Zvládnete se vypořádat se žádostmi osob o přístup k jejich osobním údajům?

Miloslav

zdroj: www.gdpr.cz

Zašlete mi údaje, které o mně zpracováváte. Poradíte si s podobnou žádostí, anebo bude 25. květen pro vaši organizaci začátkem administrativního hororu?

Rozhodne o tom i fakt, nakolik se zvládnete vypořádat s žádostmi subjektů o přístup k jejich osobním údajům dle článku 15 nařízení GDPR. Podívejte se, jak může taková žádost vypadat a jaké povinnosti vám přináší.

Pokud se subjekt údajů rozhodne, že vůči vám jako správci osobních údajů využije svého práva dle čl. 15 GDPR, je možné, že vám přijde podobná žádost, jakou rozebíráme podrobněji níže. Samozřejmě můžete mít štěstí a s takovou situací se vůbec nesetkáte. Ale spoléhat se na štěstí vám nedoporučujeme. Teoreticky se na vás totiž může obrátit kdokoliv, jehož osobní údaje zpracováváte, což může být v součtu závratné číslo, které s sebou přinese ještě závratnější množství práce. Vhodnou cestou je proto si dopředu připravit vzor pro modelovou odpověď a mít přehled o údajích, které budete muset s největší pravděpodobností poskytnout. V neposlední řadě je důležité určit v organizaci osobu, která se bude vyřizování těchto žádostí soustavně věnovat. Pokud jí nebude samotný DPO, jehož kontaktní údaje musí být veřejně zpřístupněny například na webových stránkách, tak má subjekt údajů právo obrátit se se svojí žádostí přímo na statutární zástupce organizace.

V tomto příspěvku se zaměřujeme pouze na povinnost vyplývající z čl. 15 GDPR, kdy musí správce poskytnout určitá data na základě aktivní žádosti subjektu. Oblast informační povinnosti správců dle GDPR je značně širší a spadají do ní též povinnosti dle čl. 13 a 14 GDPR – ty se ovšem „aktivují“ při jiných událostech, než je žádost subjektu údajů (např. již samotným získáním osobních údajů od jejich subjektu).

Podívejte se na okomentovanou vzorovou žádost:

1. Vážení, obracím se na vás tímto ve smyslu čl. 15 Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „GDPR“) a využívám tak vůči vám, jakožto správci osobních údajů, svého práva na přístup k těmto údajům a na poskytnutí dalších informací.

  • Žádost musíte vyřídit podle zásady transparentnosti – všechny informace musí být stručné (ne však nedostačující), snadno přístupné a srozumitelné, podávané za použití jasných a jednoduchých jazykových prostředků. Několikastránkový text psaný strojový jazykem (pokud není jeho rozsah odůvodněn samotným objemem vyžádaných zpracovávaných osobních údajů) tak nemusí obstát. Na to upozorňuje WP29 ve svém již schváleném vodítku k transparentnosti, které velmi detailně popisuje, jak má splnění informační povinnosti správcem vypadat.
  • Určitou obranu před zneužíváním tohoto práva nabízí správcům bod 63 odůvodnění GDPR, který umožňuje požádat subjekt o specifikaci žádosti, pokud správce nakládá s velkým množstvím údajů. Ovšem až praxe ukáže, jak se k těmto „kontražádostem“ bude stavět dozorový úřad, především pak v tom, co bude považovat za velké množství informací.
  • Jako správce si můžete (dle čl. 12 odst. 6 GDPR) při pochybnostech o totožnosti žadatele vyžádat dodatečné informace nezbytné k potvrzení jeho totožnosti.
  • Současně k tomu nařízení v bodě 64 odůvodnění stanoví, že: „Správce by měl využít všech vhodných opatření k ověření identity subjektu údajů, který žádá o přístup, zejména v souvislosti s on-line službami a síťovými identifikátory.“ V úvahu tak připadá např. ověřený elektronický podpis žadatele.
  • V případě, že osobní údaje zašlete osobě, která se vydávala za někoho jiného, vystavujete se riziku citelných sankcí – ověřování totožnosti proto nepodceňujte.

2. Současně vás žádám o vyřízení této žádosti bezodkladně, nejpozději však do jednoho měsíce od jejího obdržení.

  • Jako správce osobních údajů máte na vyřízení každé žádosti maximálně jeden měsíc. Tuto lhůtu je možné s ohledem na složitost a počet žádostí prodloužit o další dva měsíce. Zatím není jasné, kolik žádostí a v jakém rozsahu bude takový stav naplňovat. Zcela jistě však bude hrát roli velikost správcovy organizace a jeho objektivní možnosti žádosti efektivně vyřídit.
  • V případě prodloužení lhůty však musí být o tom žadatel informován spolu s odůvodněním.

3. V prvé řadě vás žádám o potvrzení, zda jako správce osobních údajů ve smyslu GDPR zpracováváte osobní údaje, které se mne týkají.

  • Stěžejní je nejprve určení toho, zda je mezi oběma osobami vztah subjektu a správce ve smyslu GDPR. Pokud tento vztah chybí a o zpracovávání osobních údajů se nejedná, bude snadné žádost vyřídit konstatováním, že žádné osobní údaje o žadateli zpracovávány nejsou. Pozor, také o tom však musí být žadatel včas vyrozuměn (opět do jednoho měsíce).

4. Pokud tomu tak je, žádám vás dále, abyste mi bezplatně poskytli kopii těchto vámi zpracovávaných osobních údajů, a to elektronickou formou.

  • Je-li žádost učiněna elektronicky, musí být touto formou i vyřízena, což se vztahuje také na samotnou formu kopie osobních údajů takto vyžádaných (pokud však není žadatelem uvedeno jinak).
  • Povinnost využití běžně používané elektronické formy by mohla zatížit ty správce, kteří mají příslušné údaje například pouze v papírové verzi nebo v běžně nepoužívaném formátu a kvůli žádosti by je museli nejprve převádět.
  • Poplatek zohledňující administrativní náklady za vyřízení může správce požadovat pouze v případě zjevně nedůvodné nebo nepřiměřené žádosti (opakující se či záměrně mířící na absurdní množství dat). V takovém případě může správce žádost i zcela odmítnout. Tuto variantu volte jen tehdy, pokud si dokážete svůj postup plně obhájit. Doporučujeme správcům raději vyčkat, jak se k této praxi postaví příslušné orgány a soudy.

5. V případě, že mé osobní údaje zpracováváte, vás dále žádám o poskytnutí následujících informací:

  • Vedle potvrzení samotné existence zpracovávání osobních údajů a poskytnutí přístupu k nim musíte zpřístupnit také informace, které s touto činností souvisejí.

– Žádám o sdělení, které kategorie osobních údajů jsou zpracovávány.

  • Správce je povinen identifikovat příslušné kategorie zpracovávaných osobních údajů a sdělit je subjektu. Konkrétní osobní údaje je třeba zobecnit a zařadit do příslušných kategorií, jako jsou: jméno, e-mail, datum narození, rodné číslo či adresa, popřípadě tzv. zvláštní kategorie osobních údajů typu citlivých osobních údajů, kterými jsou mimo jiné genetické nebo biometrické údaje.

– Žádám o sdělení, za jakým účelem osobní údaje zpracováváte.

  • Pozor, aby zde nedošlo k záměně účelu zpracovávání za právní důvod pro zpracovávání. Tím se myslí oprávnění ke zpracování – například souhlas subjektu, nezbytnost pro plnění smlouvy či oprávněný zájem správce.
  • Za účel zpracování se považuje důvod, pro který chcete osobní údaje zpracovávat, kvůli čemu či za jakým cílem chcete osobní údaje spravovat a pracovat s nimi. Může se jednat například o zpracování za účelem ochrany majetku a zdraví (např. kamerové systémy), shromažďování údajů o potenciálních klientech za účelem marketingového sdělení (e-mailové adresy) či zaslání objednaného zboží a provedení platby (adresa bydliště, jméno).

– Žádám o sdělení, jaká je plánovaná doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, jaká jsou kritéria použitá ke stanovení této doby.

  • GDPR přesné vymezení doby uchování nestanoví a zakládá se na principu, že by taková doba měla být přiměřená účelu zpracovávání osobních údajů.
  • Odůvodnění nařízení doporučuje správcům stanovit lhůty pro výmaz nebo pro pravidelný přezkum nezbytnosti uchovávání právě proto, aby se předešlo tomu, že osobní údaje budou uchovávány déle, než je nezbytné – právě takto stanovené doby či alespoň kritéria pro jejich určení je třeba subjektu na žádost sdělit.

– Žádám o sdělení, zda (a za jakých podmínek) po vás mohu požadovat opravu nebo výmaz mých osobních údajů, omezení jejich zpracovávání, popřípadě zda a jak mohu podat námitku proti zpracovávání mých osobních údajů.

  • Není zatím jasné, zda bude postačovat pouhé sdělení, že subjekt takové právo vůči správci má, či zda bude potřeba složitějších „návodů“.

– Žádám o sdělení, zda (a jak) mohu podat stížnost u dozorového úřadu a kdo je tímto dozorovým úřadem.

– Žádám o sdělení veškerých dostupných informací o zdroji osobních údajů, které se mne týkají, pokud nebyly získány přímo ode mě.

  • Takovým zdrojem může být i některý z veřejně přístupných rejstříků, jakým je třeba obchodní rejstřík.
  • Správce je povinen poskytnout především takové informace o zdroji, které jej dostatečným způsobem identifikují, tzn. název, sídlo, IČ u právnické osoby, jméno, příjmení a adresa u osoby fyzické.

– Žádám o sdělení, zda vzhledem k zpracovávání mých osobních údajů dochází rovněž k automatizovanému rozhodování, včetně profilování uvedenému v čl. 22 odst. 1 a 4 GDPR, a přinejmenším v těchto případech dále žádám o poskytnutí smysluplných informací týkajících se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro mou osobu.

  • Více informací o této problematice naleznete v tomto článku.

– Žádám o sdělení, kdo jsou příjemci mých osobních údajů, popřípadě chci uvést jejich kategorie, kterým byly nebo budou zpřístupněny mé osobní údaje. Zejména pak žádám o sdělení příjemců ze třetích zemí a mezinárodních organizací, kteří měli nebo budou mít k dispozici mé osobní údaje.

  • Příjemcem se myslí fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterému jsou osobní údaje poskytnuty (nebo byly poskytnuty).
  • Nedoporučujeme na všechny žádosti dle tohoto bodu odpovídat univerzálním předpřipraveným seznamem všech vašich příjemců, neboť ne všichni musí být skutečně příjemcem konkrétních osobních údajů, na které směřuje dotaz žadatele.
  • Správce by měl zejména poskytnout takové informace, které umožní příjemce jednoznačně identifikovat.
  • Sdělení pouze kategorií příjemců lze považovat za spíše výjimečnou situaci, kterou by správce měl být schopen řádně odůvodnit.

– Zároveň žádám o poskytnutí informací ohledně záruk dle čl. 46 GDPR v případě, že se mé osobní údaje předávají do třetí země nebo mezinárodní organizaci.

  • Poskytujete-li osobní údaje subjektu do třetích zemí nebo mezinárodním organizacím, informujte žadatele o všech zárukách, které v tomto ohledu dodržujete.

