a vzhledem ke svému omezenému rozsahu není účelné v jejich případě zatěžovat právní řád další samostatnou novelou ZCS.

K bodu 1 a 2 (nadpis části páté a hlavy I)

Jedná se o legislativně technickou úpravu, kdy se nadpisy dávají do souladu s textem ustanovení.

K bodu 3 (§ 56 a § 57)

V rámci ZCS se navrhuje reformulovat stávající ustanovení § 56 a § 57 s tím, že dojde k vypuštění některých nadbytečných ustanovení a současně bude reagováno na právní úpravu Obecného nařízení o ochraně osobních údajů, resp. směrnice 2016/680. Ustanovení § 56 a § 57 ZCS jsou navíc koncipována tak, že dopadají jak na oblast působnosti uvedeného nařízení, tak na oblast působnosti uvedené směrnice s tím, že pravidla vztahující se pouze na oblast směrnice jsou pak upravena v navazujících částech legislativního textu.

Obdobně jako ve stávajícím znění se v odstavci 1 navrhuje explicitně uvést výchozí normu, podle níž orgány Celní správy České republiky zpracovávají osobní údaje a jiné údaje, jsou-li potřebné pro výkon jejich působnosti (zde navíc s výslovným uvedením možnosti zpracovávat zvláštní kategorie údajů s ohledem na působnost orgánů Celní správy České republiky jako orgánů činných v trestním řízení). Dále je do odstavce 1 navrženo přemístit ustanovení již platného § 57 odst. 3 ZCS, které umožňuje orgánům Celní správy České republiky nepředat údaje jiným orgánům veřejné moci či jiným osobám, pokud by to podstatným způsobem ohrozilo výkon jejich vlastní působnosti.

Dále ustanovení reaguje v odstavcích 2 a 3 na právní úpravu Obecného nařízení o ochraně osobních údajů, a to v zásadě analogicky s právní úpravou navrženého § 59a daňového řádu. V návaznosti na čl. 23 uvedeného nařízení se stanoví v odstavci 2 výjimky upravující omezení některých práv subjektu údajů a v odstavci 3 je pak řešen princip realizace práva vznést námitku nebo jiný prostředek ochrany proti zpracování osobních údajů obdobným využitím institutu stížnosti (podle § 261 daňového řádu, resp. podle § 175 správního řádu v závislosti na procesním režimu příslušné agendy, v jejímž rámci je stížnost aplikována). Pokud jde o limity předmětných omezení práv subjektu údajů, platí do značné míry analogicky to, co bylo podobně uvedeno v odůvodnění novely daňového řádu (při využití obdobných norem správního řádu v případě agend, které orgány Celní správy České republiky vykonávají v tomto procesním režimu).

Nový text § 57 je věnován institutu pověřence pro ochranu osobních údajů. Vzhledem k nutnosti provést transpozici směrnice 2016/680 v souvislosti s tímto institutem je navržena jeho společná úprava pro oblast Obecného nařízení o ochraně osobních údajů i směrnice 2016/680, která zejména upravuje úkoly tohoto pověřence. Analogicky jako v případě Finanční správy České republiky je normováno, že role pověřence může být vykonávána jednou osobou pro celou soustavu orgánů Celní správy České republiky, popřípadě pro několik těchto orgánů, aniž by musel být tento pověřenec jmenován zvlášť pro každý orgán Celní správy České republiky, přičemž je zde zejména najisto postaveno, že jmenování pověřence nebo pověřenců je v pravomoci generálního ředitele Generálního ředitelství cel.

K bodu 4 (§ 58 odst. 1)

V demonstrativním výčtu evidencí, do nichž je orgánům Celní správy České republiky zajištěn přístup, je uvedena další evidence, ze které jsou orgány Celní správy České republiky oprávněné získávat údaje. Jedná se o údaje ze jmenné evidence cestujících. Orgány Celní správy České republiky jsou podle § 84a odst. 2 zákona o policii využívajícím orgánem údajů ze jmenné evidence cestujících, která je vedena v souladu se směrnicí Evropského parlamentu a Rady (EU) 2016/681 ze dne 27. dubna 2016 o používání údajů jmenné evidence cestujících (PNR) pro prevenci, odhalování, vyšetřování a stíhání teroristických trestných činů a závažné trestné činnosti.

K bodu 5 (nadpis hlavy IV v části páté)

Jedná se o legislativně technickou úpravu, kdy se nadpisy dávají do souladu s textem ustanovení.

V rámci dotčené hlavy je provedena transpozice směrnice 2016/680; v souvislosti s tím se mění pojmenování dotčené hlavy, přičemž toto odpovídá pro podmínky Celní správy České republiky předmětu a cíli stanoveným v čl. 1 uvedené směrnice. Ustanovení hlavy IV jsou ve vztahu k § 56 ZCS ustanoveními speciálními. Přestože je v dotčené hlavě používán pojem „orgány celní správy“ je nutno tento pojem vykládat fakticky úžeji, a to především s ohledem k účelu, který je v rámci dotčené hlavy upraven. Zpracovávat osobní údaje za účelem stanoveným v § 60 odst. 1 ZCS budou moci především pověřené celní orgány (viz § 4 odst. 1 písm. d) ZCS), útvary celní správy provádějící tzv. rizikovou analýzu (viz § 4 písm. e) ZCS) a útvary poskytující informační podporu v těchto oblastech.

K bodu 6 (§ 60 až 62)

Ustanovení § 60 je základním ustanovením odkazujícím na transpozici směrnice 2016/680, které současně specifikuje účely, při jejichž plnění orgány Celní správy České republiky postupují při zpracovávání osobních údajů odlišně od Obecného nařízení o ochraně osobních údajů. Uvedené účely logicky zahrnují jak zpracování osobních údajů v rámci trestního řízení, tak i mimo něj, a to především v rámci předcházení a vyhledávání trestné činnosti, neboť pověřené celní orgány mají postavení policejního orgánu v řízení o trestných činech spáchaných porušením celních předpisů a předpisů o dovozu, vývozu nebo průvozu zboží, a to i v případech, kdy se jedná o trestné činy příslušníků ozbrojených sil nebo bezpečnostních sborů, právních předpisů při umístění a pořízení zboží v členských státech Evropské unie, je-li toto zboží dopravováno přes státní hranice České republiky, daňových předpisů upravujících daň z přidané hodnoty a daňových předpisů v případech, kdy jsou orgány Celní správy České republiky správcem daně podle jiných právních předpisů. Podle těchto ustanovení orgány Celní správy České republiky rovněž postupují při výkonu vymezených činností v rámci zajišťování bezpečnosti, včetně úkonů souvisejících s pátráním po osobách a věcech. Stejně tak i při výkonu analytických činností, neboť tímto dochází k naplňování jedné ze základních úloh celního orgánu stanovené právním předpisem Evropské unie (v článku 3 písm. c), celního kodexu Unie (2013/952)), a to přijímat opatření zaměřená zejména na zajištění bezpečnosti a zabezpečení Unie a osob pobývajících na jejím území a ochranu životního prostředí.

Orgány Celní správy České republiky mohou zpracovávat jakékoliv osobní údaje, tj. neexistují kategorie osobních údajů, které orgány Celní správy České republiky zpracovávat nemohou, avšak pouze za účelem uvedeným v odstavci 1, a pouze v rozsahu nezbytném ke splnění účelu (viz zásada minimalizace dat). Povoluje se i zpracování osobních údajů získaných podle odstavce 1 i pro výkon jiné působnosti svěřené orgánům Celní správy České republiky, včetně spolupráce s jinými orgány veřejné moci. Zároveň se reflektuje, že směrnice 2016/680 neumožňuje orgánům vymáhání práva zpracovávat osobní údaje na základě souhlasu (nebo žádosti) subjektu údajů, neboť Evropská unie se obává nerovnovážného postavení mezi takovým orgánem a fyzickou osobou, a tím i fakticky nesvobodného souhlasu. Přesto se mohou vyskytnout případy, kdy budou orgány Celní správy České republiky zpracovávat osobní údaje na podnět fyzických osob a v jejich prospěch.

