Dne 24. dubna 2019 nabyl účinnosti dlouho očekávaný zákon č. 110/2019 Sb., o zpracování osobních údajů (dále jen „ZZOU“). Jedná se o tzv. adaptační zákon k obecnému nařízení o zpracování osobních údajů (dále jako „nařízení GDPR“). Byť bylo původní ambicí českých zákonodárců, aby tento adaptační zákon nabyl účinnosti současně s nařízením GDPR, byl přijat až téměř s ročním zpožděním.
Zároveň se ZZOU vešel v účinnost také tzv. doprovodný zákon č. 111/2019 Sb., kterým se mění některé zákony v souvislosti s přijetím ZZOU. Tento zákon však aktualizuje převážně veřejnoprávní předpisy, implementuje rovněž požadavky Směrnice Evropského parlamentu a Rady (EU) 2016/681 ze dne 27. dubna 2016 o používání údajů jmenné evidence cestujících (PNR) pro prevenci, odhalování, vyšetřování a stíhání teroristických trestných činů a závažné trestné činnosti.
ZZOU byl připraven v intencích zákonného zmocnění zakotveného nařízení GDPR, které umožňuje členským státům úpravu některých právních institutů vnitrostátní legislativou, přičemž dává rovněž možnost upřesnit či jinak rozvést ustanovení GDPR. To umožňuje zákonodárcům odchýlit se od obecné úpravy a přijmout určité národní výjimky, které jsou lépe uzpůsobeny konkrétnímu právnímu prostředí. ZZOU jako adaptační zákon k nařízení GDPR je tedy výsledkem snahy o zpřesnění vnitrostátní právní úpravy v oblasti ochrany osobních údajů. Nelze však pominout, že nařízení GDPR, jakožto přímo závazný právní předpis, bude aplikováno i nadále, musí se tak však dít právě se zohledněním ustanovení nového ZZOU.
ZZOU kromě speciální úpravy oproti nařízení GDPR rovněž transponuje evropskou legislativu, k jejímuž přijetí se ČR zavázala, a to Směrnici Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV. ZZOU mj. zrušil původní zákon č. 101/2000 Sb., o ochraně osobních údajů, který tedy do dne nabytí účinnosti ZZOU platil souběžně s nařízením GDPR (byť se někteří mylně domnívali, že tento zákon byl zrušen již nabytím účinnosti nařízení GDPR).
Přijetím ZZOU došlo také k podrobné úpravě postavení a pravomocí Úřadu pro ochranu osobních údajů (dále jako „ÚOOÚ“), jakož i úpravě správního řízení za přestupky na úseku zpracování osobních údajů, včetně ukládání pokut za tyto přestupky.
Odchylky od GDPR
ZZOU odchylně od nařízení GDPR stanovuje věkovou hranici u dětí, které jsou způsobilé k udělení souhlasu se zpracováním osobních údajů v souvislosti s nabídkou služeb informační společnosti, a to na 15 let (na rozdíl od nařízení GDPR, které věkovou hranici dětí stanovuje na 16 let). Službami informační společnosti se rozumí takové služby, které jsou poskytovány elektronickými prostředky na individuální žádost jejich uživatele podanou elektronickými prostředky (tj. především na internetu), poskytované zpravidla za úplatu, např. sociální sítě, úložiště, internetové vyhledávače, ale i wi-fi sítě.
ZZOU rovněž upřesnil informační povinnost správce osobních údajů, zpracovávajícího osobní údaje na základě zákonné povinnosti nebo ve veřejném zájmu či při výkonu veřejné moci. Takový správce splní podle ZZOU svou informační povinnost obsaženou v článku 13 a 14 Nařízení GDPR zveřejněním potřebných informací na svých internetových stránkách. Tento postup, tedy zveřejnění informací o zpracování osobních údajů na webových stránkách správce či zpracovatele lze jako „dobrou praxi“ doporučit rovněž subjektům soukromého práva zpracovávajícím osobní údaje, na něž se ZZOU nevztahuje.