Bez propracovaného systému, jak se s takovou situací vypořádat, jen těžko dostojíte svým zákonným povinnostem dle GDPR. Žádosti tak mohou vaši firmu doslova paralyzovat a na základě toho může být společnost pokutována nebo subjektem údajů žalována. Neváhejte proto dopředu zjistit, jak se s takovou cvičnou žádostí váš systém vypořádá a odhalte včas jeho slabiny. Počínaje 25. květnem se začne střílet ostrými a na záchranu může být pozdě.

Obecné nařízení o ochraně osobních údajů – GDPR v kostce

Miloslav

Zdroj: Ministerstvo průmyslu a obchodu, Nemovitosti profi

 

Pro usnadnění a rychlou orientaci v problematice GDPR byla odborem podnikatelského prostředí a vnitřního obchodu Ministerstva průmyslu a obchodu vytvořena stručná metodika (leták), která je ke stažení v příloze této zprávy.

Cílem GDPR je zvýšit ochranu osobních dat občanů/spotřebitelů, která se ovšem na straně firem či subjektů veřejné správy odrazí ve zvýšené administrativní zátěži, ale současně také dojde ke kultivaci podnikatelského prostředí. Ochrana osobních údajů není novým tématem, v současné době ji upravuje zákon č. 101/2000 Sb., o ochraně osobních údajů, nicméně je třeba upozornit, že GDPR přináší nové povinnosti.Upravuje například nově formu a podobu souhlasu se zpracováním osobních údajů, který je nutno získat od každé fyzické osoby při sběru těchto údajů.  Na organizace státní správy a státní podniky se bude vztahovat i podmínka jmenování osoby odpovědné za ochranu osobních údajů (Data Protection Officer, DPO). Náplní funkcí DPO bude zejména dohlížet na soulad pravidel těchto subjektů s Nařízením GDPR, komunikovat a Úřadem pro ochranu osobních údajů a provádět interní činnosti, jako jsou audity a školení. Pokud se dotčené subjekty nepřizpůsobí novým pravidlům zpracování dat obsaženým v Nařízení GDPR, hrozí jim pokuty až do výše 20 milionů Euro nebo do výše 4 % jejich ročního obratu.

V rámci informační osvěty byl na webu Ministerstva vnitra uveřejněn materiál Stručný popis obsahu nového Obecného nařízení o ochraně osobních údajů, který je přílohou této zprávy. Pro praktickou orientaci v GDPR vytvořil Úřad pro ochranu osobních údajů praktický rozcestník.

Ministerstvo vnitra koordinuje metodickou činnost ústředních správních úřadů v oblasti ochrany osobních údajů. V každém resortu se ochrana osobních údajů promítá do praxe specifickým způsobem, a metodická podpora ze strany příslušných ministerstev je proto nezastupitelná. Nabízíme vám rozcestník na internetové stránky ústředních správních úřadů, které se již zhostily úkolu vytvořit na internetu vlastní informační zázemí pro adresáty v jejich oboru působnosti.

Návrh zákona o zpracování osobních údajů z ledna 2018

Miloslav

odkaz

znění :

III.

Návrh

 

ZÁKON

 

ze dne ……………. 2018

 

o zpracování osobních údajů

 

Parlament se usnesl na tomto zákoně České republiky:

 

ČÁST PRVNÍ

ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

 

HLAVA I

ZÁKLADNÍ USTANOVENÍ

§ 1

Předmět úpravy

Tento zákon zapracovává příslušné předpisy Evropské unie1), zároveň navazuje na přímo použitelné předpisy Evropské unie2) a k naplnění práva každého na ochranu osobních údajů upravuje práva a povinnosti při zpracování osobních údajů.

§ 2

Působnost zákona           

Tento zákon upravuje

  1. a) zpracování osobních údajů podle nařízení Evropského parlamentu a Rady (EU) 2016/679 2),
  2. b) zpracování osobních údajů příslušnými orgány za účelem předcházení, vyhledávání nebo odhalování trestné činnosti, stíhání trestných činů, výkonu trestů a ochranných opatření, zajišťování bezpečnosti České republiky nebo zajišťování veřejného pořádku a vnitřní bezpečnosti, včetně pátrání po osobách a věcech,
  3. c) zpracování osobních údajů při zajišťování obranných a bezpečnostních zájmů České republiky a
  4. d) postavení a pravomoc Úřadu pro ochranu osobních údajů (dále jen „úřad“).

 

HLAVA II

Zvláštní ustanovení o ochraně osobních údajů podle přímo použitelného předpisu evropské unie

§ 3

Působnost

(1) Ustanovení této hlavy se použijí při zpracování osobních údajů podle nařízení Evropského parlamentu a Rady (EU) 2016/679.

(2) Ustanovení této hlavy a nařízení Evropského parlamentu a Rady (EU) 2016/679 se použijí i při zpracování osobních údajů, které mají být nebo jsou zařazeny do evidence, nebo které probíhá automatizovaně

  1. a) při výkonu činností, které nespadají do oblasti působnosti práva Evropské unie nebo do působnosti hlavy III nebo IV, nebo
  2. b) při výkonu činností, které spadají do oblasti působnosti hlavy V kapitoly 2 Smlouvy o Evropské unii.

§ 4

Zpracování při plnění právní povinnosti nebo výkonu pravomoci

(1) Správce je oprávněn v nezbytném rozsahu zpracovávat osobní údaje pro plnění své povinnosti stanovené právním předpisem nebo uložené na jeho základě.

(2) Správce je oprávněn v nezbytném rozsahu zpracovávat osobní údaje pro účely související s plněním svého úkolu ve veřejném zájmu nebo s výkonem veřejné moci, kterým je pověřen.

CELEX 32016R0679

§ 5

Slučitelnost účelů

Nestanoví-li jiný právní předpis jinak, správce není povinen před zpracováním osobních údajů k jinému účelu, než ke kterému byly shromážděny, posuzovat slučitelnost těchto účelů, je-li toto zpracování nezbytné a přiměřené k plnění povinnosti správce stanovené právním předpisem nebo uložené na jeho základě, právním předpisem stanoveného úkolu správce prováděného ve veřejném zájmu nebo při výkonu pravomoci správce, pro zajišťování

  1. a) obrany nebo bezpečnosti České republiky,
  2. b) veřejného pořádku a vnitřní bezpečnosti,
  3. c) předcházení, vyhledávání, odhalování nebo stíhání trestných činů nebo výkonu trestů a ochranných opatření,
  4. d) jiného důležitého cíle veřejného zájmu Evropské unie nebo členského státu Evropské unie, zejména důležitého hospodářského nebo finančního zájmu Evropské unie nebo členského státu Evropské unie, včetně záležitostí měnových, peněžních, rozpočtových, daňových a finančního trhu, veřejného zdraví a sociálního zabezpečení,
  5. e) ochrany nezávislosti soudnictví a soudních řízení,
  6. f) předcházení, vyhledávání, odhalování nebo stíhání porušování etických pravidel regulovaných povolání,
  7. g) dohledové, kontrolní nebo regulační funkce spojené, i pouze příležitostně, s výkonem veřejné moci v případech uvedených v písmenech a) až d) a f),
  8. h) ochrany práv a svobod osob, nebo
  9. i) vymáhání občanskoprávních nároků.

CELEX 32016R0679

§ 6

Věk dítěte pro souhlas se zpracováním

Zpracování osobních údajů dítěte mladšího 13 let v souvislosti s nabídkou služeb informační společnosti přímo tomuto dítěti je zákonné, pokud je souhlas se zpracováním osobních údajů tohoto dítěte vyjádřen nebo schválen jeho zákonným zástupcem.

CELEX 32016R0679

§ 7

Informační povinnost pro zpracování upravená zákonem

Pokud správce provádí zpracování v případech uvedených v § 4 a je povinen subjektu údajů poskytnout informace podle článku 13 nebo článku 14 odst. 1, 2 a 4 nařízení Evropského parlamentu a Rady (EU) 2016/679, může tyto informace poskytnout zveřejněním způsobem umožňujícím dálkový přístup.

CELEX 32016R0679

§ 8

Oznámení formou změny výchozí evidence

Je-li správce povinen oznámit příjemcům, jimž byly osobní údaje zpřístupněny, provedené opravy, omezení zpracování nebo likvidace osobních údajů, může tak učinit změnou osobních údajů v evidenci, pokud příjemci pravidelně zpřístupňuje její platný obsah.

CELEX 32016R0679

§ 9

Výjimka z povinnosti posouzení vlivu zpracování na ochranu osobních údajů

Správce nemusí provádět posouzení vlivu zpracování na ochranu osobních údajů před jeho zahájením, pokud mu právní předpis stanoví povinnost takové zpracování provést.

CELEX 32016R0679

§ 10

Omezení některých práv a povinností

(1) Nestanoví-li jiný právní předpis jinak, články 12 až 22 a v odpovídajícím rozsahu též článek 5 nařízení Evropského parlamentu a Rady (EU) 2016/679 se použijí pouze přiměřeně nebo se splnění povinností správce nebo zpracovatele nebo práva subjektu údajů stanovených těmito články odloží, je-li to nezbytné a přiměřené k zajištění

  1. a) obrany nebo bezpečnosti České republiky,
  2. b) veřejného pořádku a vnitřní bezpečnosti,
  3. c) předcházení, vyhledávání nebo odhalování trestné činnosti, stíhání trestných činů nebo výkonu trestů a ochranných opatření,
  4. d) jiného důležitého cíle obecného veřejného zájmu Evropské unie nebo členského státu Evropské unie, zejména důležitého hospodářského nebo finančního zájmu Evropské unie nebo členského státu Evropské unie, včetně záležitostí měnových, peněžních, rozpočtových, daňových, finančního trhu, veřejného zdraví nebo sociálního zabezpečení,
  5. e) ochrany nezávislosti soudnictví a soudních řízení, nebo
  6. f) dohledové, kontrolní nebo regulační funkce spojené, i pouze příležitostně, s výkonem veřejné moci3) v případech uvedených v písmenech a) až e).

(2) Správce postup podle odstavce 1 bez zbytečného odkladu oznámí úřadu; to neplatí pro soudy provádějící zpracování podle článku 55 odst. 3 nařízení Evropského Parlamentu a Rady (EU) 2016/679.

(3) Nestanoví-li zákon jinak, právo na přístup podle článku 15 a v odpovídajícím rozsahu též článku 5 nařízení Evropského parlamentu a Rady (EU) 2016/679 se nepoužije, použije pouze částečně nebo se splnění povinnosti správce nebo zpracovatele nebo práva subjektu údajů stanovených těmito články odloží, je-li to nezbytné a přiměřené pro ochranu práv nebo právem chráněných zájmů jiné osoby.

CELEX 32016R0679

 

§ 11

Výjimka z povinnosti oznámení případů porušení zabezpečení osobních údajů subjektu údajů

Pokud je správce povinen oznámit porušení zabezpečení osobních údajů subjektu údajů, toto oznámení provede v omezeném rozsahu nebo odloží, je-li to nezbytné a přiměřené k zajištění účelu uvedeného v § 10 odst. 1. Ustanovení § 10 odst. 2 se použije obdobně.