Stanovují se přísnější pravidla pro zacházení s většinou kategorií osobních údajů, které byly dosud označovány jako tzv. „citlivé“. Sběr citlivých dat je omezen pouze na případy, kdy je to zcela nezbytné pro účely určitého šetření.

Zároveň se zajišťují různé režimy pro zpracování osobních údajů. Z toho vyplývá pro orgány Celní správy České republiky povinnost zpracovávat osobní údaje pro účely stanovené v odstavci 1 odděleně od osobních údajů zpracovávaných pro jiný účel v souladu s Obecným nařízením o ochraně osobních údajů (resp. podle hlavy I ZCS).

Nově se upravuje (obdobně jako v § 85 zákona o policii) oprávnění shromažďovat osobní údaje různými způsoby nebo pod záminkou jiného účelu nebo činnosti, a to především na případné hrozícího zmaření účelu podle odstavce 1. Zároveň se stanovuje oprávnění sdružovat osobní údaje získané při zajišťování jiného účelu než stanoveného v odstavci 1 pro účely v něm stanovené. V daném případě se jedná o výjimku z obecných zásad a pravidel pro zpracovávání osobních údajů.

Ustanovení § 61 ZCS upravuje obecné podmínky pro předání nebo zpřístupnění osobních údajů. Nahrazuje se tím částečně úprava dosavadního § 57 ZCS. Nově se stanovuje, že orgány Celní správy České republiky mohou osobní údaje předat i bez žádosti, avšak pouze pokud je splněna některá z taxativně uvedených podmínek.

Je možné konstatovat, že předání osobních údajů bez žádosti je pro danou oblast na úrovni přímo použitelných předpisů Evropské unie v současné době upraveno pouze v rámci rámcového rozhodnutí Rady 2006/960/SVV o zjednodušení výměny operativních informací a jiných informací mezi donucovacími orgány členských států Evropské unie (čl. 7). Lze však předpokládat, že s ohledem na priority v oblastech veřejného pořádku a vnitřní bezpečnosti mohou vzniknout i další přímo použitelné předpisy EU, které budou obdobné postupy upravovat.

V souladu s čl. 7 odst. 3 směrnice 2016/680 se stanovuje omezení v podobě zákazu předávání nepřesných osobních údajů a řešení situací, kdy dojde k nesprávnému předání údajů. Pokud k takovému předání dojde, orgány Celní správy České republiky jsou povinny zpětně informovat příslušný orgán, kterému nepravdivé, nepřesné nebo nesprávně předané osobní údaje předaly, aby se udržela integrita a důvěrnost procesu odhalování nebo vyšetřování trestné činnosti. Ze stejného důvodu musí být označeny i neověřené osobní údaje.

Zároveň se stanovuje, že předané osobní údaje lze využít k jiným účelům, než ke kterým byly předány, pouze pokud k tomu udělí orgány Celní správy České republiky souhlas, případně mohou orgány Celní správy České republiky stanovit specifické podmínky k dalšímu zpracování a využití předaných osobních údajů (s výhradou předávání v rámci Evropské unie a schengenského prostoru). Toto reflektuje obecné zásady zpracování osobních údajů stanovené směrnicí 2016/680.

Navržené ustanovení § 62 ZCS je speciálním ustanovením k § 61 tohoto zákona upravujícímu pravidla pro vnitrostátní předávání osobních údajů s tím, že v souladu se směrnicí 2016/680 stanoví tituly pro předání osobních údajů jiným orgánům veřejné správy České republiky k plnění úkolů v rámci jejich působnosti, je-li to nezbytné k zajištění řádného fungování veřejné správy v České republice.

K bodu 7 (nadpis hlavy III v části šesté)

Jedná se o legislativně technickou úpravu, kdy se nadpis dává do souladu s textem ustanovení tak, aby odpovídal obsahu dané hlavy, především s ohledem na obsah následujících hlav části šesté ZCS. Ustanovení hlavy III jsou implementací rámcového rozhodnutí 2006/960/SVV. Spolupráce zahrnující také výměnu informací (ve smyslu operativní informace ve smyslu § 67 odst. 3 ZCS) podle tohoto rámcového rozhodnutí se vztahuje též na státy schengenského prostoru, kterými jsou Švýcarsko, Norsko, Lichtenštejnsko a Island (jakožto země přidružené k schengenskému prostoru). Není tedy důvod mezi nimi a členskými státy Evropské unie v rámci postupů při výměně informací dělat rozdíl. Pokud budou součástí operativní informace též osobní údaje, musí pověřený celní orgán tyto osobní údaje předat pouze v souladu s ustanoveními hlavy IV této části ZCS.

K bodu 8 (nadpis hlavy IV v části šesté)

Jedná se o legislativně technickou úpravu, kdy se nadpis dává do souladu s textem ustanovení tak, aby odpovídal obsahu dané hlavy, která obsahuje transpozici směrnice 2016/680, a to konkrétně ustanovení týkající se předávání osobních údajů v rámci Evropské unie a schengenského prostoru.

K bodu 9 (§ 72a)

Jedná se o speciální ustanovení upravující předávání osobních údajů v rámci Evropské unie a schengenského prostoru. Podle směrnice 2016/680 v podstatě nelze předávání v rámci tohoto prostoru omezit více, než vnitrostátní předávání mezi orgány příslušnými pro potírání trestné činnosti. Z výše uvedeného vyplývá, že se na předávání osobních údajů obdobně uplatní ustanovení § 61 a 62 ZCS.

Vymezuje se spolupráce vůči „bezpečnostnímu sboru nebo donucovacímu orgánu“ členského státu Evropské unie nebo přidruženého státu (Švýcarsko, Norsko, Lichtenštejnsko a Island jakožto země přidružené k schengenské spolupráci uplatňují předpisy k provedení směrnice 2016/680 jako celku, není tedy důvod postupovat odlišně mezi nimi a členskými státy Evropské unie v rámci možností předání osobních údajů). Dále jsou zde zmíněny organizace Europol a Eurojust, neboť se jedná o mezinárodní organizace, které nelze subsumovat pod bezpečnostní sbor nebo donucovací orgán členského státu Evropské unie nebo přidruženého státu.

K bodu 10 a 11 (nadpis § 73 a nadpis hlavy V v části šesté)

Jedná se o legislativně technickou úpravu, kdy se nadpisy dávají do souladu s textem ustanovení.

K bodu 12 (§ 73a)

Upřesňují se ustanovení, která se přiměřeně použijí při výměně operativních informací, případně zvláštní postupy, pokud jsou konkrétně stanoveny v rámci mezinárodních dohod, přičemž v souladu se směrnicí jsou do systému výměny operativních informací nově zahrnuty i mezinárodní organizace (např. Interpol).

K bodu 13 (§ 73b a § 73c)

Ustanovení § 73b odst. 1 ZCS naplňuje požadavek čl. 35 odst. 1 písm. b) směrnice 2016/680 na vyjádření nezbytnosti a kvalifikace příjemců (Interpol, zahraniční bezpečnostní sbor nebo obdobný orgán mezinárodní organizace).

V odst. 2 je vyjádřen požadavek na úroveň ochrany osobních údajů ve třetí zemi, která musí být v zásadě rovnocenná pravidlům Evropské unie, byť nemusí být dosažena stejnými prostředky. Posuzování a vydávání rozhodnutí o úrovni ochrany je plně v kompetenci Komise (viz čl. 36 směrnice 2016/680).

Odstavcem 3 je implementován článek 37 směrnice 2016/680. V případech, kdy na konkrétní zemi není Komisí vydáno rozhodnutí, lze při předávání osobních údajů přijmout (zohlednit) i jiné vhodné záruky, které mohou být stanoveny buď dohodou na úrovni Evropské unie (jako je tzv. zastřešující dohoda mezi Evropskou unií a USA vyhlášená v Úředním věstníku pod č. 2016/2220) nebo na úrovni členského státu (například Sdělení Ministerstva zahraničních věcí č. 41/2014 Sb. m. s. o sjednání Smlouvy mezi Českou republikou a Státem Izrael o spolupráci v boji proti trestné činnosti, nebo Sdělení Ministerstva zahraničních věcí č. 92/2013 Sb. m. s. o sjednání Smlouvy mezi vládou České republiky a vládou Ruské federace o spolupráci v oblasti boje proti trestné činnosti). Zvláštní ustanovení o ochraně osobních údajů je běžnou součástí smluv o celní (policejní) spolupráci nebo o boji proti trestné činnosti.

