Konec zákona o ochraně osobních údajů aneb Nový zákon o zpracování osobních údajů

Konec zákona o ochraně osobních údajů aneb Nový zákon o zpracování osobních údajů

Bez velkého mediálního zájmu pozbyl dne 23.4.2019 svou účinnost zákon o ochraně osobních údajů a o změně některých zákonů (zákon č. 101/2000 Sb.). Na poli ochrany osobních údajů však nezačalo tím dnem panovat žádné bezvládí. Zanikající předpis byl hned s účinností od 24.4.2019 nahrazen zákonem č. 110/2019 Sb., o zpracování osobních údajů, přičemž nad vším, co se osobních údajů týká, již od roku loňského bdí právnické obci dobře známé Obecné nařízení o ochraně osobních údajů (GDPR).

Smyslem zákona o zpracování osobních údajů je upřesnit ta práva a povinnosti, která do českého právního řádu zavedlo již GDPR. Toto nařízení však umožňovalo jednotlivým státům přijmout některé výjimky a od obecné úpravy dle GDPR se tím ve vybraných bodech odchýlit. Nařízení GDPR, jakožto přímo účinný právní předpis, tak bude samozřejmě v České republice platiti i nadále, avšak bude již aplikováno ve světle výjimek a upřesnění stanovených zákonem o zpracování osobních údajů.

Především pak nový zákon o zpracování osobních údajů zpřesňuje některá obecná ustanovení GDPR, která se týkají věkové hranice k udělení souhlasu se zpracováním osobních údajů nebo ustanovení týkající se výše pokut či informační povinnosti správce osobních údajů.

Hranici způsobilosti dítěte udělit souhlas se zpracováním osobních údajů nový zákon snižuje oproti GDPR na 15 let, a od tohoto věku není zapotřebí udělení souhlasu zákonným zástupcem. To však nevylučuje, aby byl za neplatný považován i souhlas udělený dítětem starším 15 let, pokud bude jeho platné udělení vyloučeno v duchu občanského zákoníku vzhledem k rozumové a volní vyspělosti nezletilého a vzhledem k povaze a účelu zpracování poskytnutých osobních údajů.

Zákon o zpracování osobních údajů také upřesňuje informační povinnosti správce osobních údajů, který zpracovává osobní údaje na základě zákonné povinnosti nebo ve veřejném zájmu či při výkonu veřejné moci. Takový správce splní svou informační povinnost dle čl. 13 a 14 GDPR zveřejněním potřebných informací na svých webových stránkách. Správce zpracovávající osobní údaje na základě zákonné povinnosti dále v souladu se zákonem o zpracování osobních údajů nemá povinnost vypracovat posouzení vlivu na ochranu osobních údajů v případě pravděpodobnosti rizika při systematickém a rozsáhlém zpracování osobních údajů, jak mu naopak dosud určoval čl. 35 GDPR.

Zákon o zpracování osobních údajů – v případech jejich zpracovávání na základě novinářské, akademické, umělecké nebo literární licence – stanovuje výjimku z poučovací a informační povinnosti správce, kdy stačí, aby byl subjekt údajů informován o identitě správce jen v grafické podobě, tedy průkazem nebo označením, a to například ústně či jiným vhodným způsobem. Aby však takovéto stručné poučení bylo dostatečné, musejí být zásady ochrany osobních údajů, informující o právech subjektů údajů, současně zveřejněny na internetových stránkách správce. V odůvodněných případech, kdy subjekt údajů již takové informace má nebo v případech, kdy takovéto poskytnutí vyžaduje nepřiměřené úsilí, je navíc umožněno tyto informace subjektům údajů vůbec neposkytnout.

Zákon o zpracování osobních údajů mění i systém správního trestání v případě neplnění některé z povinností nebo porušení některého ze zákazů v oblasti ochrany osobních údajů. Tímto novým zákonem tak byly sníženy horní hranice správních pokut, které lze za jednotlivá porušení právních předpisů uložit. Za přestupek spočívající v porušení zákazu zveřejnění osobních údajů stanoveného jiným právním předpisem je možné uložit pokutu do maximální výše 1.000.000,- Kč, respektive 5. 000.000 Kč, pokud se jedná o přestupek spáchaný prostřednictvím tisku, filmu, rozhlasu, televizí, veřejně přístupnou počítačovou sítí nebo jiným obdobně účinným způsobem. Z této odpovědnosti jsou vyňaty orgány veřejné moci, u kterých Úřad pro ochranu osobních údajů upustí od uložení pokuty v případě, že se takového přestupku dopustí. Za přestupky specifikované přímo v zákoně o zpracování osobních údajů lze uložit pokuty do výše 10.000.000,- Kč, což je oproti GDPR podstatné snížení.

V souvislosti s účinností zákona o zpracování osobních údajů, konečně upravujícího výslovně pravomoc Úřadu pro ochranu osobních údajů k vymáhání sankcí, tak lze očekávat nárůst četnosti udělovaných pokut. Úřad pro ochranu osobních údajů má ale také možnost využít institutu opatření k odstranění následků. Díky tomu může Úřad pro ochranu osobních údajů v konkrétních případech správcům uložit opatření k odstranění zjištěných nedostatků a stanovit k odstranění těchto nedostatků přiměřenou lhůtu. Případnou pokutu Úřad uděluje až následně, a to pouze při nedodržení stanoveného opatření.

I přesto je však potřeba správcům údajů doporučit, aby se na přílišnou vstřícnost Úřadu pro ochranu osobních údajů spíše nespoléhali a sami problematice ochrany osobních údajů věnovali patřičnou pozornost, a tím raději v rámci prevenční činnosti předcházeli riziku projednávání jejich možných přestupků.

Mgr. Martin Bielesz, advokát

Související příspěvky