 

CELEX 32016R0679

§ 12

Osobní údaje s omezeným zpracováním

Pokud bylo zpracování osobních údajů omezeno podle článku 18 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2016/679, není tím dotčena povinnost správce nebo zpracovatele tyto osobní údaje předat nebo zpřístupnit, je-li tato povinnost stanovena právním předpisem. Tyto údaje se při předání nebo zpřístupnění označí jako údaje uvedené v článku 18 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2016/679.

CELEX 32016R0679

§13

Veřejný subjekt

Za veřejný subjekt podle článku 37 odst. 1 písm. a) nařízení Evropského parlamentu a Rady (EU) 2016/679 se považuje orgán zřízený zákonem, který plní zákonem stanovené úkoly ve veřejném zájmu.

CELEX 32016R0679

§14

Akreditace subjektů pro vydávání osvědčení

Osoby oprávněné k vydávání osvědčení o ochraně osobních údajů jsou akreditovány osobou pověřenou k výkonu působnosti akreditačního orgánu podle zákona upravujícího akreditaci subjektů posuzování shody4).

CELEX 32016R0679

 

 

 

 §15

Zpracování osobních údajů prováděné pro novinářské účely nebo pro účely akademického, uměleckého nebo literárního projevu

(1) Zpracování osobních údajů je přípustné také tehdy, slouží-li přiměřeným způsobem pro novinářské účely nebo pro účely akademického, uměleckého nebo literárního projevu. Takové zpracování nesmí být v rozporu s oprávněnými zájmy subjektu údajů. Omezení stanovená jinými právními předpisy tím nejsou dotčena.

(2) Zpracování osobních údajů, které vypovídají o rasovém nebo etnickém původu, politických názorech, náboženském nebo filozofickém přesvědčení, členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu nebo sexuálním chování nebo orientaci fyzické osoby je přípustné pro účely podle odstavce 1, je-li nezbytné k dosažení sledovaného oprávněného cíle a převažuje-li zájem na zpracování osobních údajů nad oprávněnými zájmy subjektu údajů; omezení stanovená jinými právními předpisy tím nejsou dotčena.

(3) Zpracování osobních údajů týkajících se rozsudků v trestních věcech a trestných činů, rozhodnutí o přestupcích a přestupků, jakož i souvisejících bezpečnostních opatření, je přípustné pro účely podle odstavce 1, je-li potřebné k dosažení sledovaného oprávněného cíle, zejména v záležitostech veřejného zájmu, a převažuje-li zájem na zpracování osobních údajů nad oprávněnými zájmy subjektu údajů; omezení stanovená jinými právními předpisy tím nejsou dotčena.

(4) V souvislosti se zpracováním osobních údajů pro účely podle odstavce 1 splní správce vůči subjektu údajů poučovací a informační povinnost o jeho právech a o skutečnostech potřebných pro uplatňování jeho práv podle tohoto zákona a nařízení Evropského parlamentu a Rady (EU) 2016/679, včetně práva vznést námitku proti tomuto zpracování, také vhodným informováním o příslušnosti ke správci, je-li poučení správce o právech subjektu údajů a dalších skutečnostech potřebných pro ochranu jeho práv v rozsahu odpovídajícím jím obvykle prováděnému zpracování veřejně dostupné způsobem umožňujícím dálkový přístup. Pokud by informování o příslušnosti ke správci ohrozilo nebo zmařilo účel zpracování, lze poskytnutí informace o příslušnosti ke správci na nezbytnou dobu odložit, je-li takový postup nutný k dosažení oprávněného účelu zpracování, zejména v záležitostech veřejného zájmu. Poskytnutí informace o příslušnosti ke správci, které bylo odloženo, lze vyloučit, pokud již subjekt údajů uvedené informace má nebo ukáže-li se, že informování není možné nebo by vyžadovalo nepřiměřené úsilí.

(5) Při zpracování osobních údajů, které nebyly získány od subjektu údajů, může správce odložit nebo odepřít subjektu údajů sdělení zdroje, ze kterého osobní údaje pocházejí, nebo takové údaje nesdělit, je-li zpracování prováděno pro účely podle odstavce 1 a je-li to potřebné k ochraně zdroje a obsahu informací. Povinnost informovat o správci, způsobu a podmínkách zpracování, jakož i o ostatních právech subjektu údajů, lze odložit na dobu nezbytnou k ochraně zdroje a obsahu informací a lze ji splnit také zveřejněním těchto informací veřejně dostupným způsobem umožňujícím dálkový přístup; v takovém případě dostačuje informovat o správcem obvykle prováděném zpracování.

(6) Přístup k osobním údajům může správce na nezbytnou dobu omezit nebo vyloučit, je-li to nutné pro účely podle odstavce 1, zejména pokud by jinak došlo k ohrožení nebo zmaření oprávněného účelu zpracování nebo ochrany zdroje.

(7) Slouží-li zpracování osobních údajů k účelům podle odstavce 1, má subjekt údajů právo na omezení zpracování pouze tehdy, pokud tyto údaje požaduje pro určení, výkon nebo uplatnění právních nároků; to se nepoužije v případě, kdy by výkon tohoto práva subjektu údajů byl neslučitelný se svobodou projevu nebo právem na informace. V případě uplatnění práva na opravu údajů se postupuje podle jiných právních předpisů.

(8) V souvislosti se zpracováním osobních údajů pro účely podle odstavce 1, uskutečňovaným způsobem umožňujícím dálkový přístup, je povinnost oznamovat opravu nebo likvidaci osobních údajů splněna také uvedením údaje o okamžiku poslední aktualizace obsahu, v němž jsou nebo byly osobní údaje uvedeny. Oprava nebo likvidace se vždy oznamuje tomu, komu správce obsah předal.

(9) Osobní údaje zpracovávané pro účely podle odstavce 1 správce dále nezpracovává, pokud subjekt údajů vznese námitku proti konkrétnímu zveřejnění jeho osobních údajů a osvědčí, že nad zájmem na tomto zveřejnění v daném případě převažuje oprávněný zájem na ochraně jeho práv a svobod.

(10) Porušení ochrany osobních údajů, které je správce povinen oznámit úřadu nebo subjektu údajů, pokud takové údaje byly zpracovávány pro účely podle odstavce 1, lze oznámit i bez údajů umožňujících určení zdroje nebo obsahu osobních údajů.

(11) Zpracování osobních údajů pro účely podle odstavce 1 není podmíněno povolením nebo schválením úřadu a požívá práva na ochranu zdroje a obsahu informací, a to i v případě zpracování způsobem umožňujícím dálkový přístup.

CELEX 32016R0679

 

HLAVA III

OCHRANA OSOBNÍCH ÚDAJŮ PŘI ZPRACOVÁNÍ ZA ÚČELEM PŘEDCHÁZENÍ, VYHLEDÁVÁNÍ NEBO ODHALOVÁNÍ TRESTNÉ ČINNOSTI, STÍHÁNÍ TRESTNÝCH ČINŮ, VÝKONU TRESTŮ A OCHRANNÝCH OPATŘENÍ, ZAJIŠŤOVÁNÍ BEZPEČNOSTI ČESKÉ REPUBLIKY NEBO ZAJIŠŤOVÁNÍ VEŘEJNÉHO POŘÁDKU A VNITŘNÍ BEZPEČNOSTI

§16

Obecná ustanovení

(1) Nestanoví-li zákon jinak, ustanovení této hlavy se použijí při zpracování osobních údajů, které je potřebné pro plnění úkolů a výkon pravomocí spravujícího orgánu stanovených jinými zákony5)za účelem předcházení, vyhledávání a odhalování trestné činnosti, stíhání trestných činů, výkonu trestů a ochranných opatření, zajišťování bezpečnosti České republiky nebo zajišťování veřejného pořádku a vnitřní bezpečnosti, včetně pátrání po osobách a věcech.

(2) Pro účely této hlavy se použije článek 4 odst. 1 až 6, 8, 9, 12 až 15 a 26 nařízení Evropského parlamentu a Rady (EU) 2016/679 obdobně.

(3) Spravujícím orgánem se rozumí orgán veřejné moci příslušný k plnění úkolu uvedeného v odstavci 1, který není zpravodajskou službou.

(4) Ustanovení této hlavy se nepoužijí na zpracování osobních údajů, které nemají být zařazeny do evidence, pokud toto zpracování neprobíhá automatizovaně.

CELEX 32016L0680

 §17

Zásady zpracování osobních údajů

(1) Při zpracování osobních údajů spravující orgán

  1. a) stanoví konkrétní účel zpracování v souvislosti s plněním povinností uvedených v § 16 odst. 1,
  2. b) přijímá opatření zajišťující, aby osobní údaje byly přesné ve vztahu k povaze a účelu zpracování, a
  3. c) uchovává osobní údaje v podobě umožňující identifikaci subjektu údajů jen po dobu nezbytnou k účelu jejich zpracování.

(2) Pro účel nesouvisející s plněním povinností uvedených v § 16 odst. 1 lze osobní údaje zpracovávat, pouze pokud je k tomu spravující orgán oprávněn a tento účel není neslučitelný s účelem stanoveným podle odstavce 1 písm. a).

CELEX 32016L0680

§18

Kategorie subjektů údajů a kvalita osobních údajů

Je-li to možné, spravující orgán

  1. a) připojí ke zpracovávaným osobním údajům informaci o postavení subjektu údajů v trestním řízení, popřípadě také informaci o pravomocných rozhodnutích orgánů činných v trestním řízení, která se těchto údajů týkají, je-li to odůvodněné účelem zpracování, a
  2. b) označí nepřesné osobní údaje, popřípadě osobní údaje, které se zakládají na osobních hodnoceních.

CELEX 32016L0680

 

§19

Informace pro subjekt údajů

Spravující orgán zveřejní způsobem umožňujícím dálkový přístup informace o

  1. a) svém názvu a kontaktních údajích,
  2. b) kontaktních údajích pověřence pro ochranu osobních údajů (dále jen pověřenec”),
  3. c) účelu zpracování osobních údajů,
  4. d) právu podat stížnost k úřadu a kontaktních údajích úřadu a
  5. e) právu na přístup k osobním údajům, jejich opravu, omezení zpracování nebo likvidaci.

CELEX 32016L0680

§20

Právo na přístup k osobním údajům

(1) Spravující orgán na žádost subjektu údajů sdělí, zda zpracovává osobní údaje vztahující se k jeho osobě. Jestliže takové údaje spravující orgán zpracovává, předá je subjektu údajů a sdělí mu informace o

  1. a) účelu zpracování,
  2. b) nejdůležitějších právních předpisech, podle nichž tyto údaje zpracovává,
  3. c) příjemcích, popřípadě kategoriích příjemců,
  4. d) předpokládané době uchování nebo způsobu jejího určení,
  5. e) právu požádat o opravu, výmaz nebo omezení zpracování a
  6. f) zdroji těchto údajů.

(2) Spravující orgán žádosti podle odstavce 1 nevyhoví, popřípadě vyhoví pouze částečně, pokud by vyhověním došlo k ohrožení

  1. a) plnění úkolu v oblasti předcházení, vyhledávání a odhalování trestné činnosti, stíhání trestných činů, výkonu trestů a ochranných opatření, zajišťování bezpečnosti České republiky nebo zajišťování veřejného pořádku a vnitřní bezpečnosti, včetně pátrání po osobách a věcech,
  2. b) průběhu řízení o přestupku, kázeňském přestupku nebo jednání, které má znaky přestupku,
  3. c) utajovaných informací, nebo
  4. d) oprávněných zájmů třetí osoby.