Právní úprava v odstavcích 4 a 5 bude dopadat na případy málo frekventované spolupráce se třetími zeměmi, se kterými nejsou uzavřeny relevantní mezinárodní smlouvy nebo se na ně nevztahují jiné obvyklé postupy, které by poskytovaly odpovídající záruky, ale spolupráce je pro výkon působnosti orgánů Celní správy České republiky přesto nutná. V těchto případech je nezbytné provést vážení základních práv a svobod dotčené osoby a veřejného zájmu na plnění úkolu policie nebo na ochraně právních zájmů jiné osoby. Současně je vyjádřeno i oprávnění orgánů Celní správy České republiky vyslovit souhlas s dalším předáváním poskytnutých osobních údajů, případně si stanovit podmínku, že v případě dalšího předávání musí být o tomto informovány.

Odst. 6 stanovuje záruky ochrany osobních údajů při jejich předání mezinárodní organizaci nebo zahraničnímu bezpečnostnímu sboru.

Ustanovení § 73c ZCS je koncepčně novým ustanovením, které zapracovává čl. 39 směrnice 2016/680. Jde o článek přijatý na základě praxe řady západních členských států, kde se celní orgány při zjišťování informací ze zahraničí k jednotlivým případům obracejí nejen na celní (případně policejní orgány) druhého státu, ale také na jiné orgány nebo na soukromoprávní subjekty. Typické to může být u orgánů, které vedou evidence, nebo u soukromoprávních subjektů, které spravují informace pro jiné (například poskytují bezplatné e-mailové schránky nebo poskytují určité komunikační platformy a mohou identifikovat jejich uživatele). Takové orgány nebo subjekty často mohou podle vnitrostátního práva vyhovět žádosti cizího policejního orgánu a informovat jej o relevantních skutečnostech. Ustanovení samo žádné povinnosti dožádaným osobám nebo orgánům nestanoví; záleží zcela na jejich národních právních předpisech, zda žádosti vyhoví. Smyslem ustanovení je poskytnout právní základ pro spolupráci, která neprobíhá přímo s orgánem policejní nebo justiční povahy druhého státu.

ČÁST TŘICÁTÁ

Změna zákona o mezinárodní justiční spolupráci

K poznámce pod čarou č. 1

Jedná se o formální úpravu poznámky pod čarou v souvislosti se zrušením rámcového rozhodnutí Rady 2008/977/SVV a jeho nahrazení směrnicí 2016/680.

K § 15

V souladu s článkem 60 a 61 směrnice 2016/680 zůstávají v platnosti právní akty Evropské unie v oblasti justiční spolupráce v trestních věcech a policejní spolupráce;

totéž platí pro mezinárodní dohody zahrnující předávání osobních údajů do třetích zemí či mezinárodním organizacím, pokud byly uzavřeny před 6. 5. 2016. V těchto případech se tedy přímo uplatní režim daných právních aktů Evropské unie nebo mezinárodních smluv. Pro členské státy, pro něž není směrnice 2016/680 závazná, se uplatní režim platný pro třetí státy, nestanoví-li mezinárodní dohoda jinak.

K § 16

§ 16 upravuje ochranu osobních údajů předávaných z ČR a v návaznosti na čl. 9 odst. 3 a 4 směrnice 2016/680 ukládá informovat příjemce osobních údajů o zvláštních podmínkách pro zpracování osobních údajů a zároveň garantuje, že pro příjemce v jiných členských státech nebudou stanovovány zvláštní podmínky nad rámec těch, které jinak platí mezi vnitrostátními subjekty.

Stávající odstavec 5 se zrušuje z důvodu zrušení rámcového rozhodnutí Rady 2008/977/SVV; stávající odstavec 6 se zrušuje z důvodu přenesení právní úpravy, kterou obsahuje, do navrhovaného § 18.

K § 17

Ustanovení upravuje ochranu osobních údajů předaných do ČR v souladu s čl. 9 odst. 3 směrnice 2016/680 (tímto je zajištěno respektování zvláštních podmínek pro zpracování osobních údajů stanovené předávajícím orgánem jiného členského státu). Dále se dle čl. 7 odst. 3 této směrnice stanoví pravidlo pro postup po informování příslušného orgánu ČR o tom, že jemu předané osobní údaje jsou nesprávné nebo byly předány v rozporu se zákonem.

K § 18

Navrhované ustanovení transponuje čl. 35 až 38 směrnice 2016/680 a obsahuje pravidla pro předávání osobních údajů do jiného státu, který není členským státem nebo přidruženým státem, je-li to nezbytné pro předcházení, vyhledávání, odhalování trestné činnosti, trestní řízení nebo zajišťování veřejného pořádku a bezpečnosti (v obecném smyslu, nikoli pouze v České republice, ale též ve vztahu ke státu, do kterého se osobní údaje předávají). Odstavec 1 předně vymezuje účely, pro které mohou být osobní údaje předány nebo zpřístupněny. Odstavec 2 upravuje předávání osobních údajů založené na základě rozhodnutí Komise o odpovídající úrovni ochrany (rovnocennosti úrovně ochrany osobních údajů ve třetím státu pravidlům platným v EU). Odstavec 3 implementuje čl. 37 směrnice 2016/680 o vhodných zárukách, odstavec 4 a 5 pak čl. 38 o výjimkách pro specifické situace. Odstavec 6 a 7 implementuje čl. 35 odst. 1 písm. e) a odst. 2 uvedené směrnice a stanoví pravidla pro udílení souhlasu s dalším předáním osobních údajů předaných z ČR do jiného třetího státu a vyžadování souhlasu jiného členského státu s dalším předáním osobních údajů z ČR do třetího státu.

K § 19

Navrhované ustanovení poskytuje v souladu s čl. 39 směrnice 2016/680 právní základ pro spolupráci, která neprobíhá přímo s příslušným orgánem třetího státu, ale přímo s konkrétní osobou v tomto státě nebo jiným orgánem tohoto státu, pokud by standardní postup podle § 18 nevedl k včasnému a řádnému splnění úkolu.

K § 193 odst. 8

Dne 24. listopadu 2016 vstoupila v platnost směrnice Evropského parlamentu a Rady (EU) 2016/1919 ze dne 26. října 2016 o právní pomoci pro podezřelé nebo obviněné osoby v trestním řízení a pro osoby vyžádané v rámci řízení týkajícího se evropského zatýkacího rozkazu.

Tato směrnice upravuje právo na bezplatnou právní pomoc obhájce osobám, které postrádají dostatečné finanční prostředky na úhradu nákladů obhajoby v trestním řízení (čl. 4 směrnice) a předávacím řízení (čl. 5 směrnice). Český právní řád byl vyhodnocen jako plně odpovídající požadavkům směrnice, výjimku představuje pouze zajištění bezplatného spolupracujícího obhájce osobám, o jejichž předání jde a které jsou zatčeny v jiném členském státě za účelem výkonu evropského zatýkacího rozkazu vydaného českým soudem (čl. 5 odst. 2 směrnice). Tzv. spolupracující obhájce zvolený ve vyžadujícím státě poskytuje pomoc obhájci zvolenému nebo ustanovenému v předávacím řízení v předávajícím státě. Úkolem spolupracujícího obhájce je zejména přezkoumat trestní řízení, ve kterém byl vydán evropský zatýkací rozkaz, a sdělit svému kolegovi v předávajícím státě skutečnosti podstatné pro předávací řízení, které mohou být důvodem pro rozhodnutí o nepředání (srov. § 205 odst. 2 tohoto zákona).

