Publikace

K návrhu zákona o zpracování osobních údajů

22/09/17

Očekávaný návrh zákona o zpracování osobních údajů, který má nahradit stávající zákon č. 101/2000 Sb., o ochraně osobních údajů, a související návrh zákona, kterým se mění některé zákony v souvislosti s přijetím zákona o zpracování osobních údajů, jež adaptují nařízení GDPR[1] do české právní úpravy, čeká připomínkové řízení. Návrh je poměrně úzce zaměřen a využívá prostoru pro zvláštní úpravu členskými státy pouze v některých dílčích otázkách. Lze očekávat, že podoba návrhu, který vstoupí do Poslanecké sněmovny se bude od současného textu lišit.

Návrh zákona o zpracování osobních údajů přináší v dosavadní podobě pouze několik málo odchylek od nařízení GDPR. S ohledem na dosavadní právní úpravu ochrany osobních údajů pak bude nejviditelnější změnou zrušení registrační povinnosti správců osobních údajů. Jedná se o inovaci bez reálného významu, jak pro správce, tak pro Úřad pro ochranu osobních údajů, kdy vzhledem k množství „alternativních“ ohlašovacích povinností, zakotvených GDPR, zrušení registrace snížení administrativy nepřinese.

Nad rámec nařízení návrh zákona výslovně stanoví zvláštní právní důvod pro zpracování osobních údajů veřejnou správou, a to pro zpracování na základě zákona, ve veřejném zájmu a v souvislosti s výkonem pravomoci. V této souvislosti přináší rozšiřující termín veřejný subjekt, který se má co nejvíce blížit výkladu podle nařízení. Jedná se o orgán zřízený zákonem nebo na základě zákona v oblasti práva veřejného, který plní zákonem stanovené úkoly ve veřejném zájmu. Do této kategorie mají spadat například i veřejné školy, veřejné nebo ozbrojené sbory, Česká národní banka, Nejvyšší kontrolní úřad nebo Česká advokátní komora. Nikoliv však příspěvkové organizace či jiné pomocné instituce.

Národní výjimky je v návrhu využito pro úpravu možnosti dalšího zpracovávání osobních údajů bez zkoumání slučitelnosti s původním účelem zpracování, je-li to nezbytné a přiměřené k plnění povinnosti správce stanovené právním předpisem, úkolu správce prováděného ve veřejném zájmu nebo při výkonu pravomoci správce pro zajišťování obrany a bezpečnosti, veřejného pořádku, zjišťování a odhalování trestných činů, důležitých cílů veřejného zájmů EU/členského státu EU (zejm. hospodářských či finančních – rozpočet a daně, veřejné zdraví, sociální zabezpečení), nezávislosti soudnictví, zjišťování a stíhání porušování etických pravidel regulovaných povolání, jakož i ochrany práv a svobod a vymáhání občanskoprávních nároků.

Návrh dále upravuje věk dítěte pro souhlas se zpracováním jeho osobních údajů bez souhlasu zákonného zástupce na minimální nařízením umožněnou věkovou hranici 13 let, oproti nařízením stanovenému věku 16 let. Za dodržení podmínek platného souhlasu lze od tohoto věku zpracovávat osobní údaje nezletilých pro účely poskytování služeb informační společnosti - tedy aplikací, sociálních sítí či emailů. Srozumitelnost informací na základě povinností, stanovených GDPR je ale nezbytné přizpůsobit této věkové skupině. U mladších dětí je souhlas platný pouze, pokud je vyjádřen nebo schválen jeho zákonným zástupcem

Další výjimka je využita v rámci úpravy informační povinnosti vůči subjektům osobních údajů pro zpracování upravená zákonem. Pokud se tak bude jednat o zpracování pro splnění povinnosti správce nebo jeho úkolu ve veřejném zájmu, nebo o zpracování při výkonu jeho pravomoci, postačuje splnit informační povinnost vůči subjektům údajů uveřejněním informací na webových stránkách.

Další administrativní zjednodušení představuje možnost oznámit příjemcům, jimž byly osobní údaje zpřístupněny, veškeré provedené opravy, omezení zpracování nebo likvidace osobních údajů také změnou v evidenci, za předpokladu, že příjemci je pravidelně poskytován její platný obsah. Podle návrhu také není třeba provádět posouzení vlivu na ochranu osobních údajů v případech zpracování osobních údajů, které je upraveno právním předpisem.

Návrh dále obsahuje omezení některých práv subjektů údajů, a to především, pokud je to nezbytné a přiměřené pro předcházení vážného ohrožení v oblastech obrany a bezpečnosti, veřejného pořádku, zjišťování a stíhání trestných činů, důležitých cílů veřejného zájmů EU či členského státu EU (včetně daňových a sociálního zabezpečení) a ochrany nezávislosti soudnictví. Využití výjimky je však spojeno s povinností správce takový postup bezodkladně oznámit Úřadu. V zájmu ochrany práv a právem chráněných zájmu je návrhem také částečně omezeno právo na přístup.