(3) Pokud by vyhověním žádosti nebo sdělením o nevyhovění žádosti, včetně odůvodnění, došlo k ohrožení podle odstavce 2, spravující orgán informuje subjekt údajů stejně jako ty žadatele, jejichž osobní údaje nezpracovává.

(4) Důvody pro postup podle odstavců 2 a 3 spravující orgán dokumentuje.

CELEX 32016L0680

§21

Právo na opravu, omezení zpracování nebo likvidaci osobních údajů

(1) Spravující orgán na žádost subjektu údajů provede opravu nebo doplnění osobních údajů vztahujících se k jeho osobě. Vyžaduje-li to účel zpracování, může spravující orgán namísto opravy nebo doplnění připojit k údajům opravné prohlášení.

(2) Spravující orgán na žádost subjektu údajů provede likvidaci osobních údajů vztahujících se k jeho osobě, pokud spravující orgán porušil zásady zpracování osobních údajů podle § 17 nebo jiného právního předpisu4) nebo omezení zpracování některých kategorií osobních údajů, nebo pokud má spravující orgán povinnost tyto údaje zlikvidovat.

(3) Namísto opravy nebo likvidace osobních údajů může spravující orgán omezit zpracování osobních údajů jejich zvláštním označením,

  1. a) popírá-li subjekt údajů jejich přesnost, přičemž nelze zjistit, zda jsou tyto údaje přesné, nebo
  2. b) musí-li být tyto údaje uchovány pro účely dokazování.

(4) Je-li zpracování omezeno podle odstavce 3 písm. a), spravující orgán informuje subjekt údajů před zrušením takového omezení; spravující orgán rovněž subjekt údajů informuje, má-li být zrušení provedeno na základě rozhodnutí úřadu nebo příslušného soudu.

(5) Spravující orgán žádosti podle odstavců 1 až 3 nevyhoví, popřípadě vyhoví pouze částečně, pokud by vyhověním došlo k ohrožení podle § 20 odst. 2. Pokud by sdělením o nevyhovění žádosti, včetně odůvodnění, došlo k ohrožení podle § 20 odst. 2, spravující orgán žadatele informuje tak, aby takovému ohrožení předcházel.

(6) Důvody pro postup podle odstavce 5 spravující orgán dokumentuje.

CELEX 32016L0680

§22

Společné ustanovení o žádostech subjektu údajů

(1) Spravující orgán vyřídí žádost podle § 20 nebo 21 bez zbytečného odkladu, nejdéle však do 60 dnů ode dne jejího podání.

(2) Pokud spravující orgán doloží, že žádost podle § 20 nebo 21 je zjevně nedůvodná nebo nepřiměřená, zejména proto, že se v krátké době v téže věci opakuje, nemusí žádosti vyhovět.

(3) Spravující orgán v rámci vyřízení žádosti podle § 20 nebo 21 poučí subjekt údajů o možnosti

  1. a) požádat o ověření zákonnosti zpracování osobních údajů prostřednictvím úřadu a o kontaktních údajích úřadu,
  2. b) podat stížnost úřadu a
  3. c) žádat o soudní ochranu.

(4) O vyřízení žádosti podle § 20 nebo 21 spravující orgán subjekt údajů písemně informuje. Informace o vyřízení žádosti obsahuje odůvodnění, s výjimkou případů, kdy se žádosti vyhovuje v plném rozsahu. Je-li subjekt údajů zastoupen, může spravující orgán požadovat, aby byl podpis na písemné plné moci úředně ověřen; úřední ověření není třeba, pokud byla plná moc udělena před spravujícím orgánem.

(5) Na postup při vyřizování žádostí podle § 20 nebo 21 se nepoužijí ustanovení správního řádu o správním řízení.

(6) Ustanovení odstavce 3 písm. a) a b) se nepoužijí, je-li spravující orgán soudem nebo státním zastupitelstvím.

CELEX 32016L0680

§23

Žádost subjektu údajů o ověření zákonnosti zpracování

(1) Subjekt údajů může požádat úřad o ověření zákonnosti zpracování osobních údajů.

(2) Úřad může na základě žádosti subjektu údajů ověřit zákonnost zpracování osobních údajů; ustanovení § 22 se na vyřízení žádosti úřadem použije obdobně.

(3) Úřad do 4 měsíců ode dne podání žádosti subjektu údajů o ověření zákonnosti zpracování informuje subjekt údajů, zda ověřil zákonnost zpracování; pokud tak neučinil, připojí k informaci odůvodnění svého postupu. Úřad rovněž poučí subjekt údajů o možnosti žádat o soudní ochranu.

CELEX 32016L0680

§24

Obecné povinnosti spravujícího orgánu a záměrná ochrana osobních údajů

(1) Spravující orgán s přihlédnutím k povaze, rozsahu, okolnostem, účelům a rizikům zpracování přijme taková technická a organizační opatření, aby zajistil a doložil splnění svých povinností při ochraně osobních údajů.

(2) Spravující orgán s přihlédnutím k povaze, rozsahu, okolnostem, účelům a rizikům zpracování, vývoji techniky a nákladům přijímá technická a organizační opatření k účinné ochraně osobních údajů, omezování nepřiměřeného nebo svým rozsahem, množstvím údajů, dobou jejich uložení nebo dostupností nikoli nezbytného zpracování a poskytnutí nezbytných záruk práv subjektu údajů. Spravující orgán zejména předchází automatickému zveřejňování osobních údajů. Přijatá a provedená opatření spravující orgán dokumentuje.

(3) Spravující orgán vede písemné přehledy o všech typových činnostech zpracování, které obsahují

  1. a) název a kontaktní údaje spravujícího orgánu a pověřence,
  2. b) účely zpracování,
  3. c) kategorie příjemců nebo budoucích příjemců,
  4. d) kategorie subjektů údajů a osobních údajů,
  5. e) informaci, zda a jak je použito profilování,
  6. f) kategorie přenosů do třetích zemí nebo mezinárodních organizací,
  7. g) právní základ pro operace zpracování, pro něž jsou osobní údaje určeny,
  8. h) lhůty pro výmaz nebo přezkum potřebnosti kategorií osobních údajů a
  9. i) obecný popis zabezpečení osobních údajů.

(4) Dojde-li k nesprávnému předání nebo k předání nepřesných osobních údajů, spravující orgán o tom bez zbytečného odkladu informuje příjemce těchto údajů a orgán příslušný pro plnění účelu uvedeného v § 16 odst. 1, který je jejich původcem. Pokud spravující orgán provedl opravu, doplnění, likvidaci nebo omezení zpracování osobních údajů, vyrozumí o nutnosti takového postupu rovněž příjemce těchto údajů.

CELEX 32016L0680

§25

Společně spravující orgány

Stanoví-li více spravujících orgánů účely a prostředky zpracování společně, dohodnou mezi sebou způsob plnění povinností podle této části a kontaktní místo pro příjem žádostí subjektů údajů, nestanoví-li zákon jinak.

CELEX 32016L0680

§26

Zpracovatel

(1) Spravující orgán zmocní zpracováním pouze zpracovatele, který je schopen účinně uplatňovat opatření podle § 24 odst. 1.

(2) Pokud zmocnění zpracovatele nevyplývá z právního předpisu, musí spravující orgán se zpracovatelem uzavřít písemnou smlouvu o zpracování osobních údajů. Nevyplývá-li to přímo z právního předpisu, smlouva určí

  1. a) předmět a dobu trvání zpracování,
  2. b) povahu a účel zpracování,
  3. c) typ osobních údajů, které budou zpracovávány,
  4. d) kategorie subjektů údajů a
  5. e) práva a povinnosti spravujícího orgánu.

(3) Smlouva o zpracování osobních údajů dále určí, nevyplývá-li to přímo z právního předpisu, že zpracovatel

  1. a) jedná pouze podle pokynů spravujícího orgánu,
  2. b) zajistí, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti,
  3. c) pomáhá spravujícímu orgánu v plnění povinností podle této části,
  4. d) podle rozhodnutí spravujícího orgánu po ukončení své činnosti osobní údaje předá spravujícímu orgánu nebo zlikviduje, ledaže zákon ukládá jiný postup, a
  5. e) poskytne spravujícímu orgánu informace nezbytné pro doložení splnění povinností podle písmen a) až d) a odstavců 1, 2 a 5.

(4) Zpracovatel vede písemné přehledy o všech typových činnostech zpracování, které obsahují

  1. a) název a kontaktní údaje spravujícího orgánu, zpracovatele a pověřence,
  2. b) kategorie zpracování pro jednotlivé spravující orgány,
  3. c) informace o předání osobních údajů do konkrétních třetích zemí nebo mezinárodních organizací a
  4. d) obecný popis zabezpečení osobních údajů.

(5) Zpracovatel bez zbytečného odkladu oznámí spravujícímu orgánu porušení zabezpečení osobních údajů.

(6) Zpracovatel může zmocnit dalšího zpracovatele jen s předchozím písemným souhlasem spravujícího orgánu. Je-li souhlas spravujícího orgánu udělen obecně pro blíže neurčeného dalšího zpracovatele, původní zpracovatel spravující orgán předem informuje o všech připravovaných zmocněních dalších zpracovatelů. Odstavce 1 až 3 se použijí obdobně.

CELEX 32016L0680

§27

Závaznost pokynů spravujícího orgánu

Zpracovatel nebo fyzická osoba, která jedná z pověření spravujícího orgánu nebo zpracovatele, může osobní údaje zpracovávat pouze podle pokynů spravujícího orgánu, nestanoví-li zákon jinak.

CELEX 32016L0680

§28

Automatizované pořizování záznamů

(1) Provádí-li spravující orgán automatizované zpracování osobních údajů, pořizuje záznamy alespoň o operacích shromáždění, vložení, pozměnění, kombinování, nahlédnutí, předání, sdělení a likvidace osobních údajů.

(2) Záznamy o operacích shromáždění, vložení, nahlédnutí nebo sdělení podle odstavce 1 umožňují určit a ověřit důvod a čas těchto operací, totožnost osoby provádějící operaci a totožnost příjemce, ledaže zjištění totožnosti těchto osob není z technických důvodů možné.

(3) Záznamy podle odstavců 1 a 2 lze využít pouze pro účely trestního řízení, ověření zákonnosti zpracování, zajištění neporušenosti zabezpečení osobních údajů a zajištění plnění úkolů spravujícího orgánu nebo zpracovatele a povinností osob, kterým se poskytuje přístup k osobním údajům.

(4) Záznamy podle odstavců 1 a 2 jsou uchovávány po dobu nejvýše 3 let od likvidace osobních údajů, ke kterým se vztahují.

CELEX 32016L0680

 

§29

Posouzení vlivu na ochranu osobních údajů

Je-li pravděpodobné, že určitý druh připravovaného zpracování povede vzhledem k jeho povaze, rozsahu, okolnostem nebo účelu k vysokému riziku neoprávněného zásahu do základních práv a svobod subjektů údajů, vypracuje spravující orgán posouzení vlivu takového zpracování na ochranu osobních údajů, které obsahuje alespoň

  1. a) obecný popis připravovaného zpracování a jeho operací,
  2. b) posouzení rizika neoprávněného zásahu do základních práv a svobod subjektů údajů a
  3. c) plánovaná opatření a vhodné záruky ke zmenšení rizika podle písmene b) a splnění povinností podle této hlavy.