Tato dvojí obhajoba byla do českého právního řádu zavedena při implementaci čl. 10 odst. 4 a 5 směrnice Evropského parlamentu a Rady 2013/48/EU ze dne 22. října 2013 o právu na přístup k obhájci v trestním řízení a řízení týkajícím se evropského zatýkacího rozkazu a o právu na informování třetí strany a právu na komunikaci s třetími osobami a konzulárními úřady v případě zbavení osobní svobody. Při implementaci této směrnice se předpokládalo, že si osoba zvolí spolupracujícího obhájce v České republice jako vyžadujícím státě vždy na své náklady, proto bylo v § 193 odst. 8 zákona o mezinárodní justiční spolupráci ve věcech trestních výslovně vyloučeno použití § 33 odst. 2 trestního řádu. Zrušení této části věty za středníkem umožní aplikaci § 33 odst. 2 trestního řádu, neboť podle § 3 odst. 1 zákona o mezinárodní justiční spolupráci ve věcech trestních se trestní řád použije subsidiárně.

ČÁST TŘICÁTÁ PRVNÍ

Změna zákona o Vojenské policii

K § 11a

Vedle § 28 zákona o Vojenské policii upravujícího odebírání otisků prstů, měření těla a dalších podobných identifikačních úkonů je nově navrhováno oprávnění vojenského policisty k možnosti získat za zákonem stanovených podmínek osobní údaje umožňující i v budoucnu ztotožnit fyzickou osobu podle získaných dat. Tímto způsobem lze provést u fyzické osoby, u které je zvýšená pravděpodobnost recidivy, identifikační úkony, které umožní identifikovat fyzickou osobu v případě, že se v budoucnu dopustí trestného činu a zanechá po sobě stopy. Navrhované ustanovení uvádí taxativní výčet identifikačních úkonů, které lze provést. Vojenská policie by tak mohla sejmout daktyloskopické otisky (otisky prstů, dlaní), prohlížet tělo osoby ke zjištění individuálních tělesných znaků, provádět měření těla (antropometrická měření), pořizovat audio, vizuální aj. obdobné záznamy (např. rentgenový snímek) a odebírat biologické vzorky umožňující získání informací o genetickém vybavení (sliny, ale i vlasy apod.). Typicky se institut uplatní např. u trestných činů násilných, kde jejich pachatelé často zanechávají větší množství stop. Oproti institutu prokazování totožnosti se v případě tohoto ustanovení vytváří předpoklad pro budoucí identifikaci fyzické osoby. Tento institut je tak velmi účinnou prevencí recidivy a reviktimizace zejména v případě těch nejzávažnějších trestných činů, jako jsou trestné činy proti životu a zdraví. Toto oprávnění je zákonem povoleným omezením práva na nedotknutelnost fyzické osoby dle čl. 7 odst. 1 Listiny základních práv a svobod. Navrhované ustanovení je obdobné ustanovení § 65 zákona o Policii České republiky.

Při odběru biologického vzorku umožňujícího získání informace o genetickém vybavení se postupuje neinvasivně - např. bukální stěr. Analýzou získaných biologických vzorků (např. slin) se získává toliko informace o tzv. genetickém profilu. Tato informace umožňuje jednoznačně identifikovat fyzickou osobu a určit její pohlaví. Žádnou jinou informaci o genetickém vybavení z tohoto profilu získat nelze. Použití pojmu „biologické vzorky umožňující získat informaci o genetickém vybavení“ v kombinaci se zásadou přiměřenosti tvoří právní překážku pro zjišťování jiných než výše uvedených informací o genetickém vybavení.

Potřebné je také uvést, že na zpracovávání takto získaných údajů plně dopadá úprava ochrany osobních údajů jak podle návrhu zákona, tak podle obecné právní úpravy. Vojenská policie samostatnou evidenci získaných osobních údajů nevede, ale tyto získané osobní údaje předává včetně všech souvisejících pravomocných rozhodnutí v trestním řízení Policii České republiky pro plnění jejích úkolů. V rámci spolupráce pak Vojenská policie recipročně využívá příslušné evidence vedené Policií České republiky.

Na zpracovávání osobních údajů se pak vztahuje také úprava podmínek pro zlikvidování takto získaných údajů poté, kdy pomine účel jejich pořízení.

Oproti institutu prokazování totožnosti se v případě tohoto ustanovení vytváří předpoklad pro budoucí identifikaci fyzické osoby jako preventivní opatření (k tomu blíže viz kapitola VIII. obecné části důvodové zprávy).

Vojenská policie v rámci mezinárodní spolupráce v boji proti terorismu, provádí sběr biometrických dat zadržených fyzických osob v zahraničních operacích (otisky prstů, fotografie obličeje, oční duhovky, DNA), které se aktivně podílejí nebo jsou důvodně podezřelé z napomáhání přípravy teroristických útoků vůči našim či koaličním jednotkám, a to za účelem ztotožnění těchto fyzických osob. Aby bylo možné i v budoucnu tyto fyzické osoby ztotožnit, je za tímto účelem pořizována fotodokumentace speciálních znaků na těle těchto fyzických osob např. tetování, amputace horních či dolních končetin popřípadě jejich částí – konečky prstů apod. V rámci prevence ochrany vlastních či koaličních jednotek je tento sběr biometrických údajů prováděn u lokálních obyvatel, kteří žádají o práci na základnách v průběhu zahraničních operací, a to i z hlediska možné infiltrace osob zapojených do teroristických hnutí či organizací. Pokud jde o sběr biometrických údajů v zahraničí, toto bude prováděno na základě mezinárodních smluv, pravidel nasazení (ROE) apod. Po ukončení mise bude s údaji zacházeno (postupováno) podle mandátu, který byl operaci udělen.

Předkládaný návrh zákona počítá s novým oprávněním Vojenské policie provádět identifikační úkony pro účely budoucí identifikace u fyzické osoby obviněné ze spáchání úmyslného trestného činu nebo fyzické osoby, které bylo pro spáchání takového trestného činu sděleno podezření. Tuto změnu považujeme za nutnou zejména s ohledem na nové postavení Vojenské policie v rámci trestního řízení, protože s účinností od 1. července 2016 vede pověřený orgán Vojenské policie nově také vyšetřování. Obdobné oprávnění má podle § 65 zákona o Policii České republiky také Policie České republiky, která vede trestní řízení ve většině případů. Pro potřeby plnění svých úkolů také vede evidence, v nichž uchovává údaje, které identifikačními úkony získala.

Policie České republiky v uvedených databázích zpracovává také stopy z míst trestných činů, o nichž trestní řízení vede jiný orgán veřejné moci. V praxi se tak jedná právě například o stopy zajištěné Vojenskou policií. Význam kriminalistických databází je tím větší, čím úplnější a celistvější je jejich obsah. Proto je žádoucí, aby v nich byly soustředěny i osobní údaje získané identifikačními úkony provedenými právě např. Vojenskou policií (obdobně je např. Generální inspekce bezpečnostních sborů podle § 34 odst. 5 zákona o Generální inspekci bezpečnostních sborů povinna osobní údaje získané identifikačními úkony podle § 34 odst. 1 citovaného zákona předat včetně všech souvisejících pravomocných rozhodnutí v trestním řízení Policii České republiky pro plnění jejích úkolů). Policie České republiky umožňuje využívání informací shromážděných v databázích všem orgánům veřejné moci, které plní úkoly orgánu činného v trestním řízení, tedy nejenže Vojenská policie přístup k jí získaným informacím kontinuálně bude mít, navíc pak bude i nadále disponovala přístupem i k informacím získaným jinými orgány.

Z uvedených důvodů byl proto do struktury navrhovaného znění § 11a také odstavec 6, kterým je upravena povinnost Vojenské policie předávat osobní údaje získané při plnění svých úkolů na území České republiky, a to včetně všech souvisejících pravomocných rozhodnutí v trestním řízení, Policii České republiky pro plnění jejích úkolů. Současně je stanoven limit této povinnosti, kterým je ohrožení plnění úkolů Vojenské policie.

Zpracování osobních údajů, které Vojenská policie pořídí v rámci operací mimo území České republiky, je podřízeno možnosti jejich využití výlučně způsobem odpovídajícím účelu jejich pořízení, který je stanoven přímo v zákoně a je jím předcházení, vyhledávání nebo odhalování trestné činnosti anebo stíhání trestných činů, plnění úkolů Vojenské policie nebo pomine-li účel, pro který byly pořízeny. Účelem zpracování pořízených osobních údajů je také vázána doba možného uchovávání údajů.

