1.152
Zákon o zpracování osobních údajů
Mgr. Mgr. Radana Burešová
Dne 25. května 2018 vstoupilo v platnost nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), dále jen "GDPR", které nahradilo zákon o ochraně osobních údajů a o změně některých zákonů.
NahoruLegislativní proces
Vzhledem k tomu, že má GDPR formu nařízení, je přímo účinné a k tomu, aby bylo v České republice závazné, nevyžadovalo provedení formou českého právního předpisu. Obsahuje však některá ustanovení, která dávají členským státům možnost odchýlit se od něho, popř. upravit jisté záležitosti podrobněji, přijmou-li odpovídající vnitrostátní právní předpis.
Ačkoli je konečné znění GDPR známo přinejmenším od 27. dubna 2016 a vstoupilo v platnost již 18. května 2018, v České republice takový prováděcí předpis dosud chyběl, a to přesto, že vláda "již" v březnu 2018 Poslanecké sněmovně předložila vládní návrh příslušného zákona. Tento návrh, ačkoli upravuje de facto jen technické otázky, se stal předmětem četných debat českých zákonodárců, takže byl i přesto, že byl předkládán s návrhem na urychlené projednání, Sněmovnou schválen až 5. prosince 2018 a následně postoupen Senátu.
I v Senátu byl návrh zákona změněn. Sněmovna jej pak 12. března 2019 schválila ve znění senátních pozměňovacích návrhů jako zákon o zpracování osobních údajů (dále jen "ZZOÚ" nebo "nový zákon"). Legislativní proces bude ukončen (případným) podpisem prezidenta republiky a vyhlášením ve sbírce zákonů. Pokud k tomu dojde, nabude zákon účinnosti vyhlášením.
NahoruObsah zákona
Zákon lze po obsahové stránce rozdělit zhruba do šesti částí:
1. část, která se týká všech správců a subjektů osobních údajů (díl 1 hlavy II zákona),
2. část, která upravuje zpracování osobních údajů v oblastech, které odpovídají tzv. zákonným licencím v rámci ochrany osobnosti (díl 2 hlavy II zákona),
3. část, která souvisí s odhalováním trestných činů a trestním stíháním, zajišťování veřejné bezpečnosti a veřejného pořádku (hlava III zákona),
4. část týkající se obrany státu (hlava IV zákona) a konečně
5. část týkající se Úřadu pro ochranu osobních údajů (dále jen "Úřad") obecně a výše pokut, které může ukládat (hlava V zákona), a
6. část o přestupcích (hlava VI zákona).
Zákon má také přechodná a zrušovací ustanovení.
NahoruDíl 1 hlavy II ZZOÚ
Každé ustanovení dílu 1 hlavy II zákona je věnováno jiné problematice, tato část zákona tedy řeší otázky napříč celým GDPR, které spolu navzájem nesouvisejí.
Ustanovení § 4 ZZOÚ zpřesňuje vymezení působnosti GDPR oproti jiným předpisům EU. Následující ustanovení § 5 ZZOÚ přiznává správci oprávnění zpracovávat osobní údaje, pokud je to nezbytné pro splnění povinnosti, která je správci uložena právním předpisem, a dále poskytuje orgánům veřejné správy právo zpracovávat v rámci plnění svých úkolů a povinností osobní údaje v případech, kdy tak není uvedeno přímo v zákoně, který jim tyto úkoly a povinnosti ukládá. Jedná se de facto o potvrzení důvodů zpracování uvedeného v čl. 6 odst. 1 písm. c) a e) GDPR, které bylo vynuceno pochybami o výkladu čl. 6 odst. 3 GDPR, ale v praxi nepředstavuje žádnou odchylku od GDPR.