CELEX 32016L0680

§30

Projednání s úřadem

(1) Má-li připravovaným zpracováním vzniknout nová evidence a z posouzení podle § 29 vyplývá vysoké riziko neoprávněného zásahu do základních práv a svobod subjektů údajů nebo druh zpracování, s přihlédnutím k využití nových technologií nebo postupů, vede k vysokému riziku zásahu do základních práv a svobod subjektů údajů, podá spravující orgán úřadu žádost o projednání takového zpracování.

(2) Součástí žádosti podle odstavce 1 je posouzení vlivu podle § 29, na vyžádání úřadu pak i jiné související informace.

(3) Úřad může vydat seznam zpracování, která je spravující orgán povinen projednat s úřadem. O takových zpracováních úřad spravující orgán informuje.

(4) Má-li úřad za to, že by připravované zpracování porušilo předpisy upravující ochranu osobních údajů, upozorní na to spravující orgán do šesti týdnů od podání žádosti podle odstavce 1, popřípadě uplatní další své pravomoci.

(5) Úřad může s ohledem na složitost věci prodloužit lhůtu podle odstavce 4 o 1 měsíc; o tom spravující orgán informuje do 1 měsíce od podání žádosti podle odstavce 1.

CELEX 32016L0680

§31

Automatizované rozhodování

Spravující orgán může prostřednictvím výhradně automatizovaného zpracování osobních údajů rozhodnout o zásahu do práv a právem chráněných zájmů subjektu údajů nebo o jiném obdobně závažném následku pro subjekt údajů, jen pokud to výslovně povoluje jiný zákon, který stanoví nezbytné záruky, zejména právo subjektu údajů na ověření rozhodnutí jiným způsobem.

CELEX 32016L0680

§32

Zabezpečení zpracování

(1) Spravující orgán nebo zpracovatel přijme taková organizační a technická opatření, aby zajistil úroveň zabezpečení osobních údajů odpovídající povaze, rozsahu, okolnostem, účelu a riziku daného zpracování.

(2) Jsou-li osobní údaje zpracovávány automatizovaně, spravující orgán nebo zpracovatel přijme nezbytná opatření, aby

  1. a) tyto osobní údaje zabezpečil před neoprávněným přístupem, přenosem, změnou, zničením, ztrátou nebo odcizením, zneužitím nebo jiným neoprávněným zpracováním,
  2. b) zajistil obnovitelnost těchto osobních údajů,
  3. c) zajistil možnost určit a ověřit osobu, která tyto osobní údaje vložila nebo které byly prostřednictvím zařízení pro přenos údajů předány nebo zpřístupněny,
  4. d) zajistil bezpečnost a spolehlivost informačního systému, který tyto osobní údaje obsahuje, včetně hlášení výskytu chyb, a
  5. e) zabránil v neoprávněném přístupu k nosiči těchto osobních údajů nebo zařízení užívanému k jejich zpracování.

CELEX 32016L0680

§33

Ohlašování případů porušení zabezpečení osobních údajů úřadu

(1) Spravující orgán ohlásí bez zbytečného odkladu porušení zabezpečení osobních údajů úřadu, ledaže je riziko neoprávněného zásahu do základních práv a svobod subjektu údajů nízké.

(2) Pokud spravující orgán provede ohlášení po více než 72 hodinách od okamžiku, kdy se o něm dozvěděl, připojí k němu odůvodnění tohoto prodlení.

(3) V ohlášení podle odstavce 1 spravující orgán uvede, pokud jsou mu tyto skutečnosti známy, alespoň

  1. a) popis povahy porušení zabezpečení osobních údajů,
  2. b) kategorie a přibližný počet subjektů údajů a záznamů osobních údajů, kterých se porušení zabezpečení týká,
  3. c) jméno a kontaktní údaje pověřence nebo jiného pracoviště, které poskytne bližší informace k porušení zabezpečení osobních údajů,
  4. d) popis pravděpodobných důsledků porušení zabezpečení osobních údajů a
  5. e) popis opatření přijatých nebo navržených spravujícím orgánem k nápravě nebo zmírnění újmy způsobené porušením zabezpečení osobních údajů.

(4) Skutečnosti podle odstavce 3, které mu nebyly v době ohlášení známy, spravující orgán doplní bez zbytečného odkladu poté, co se o nich dozví.

(5) Skutečnosti podle odstavce 3 sdělí spravující orgán též jinému členskému státu Evropské unie, který osobní údaje poskytl nebo obdržel.

(6) Spravující orgán vede dokumentaci o každém porušení zabezpečení osobních údajů, jeho důsledcích a přijatých nápravných opatřeních.

CELEX 32016L0680

§34

Oznamování případů porušení zabezpečení osobních údajů subjektu údajů

(1) Spravující orgán oznámí bez zbytečného odkladu porušení zabezpečení osobních údajů subjektu údajů, pokud je riziko neoprávněného zásahu do základních práv a svobod subjektu údajů plynoucí z tohoto porušení vysoké.

(2) V oznámení spravující orgán uvede alespoň informace uvedené v § 33 odst. 3 písm. a) a c) až e).

(3) Pokud by oznámení subjektu údajů podle odstavce 1 vyžadovalo nepřiměřené úsilí, spravující orgán oznámení vhodným způsobem zveřejní.

(4) Spravující orgán není povinen oznámení podle odstavce 1 provést, pokud

  1. a) provedená technická a organizační opatření zajišťují, že dotčené osobní údaje nelze zneužít, nebo
  2. b) následná opatření spravujícího orgánu významně snížila riziko uvedené v odstavci 1.

(5) O existenci vysokého rizika podle odstavce 1 nebo o splnění podmínek podle odstavce 4 písm. a) nebo b) může rozhodnout také úřad.

(6) Spravující orgán oznámení podle odstavce 1 neprovede, popřípadě provede pouze částečně, pokud by sdělením došlo k ohrožení podle § 20 odst. 2.

CELEX 32016L0680

 

HLAVA IV

OCHRANA OSOBNÍCH ÚDAJŮ PŘI ZAJIŠŤOVÁNÍ OBRANNÝCH A BEZPEČNOSTNÍCH ZÁJMŮ ČESKÉ REPUBLIKY

§35

(1) Ustanovení této hlavy se použijí při zpracování osobních údajů při zajišťování obraných a bezpečnostních zájmů České republiky, pokud jiný právní předpis6) nestanoví jinak.

(2) Pro účely této hlavy se použije článek 4 odst. 1, 2, 6 až 8, 9, a 11 nařízení Evropského parlamentu a Rady (EU) 2016/679 obdobně.

(3) Správce může zpracovávat osobní údaje pouze se souhlasem subjektu údajů. Bez tohoto souhlasu je může zpracovávat, jestliže

  1. a) provádí zpracování nezbytné pro dodržení právní povinnosti správce,
  2. b) je zpracování nezbytné pro plnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro jednání o uzavření nebo změně smlouvy uskutečněné na návrh subjektu údajů,
  3. c) je zpracování nezbytné zejména k ochraně životně důležitých zájmů subjektu údajů; v tomto případě je třeba bez zbytečného odkladu získat jeho souhlas, jinak musí správce ukončit zpracování a údaje zlikvidovat,
  4. d) se jedná o oprávněně zveřejněné osobní údaje v souladu s jiným právním předpisem; tím však není dotčeno právo na ochranu soukromého a osobního života subjektu údajů,
  5. e) je zpracování nezbytné pro ochranu práv a právem chráněných zájmů správce, příjemce nebo jiné dotčené osoby; takové zpracování osobních údajů však nesmí být v rozporu s právem subjektu údajů na ochranu jeho soukromého a osobního života,
  6. f) poskytuje osobní údaje o veřejně činné osobě, funkcionáři či zaměstnanci veřejné správy, které vypovídají o jeho veřejné nebo úřední činnosti nebo funkčním nebo pracovním zařazení, nebo
  7. g) se jedná o zpracování výlučně pro účely archivnictví.

(4) Provádí-li správce zpracování osobních údajů na základě jiného právního předpisu, je povinen dbát práva na ochranu soukromého a osobního života subjektu údajů.

(5) Subjekt údajů musí být při udělení souhlasu informován o tom, pro jaký účel zpracování a k jakým osobním údajům je souhlas dáván, jakému správci a na jaké období. Souhlas subjektu údajů se zpracováním osobních údajů musí být správce schopen prokázat po celou dobu zpracování.

§36

Pokud zmocnění nevyplývá z jiného právního předpisu, musí správce se zpracovatelem uzavřít smlouvu o zpracování osobních údajů. Smlouva musí mít písemnou formu. Musí v ní být zejména výslovně uvedeno v jakém rozsahu, za jakým účelem a na jakou dobu se uzavírá, a musí obsahovat záruky zpracovatele o technickém a organizačním zabezpečení ochrany osobních údajů.

 

§37

Povinnosti stanovené v § 35 platí obdobně také pro zpracovatele.

§38

Jestliže zpracovatel zjistí, že správce porušuje povinnosti stanovené tímto zákonem, je povinen jej na to neprodleně upozornit a ukončit zpracování osobních údajů. Pokud tak neučiní, odpovídá za škodu společně a nerozdílně se správcem údajů. Tím není dotčena jeho odpovědnost podle tohoto zákona.

§39

Při zpracování osobních údajů správce a zpracovatel dbá, aby subjekt údajů neutrpěl újmu na svých právech, zejména na právu na zachování lidské důstojnosti, a také dbá na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů.

 

Povinnosti osob při zabezpečení osobních údajů

§40

(1) Správce a zpracovatel jsou povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení, ztrátě, neoprávněným přenosům nebo jinému neoprávněnému zpracování nebo zneužití. Tato povinnost platí i po ukončení zpracování osobních údajů.

(2) Správce nebo zpracovatel je povinen zpracovat a dokumentovat přijatá a provedená technická a organizační opatření k zajištění ochrany osobních údajů v souladu se zákonem a jinými právními předpisy.

(3) V rámci opatření podle odstavce 1 správce nebo zpracovatel posuzuje rizika týkající se

  1. a) plnění pokynů pro zpracování osobních údajů osobami, které mají bezprostřední přístup k osobním údajům,
  2. b) zabránění neoprávněným osobám přistupovat k osobním údajům a k prostředkům pro jejich zpracování,
  3. c) zabránění neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě nebo vymazání záznamů obsahujících osobní údaje a
  4. d) opatření, která umožní určit a ověřit, komu byly osobní údaje předány.

(4) V oblasti automatizovaného zpracování osobních údajů je správce nebo zpracovatel v rámci opatření podle odstavce 1 povinen také

  1. a) zajistit, aby systémy pro automatizovaná zpracování osobních údajů používaly pouze oprávněné osoby,
  2. b) zajistit, aby fyzická osoba oprávněná k používání systémů pro automatizovaná zpracování osobních údajů měla přístup pouze k osobním údajům odpovídajícím jejímu oprávnění, a to na základě zvláštního uživatelského oprávnění zřízeného výlučně pro tuto osobu,
  3. c) pořizovat elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány, a
  4. d) zabránit neoprávněnému přístupu k datovým nosičům.