K § 13 až 20b

V podrobnostech se odkazuje na změny v § 79 až 88a zákona o policii. Substantivní odlišnosti jsou zejména v tom, že:

- úprava respektuje dané odlišnosti zákona o Vojenské policii od zákona o policii, které vycházejí z působnosti Vojenské policie a ponechává v platnosti některá ustanovení související s ochranou osobních údajů při jejich zpracování (např. § 15 a § 20) a dále některá platná ustanovení přebírá a vkládá do ustanovení nově navrhovaných (např. původní § 19 odst. 9 do § 13a odstavec 5).

- zákon o Vojenské policii neobsahuje úpravu odpovídající novému § 80b odst. 2 zákona o policii, neboť Vojenská policie není orgánem odpovědným za provoz Schengenského informačního systému v rámci České republiky; a takovou úpravu neobsahoval ani dříve;

- zákon o Vojenské policii neobsahuje úpravy odpovídající novým § 84a až 84d zákona o policii, neboť do tohoto zákona není nutno zapracovat směrnici 2016/681 o využití údajů jmenné evidence cestujících (PNR);

- úprava pověřence v § 20a zákona o Vojenské policii je stručnější, neboť do tohoto zákona není nutno zapracovat směrnici 2016/681 o využití údajů jmenné evidence cestujících (PNR);

K bodu 5 - § 17 odst. 3

Vojenská policie nejméně jednou za 3 roky prověřuje, jsou-li zpracované osobní údaje i nadále potřebné pro plnění úkolů Vojenské policie nebo při plnění dalších úkolů podle zákona. Aby mohla být tato povinnost plněna skutečně efektivně, je nově stanovována „informační povinnost“ orgánům činným v trestním řízení, Ministerstvu spravedlnosti, Ústavnímu soudu a Kanceláři prezidenta republiky, a to v rozsahu sdělení o jimi vydaných pravomocných rozhodnutích, promlčení trestního stíhání, výkonu trestu nebo o rozhodnutích prezidenta republiky týkajících se trestního řízení, trestů nebo udělené amnestie anebo milosti.

ČÁST TŘICÁTÁ DRUHÁ

Změna zákona o kybernetické bezpečnosti

Působnost Národního úřadu pro kybernetickou a informační bezpečnost (dále jen „NÚKIB“) je stanovena zákonem č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti), ve znění pozdějších předpisů, a zákonem č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů. Nad rámec aktivit definovaných pro zajištění kybernetické a informační bezpečnosti České republiky a tím i bezpečnosti samotné, vykonává NÚKIB i aktivity, které jsou definovány směrnicí Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii (dále jen „směrnice NIS“). NÚKIB je v činnostech vycházejících ze směrnice NIS podle jejího čl. 2 odst. 1 povinen postupovat podle nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES ( Obecné nařízení o ochraně osobních údajů). Jelikož NÚKIB při výkonu své působnosti zajišťuje plnění základní povinnosti státu, jak je vymezena v čl. 1 ústavního zákona č. 110/1998 Sb., o bezpečnosti České republiky, bude v činnostech, které nevycházejí ze směrnice NIS [a Obecné nařízení na ně s ohledem na jeho čl. 2 odst. 2 písm. a) nedopadá], postupovat podle hlavy IV zákona o zpracování osobních údajů nadepsané „Ochrana osobních údajů při zajišťování obrany a bezpečnosti České republiky“. Protože má však i činnost vycházející ze směrnice NIS velmi zásadní význam z hlediska ochrany bezpečnosti České republiky, je nutno stanovit i pro tyto činnosti základní systém výjimek (v rámci možností stanovených v čl. 23 Obecného nařízení o ochraně osobních údajů) tak, aby výkonem práv a povinností podle Obecného nařízení o ochraně osobních údajů nemohlo dojít k omezení či dokonce ohrožení plnění povinností NÚKIB podle zákona o kybernetické bezpečnosti. Stanovením těchto výjimek však není dotčena možnost využití mechanismu pro výjimku upraveného v § 11 a násl. zákona o zpracování osobních údajů ze strany NÚKIB.

Za výše popsaným účelem se do zákona o kybernetické bezpečnosti navrhuje vložit nový § 22c, který bude představovat obecnou úpravu zpracování osobních údajů ze strany NÚKIB.

V odstavci 1 se navrhuje explicitně uvést výchozí normu, podle níž NÚKIB zpracovává osobní údaje, jsou-li potřebné pro výkon jeho působnosti. Tato skutečnost je dosud dovozována ze zákona o kybernetické bezpečnosti, krizového zákona a dalších předpisů upravujících činnost NÚKIB (ve spojení s obecnou úpravou ochrany osobních údajů). Dále je v odstavci 1 navrženo ustanovení, které deklaruje, že NÚKIB může v rámci výkonu své působnosti předávat osobní údaje dalším orgánům a osobám, je-li to nezbytné pro plnění jejich úkolů, - k takové spolupráci je NÚKIB povinen na základě směrnice NIS a zákona o kybernetické bezpečnosti [zejména podle § 22 písm. g) zákona o kybernetické bezpečnosti].

Navržené ustanovení v odstavcích 2 a 3 reaguje na právní úpravu Obecného nařízení o ochraně osobních údajů tím, že v návaznosti na čl. 23 nařízení stanoví výjimky upravující omezení některých zásad zpracování osobních údajů a práv subjektů údajů.

V odstavci 2 jsou navrženy tyto výjimky pro zpracovávání osobních údajů:

Právo na omezení zpracování údajů na základě popření přesnosti zpracovávaných osobních údajů nebo na základě námitky subjektu údajů [článek 18 odst. 1 písm. a) a

d) Obecného nařízení o ochraně osobních údajů]. Plná realizace uvedených práv v podobě omezení zpracování údajů by v praxi mohla vést k možnosti narušení aktivit NÚKIB. Zejména s přihlédnutím k široce chápanému okruhu osobních údajů a jejich možnému využití při vyhodnocování a řešení kybernetických bezpečnostních incidentů (informace o IP adresách, MAC adresách, ID uživatelů aj.) by účelové namítání osob proti zpracování osobních údajů s uvedeným omezujícím účinkem mohlo ztížit činnost NÚKIB v konkrétním zásadním okamžiku důležitém pro řešení kybernetického bezpečnostního incidentu a velmi snadno tak omezit schopnosti NÚKIB vykonávat efektivně své úkoly při zajišťování kybernetické bezpečnosti České republiky. V neposlední řadě subjekt údajů neztrácí právo popírat správnost zpracovávaných údajů ani právo na jejich výmaz v případě, že nebude ověřeno, že oprávněné důvody správce převažují nad oprávněnými důvody subjektu údajů. Jedná se pouze o výjimku z odložení zpracování a jako taková je proporcionální k případné hrozbě nízké efektivity NÚKIB při řešení závažných nebo rozsáhlých kybernetických bezpečnostních incidentů.

Možnost zpracovávat osobní údaje i k jiným legitimním účelům, než pro které byly shromážděny. Možnost zpracovávat osobní údaje i k jiným legitimním účelům, než pro které byly shromážděny, je podstatnou součástí proaktivní činnosti NÚKIB a efektivity státní správy na úseku kybernetické bezpečnosti zejména s ohledem na ultimátní cíl činnosti NÚKIB, kterým je zajišťování bezpečnosti České republiky. Z podstaty fungování ústředního orgánu státní správy a jeho možnosti provádět pouze ty činnosti, které mu ukládá zákon, je pak z hlediska ochrany práv subjektu údajů zaručeno, že osobní údaje nebudou zpracovávány pro jiné účely, než které jsou NÚKIB dány právními předpisy.