Ustanovení § 6 ZZOÚ umožňuje využití osobních údajů, které byly získány za jiným účelem, při zajišťování tak zvaných chráněných zájmů, které jsou blíže vymezeny v § 6 odst. 2 ZZOÚ. Jedná se většinou o důvody, které v praxi využijí spíše orgány veřejné moci (záležitosti obrany, veřejného pořádku a vnitřní bezpečnosti, předcházení, vyhledávání nebo odhalování trestné činnosti, stíhání trestných činů apod.), ale i o ochranu práv a svobod osob nebo vymáhání soukromoprávních nároků (§ 6 odst. 2 písm. h) ZZOÚ). Míněny jsou např. případy, kdy správce osobní údaje získá za účelem plnění smlouvy se subjektem osobních údajů (čl. 6 odst. 1 písm. b) GDPR) a následně je použije v soudním řízení při vymáhání svých pohledávek. Tato úprava se nicméně jeví jako duplicitní k čl. 6 odst. 1 písm. f) GDPR (ochrana oprávněných zájmů).
Poměrně bouřlivé veřejné debaty vzbudilo ustanovení § 7 ZZOÚ, které stanoví věkovou hranici pro souhlas dítěte se zpracováním osobních údajů v souvislosti s nabídkou služeb informační společnosti, a to na 15 let, oproti původní věkové hranici 16 let obsažené v článku 8 GDPR, který výslovně umožňuje snížení této hranice až na 13 let. Důvodová zpráva toto snížení na 15 let na jednu stranu odůvodňuje přizpůsobením reálnému životu společnosti (využívání mobilních telefonů, sociálních sítí apod.) a na druhou stranu ochranou dětí před riziky spojenými s informačními technologiemi (důvod proč tato hranice nebyla snížena na minimální přípustný věk 13 let).
Ustanovení § 8 ZZOÚ se opírá o čl. 6 odst. 2 GDPR, který členským státům Unie umožňuje zavést konkrétnější ustanovení k zajištění zákonného a spravedlivého zpracování v případech, kdy se jedná o zpracování podle čl. 6 odst. 1 písm. c) a e) GDPR (zpracování osobních údajů nezbytné pro splnění právní povinnosti a zpracování nezbytné pro plnění úkolů ve veřejném zájmu). Zákon na základě tohoto zmocnění správcům, kteří provádějí zpracování osobních údajů podle § 5 ZZOÚ, výslovně umožňuje, aby své informační povinnosti uložené článkem 13 a 14 GDPR splnili prostřednictvím zveřejnění příslušných informací na internetu. I tato úprava se jeví jako nadbytečná, neboť tato možnost je zmíněna již v Pokynech k transparentnosti vypracovaných bývalou pracovní skupinou pro ochranu osobních údajů zřízenou podle článku 29 (nyní Evropský sbor pro ochranu osobních údajů) v roce 2017.
Ustanovení § 9 ZZOÚ zjednodušuje plnění povinnosti stanovené v článku 19 GDPR, a sice oznámit jednotlivým příjemcům, jimž byly údaje zpřístupněny, veškeré opravy nebo úpravy těchto údajů. Podle zákona se tak může dít i změnou osobních údajů v příslušné databázi (např. evidence obyvatel), pokud příjemci pravidelně zpřístupňuje její platný obsah. Znamená to, že správce nemusí zvlášť oznamovat změny jednotlivých osobních údajů, stačí, když změnu provede přímo v příslušné databázi a příjemce bude mít nadále přístup k aktualizovaným údajům.
Podle důvodové zprávy je § 10 ZZOÚ provedením čl. 35 odst. 10 GDPR, který za přesně stanovených podmínek stanoví, že v případech, kdy je zpracování osobních údajů odůvodněno plněním povinností, resp. úkolu ve veřejném zájmu (důvody zpracování dle čl. 6 odst. 1 písm. c) a e) GDPR), není nutno provádět posouzení vlivu zpracování na ochranu osobních údajů před jeho zahájením, ledaže by to členské státy považovaly za nezbytné. Předmět působnosti tohoto ustanovení je poněkud užší, neboť se vztahuje pouze na zpracování, k němuž je správce povinen ze zákona (kromě činností veřejné moci se jedná např. i o povinnosti zaměstnavatelů související s plněním povinností důchodového a zdravotních pojištění). Zákonodárce opět stanoví, že v takovém případě není posouzení vlivu třeba. Taková úprava je vcelku logická, protože správce by dané zpracování musel provádět i přes případný nepříznivý výsledek posouzení, které by tak představovalo neúčelnou zátěž, na druhou stranu se však jedná o úpravu, která je opět duplicitní ve vztahu ke GDPR.