§41

Zaměstnanci správce nebo zpracovatele nebo jiné osoby, které zpracovávají osobní údaje na základě smlouvy se správcem nebo zpracovatelem, mohou zpracovávat osobní údaje pouze za podmínek a v rozsahu správcem nebo zpracovatelem stanoveném.

§42

Zaměstnanci správce nebo zpracovatele, jiné osoby, které zpracovávají osobní údaje na základě smlouvy se správcem nebo zpracovatelem, nebo osoby, které v rámci plnění zákonem stanovených oprávnění a povinností přicházejí do styku s osobními údaji u správce nebo zpracovatele, jsou povinni zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů. Povinnost mlčenlivosti trvá i po skončení zaměstnání nebo příslušných prací.

§43

Likvidace osobních údajů

Správce nebo na základě jeho pokynu zpracovatel je povinen provést likvidaci osobních údajů, jakmile pomine účel, pro který byly osobní údaje zpracovány, nebo na základě žádosti subjektu údajů podle § 44.

§44

Ochrana práv subjektu údajů

(1) Každý subjekt údajů, který má za to, že správce nebo zpracovatel provádí zpracování jeho osobních údajů, které je v rozporu s ochranou soukromého a osobního života subjektu údajů nebo s touto hlavou, zejména jsou-li osobní údaje nepřesné s ohledem na účel jejich zpracování, může

  1. a) požádat správce nebo zpracovatele o vysvětlení, nebo
  2. b) požadovat, aby správce nebo zpracovatel odstranil takto vzniklý stav, zejména blokováním, provedením opravy, doplněním nebo likvidací osobních údajů.

(2) Je-li žádost subjektu údajů podle odstavce 1 písm. b) shledána oprávněnou, správce nebo zpracovatel bez zbytečného odkladu odstraní závadný stav.

(3) Vznikla-li v důsledku zpracování osobních údajů subjektu údajů nemajetková újma, postupuje se při uplatňování jejího nároku podle občanského zákoníku.

(4) Došlo-li při zpracování osobních údajů k porušení povinností uložených zákonem u správce nebo u zpracovatele, odpovídají za ně společně a nerozdílně.

(5) Správce je povinen bez zbytečného odkladu informovat příjemce o žádosti subjektu údajů podle odstavce 1 a o blokování, opravě, doplnění nebo likvidaci osobních údajů. To se nepoužije, je-li informování příjemce nemožné nebo by vyžadovalo neúměrné úsilí.

 

HLAVA V

ÚŘAD

§45

(1) Úřad je ústředním správním úřadem pro oblast ochrany osobních údajů v rozsahu stanoveném tímto zákonem, jinými právními předpisy1), mezinárodními smlouvami, které jsou součástí právního řádu, a přímo použitelnými předpisy Evropské unie.

(2) Sídlem úřadu je Praha.

CELEX 32016R0679

§46

(1) Do činnosti úřadu lze zasahovat jen na základě zákona. Při výkonu své působnosti v oblasti ochrany osobních údajů úřad postupuje nezávisle a řídí se pouze právními předpisy a přímo použitelnými předpisy Evropské unie.

(2) Činnost úřadu je hrazena ze samostatné kapitoly státního rozpočtu České republiky.

(3) Úřad se může žalobou k ochraně veřejného zájmu podle soudního řádu správního domáhat zrušení, nebo vyslovení nicotnosti rozhodnutí ve věcech služebních vztahů státních zaměstnanců zařazených v úřadu, jestliže k jejímu podání prokáže závažný veřejný zájem.

CELEX 32016R0679

 §47

Předseda úřadu

(1) Úřad řídí předseda úřadu, kterého jmenuje a odvolává prezident republiky na návrh Senátu Parlamentu České republiky. Předseda úřadu se považuje za člena dozorového úřadu podle článku 53 nařízení Evropského parlamentu a Rady (EU) 2016/679. Předseda úřadu může pověřit místopředsedy úřadu trvalým plněním některých svých úkolů. Předseda úřadu se považuje za služební orgán podle zákona o státní službě a je oprávněn dávat státnímu zaměstnanci příkazy k výkonu státní služby.

(2) Funkční období předsedy úřadu je 5 let. Předseda úřadu může být jmenován nejvýše na 2 po sobě jdoucí funkční období.

(3) Předsedou úřadu může být jmenován pouze občan České republiky, který

  1. a) je plně svéprávný,
  2. b) je bezúhonný, splňuje podmínky stanovené jiným právním předpisem7) a jeho znalosti, zkušenosti a morální vlastnosti jsou předpokladem, že bude svoji funkci řádně zastávat, a
  3. c) získal vysokoškolské vzdělání absolvováním magisterského studijního programu zaměřeného na právo nebo informatiku, má potřebnou úroveň znalostí anglického, německého nebo francouzského jazyka a nejméně 2 roky praxe v oblasti ochrany osobních údajů nebo lidských práv a základních svobod.

(4) Za bezúhonnou se pro účel tohoto zákona považuje fyzická osoba, která nebyla pravomocně odsouzena pro úmyslný trestný čin nebo trestný čin spáchaný z nedbalosti v souvislosti se zpracováním osobních údajů.

(5) S výkonem funkce předsedy úřadu je neslučitelná funkce poslance nebo senátora, soudce, státního zástupce, jakákoliv funkce ve veřejné správě, funkce člena orgánů územní samosprávy a členství v politických stranách a hnutích.

(6) Předseda úřadu nesmí zastávat jinou placenou funkci, být v dalším pracovním poměru ani vykonávat výdělečnou činnost s výjimkou správy vlastního majetku a činnosti vědecké, pedagogické, literární, publicistické a umělecké, pokud tato činnost nenarušuje důstojnost nebo neohrožuje důvěru v nezávislost a nestrannost úřadu.

(7) Z funkce je předseda úřadu odvolán, přestal-li splňovat některou z podmínek pro jeho jmenování. Z funkce může být předseda úřadu odvolán také tehdy, jestliže nevykonává po dobu 6 měsíců řádně svoji funkci.

CELEX 32016R0679

 §48

Místopředseda úřadu

(1) Na návrh předsedy úřadu Senát Parlamentu České republiky jmenuje a odvolává 2 místopředsedy úřadu. Místopředseda úřadu je ředitelem sekce. Místopředseda úřadu se považuje za člena dozorového úřadu podle článku 53 nařízení Evropského parlamentu a Rady (EU) 2016/679.

(2) Místopředseda úřadu zastupuje předsedu úřadu v jeho nepřítomnosti; pořadí zastupování se řídí pořadím, ve kterém byli místopředsedové úřadu jmenováni, včetně případného bezprostředně předcházejícího funkčního období.

(3) Na jmenování a výkon funkce místopředsedy úřadu se použije § 47 odst. 2, 3 a 5 až 7 obdobně.

CELEX 32016R0679

§49

(1) Předseda úřadu má nárok na plat, náhradu výdajů, naturální plnění a odchodné jako prezident Nejvyššího kontrolního úřadu podle jiného zákona.

(2) Místopředsedové úřadu mají nárok na plat, náhradu výdajů a naturální plnění jako členové Nejvyššího kontrolního úřadu podle jiného zákona.

§50

Činnosti úřadu

(1) Ve vztahu ke zpracování osobních údajů podle hlavy II úřad

  1. a) při provádění auditu podle článku 58 odst. 1 písm. b) nařízení Evropského parlamentu a Rady (EU) 2016/679 postupuje podle kontrolního řádu,
  2. b) při postupu podle článku 58 odst. 1 písm. d) nařízení Evropského parlamentu a Rady (EU) 2016/679 může správce vyzvat k vysvětlení nebo nápravě,
  3. c) sdělením upozorňuje správce nebo zpracovatele, že zamýšleným zpracováním zřejmě poruší své povinnosti,
  4. d) může stanovit opatřením obecné povahy kritéria nebo požadavky podle článku 41 odst. 3, článku 42 odst. 5 nebo článku 43 odst. 1 písm. b) nařízení Evropského parlamentu a Rady (EU) 2016/679,
  5. e) může nařídit subjektu pro vydávání osvědčení, aby odebral osvědčení, které tento subjekt vydal podle článku 42 a 43 nařízení Evropského parlamentu a Rady (EU) 2016/679,
  6. f) schvaluje opatřením obecné povahy kodexy chování; je-li kodex chování v rozporu s nařízením Evropského parlamentu a Rady (EU) 2016/679, úřad jej zamítne, a
  7. g) zveřejňuje způsobem umožňujícím nepřetržitý dálkový přístup standardní smluvní doložky přijaté podle článku 28 odst. 8 nebo článku 46 odst. 2 písm. d) nařízení Evropského parlamentu a Rady (EU) 2016/679.

(2) Při postupu podle odstavce 1 písm. d) nebo f) se návrh opatření obecné povahy zveřejní pouze na úřední desce úřadu. Koná-li se veřejné projednání návrhu opatření obecné povahy, oznámí úřad dobu a místo jeho konání pouze na své úřední desce. Opatření obecné povahy se oznamuje veřejnou vyhláškou pouze na úřední desce úřadu.

(3) Ve vztahu ke zpracování osobních údajů podle hlavy III, nejde-li o zpracování prováděné soudy a státními zastupitelstvími, úřad

  1. a) provádí dozor nad dodržováním povinností stanovených zákonem při zpracování osobních údajů,
  2. b) ověřuje zákonnost zpracování osobních údajů na žádost subjektu údajů podle § 23,
  3. c) přijímá podněty a stížnosti na porušení povinností stanovených zákonem při zpracování osobních údajů a informuje o jejich vyřízení,
  4. d) projednává přestupky a ukládá pokuty podle zákona,
  5. e) poskytuje konzultace a osvětu v oblasti ochrany osobních údajů a
  6. f) vykonává další působnosti stanovené mu zákonem.

(4) Úřad dále

  1. a) zpracovává a veřejnosti zpřístupňuje výroční zprávu o své činnosti,
  2. b) zajišťuje plnění požadavků vyplývajících z mezinárodních smluv, jimiž je Česká republika vázána, a z přímo použitelných předpisů Evropské unie,
  3. c) i bez žádosti poskytuje oběma komorám Parlamentu vyjádření k návrhu právního předpisu, který upravuje zpracování osobních údajů, není-li navrhovatelem vláda, a
  4. d) podílí se na činnosti Evropského sboru pro ochranu osobních údajů, spolupracuje s obdobnými úřady jiných států, s orgány Evropské unie a s orgány mezinárodních organizací působícími v oblasti ochrany osobních údajů.

(5) Dozor nad zpracováním osobních údajů, které provádějí soudy nebo státní zastupitelství podle hlavy III tohoto zákona, nebo zpravodajské služby, stanoví jiný právní předpis8).

CELEX 32016R0679

CELEX 32016L0680

 §51

(1) Úřad využívá při výkonu působnosti podle tohoto zákona nebo jiného právního předpisu ze základního registru obyvatel údaje v rozsahu

  1. a) příjmení,
  2. b) jméno, popřípadě jména,
  3. c) adresa místa pobytu a
  4. d) datum narození.