V odstavci 3 jsou nad rámec výjimek uvedených v odstavci 2 stanoveny další výjimky specificky pro činnost NÚKIB s ohledem na řešení kybernetických bezpečnostních incidentů nebo kybernetických bezpečnostních událostí a dále při prevenci kybernetických hrozeb a rizik. Stanovené výjimky reflektují skutečnost, kdy by výkonem některých práv podle Obecného nařízení o ochraně osobních údajů mohlo dojít k paralýze této jinak komplexní činnosti a tím závažným způsobem ohrozit aktivity NÚKIB směřující k zajištění kybernetické bezpečnosti relevantních subjektů a tím i České republiky. Smyslem této činnosti NÚKIB je naopak zvýšení bezpečnosti informací (a tím i osobních údajů) v informačních a komunikačních systémech v České republice. NÚKIB v rámci této činnosti neztotožňuje osobní údaje s konkrétními osobami. Informace navíc nejsou zpracovávány s cílem jakýmkoli způsobem zasahovat do právní sféry subjektů údajů. Jejich případné zpracování je prováděno pouze v souvislosti s řešením kybernetických bezpečnostních incidentů a kybernetických bezpečnostních událostí a informováním relevantních subjektů o případných bezpečnostních hrozbách a rizicích. Informační systémy NÚKIB určené pro tuto činnost jsou navíc součástí kritické informační infrastruktury a jako takové splňují nejvyšší míru zabezpečení. Navržené ustanovení obsahuje časovou limitaci, po kterou se navrhované výjimky uplatní – pouze po dobu, po kterou jsou plněny úkoly, které NÚKIB plní podle zákona o kybernetické bezpečnosti.

ČÁST TŘICÁTÁ TŘETÍ

Změna zákona o státní službě K bodu 1 a 2

V zákonu o státní službě se provádějí minimální úpravy, které mají za cíl zaručit plnou nezávislost Úřadu pro ochranu osobních údajů v souladu s požadavky článku 8(3) Listiny základních práv EU a Obecného nařízení o ochraně osobních údajů 2016/679 ve světle judikatury Soudního dvora (srov. zejm. C-518/07 a C-614/10), jakož i legislativně technicky reflektovat provedené úpravy ve struktuře Úřadu.

ČÁST TŘICÁTÁ ČTVRTÁ

Změna zákona o ozdravných postupech a řešení krize na finančním trhu

Do zákona o ozdravných postupech a řešení krize na finančním trhu se v návaznosti na čl. 23 nařízení Evropského parlamentu a Rady (EU) 2016/679 (dále jen „nařízení“) navrhuje vložit nový § 203a upravující omezení některých práv osob, kterých se týkají zpracovávané údaje.

Garanční systém finančního trhu (dále jen „Garanční systém“) zpracovává osobní údaje subjektů zejména za situace, kdy jsou mu takové údaje předány bankou, bývalou bankou, družstevní záložnou, likvidátorem, správcem nebo insolvenčním správcem za účelem zajištění výplaty náhrad za pojištěnou pohledávku z vkladu v souladu s § 41e zákona č. 21/1992 Sb., o bankách (dále jen „ZoB“). Realizace výplaty náhrad však pro Garanční systém představuje zcela výjimečnou okolnost, ke které dochází za situace, kdy úvěrová instituce není schopna dostát svým splatným závazkům. Standardní činnost Garančního systému oproti tomu spočívá ve výběru příspěvků od povinných osob a jejich bezpečném investování, při které nedochází k rozsáhlému zpracování osobních údajů.

Pokud nastane některá ze skutečností předvídaných zákonem rozhodných pro zahájení výplaty náhrad, jsou zákonné lhůty pro výplatu stanoveny v řádech dnů.

Zajištění rychlého zpracování velkého objemu údajů během krátké zákonné lhůty stanovené pro výplatu náhrad předpokládá zapojení automatizovaných procesů v nejvyšší možné míře. Z tohoto důvodu je navrhováno uplatnit výjimku ze zákazu výhradně automatizovaného zpracování osobních údajů podle čl. 22 nařízení.

Textace pak explicitně uvádí záruku (s možností pozdější kontroly) pro ochranu před zneužitím automatizovaného zpracování osobních údajů ve formě povinnosti Garančního systému uchovávat v záznamech o činnostech zpracování osobních údajů popis počítačových algoritmů a výběrová kritéria, na jejichž základě je toto zpracování prováděno, pokud budou při výplatě náhrad z Garančního systému použity výhradně automatizované procesy zpracování osobních údajů. Současně je upravena minimální jednoletá lhůta pro uchování těchto informací od posledního použití pro zpracování osobních údajů osob oprávněných k výplatě náhrad.

ČÁST TŘÍCÁTÁ PÁTÁ

Změna zákona o hazardních hrách

V rámci zákona č. 186/2016 Sb., o hazardních hrách, ve znění pozdějších předpisů (dále jen „zákon o hazardních hrách“), je třeba provést adaptační úpravu ve vztahu k nařízení, která jednak stanoví podmínky realizace některých práv subjektu údajů prostřednictvím jejich zasazení do existujících institutů zákona o hazardních hrách, a jednak v návaznosti na čl. 23 nařízení stanoví výjimky upravující omezení některých z těchto práv.

S ohledem na specifickou povahu a charakter úpravy zákona o hazardních hrách se jeví jako vhodné některá omezení práv subjektů údajů upravit výslovně, jakkoliv by zřejmě v řadě případů bylo možné tato omezení dovodit z obecné úpravy zákona o zpracování osobních údajů.

K bodu 1 (§ 130a)

Navrhuje se do zákona vložit nový § 130a, který bude komplexně upravovat zpracování osobních údajů.

Odst. 1 je přejatý ze stávajícího ustanovení § 131, které je tímto návrhem rovněž modifikováno. Navíc, aby byla navrhovaná právní úprava účinná i na Rejstřík fyzických osob vyloučených z účasti na hazardních hrách (dále jen „rejstřík“), který je zakotven v § 16 zákona, je nutné doplnit odkaz na tento rejstřík rovněž do ustanovení § 130a. Rovněž se doplňuje i pojem ohlášení hazardní hry, neboť právně nejde o proces v rámci povolovacího řízení, nýbrž o samostatný proces, ve kterém bude docházet ke zpracování osobních údajů.

Odst. 2 reaguje na právní úpravu nařízení tím, že v návaznosti na čl. 23 nařízení stanoví ve svém odstavci 1 výjimky upravující omezení některých práv subjekt údajů, a to nad rámec výjimek vyplývajících z obecné úpravy zákona o zpracování osobních údajů. Tyto výjimky se vztahují k následujícím právům:

Právo na omezení zpracování údajů na základě popření přesnosti zpracovávaných osobních údajů nebo na základě námitky subjektu údajů (čl. 18 odst. 1 písm. a) a d) nařízení). Nařízení zde předpokládá jednak právo na vznesení námitky, která vede k pozastavení zpracování osobních údajů, pokud se neprokáží závažné oprávněné důvody pro zpracování, převažující nad zájmy, právy nebo svobodami subjektu údajů. Současně má subjekt údajů právo požadovat, aby správce údajů omezil zpracování osobních údajů, jejichž přesnost subjekt údajů popírá, a to až do doby, než je jejich přesnost správcem údajů ověřena. Samotné právo subjektu údajů brojit proti zpracování osobních údajů orgánem by nemělo být v principu omezeno. Nicméně plná realizace uvedených práv v podobě limitace zpracování údajů by v praxi vedla k možnosti narušení řádného výkonu státní správy v oblasti provozování hazardních her, a tím i narušení jejího cíle. Zejména s přihlédnutím k široce chápanému okruhu osobních údajů a jejich využití při výkonu státní správy v oblasti provozování hazardních her by účelové brojení proti zpracování osobních údajů s uvedeným omezujícím účinkem mohlo paralyzovat činnost orgánu vykonávajícího státní správu v oblasti provozování hazardních her a být velmi snadno aplikovatelným obstrukčním nástrojem.