Důvodová zpráva k tomu uvádí, že dotčené ustanovení "staví na jisto, že se povinnost provádět posouzení vlivu nevztahuje ani na zpracování povinná podle předpisů přijatých před účinností" GDPR.
Jednou z podmínek, které čl. 35 odst. 10 GDPR stanoví pro to, aby posouzení nemuselo být provedeno je, že "posouzení vlivu na ochranu osobních údajů již [bylo] provedeno jakožto součást obecného posouzení dopadů v souvislosti s přijetím uvedeného právního základu". Důvodová zpráva k tomu uvádí, že: "Posouzení dopadů navrhovaného řešení ve vztahu k ochraně soukromí a osobních údajů je nicméně již od 14. listopadu 2012 s účinností od 1. ledna 2013 standardní součástí návrhu věcného záměru, důvodové zprávy/odůvodnění zákona nařízení vlády a vyhlášky podle Legislativních pravidel vlády, takže povinnosti stanovené novými předpisy již hodnocením dopadů prošly." Otázkou nicméně je, zda posouzení uvedené v důvodové zprávě splňuje požadavky GDPR. Kromě toho u starších právních předpisů žádné posouzení neproběhlo, a není tak splněna jedna z podmínek požadovaných GDPR, takže by posouzení vlivu proběhnout mělo, ačkoli by, jak je uvedeno výše, jeho výsledek byl irelevantní. Nic na tom nemění ani § 10 ZZOÚ, jelikož to by bylo v rozporu s čl. 35 odst. 10 GDPR, který má přednost.
Největší problémy by tato skutečnost zřejmě mohla vyvolat právě u povinností zaměstnavatelů v oblasti sociálního zabezpečení a zdravotního pojištění. Úřad však může využít jiné možnosti, kterou skýtá GDPR, a vydat seznam operací zpracování, u nichž není posouzení nutné, podle čl. 35 odst. 5 GDPR.
Ustanovení § 11 a 12 ZZOÚ umožňují omezit nebo odložit realizaci práv subjektů osobních údajů uvedená v článcích 12 až 22 a zčásti i článku 5 GDPR v případech, kdy to vyžadují chráněné zájmy, jejichž výčet je uveden v § 6 odst. 2 ZZOÚ. Zmiňovaná ustanovení GDPR zakotvují mj. právo na informace, či právo na námitku, opravu nebo výmaz osobních údajů, ustanovení § 12 ZZOÚ se pak týká možnosti neoznámit subjektu osobních údajů, že došlo k porušení zabezpečení jeho osobních údajů, ačkoli to GDPR za určitých podmínek ukládá ve svém článku 34. V praxi budou tato ustanovení zřejmě využívat například bezpečnostní složky (policie a tajné služby).
Tento postup umožňuje čl. 23 odst. 1 GDPR, zároveň však čl. 23 odst. 2 určuje obsahové požadavky, které taková právní úprava musí splňovat "alespoň, je-li to relevantní". Zmiňovaná ustanovení zákona však splňují jen minimum z nich, nelze tedy vyloučit, že judikatura (zejména případně Soudní dvůr Evropské unie) v budoucnosti dospěje k závěru, že jsou tato ustanovení zákona v rozporu s GDPR.
Ustanovení § 13 ZZOÚ zákona lze pokládat za rozvedení čl. 18 odst. 2 GDPR. Celý článek 18 GDPR se týká práva subjektu údajů na omezení zpracování jeho osobních údajů např. proto, že údaje nejsou správné nebo proto, že je jejich zpracování protiprávní. Odstavec 2 tohoto článku pak stanoví, že údaje, u nichž bylo zpracování omezeno, mohou být zpracovány pouze se souhlasem subjektu údajů, nebo z důvodu určení, výkonu nebo obhajoby právních nároků, z důvodu ochrany práv jiné fyzické nebo právnické osoby nebo z důvodů důležitého veřejného zájmu Unie nebo některého členského státu. Zákon stanoví, že omezením zpracování není dotčena povinnost správce nebo zpracovatele tyto osobní údaje předat nebo zpřístupnit, je-li tato povinnost stanovena právním předpisem. Transformuje tedy důvody uvedené v GDPR (zejména "důležitý veřejný zájem") v "povinnost stanovenou…