Nový zákon o zpracování osobních údajů
V prvním čtvrtletí letošního roku byl schválen dlouho očekávaný zákon o zpracování osobních údajů, který upřesňuje Obecné nařízení o ochraně osobních údajů (dále pouze jako „nařízení GDPR“). Byl vydán pod č. 110/2019 a je účinný ode dne 24. 4. 2019, kdy by vyhlášen ve sbírce zákonů v účinnost.
Cílem nového zákona o zpracování osobních údajů je upřesnění práv a povinností vyplývajících z nařízení GDPR. Jedním z důsledků nabytí účinnosti nařízení GDPR bylo zrušení účinného zákona č.
Nařízení GDPR umožňuje členským státům úpravu některých právních institutů vnitrostátní legislativou. Dále dává možnost upřesnit nebo jinak rozvést v nařízení GDPR zakotvená ustanovení a umožňuje tak zákonodárci odchýlit se od obecné úpravy a přijmout určité národní výjimky, které jsou lépe uzpůsobeny konkrétnímu právnímu prostředí. Nařízení GDPR bude i nadále přímo účinný právní předpis a bude aplikováno do našeho právního řádu. Samotná aplikace bude však probíhat v souladu s nově přijatým zákonem o zpracování osobních údajů. Přijetím tohoto nového zákona o došlo k ukotvení pozice Úřadu pro ochranu osobních údajů, který má nyní jasně vymezené pravomoci k vymáhání postihů za nedodržování pravidel stanovených legislativou v oblasti ochrany osobních údajů.
Nově přijatý zákon o zpracování osobních údajů konkretizuje některá obecná ustanovení nařízení GDPR. Například konkretizuje věkové hranice k udělení souhlasu se zpracováním osobních údaj nebo ustanovení týkající se výše pokut nebo informační povinnosti správce osobních údajů. Současně s tímto novým zákonem nabyl účinnosti doprovodný zákon č. 111/2019 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o zpracování osobních údajů, kdy tento zákon dopadá pouze na orgány veřejné moci při výkonu veřejné moci.
Změny v právní úpravě osobních údajů
Přijetím nového zákona o zpracování osobních údajů došlo k upřesnění věkové hranice u dětí, které jsou způsobilé k udělení souhlasu se zpracováním osobních údajů. Hranici způsobilosti dítěte udělit takovýto souhlas snížil zákonodárce oproti nařízení GDPR o 1 rok, tedy na 15 let. Jedná s o hranici, od které již není zapotřebí udělení souhlasu zákonným zástupcem. Zde je nezbytné poznamenat, že uvedená věková hranice je posuzována v souladu s příslušnými ustanoveními zákona č. 89/2012 Sb., občanský zákoník. Posuzuje se vzhledem k rozumové a volní vyspělosti nezletilého a také vzhledem k povaze účelu zpracování poskytnutých osobních údajů. Z uvedeného tedy plyne, že souhlas udělený dítětem může být v některých případech neplatný. O neplatný souhlas dítěte staršího 15 let se může jednat například v situacích, kdy je souhlas udělen k dlouhodobému zpracování jeho osobních údajů.
Správce osobních údajů, který osobní údaje zpracovává na základě zákonné povinnosti, ve veřejném zájmu nebo při výkonu veřejné moci má upřesněnou informací povinnost. Svou povinnost obsaženou v článku 13 a 14 nařízení GDPR splní zveřejnění potřebných informací na svých internetových stránkách.
Nový zákon o zpracování osobních údajů zmírňuje povinnost správce stanovenou ve čl. 35 nařízení GDPR, která spočívá v povinnosti vypracovat posouzení vlivu na ochranu osobních údajů v případě pravděpodobnosti rizika při systematickém a rozsáhlém zpracování osobních údajů. Tuto povinnost podle Adaptačního zákona nemá správce, který zpracovává osobní údaje na základě zákonné povinnosti.
Další důležitou změnou je, že nový zákon specifikuje zpracování osobních údajů na základě novinářské, akademické, umělecké, nebo literární licence a posuzování přiměřenosti takového zpracování. Zákon při zpracování na základě výše popsaných licencí stanovuje výjimku z poučovací a informační povinnosti správce. Na tomto místě postačuje, aby byl subjekt údajů informován o identitě správce pouze v grafické podobě, tedy průkazem nebo označením, a to například ústně nebo jiným vhodným způsobem. Toto poučení je dostatečné pouze v případech, kdy jsou zásady ochrany osobních údajů informující o právech subjektů údajů zveřejněny na internetových stránkách správce.