(2) Úřad využívá při výkonu působnosti podle tohoto zákona nebo jiného právního předpisu z informačního systému evidence obyvatel údaje v rozsahu

  1. a) jméno, popřípadě jména, příjmení, popřípadě rodné příjmení,
  2. b) datum narození,
  3. c) adresa místa trvalého pobytu, včetně předchozích adres místa trvalého pobytu,
  4. d) počátek trvalého pobytu, popřípadě datum zrušení trvalého pobytu nebo datum ukončení trvalého pobytu na území České republiky, a
  5. e) rodné číslo.

(3) Úřad využívá při výkonu působnosti podle tohoto zákona nebo jiného právního předpisu z informačního systému cizinců údaje v rozsahu

  1. a) jméno, popřípadě jména, příjmení, popřípadě rodné příjmení,
  2. b) datum narození,
  3. c) druh a adresa místa pobytu,
  4. d) číslo a platnost oprávnění k pobytu a
  5. e) počátek pobytu, popřípadě datum ukončení pobytu.

(4) Údaje, které jsou vedeny jako referenční údaje v základním registru obyvatel, se využijí z informačního systému evidence obyvatel nebo informačního systému cizinců, pouze pokud jsou ve tvaru předcházejícím současný stav.

(5) Z poskytovaných údajů lze v konkrétním případě využít vždy jen takové údaje, které jsou nezbytné ke splnění daného úkolu.

§52

Mezinárodní spolupráce

(1) Úřad poskytuje v oblasti ochrany osobních údajů podle hlavy III pomoc, včetně provedení šetření, kontrol nebo poskytnutí informací, dozorovým úřadům jiných členských států Evropské unie a států, které uplatňují předpisy k provedení směrnice Evropského parlamentu a Rady (EU) 2016/680.

(2) Žádost dozorového úřadu jiného členského státu Evropské unie podle odstavce 1 úřad vyřídí bez zbytečného odkladu, nejpozději však do 1 měsíce od jejího podání, ledaže k poskytnutí pomoci není úřad oprávněn nebo by jím došlo k porušení zákona.

(3) O vyřízení žádosti podle odstavce 2 nebo důvodech jejího nevyřízení úřad informuje žádající dozorový úřad.

(4) Pomoc podle odstavce 1 se poskytuje na náklady úřadu; pokud vyřízení žádosti vyžaduje vynaložení neúměrných nákladů, úřad vyřízení žádosti odloží, dokud nedojde k dosažení dohody se žádajícím dozorovým úřadem o způsobu úhrady takových nákladů.

(5) Pokud vyřízení žádosti úřadu v cizině vyžaduje vynaložení neúměrných nákladů, může být s jeho souhlasem žádost vyřízena na jeho náklady.

CELEX 32016L0680

§53

Výroční zpráva

(1) Výroční zpráva úřadu obsahuje zejména informace o provedené kontrolní činnosti a její zhodnocení, informace o stavu v oblasti zpracovávání a ochrany osobních údajů v České republice a jeho zhodnocení a zhodnocení ostatní činnosti úřadu, včetně dozoru nad zpracováním podle hlavy II tohoto zákona.

(2) Výroční zprávu předkládá předseda úřadu Parlamentu a vládě do 3 měsíců od skončení rozpočtového roku.

CELEX 32016L0680

CELEX 32016R0679

 

§54

Oprávnění úřadu na přístup k informacím

(1) Úřad je v rozsahu nezbytném pro plnění konkrétního úkolu oprávněn seznamovat se se všemi informacemi. To platí i pro informace chráněné povinností mlčenlivosti podle jiného zákona, nestanoví-li jiný zákon pro přístup úřadu k takovým údajům jiné podmínky9).

(2) S informacemi chráněnými povinností mlčenlivosti podle zákona o advokacii je úřad oprávněn se seznamovat pouze za přítomnosti a se souhlasem zástupce České advokátní komory (dále jen „komora“), kterého ustanoví předseda komory z řad jejích zaměstnanců nebo z řad advokátů. Zástupce komory bezodkladně zajistí na žádost úřadu uvedenou v protokolu o ústním jednání důvěrnost a neporušenost informací podle věty první a bezodkladně předá kontrolní radě komory žádost úřadu, uvedenou v protokolu o ústním jednání, o nahrazení souhlasu zástupce komory rozhodnutím kontrolní rady komory. Nerozhodne-li kontrolní rada komory o žádosti úřadu tak, že nahrazuje souhlas zástupce komory, ve lhůtě 30 dnů od doručení žádosti zástupcem komory, lze souhlas zástupce komory nahradit na návrh úřadu rozhodnutím soudu podle zákona o zvláštních řízeních soudních.

(3) Úřad vyloučí z nahlížení do spisu informace, které jsou obchodním, bankovním nebo jiným obdobným zákonem chráněným tajemstvím, informace, které požívají autorskoprávní ochrany, a informace podle odstavce 1 věty druhé nebo odstavce 2, pokud do spisu umožní nahlédnout osobě odlišné od osoby, od níž byly tyto informace získány.

(4) Odstavcem 1 není dotčena povinnost kontrolujícího prokázat oprávnění k přístupu k utajované informaci.

CELEX 32016L0680

§55

Průkaz kontrolujícího

Kontrolující je povinen prokázat se kontrolované osobě průkazem, jehož vzor stanoví nařízení vlády a který je současně pověřením ke kontrole.

§56

Mlčenlivost zaměstnanců v úřadu

(1) Zaměstnanci v úřadu jsou povinni zachovávat mlčenlivost o osobních údajích a bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů, se kterými se seznámili při plnění úkolů úřadu nebo v souvislosti s nimi. Tato povinnost trvá i po skončení služebního nebo pracovního poměru.

(2) Povinnosti mlčenlivosti podle odstavce 1 se nelze dovolávat vůči úřadu, orgánu činnému v trestním řízení nebo soudu; ohledně osobních údajů se povinnosti mlčenlivosti nelze dovolávat ani vůči subjektu údajů. Povinnosti mlčenlivosti podle odstavce 1 se lze dovolávat vůči orgánu činnému v trestním řízení nebo soudu pouze tehdy, pokud by se povinnosti mlčenlivosti vůči orgánu činnému v trestním řízení nebo soudu mohl dovolávat ten, jemuž byla zákonem uložena a od něhož informace chráněná povinností mlčenlivosti pochází.

(3) Povinnosti mlčenlivosti je zaměstnance oprávněn zprostit předseda úřadu nebo jím pověřená osoba.

§57

Dojde-li k porušení povinnosti stanovené zákonem nebo uložené na jeho základě při zpracování osobních údajů podle hlavy II nebo nařízení Evropského parlamentu a Rady (EU) 2016/679, nebo podle hlavy III, může úřad uložit opatření k odstranění zjištěných nedostatků a stanovit lhůtu pro jejich odstranění.

CELEX 32016L0680

CELEX 32016R0679

§58

Dojde-li k nápravě protiprávního stavu bezprostředně poté, kdy bylo zjištěno porušení povinnosti, může úřad upustit od uložení pokuty.

CELEX 32016L0680

CELEX 32016R0679

 

HLAVA VI

PŘESTUPKY

§59

(1) Fyzická osoba, právnická osoba nebo podnikající fyzická osoba se dopustí přestupku tím, že poruší zákaz zveřejnění osobních údajů stanovený jiným právním předpisem10).

(2) Za přestupek podle odstavce 1 lze uložit pokutu do 1 000 000 Kč.

(3) Za přestupek podle odstavce 1 spáchaný tiskem, filmem, rozhlasem, televizí, veřejně přístupnou počítačovou sítí nebo jiným obdobně účinným způsobem lze uložit pokutu do 5 000 000 Kč.

§60

(1) Spravující orgán nebo zpracovatel podle hlavy III se dopustí přestupku tím, že při zpracování osobních údajů

  1. a) v rozporu s § 17 písm. a) nestanoví účel zpracování nebo stanoveným účelem zpracování poruší povinnost nebo překročí oprávnění vyplývající z jiného zákona,
  2. b) v rozporu s § 17 písm. b) nepřijme opatření zajišťující, aby osobní údaje byly přesné ve vztahu k povaze a účelu zpracování,
  3. c) v rozporu s § 17 písm. c) uchovává osobní údaje po dobu delší než nezbytnou k účelu zpracování,
  4. d) v rozporu s § 19 neposkytne subjektu údajů informace v rozsahu nebo zákonem stanoveným způsobem,
  5. e) v rozporu s § 20 odst. 2 nevyhoví žádosti subjektu údajů uvedené v § 20 odst. 1,
  6. f) v rozporu s § 21 odst. 5 nevyhoví žádosti subjektu údajů uvedené v § 21 odst. 1 nebo 2,
  7. g) v rozporu s § 24 odst. 3 nebo § 26 odst. 5 nevede přehledy o všech typových činnostech zpracování,
  8. h) v rozporu s § 28 odst. 1 nepořizuje záznamy,
  9. i) v rozporu s § 28 odst. 3 využije záznamy k jinému účelu,
  10. j) v rozporu s § 29 neprovede posouzení vlivu na ochranu osobních údajů,
  11. k) v rozporu s § 30 odst. 1 nepožádá úřad o projednání připravovaného zpracování,
  12. l) v rozporu s § 31 rozhodne o zásahu do práv a právem chráněných zájmů subjektu údajů nebo o jiném obdobně závažném následku pro subjekt údajů,
  13. m) v rozporu s § 32 odst. 1 nebo 2 nepřijme nebo neprovede opatření pro zajištění bezpečnosti zpracování osobních údajů,
  14. n) v rozporu s § 33 odst. 1 neohlásí porušení zabezpečení osobních údajů úřadu,
  15. o) v rozporu s § 34 odst. 1 neoznámí porušení zabezpečení osobních údajů subjektu údajů,
  16. p) neprovede uložené opatření k nápravě ve lhůtě stanovené úřadem,
  17. q) poruší omezení zpracování zvláštních kategorií osobních údajů podle jiného zákona5),
  18. r) poruší povinnost jmenovat pověřence podle jiného zákona5),
  19. s) poruší povinnost informovat o nesprávném předání nebo o předání nepřesných osobních údajů podle § 24 odst. 4 nebo podle jiného zákona5),
  20. t) poruší některou z podmínek podle jiného zákona5) pro předání osobních údajů do mezinárodní organizace nebo státu, který neuplatňuje právní předpisy k provedení směrnice Evropského parlamentu a Rady (EU) 2016/680, nebo
  21. u) poruší povinnost prověřovat potřebnost dalšího zpracování nebo vymazat osobní údaje podle jiného zákona5).

(2) Za přestupek podle odstavce 1 lze uložit pokutu do 10 000 000 Kč.

CELEX 32016L0680

 

§61

(1) Správce nebo zpracovatel podle hlavy II se dopustí přestupku tím, že

  1. a) poruší některou z povinností podle článku 8, 11, 25 až 39, 42 až 49 nařízení Evropského parlamentu a Rady (EU) 2016/679 a hlavy II,
  2. b) poruší některou ze základních zásad pro zpracování podle článku 5 až 7 nebo 9 nařízení Evropského parlamentu a Rady (EU) 2016/679 a hlavy II,
  3. c) poruší některé z práv subjektu údajů podle článku 12 až 22 nařízení Evropského parlamentu a Rady (EU) 2016/679 a hlavy II,
  4. d) nesplní příkaz nebo porušení omezení zpracování nebo přerušení toků údajů uložené úřadem podle článku 58 odst. 2 nařízení Evropského parlamentu a Rady (EU) 2016/679, nebo
  5. e) neposkytne úřadu přístup k údajům, informacím a prostorám podle článku 58 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2016/679.