V souladu s recitálem 67 nařízení orgán vykonávající státní správu v oblasti provozování hazardních her (dále jen „orgán“) údaje, jejichž správnost byla popřena nebo proti jejichž zpracování byla vznesena námitka, pro účely dalšího zpracování označí jako údaje, jejichž další zpracování musí být sledováno. Současně je však normováno, že zpracování zpochybněných údajů bude nadále pokračovat, a to i bez souhlasu subjektu údajů. Operace s údaji tedy budou dále pokračovat, ale orgánu bude jednoznačně známo, že tyto údaje a jejich zpracování jsou subjektem údajů zpochybněny. Formou označení pak bude úřední záznam nebo jiný vhodný způsob, který orgán zvolí.

Právo nebýt předmětem automatizovaného rozhodování (čl. 22 nařízení). Ačkoliv procesů, ve kterých se užívá automatizované rozhodování, je v současné době minimum, v budoucnu se spuštěním informačního systému budou zpracovávána značná množství osobních údajů, kdy mnohé z nich budou zpracovávány automatizovaně. V případě těchto automatizovaných procesů bude vždy docházet k zásahu do práv subjektů údajů bez volního přičinění úřední osoby – subjekt údajů bude vyloučen z hraní hazardních her, čímž je naplněna podstata automatizovaného rozhodování.

Vzhledem k tomu, že neomezené uplatnění práva dle čl. 22 nařízení by v důsledku znamenalo znemožnění fungování rejstříku, potažmo celého informačního systému, je tak nutné, aby existovalo legislativní povolení automatizovaného zpracování osobních údajů v rámci informačního systému, a to bez možnosti napadení takového zpracování osobních údajů ze strany subjektů údajů.

Současně je výslovně normováno, že pokud orgán bude provádět tento výkon výhradně na základě automatizovaného zpracování osobních údajů (s výše uvedenou výjimkou), pak bude muset uchovávat v záznamech o činnostech zpracování osobních údajů popis počítačových algoritmů a výběrová kritéria, na jejichž základě je toto zpracování prováděno, a to v zájmu umožnění pozdější kontroly. Současně je upravena minimální jednoroční lhůta pro uchování těchto informací od posledního použití pro zpracování osobních údajů subjektu údajů.

K odst. 3: Jelikož nařízení GDPR neupravuje specifický procesní postup pro uplatnění a vyřízení obrany proti zpracování osobních údajů, tak v zájmu optimálního procesního zpracování obrany se v odst. 3 navrhuje stanovit, že právo vznést námitku nebo jiný prostředek ochrany proti zpracování osobních údajů uplatňuje subjekt údajů obdobným využitím institutu stížnosti podle § 175 správního řádu. Tím bude realizace práv umožněna pomocí standardního institutu správního řádu, který disponuje dostatečnou procesní úpravou a dlouhodobou aplikační praxí.

K bodům 2 a 3 (§ 131)

U ustanovení § 131 zákona o hazardních hrách se navrhuje zrušení dosavadního odst. 1, jelikož právní úprava obsažená v tomto odstavci byla začleněna do samostatného § 130a, který reguluje zpracování údajů.

Oproti dosavadní úpravě uvedené v odst. 2 se navíc navrhuje doplnění pojmu rejstříku (aby bylo zřejmé, že informační systém bude obsahovat i rejstřík) a propojení tohoto ustanovení s § 130a za tím účelem, aby bylo zřejmé, že informační systém bude sdružovat veškeré údaje na poli státní správy v oblasti provozování hazardních her.

ČÁST TŘICÁTÁ ŠESTÁ

Změna zákona o centrální evidenci účtů

CEÚ je nově zřizována na základě ZCEÚ s plným zahájením provozu od 1. ledna 2018. Jejím provozovatelem je ČNB, vybudování i provoz však jsou na náklady státu. CEÚ od úvěrových institucí (banky, pobočky zahraničních bank v České republice a spořitelní úvěrní družstva) shromažďuje informace o majitelích a disponentech účtů a na žádost oprávněných orgánů státní moci (pouze za účelem odhalování trestné činnosti a stíhání pachatelů trestných činů, zajištění významných hospodářských a finančních zájmů a bezpečnosti České republiky nebo Evropské unie) poskytuje příslušné informace. Systém byl od počátku navrhován s minimálními náklady na pořízení a provoz, kdy příslušné informace po automatizovaném ověření oprávnění žadatele mu budou automaticky poskytnuty prostřednictvím systému datových schránek. Nejedná se o automatizované rozhodování nebo profilování, pouze o automatizovaný přístup k informacím (na základě znalosti identifikačních údajů právnické nebo fyzické osoby), které by jinak bylo třeba žádat od všech úvěrových institucí jednotlivě. Na jejich základě si teprve oprávněný (na základě příslušných speciálních zákonů) vyžádá od příslušné úvěrové instituce detailní informace např. o pohybech nebo zůstatcích na účtech.

S ohledem na účel ZCEÚ je přístup k datům v CEÚ omezen v jeho § 9, kontrolu může provádět zvláštní kontrolní orgán Poslanecké sněmovny. Z hlediska ochrany osobních údajů samozřejmě má kontrolní oprávnění i Úřad pro ochranu osobních údajů. V souvislosti se změnou předpisů o ochraně osobních údajů se předpokládá zřízení pověřence pro ochranu osobních údajů v ČNB, který by své povinnosti plnil i vůči CEÚ, jejímž správcem je ČNB, ovšem jeho případné výkony by v souladu se smlouvou o provozování CEÚ byly přeúčtovávány Ministerstvu financí.

Zřízení a provoz evidencí účtů u úvěrových institucí nejsou dosud předmětem úpravy práva Evropské unie; toto je navrhováno v aktuálně projednávaném návrhu novely IV. AML směrnice Evropské unie. Patří tedy do oblastí, na které se regulace Evropské unie obecně vztahuje, tedy se i zde uplatní Obecné nařízení o ochraně osobních údajů.

K bodu 1 (§ 18)

S ohledem na jednotnost úpravy ochrany osobních údajů v ZCEÚ ve vztahu k Obecnému nařízení o ochraně osobních údajů je za tímto účelem přesunut stávající § 18 odst. 2 do samostatného ustanovení, které bude upravovat nově ochranu osobních údajů jako § 18a odst. 1 a zbývající odstavce jsou přečíslovány.

K bodu 2 (§ 18a)

Účelem ustanovení odstavce 1 je zejména zakotvení právního titulu pro zpracování osobních údajů ČNB a úvěrovými institucemi dle tohoto zákona pro účely uvedené v § 1 ZCEU, tj. k odhalování trestné činnosti a stíhání pachatelů trestných činů, zajištění významných hospodářských a finančních zájmů a bezpečnosti České republiky nebo Evropské unie.

Obecné nařízení o ochraně osobních údajů zakládá řadu práv subjektu údajů, ale tato práva za určitých podmínek sama omezuje, případně umožňuje, aby národní právní úprava stanovila omezení práv subjektů údajů (čl. 23 Obecného nařízení o ochraně osobních údajů).

Vzhledem k povaze CEÚ se na ČNB jako správce CEÚ z povahy věci nepoužijí tato relevantní práva subjektů údajů podle Obecného nařízení o ochraně osobních údajů:

• právo na informace v případě, že osobní údaje jsou získány od subjektu údajů (čl. 13), protože v případě CEÚ jsou osobní údaje získávány od úvěrové instituce, tedy nikoliv od subjektu údajů,

• právo na výmaz (čl. 17), protože podle čl. 17 odst. 3 písm. b) Obecného nařízení o ochraně osobních údajů se právo na výmaz neuplatní, pokud je to nezbytné mj. pro splnění právní povinnosti. V případě CEÚ je podmínka nezbytnosti pro plnění právní povinnosti splněna. V případě, kdy však již nebude tato povinnost ze zákona vyplývat, má ČNB implicitně stanovenou povinnost tyto údaje vymazat po uplynutí lhůty uvedené v § 10 odst. 2 ZCEÚ,