V souvislosti se zpracováním osobních údajů na základě výše popsaných licencí došlo rovněž k omezení práva subjektu údajů na vznesení námitky proti zpracování osobních údajů. Nový zákon zakotnuje povinnost namítajícího subjektu údajů uvedením konkrétních důvodů neoprávněnosti zpracování. Správce pak v případě vznesení námitky pouze posuzuje, zda subjekt údajů námitkou osvědčil, že jeho zájem převažuje nad zájmem na uveřejnění osobních údajů, které se jej týkají.
Přestupky
Přijetím nového zákona o zpracování osobních údajů došlo ke změně systému správního trestání v případě neplnění některé z povinností nebo porušení některého ze zákazů v oblasti ochrany osobních údajů. Český zákonodárce v novém zákoně snížil horní hranice správních pokut, které lze za jednotlivá porušení právních předpisů uložit.
Za přestupek spočívající v porušení zákazu zveřejnění osobních údajů stanoveného jiným právním předpisem (např. se může jednat o porušení zákona na ochranu utajovaných informací), je možné uložit pokutu do maximální výše 1 000 000 Kč. Pokutu ve výši 5 000 000 Kč je možné uložit v případech, kdy se jedná o přestupek spáchaný prostřednictvím tisku, filmu, rozhlasu, televizí, veřejně přístupnou počítačovou sítí nebo jiným obdobně účinným způsobem. Z této odpovědnosti jsou vyňaty orgány veřejné moci, u kterých Úřad pro ochranu osobních údajů upustí od uložení pokuty v případě, že se takového přestupku dopustí.
Za přestupky specifikované v novém zákone o zpracování osobních údajů, lze uložit pokuty s horní hranicí 10 000 000 Kč. Došlo ke značnému snížení výše sankcí oproti sankcím v nařízení GDPR, jejichž horní hranice činily u nejzávažnějších porušení až 20 000 000 EUR nebo 4 % celosvětového ročního obratu. Pro úplnost uvádím, že přestupky projednává Úřad pro ochranu osobních údajů, který je ústředním správním orgánem a uložené pokuty vybírá.
Pokuty uložené Úřadem
Z informací zveřejňovaných Úřadem pro ochranu osobních údajů, a to nejen ve vztahu k jeho dozorové činnosti lze dojít k závěru, že si Úřad obecně při udělování pokut dosud zachovával jistou zdrženlivost. V poslední měsících však lze vysledovat ze strany Úřadu změnu v přístupu. Úřad za nesoulad s GDPR udělil nejméně 8 pokut, přičemž některé z těchto pokut se pohybují dokonce v řádech stovek tisíc korun.
Vzhledem k tomu, že nový zákon o zpracování osobních údajů výslovně upravuje pravomoc Úřadu k vymáhání sankcí, je zřejmě možné očekávat vzrůstající tendenci, co do výše a četnosti udělovaných pokut. Na tomto místě je nutné zmínit institut opatření k odstranění následků, který ponechává Úřadu možnost uložit v konkrétních případech správcům opatření k odstranění zjištěných nedostatků a stanovit k odstranění těchto nedostatků přiměřenou lhůtu. Pokutu Úřad uděluje až následně, a to pouze při nedodržení stanoveného opatření. Tento institut tedy slouží jako varování. Úřad dosud postupoval při kontrolách spíše zdrženlivě a snaží se správce, případně zpracovatele, spíše napravovat pomocí upozornění a výzev, než je okamžitě trestat, zejména pak v bagatelních záležitostech. Podle vyjádření vedení Úřadu bude Úřad v tomto přístupu pokračovat.
Závěr
Nově přijatý zákon o zpracování osobních údajů bude mít s největší pravděpodobností pro praxi pouze malý dopad. Jeho text převážně upřesňuje již nařízením GDPR stanovená práva a povinnosti, které ti, na které ochrana osobních údajů dopadá, už musí plnit.