(2) Subjekt pro vydávání osvědčení se dopustí přestupku tím, že poruší některou z povinností podle článků 42 a 43 nařízení Evropského parlamentu a Rady (EU) 2016/679 a hlavy II.

(3) Subjekt pro monitorování souladu se dopustí přestupku tím, že poruší některou z povinností podle článku 41 odst. 4 nařízení Evropského parlamentu a Rady (EU) 2016/679 a hlavy II.

(4) Úřad může upustit od uložení správního trestu také tehdy, pokud uloží opatření podle § 50 odst. 1 písm. e) nebo § 57.

(5) Správcům a zpracovatelům uvedeným v článku 83 odst. 7 nařízení Evropského parlamentu a Rady (EU) 2016/679 lze uložit pokutu do 10 000 000 Kč.

CELEX 32016R0679

§62

(1) Přestupky podle tohoto zákona projednává úřad.

(2) Pokutu vybírá úřad.

CELEX 32016R0679

CELEX 32016L0680

 

ČÁST DRUHÁ

PŘECHODNÁ, ZRUŠOVACÍ A ZÁVĚREČNÁ USTANOVENÍ

§63

Přechodná ustanovení

(1) Ode dne nabytí účinnosti tohoto zákona do 31. prosince 2020 má úřad pouze 1 místopředsedu úřadu. Předseda úřadu navrhne Senátu Parlamentu České republiky jmenování druhého místopředsedy úřadu nejdříve 1. ledna 2021.

(2) Předseda úřadu, který je ve funkci dnem účinnosti tohoto zákona, dokončí své funkční období podle dosavadních právních předpisů.

(3) Inspektor úřadu, který je ve funkci dnem účinnosti tohoto zákona, dokončí své funkční období podle dosavadních právních předpisů.

(4) Informace zpracovávané přede dnem nabytí účinnosti tohoto zákona v registru zpracování osobních údajů podle zákona č. 101/2000 Sb., ve znění účinném přede dnem nabytí účinnosti tohoto zákona, jsou veřejně přístupné po dobu 18 měsíců ode dne nabytí účinnosti tohoto zákona.

(5) Řízení zahájená podle zákona č. 101/2000 Sb., ve znění účinném přede dnem nabytí účinnosti tohoto zákona, která nebyla pravomocně skončena přede dnem nabytí účinnosti tohoto zákona, se dokončí podle zákona č. 101/2000 Sb., ve znění účinném přede dnem nabytí účinnosti tohoto zákona.

§64

Zrušovací ustanovení

Zrušují se:

  1. Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů.
  2. Část první zákona č. 177/2001 Sb., kterým se mění zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění zákona č. 227/2000 Sb., a zákon č. 65/1965 Sb., zákoník práce.
  3. Část šestá zákona č. 450/2001 Sb., kterým se mění zákon č. 128/2000 Sb., o obcích (obecní zřízení), ve znění pozdějších předpisů, zákon č. 129/2000 Sb., o krajích (krajské zřízení), ve znění pozdějších předpisů, zákon č. 131/2000 Sb., o hlavním městě Praze, ve znění pozdějších předpisů, zákon č. 250/2000 Sb., o rozpočtových pravidlech územních rozpočtů, ve znění zákona č. 320/2001 Sb., zákon č. 218/2000 Sb., o rozpočtových pravidlech a o změně některých souvisejících zákonů (rozpočtová pravidla), ve znění pozdějších předpisů, a zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů.
  4. Část čtvrtá zákona č. 107/2002 Sb., kterým se mění zákon č. 140/1996 Sb., o zpřístupnění svazků vzniklých činností bývalé Státní bezpečnosti, a některé další zákony.
  5. Část druhá zákona č. 310/2002 Sb., kterým se mění zákon č. 148/1998 Sb., o ochraně utajovaných skutečností a o změně některých zákonů, ve znění pozdějších předpisů, zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů, zákon č. 18/1997 Sb., o mírovém využití jaderné energie a ionizujícího záření (atomový zákon) a o změně a doplnění některých zákonů, ve znění pozdějších předpisů, zákon č. 38/1994 Sb., o zahraničním obchodu s vojenským materiálem a o doplnění zákona č. 455/1991 Sb., o živnostenském podnikání (živnostenský zákon), ve znění pozdějších předpisů, a zákona č. 140/1961 Sb., trestní zákon, ve znění pozdějších předpisů, zákon č. 283/1993 Sb., o státním zastupitelství, ve znění pozdějších předpisů, a zákon č. 42/1992 Sb., o úpravě majetkových vztahů a vypořádání majetkových nároků v družstvech.
  6. Část devátá zákona č. 517/2002 Sb., kterým se provádějí některá opatření v soustavě ústředních orgánů státní správy a mění některé zákony.
  7. Část první zákona č. 439/2004 Sb., kterým se mění zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů.
  8. Část čtvrtá zákona č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů (zákon o některých službách informační společnosti).
  9. Část šestá zákona č. 626/2004 Sb., o změně některých zákonů v návaznosti na realizaci reformy veřejných financí v oblasti odměňování.
  10. Část čtyřicátá zákona č. 413/2005 Sb., o změně zákonů v souvislosti s přijetím zákona o ochraně utajovaných informací a o bezpečnostní způsobilosti.
  11. Část třicátá šestá zákona č. 342/2006 Sb., kterým se mění některé zákony související s oblastí evidence obyvatel a některé další zákony.
  12. Část jedenáctá zákona č. 109/2006 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o sociálních službách.
  13. Část třináctá zákona č. 170/2007 Sb., kterým se mění některé zákony v souvislosti se vstupem České republiky do schengenského prostoru.
  14. Část třetí zákona č. 52/2009 sb., kterým se mění zákon č. 141/1961 Sb., o trestním řízení soudním (trestní řád), ve znění pozdějších předpisů, a některé další zákony.
  15. Část šedesátá pátá zákona č. 41/2009 Sb., o změně některých zákonů v souvislosti s přijetím trestního zákoníku.
  16. Část osmdesátá osmá zákona č. 227/2009 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o základních registrech.
  17. Část šedesátá pátá zákona č. 281/2009 Sb., kterým se mění některé zákony v souvislosti s přijetím daňového řádu.
  18. Část čtvrtá zákona č. 468/2011 Sb., kterým se mění zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích), ve znění pozdějších předpisů, a některé další zákony.
  19. Část čtyřicátá šestá zákona č. 375/2011 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o zdravotních službách, zákona o specifických zdravotních službách a zákona o zdravotnické záchranné službě.
  20. Část dvacátá devátá zákona č. 64/2014 Sb., kterým se mění některé zákony v souvislosti s přijetím kontrolního řádu.
  21. Část dvacátá devátá zákona č. 250/2014 Sb., o změně zákonů souvisejících s přijetím zákona o státní službě.
  22. Část šestá zákona č. 301/2016 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o centrální evidenci účtů.
  23. Část osmdesátá druhá zákona č. 183/2017 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o odpovědnosti za přestupky a řízení o nich a zákona o některých přestupcích.
  24. Nařízení vlády č. 277/2011 Sb., o stanovení vzoru průkazu kontrolujícího Úřadu pro ochranu osobních údajů.

 

§65

Účinnost

Tento zákon nabývá účinnosti dnem 25. května 2018.

 

1) Směrnice Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV.

2) Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).

3) Například zákon čl. 166/1993 Sb., o Nejvyšším kontrolním úřadu, ve znění pozdějších předpisů.

4) Zákon č. 22/1997 Sb., o technických požadavcích na výrobky a o změně a doplnění některých zákonů, ve znění pozdějších předpisů.

5) Například zákon č. 273/2008 Sb., o Policii České republiky, ve znění pozdějších předpisů, zákon č. 341/2011 Sb., o Generální inspekci bezpečnostních sborů a o změně souvisejících zákonů, ve znění pozdějších předpisů, zákon č. 300/2013 Sb., o Vojenské policii a o změně některých zákonů, ve znění pozdějších předpisů, zákon č. 257/2000 Sb., o Probační a mediační službě a o změně zákona č. 2/1969 Sb., o zřízení ministerstev a jiných ústředních orgánů státní správy České republiky, ve znění pozdějších předpisů, zákon č. 269/1994 Sb., o Rejstříku trestů, ve znění pozdějších předpisů, zákon č. 555/1992 Sb., o Vězeňské službě a justiční stráži České republiky, ve znění pozdějších předpisů, zákona č. 141/1961 Sb., o trestním řízení soudním (trestní řád), ve znění pozdějších předpisů, zákon č. 104/2013 Sb., o mezinárodní justiční spolupráci ve věcech trestních, ve znění pozdějších předpisů a zákon č. 17/2012 Sb., o Celní správě České republiky, ve znění pozdějších předpisů.

6) Například zákon č. 153/1994 Sb., o zpravodajských službách České republiky, ve znění pozdějších předpisů, zákon č. 154/1994 Sb., o Bezpečnostní informační službě, ve znění pozdějších předpisů, ústavní zákon č. 110/1998 Sb., o bezpečnosti České republiky, ve znění pozdějších předpisů, zákon č. 219/1999 Sb., o ozbrojených silách České republiky, ve znění pozdějších předpisů, zákon č. 221/1999 Sb., o vojácích z povolání, ve znění pozdějších předpisů, zákon č. 222/1999 Sb., o zajišťování obrany České republiky, ve znění pozdějších předpisů, zákon č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon), ve znění pozdějších předpisů, zákon č. 241/2000 Sb., o hospodářských opatřeních pro krizové stavy a o změně některých souvisejících zákonů, ve znění pozdějších předpisů, zákon č. 585/2004 Sb., o branné povinnosti a jejím zajišťování (branný zákon), zákon č. 858/2004 Sb., branný zákon, ve znění pozdějších předpisů, zákon č. 289/2005 Sb., o Vojenském zpravodajství, ve znění pozdějších předpisů, zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů, zákon č. 320/2015 Sb., o Hasičském záchranném sboru České republiky a o změně některých zákonů (zákon o hasičském záchranném sboru), ve znění pozdějších předpisů, a zákon č. 45/2016 Sb., o službě vojáků v záloze, ve znění pozdějších předpisů.

7) Zákon č. 451/1991 Sb., kterým se stanoví některé další předpoklady pro výkon některých funkcí ve státních orgánech a organizacích České a Slovenské Federativní Republiky, České republiky a Slovenské republiky, ve znění pozdějších předpisů.

8) Například zákon č. 6/2002 Sb., o soudech a soudcích, ve znění pozdějších předpisů, zákon č. 283/1993 Sb., o státním zastupitelství, ve znění pozdějších předpisů, zákon č. 153/1994 Sb., o zpravodajských službách České republiky, ve znění pozdějších předpisů.

9) Například § 16 zákona č. 89/1995 Sb., o státní statistické službě, ve znění pozdějších předpisů.

10) Například § 8a, § 8b odst. 1 až 4 a § 8c zákona č. 141/1961 Sb., trestní řád, ve znění pozdějších předpisů, § 52 až 54 zákona č. 218/2003 Sb., o soudnictví ve věcech mládeže, ve znění pozdějších předpisů.