dnes je 27.6.2019
Input:

Několik slov k zákonu o zpracování osobních údajů

27.5.2019, , Zdroj: Verlag Dashöfer

2019.12.02
Několik slov k zákonu o zpracování osobních údajů

Mgr. Jan Vácha

Dne 24. 4. 2019 byl vyhlášen ve Sbírce zákonů pod číslem 110/2019 Sb. po poměrně strastiplné cestě legislativním procesem zákon o zpracování osobních údajů. Stejného dne nabyl i účinnosti. O tom, že cesta přijetí zmíněného zákona, svědčí jak množství pozměňovacích návrhů k němu v Poslanecké sněmovně a v Senátu uplatněných, tak jeho vrácení Senátem zpět Poslanecké sněmovně s pozměňovacími návrhy, kdy Poslanecká sněmovna nakonec přijala zákon ve znění pozměňovacích návrhů uplatněných Senátem. Cílem následujících řádků je čtenáře stručně seznámit s tím, proč vlastně musel být zákon přijat a jaké hlavní instituty v sobě ukrývá.

NUTNOST PŘIJETÍ ZÁKONA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

V reakci na nutnost kontinuálního zajištění slučitelnosti právního řádu České republiky s právem Evropské unie musel český zákonodárce reagovat na nové evropské předpisy v diskutované oblasti, a sice na nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) a na směrnici Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV, které byly součástí balíčku za účelem komplexní revize právního rámce ochrany osobních údajů v Evropské unii.

Dříve oblast ochrany osobních údajů obecně reguloval zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, který implementoval směrnici Evropského parlamentu a Rady 95/46/ES, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Ze směrnice 95/46/ES koncepčně vychází i výše zmíněné obecné nařízení, proto jsou si jejich základní struktura a klíčové instituty blízké. Po stanovení působnosti a definicích jsou pojednány principy nebo zásady ochrany dat, pak práva subjektu údajů, povinnosti správců a zpracovatelů, mezinárodní transfery, dozorové úřady a jejich spolupráce, soudní a správní ochrana, odpovědnost a sankce, sektorová ustanovení. Na rozdíl od směrnice 95/46/ES však nařízení nepředpokládá a ani neumožnuje, aby se provedlo v rámci národní legislativy, pokud tak není v tomto nařízení přímo umožněno. Do nového zákona o zpracování údajů nebylo tedy možno znovu přebírat pojmy a jiné součásti obecného nařízení a základní premisou je skutečnost, že tento zákon musí být aplikován současně s obecným nařízením. Obdobně jako u současného zákona o ochraně osobních údajů platí, že obecná úprava je v tomto předpisu a zvláštní výjimky a postupy jsou dle potřeby v jiných zákonech.

Pokud bychom chtěli porovnat obecné nařízení a směrnici 95/46/ES, je možné nalézt rozdíly zejména v těchto oblastech:

  • posílení působnosti (více oblastí práva EU, dopad na správce mimo EU),

  • posílení ochrany dětí (podmínky souhlasu se zpracováním nebo výmazu),

  • posílení informačních povinností správců (bezplatnost, lhůty),

  • posílení některých práv subjektů údajů (bezplatnost, lhůty, rozsah),

  • nová či výslovně upravená práva subjektu údajů, a to právo „být zapomenut” (čl. 17) a právo na přenositelnost osobních údajů (čl. 18),

  • podrobná úprava vztahu správce a zpracovatele,

  • posílení kontroly nad správci mimo území EU,

  • posílení řady požadavků na správce a zpracovatele,

  • posílení pravidel o bezpečnosti dat (zejm. technické) a hlášení narušení bezpečnosti osobních dat,

  • částečně povinný silný pověřenec ochrany dat, a to i pro veřejnou správu,

  • podrobná úprava instrumentů soft law (kodexy chování, certifikace),

  • zásadní sjednocení pravomocí dozorových úřadů (pro ochranu dat),

  • podrobná úprava spolupráce dozorových úřadů,

  • zcela nová a principiálně nevyzkoušená úprava společného rozhodování dozorových úřadů, v různých typech přeshraničních případů,

  • zavedení rozhodovací pravomoci pro sbor dozorových úřadů v konkrétních věcech,

  • sjednocení prostředků pro soudní ochranu před rozhodnutím či nečinností dozorového úřadu a pro soudní ochranu před nezákonným zpracováním, včetně náhrady škody,

  • sjednocení a zásadní zvýšení sankcí formou 2 % nebo dokonce 4 % podílu z ročního globálního obratu podnikatele nebo absolutní částkou 20 mil. euro pro všechny ostatní,

  • sektorové úpravy pro smíření práva na ochranu údajů se svobodou projevu, s přístupem k úředním dokumentům, pro národní identifikační čísla, pro zaměstnanecké vztahy atd.

Naopak obecné nařízení od směrnice 95/46 v zásadě přebírá tyto instituty:

  • většinu hlavních definic (osobní údaj, citlivé údaje, správce, koncept souhlasu atd.),

  • většinu zásad ochrany dat (principy a zákonnost zpracování),

  • většinu práv subjektů údajů a základní povinnosti správců,

  • systém opt-out z přímého marketingu,

  • koncept bariéry u přenosů do třetích zemí s důkladnými restrikcemi a požadavky na ochranu osobních údajů,

  • zásadní prvky postavení nezávislých dozorových úřadů,

  • koncept výjimek pro privilegovaná zpracování (archivní, statistická, vědecká, historická),

  • koncept výjimek pro ochranu veřejných zájmů (bezpečnost, ekonomika, ochrana práv jiných atd.).

Obecné nařízení o ochraně osobních údajů na řadě míst počítá s nutnou či možnou specifickou úpravou v právním řádu členských států. To také znamená, že vstupem v účinnost se nemusí měnit vzájemný vztah vnitrostátních předpisů, které upravují zacházení s osobními údaji.

Hlavním cílem příslušného nového zákona a novelizace právních předpisů tedy bylo provést implementaci shora uvedených předpisů sekundárního práva Evropské unie a zajistit tak soulad vnitrostátní právní úpravy s těmito předpisy a tím splnit povinnost, která plyne České republice z členství v Evropské unii. Neprovedení implementace uvedených