MENU
Rowan Legal

Po více jak 6 měsících od účinnosti GDPR, schválila poslanecká sněmovna návrh zákona o zpracování osobních údajů a doprovodného zákona, který provádí změny v souvisejících předpisech. Zákon o zpracování osobních údajů není pouze tzv. adaptačním zákonem, reagujícím na požadavky GDPR, ale implementuje také směrnici Evropského parlamentu a Rady 2016/680 upravující zpracování osobních údajů v souvislosti s předcházením a vyšetřováním trestných činů a současně upravuje zpracování osobních údajů. Zákon také upravuje zpracování údajů při zajišťování obranných a bezpečnostních zájmů České republiky, které nespadá do působnosti práva Evropské unie. Doprovodný zákon pak v souvislosti se změnami vyvolanými GDPR i směrnicí 2016/680 novelizuje více jak 30 dalších zákonů. Oba zákony pro svou účinnost potřebují ještě schválení senátem a podpis prezidenta.

Zákon ve sněmovně vyvolal rozsáhlé diskuze a poslanci projednali více než 20 pozměňovacích návrhů. Schválené pozměňovací návrhy přináší (vedle spíše legislativně-technických úprav) i několik velmi zajímavých změn. Poslanci například schválili nové výjimky z GDPR pro zpracování osobních údajů za účelem vědeckého nebo historického výzkumu a pro statistické účely (zejména je při takovém zpracování omezena informační povinnost) a posílili výjimky pro novinářskou činnost. Posíleno je i postavení soukromých subjektů při vymáhání jejich právních nároků – nově se na ně v této situaci vztahuje možnost omezit některá práva subjektu údajů podle § 11 zákona. Z hlediska vymáhání pravidel ochrany osobních údajů přináší především právo Úřadu pro ochranu osobních údajů odkládat řešení přestupků bez vyrozumění dotčené osoby (poslanci označované jako pravidlo oportunity) a také snížení pokut pro malé obce, které nemají rozšířenou působnost, jejich svazky, příspěvkové organizace a školy na 5 tis., resp. 15 tis. Kč podle závažnosti přestupku.

Nenápadnou avšak podstatnou změnou, jejíž důsledky je nyní obtížné dohlédnout, je také rozšíření působnosti Úřadu pro ochranu osobních údajů. Do ní by dle upraveného znění § 49 mělo spadat také právo na informace. Pozměňovací návrhy k doprovodnému zákonu pak do zákona 106/1999 Sb., o svobodném přístupu k informacím, zavádějí nové právo nadřízeného orgánu uložit povinnému subjektu příkaz poskytnout informaci, který je exekučním titulem. Případné přezkumné řízení pak nově povede Úřad pro ochranu osobních údajů, který rovněž může takový příkaz vydat. Účinnost těchto ustanovení je stanovena na 1. 1. 2020.

Z navrhovaných změn poslanci naopak neschválili mimo jiné široce diskutované snížení věkové hranice pro nutnost souhlasu zákonného zástupce dítěte při použití online služeb na 13 let nebo zachování stávající podoby úřadu jako de facto kolegiálního orgánu – zachován tak zůstal návrh vládní, který předpokládá předsedu Úřadu a dva místopředsedy namísto inspektorů či kolegia. Neobstál rovněž návrh na snížení maximální výše pokut pro všechny veřejné subjekty na 10 tis. Kč, respektive jejich úplné zrušení.

Zákon nyní čeká projednání v senátu a podpis prezidenta, je přitom otázkou, jaké změny přinese případný pozměňovací návrh senátu (bude-li předložen). S ohledem na tyto další legislativní kroky lze očekávat finální přijetí a účinnost zákona na jaře roku 2019.

Z ustanovení, která reagují na GDPR, resp. která GDPR předvídá, obsahuje schválený návrh zákona především:

  • široké výjimky pro zpracování údajů ke kompatibilním účelům a široké možnosti omezit práva subjektů údajů ve věcech veřejného zájmu a nově i při vymáhání soukromoprávních nároků,
  • možnost informovat subjekty údajů zveřejněním informací na internetu, pokud je zpracování prováděno na základě zákona nebo ve veřejném zájmu,
  • výjimky z některých povinnosti při zpracování osobních údajů za účelem vědeckého nebo historického výzkumu nebo pro statistické účely,
  • možnost správců oznamovat za určitých okolností opravy, omezení a likvidace osobních údajů příjemcům aktualizací výchozí evidence,
  • znění definice veřejného subjektu, který (vedle orgánu veřejné moci) musí jmenovat pověřence,
  • stanovení maximální výše pokuty pro orgány veřejné moci a veřejné subjekty na 10 mil. Kč. a pro malé obce a jejich školy na 5 tis., resp. 15 tis. Kč

Konsolidované znění schváleného textu zatím není k dispozici, je tedy třeba vycházet ze znění pozměňovacích návrhů a stenozáznamu  jednání ve sněmovně. Stejně tak jsou k dispozici pouze pozměňovací návrhy a stenozáznam k doprovodnému zákonu.

Autoři: Mgr. et Mgr. Ing. Jan Tomíšek, CIPP/E a Mgr. Michal Nulíček, LL.M., CIPP/E


DPO snídaně: GDPR a rizika v praxi Kde končí zpovědní tajemství