• právo na omezení zpracování po podání žádosti o opravu (čl. 18 odst. 1 písm. b), c), d), odst. 2 a 3), jelikož v případě CEÚ ke zpracování osobních údajů dochází z titulu plnění právní povinnosti (tj. nenastane případ, kdy by zpracování bylo protiprávní a nelze také uplatnit právo vznést námitku; čl. 18 odst. 1 písm. b) a d) Obecného nařízení o ochraně osobních údajů) a účel zpracování vyjádřený v § 2 odst. 1 ZCEÚ má průběžný a kontinuální charakter (tj. nedojde k situaci, kdy by ČNB již nepotřebovala osobní údaje pro účely zpracování; čl. 18 odst. 1 písm. c) Obecného nařízení o ochraně osobních údajů). Vzhledem ke skutečnosti, že se v případě zpracování osobních údajů v CEÚ neuplatní právo na omezení zpracování podle čl. 18 odst. 1 Obecného nařízení o ochraně osobních údajů (k čl. 18 odst. 1 písm. a) Obecného nařízení o ochraně osobních údajů viz níže), neuplatní se ani navazující ustanovení odst. 2 a 3 čl. 18 Obecného nařízení o ochraně osobních údajů,

• oznamovací povinnost ohledně opravy nebo výmazu osobních údajů nebo omezení zpracování (čl. 19) v návaznosti na níže uvedené omezení práva na opravu, výmaz a na omezené zpracování, protože s ohledem na rozsah databáze a vysoký počet subjektů údajů, jejichž osobní údaje se v CEÚ zpracovávají, by toto oznamování vyžadovalo nepřiměřené úsilí (ve vztahu k úvěrové instituci se tato oznamovací povinnost uplatní ve větším rozsahu, protože u nich právo na opravu není dotčeno), • právo vznést námitku (čl. 21), jelikož právo na vznesení námitky je podmíněno zpracováním osobních údajů, jehož právním titulem je splnění veřejného zájmu, nebo oprávněný zájem správce (čl. 6 odst. 1 písm. e) nebo f) Obecného nařízení o ochraně osobních údajů). Právním titulem zpracování osobních údajů v CEÚ v případě ČNB i úvěrových institucí je zejména plnění právní povinnosti, tedy čl. 6 odst. 1 písm. c) Obecného nařízení o ochraně osobních údajů,

• právo subjektu údajů nebýt předmětem rozhodnutí založeného výhradně na automatizovaném zpracování (čl. 22) – toto právo se neuplatní z povahy věci; ČNB při správě CEÚ nečiní žádná rozhodnutí týkající se subjektu údajů,

• individuální oznamování případů porušení zabezpečení osobních údajů subjektů údajů (čl. 34 odst. 1, 2 a 3), protože s ohledem na rozsah databáze a vysoký počet subjektů údajů, jejichž osobní údaje se v CEÚ zpracovávají, by toto oznamování vyžadovalo nepřiměřené úsilí. V souladu s čl. 34 odst. 3 písm. c) Obecného nařízení o ochraně osobních údajů, došlo-li by k porušení zabezpečení osobních údajů, ČNB splní tuto oznamovací povinnosti prostřednictvím veřejného oznámení nebo podobného opatření (za nejvhodnější pro splnění této povinnosti lze považovat zveřejnění způsobem umožňujícím dálkový přístup na internetové stránce ČNB).

Nad rámec výjimek, které plynou přímo z textu Obecného nařízení o ochraně osobních údajů, je touto novelou vyloučeno v odstavci 2 uplatnění následujících práv:

• právo subjektu údajů na přístup k osobním údajům (čl. 15) – s ohledem na úzký vztah mezi úvěrovou institucí a jejím klientem (subjektem údajů) by měla být primárním kontaktem subjektu údajů ohledně informací, které jsou o něm vedeny, tato úvěrová instituce. Přímý kontakt s úvěrovou institucí zajistí subjektu údajů možnost využít některá svá další práva, která by v případě ČNB neměl (zejména právo na opravu – viz níže). Dále, účelem zákona je přispívat k prevenci a stíhání trestných činů v oblasti významných hospodářských a finančních zájmů České republiky nebo Evropské unie. Přístup, resp. sdělení, subjektu údajů k osobním údajům, jež jsou o něm vedeny v CEÚ, by tento účel mohlo ohrozit, případně zmařit. Zejména jde o poskytnutí informace o konkrétních osobách, které si osobní údaje vyžádaly. Obecné informace o těchto osobách (a další obecné informace týkající se nakládání s osobními údaji v CEÚ) přitom budou subjektu údajů zpřístupněny už podle čl. 14 Obecného nařízení o ochraně osobních údajů,

• právo na opravu (čl. 16) – s ohledem na účel zprostředkovat vybraným orgánům rychlý přístup k datům úvěrových institucí se osobní údaje zařazují do CEÚ v podobě, v jaké byly zaslány úvěrovou institucí. ČNB získané osobní údaje nemění, jakákoliv změna osobního údaje se uskuteční výlučně v systémech úvěrové instituce. Z tohoto důvodu není možné, aby ČNB v databázi prováděla opravy. Smysl Obecného nařízení o ochraně osobních údajů (právo subjektu údajů, aby jeho osobní údaje nebyly zpracovávány v nesprávné podobě) je naplněn právem na opravu údajů přímo u samotné úvěrové instituce, která účet vede. Toto právo zůstává nedotčeno. Zprostředkování výměny informací prostřednictvím CEÚ navíc posiluje ochranu osobních údajů klientů úvěrových institucí, když umožňuje, aby se o šetření určité osoby oprávněným příjemcem dověděly jen ty úvěrové instituce, které vedou její účet, zatímco do vzniku CEÚ musel oprávněný příjemce obeslat všechny úvěrové instituce, a tím vůči nim indikovat šetření týkající se určité osoby,

• právo na omezení zpracování (čl. 18 odst. 1 písm. a)) – s ohledem na výkaznický charakter CEÚ. Omezení tohoto práva sleduje zejména eliminaci případů, kdy by subjekt údajů popíral přesnost údajů v CEÚ s ohledem na informace získané v souvislosti s výkonem činnosti příjemce (§ 6 odst. 1 ZCEÚ) osobních údajů z CEÚ. Právo na omezení z důvodu popírání přesnosti úzce souvisí s právem na přístup k osobním údajům a právem na opravu; z obdobných důvodů jako v případě těchto práv nelze ani realizovat právo na omezení zpracování z důvodu popírání přesnosti osobních údajů,

• právo dozorového úřadu požadovat, aby správce oznámil subjektu údajů porušení zabezpečení osobních údajů (čl. 34 odst. 4) – vzhledem k nezávislosti ČNB a řešení oznamování případného porušení zabezpečení osobních údajů některým z postupů uvedených v čl. 34 odst. 3, tedy využitím možnosti subjektu údajů neoznámit porušení zabezpečení za splnění některé z podmínek stanovených v tomto ustanovení, nebo oznámit způsobem na internetové stránce ČNB, není právo dozorového úřadu důvodné.

Výše uvedená omezení jsou zavedena s ohledem na povahu CEÚ, resp. systému ve kterém jsou na základě zákona jen bez dalších úprav vykazovány údaje zaslané úvěrovými institucemi a ČNB není nadána oprávněním tyto údaje jakkoliv modifikovat.

Naopak při zpracování osobních údajů v rámci CEÚ zůstává nedotčeno právo subjektu údajů na obecné informace poskytované v případě, že osobní údaje nebyly získány od subjektu údajů (čl. 14 Obecného nařízení o ochraně osobních údajů). S ohledem na § 8 zákona o zpracování osobních údajů, ČNB může tuto informační povinnost splnit zveřejněním informací způsobem umožňujícím dálkový přístup. Nedotčeny jsou také ostatní pravomoci dozorového úřadu, stejně jako informační povinnosti úvěrových institucí (viz výše).

Výše uvedená práva tedy mohou být uplatněna skrze úvěrové instituce, kdy bude subjekt žádosti o uplatnění těchto práv sám zasílat úvěrovým institucím, které příslušné osobní údaje ČNB zaslaly.

ČÁST TŘICÁTÁ SEDMÁ

Účinnost

Datum nabytí účinnosti je stanoveno tak, aby zákon ji nabyl co nejdříve.

V Praze dne 21. března 2018

Předseda vlády:

Ing. Andrej Babiš v. r.

Ministr vnitra:

Mgr. Lubomír Metnar v. r.

Ministr dopravy:

Ing. Dan Ťok v. r.