Poměrně podstatné je navrhované zmírnění notifikační povinnosti v souvislosti s bezpečnostním incidentem. Oznámení Úřadu správce dle návrhu provede v omezeném rozsahu nebo jej odloží, pokud je to přiměřené a nezbytné k předcházení ohrožení ve výše uvedených oblastech, odpovídajícím vymezení pro omezení některých práv subjektů údajů. I zde musí takový postup správce bezodkladně oznámit Úřadu.

Nad rámec nařízení je upravena povinnost mlčenlivosti pověřence a jemu podřízených osob, co se týče osobních údajů a bezpečnostních opatření na jejich ochranu. Mlčenlivost je limitovaná a neplatí vůči správci/zpracovateli, jenž pověřence povolal, orgánu činném v trestním řízení, soudu nebo úřadu, a ohledně osobních údajů ani vůči samotnému subjektu údajů.

Poměrně široce se návrh věnuje zpracování osobních údajů prováděném pro novinářské účely nebo pro účely akademického, uměleckého či literárního projevu. Cílem je přitom zejména zachování stávajícího stavu, zejména úrovně svobody tisku, z čehož vychází také v zásadě celé znění příslušného paragrafu.

Vedle GDPR návrh implementuje směrnici o „trestněprávním“ zpracování osobních údajů.[2] Úprava se vztahuje na zpracovávání osobních údajů bezpečnostními sbory a dalšími orgány, které plní trestněprávně relevantní úkoly a úkoly důležité pro bezpečnost státu. Omezena jsou však na činnosti upravené směrnicí, v ostatních oblastech se i pro zpracování osobních údajů těmito subjekty užije nařízení GDPR. 

Návrh také upravuje změnu struktury Úřadu pro ochranu osobních údajů, stejně jako nutnou mezinárodní spolupráci a s ní související požadavky na zaměstnance Úřadu. V této souvislosti je třeba zmínit, že teprve praxe ukáže reálné zatížení Úřadu, spojené s novými povinnostmi, již nyní lze však odhadovat, že plánované rozšíření Úřadu v řádech jednotek pracovních pozic nebude pravděpodobně dostačující.

Pozitivní zprávou pro některé správce osobních údajů, by mohlo být navrhované omezené snížení maximální výše sankcí. Za přestupek porušení zákazu zveřejnění osobních údajů dle jiného právního předpisu (např. trestního řádu) by, stejně jako podle dosavadní úpravy, měla být uložena pokuta do 1 milionu Kč, pokud k porušení dojde prostřednictvím médií tak až do 5 milionů Kč. Za porušení povinností v „trestněprávním“ zpracování (vycházejícím ze směrnice) hrozí pokuta pro spravující orgán či zpracovatele až do 10 milionů Kč.

Maximální výše správní pokuty za porušení pravidel GDPR je pro veřejný subjekt v návrhu stanovena na 10 milionů Kč. Předkladatel návrhu nového zákona se tak snaží využít možnosti dané čl. 83 odst. 7 GDPR a zmírnit výši možných sankcí – peněžitých pokut pro veřejné subjekty.

Ačkoliv je již nyní pravděpodobné, že návrh dozná změn a doplnění úpravy (v mezích daných nařízením) pro některé typy osobních údajů či oblasti zpracování, nelze očekávat, že by zákon představoval jednoznačné vodítko pro správce a zpracovatele ve sporných otázkách minimálních technologických standardů, adaptace privacy by design, některých právních aspektů pozice pověřence či limitů práv subjektu údajů a předcházení zneužívání osobních údajů.

Samotné nařízení přináší mnoho praktických otázek ohledně různých oblastí činnosti správců i nastavení procesů v jejich běžné agendě tak, aby byly v souladu s požadavky úpravy. I pokud by měla být vodítkem stanoviska WP 29, stále se jedná o v případě nařízení často obecný a nejednoznačný a v případě WP29 ne vždy praktický nebo těžko vymahatelný „návod“, jak přiměřeně chránit osobní údaje fyzických osob v informační společnosti.

Doba, která uplyne od původního plánu do jeho adaptace, bude na konci května 2018 činit více než pět let. Pokud však bylo často opakovaným povzdechnutím právníků v oblasti ICT a práva duševního vlastnictví, že platné právo je vždy pozadu za vývojem technologií, je potom nařízení jedním z pozitivních signálů změny. Svým rozsahem a ambiciózností změn pak tím nejvýznamnějším.

JUDr. Veronika Křížová, LL.M.

Gabriela Kadlecová