ZZOU dále zmírňuje povinnost správce vypracovat posouzení vlivu na ochranu osobních údajů v případě pravděpodobnosti rizika při systematickém a rozsáhlém zpracování osobních údajů. Tuto povinnost podle ZZOU nemá správce, který zpracovává osobní údaje na základě zákonné povinnosti.
ZZOU dále přináší speciální úpravu zpracování osobních údajů pro novinářské účely a pro účely akademického, uměleckého či literárního projevu (tzv. novinářská a umělecká licence). ZZOU při zpracování na základě výše popsaných licencí stanovuje výjimku z poučovací a informační povinnosti správce, kdy postačí, aby byl subjekt údajů informován o identitě správce pouze v grafické podobě, tedy průkazem nebo označením, a to například ústně či jiným vhodným způsobem. Takovéto stručné poučení je však dostatečné pouze v případech, kdy jsou zásady ochrany osobních údajů informující o právech subjektů údajů zveřejněny na internetových stránkách správce. Tyto informace je však možno v odůvodněných případech neposkytnout. Takovým případem může být například situace, kdy subjekt údajů již takové informace má nebo v případech, kdy takovéto poskytnutí vyžaduje nepřiměřené úsilí. Toto ustanovení směřuje na ochranu zdroje informací, neboť bez speciální úpravy zpracování osobních údajů na základě výše uvedených licencí by šlo uvedené činnosti vykonávat jen obtížně.
V souvislosti se zpracováním osobních údajů na základě výše popsaných licencí došlo rovněž k omezení práva subjektu údajů na vznesení námitky proti zpracování osobních údajů. Na rozdíl od nařízení GDPR, ve kterém je v případě vznesení námitky další zpracování osobních údajů podmíněno prokázáním jeho oprávněnosti ze strany správce, zakotvuje povinnost namítajícího subjektu údajů uvedení konkrétních důvodů neoprávněnosti zpracování. Správce pak v případě vznesení námitky pouze posuzuje, zda subjekt údajů námitkou osvědčil, že jeho zájem převažuje nad zájmem na uveřejnění osobních údajů, které se jej týkají.
Přestupky a sankce
ZZOU přinesl také nové skutkové podstaty přestupků na úseku zpracování osobních údajů. Na rozdíl od nařízení GDPR, dle kterého mohou být za porušení povinností při zpracování osobních údajů uloženy pokuty až do výše 20 mil. EUR či 4% celosvětového obratu koncernu ročně, ZZOU stanovuje maximální výši pokuty za přestupky na úseku zpracování osobních údajů ve výši 10 mil. Kč.
Odlišná situace je však u orgánů veřejné moci a veřejných subjektů usazených v členském státě. Zákonodárce v tomto případě využil zmocnění dle GDPR, které členským státům umožňuje stanovit vlastní pravidla ukládání správních sankcí orgánům veřejné moci a veřejným subjektům usazeným v daném členském státě a zakotvil povinnost ÚOOÚ upustit od uložení pokuty za přestupek, pokud se ho dopustil orgán veřejné moci nebo veřejný subjekt usazený v České republice. ÚOOU má v případě spáchání přestupku orgánem veřejné moci či veřejným subjektem usazeným v České republice pouze možnost využít nápravné pravomoci (například napomenutí, uložení dočasného nebo trvalého omezení zpracování, apod.). Odlišný režim pro soukromé subjekty a subjekty veřejného práva týkající se správního trestání, tak jak byl zakotven v ZZOU, považujeme za nesystémový a diskriminační.
Závěr
ZZOU přináší speciální úpravu zpracování osobních údajů, odchylnou od GDPR, zejména pro veřejný sektor, tzn. orgány veřejné moci a veřejné subjekty usazeným v ČR. Pro soukromé subjekty má význam zejména snížení maximálních výši sankcí, které ÚOOÚ může uložit za přestupky na úseku ochrany osobních údajů, oproti výši sankcí dle GDPR. Zcela nesystémově lze pokuty ukládat pouze soukromým subjektům, u subjektů veřejného práva musí ÚOOÚ i v případě prokázání, že byl přestupek spáchán, od uložení pokuty upustit. Za pozitivní a přínosnou lze hodnotit úpravu zpracování osobních údajů pro účely novinářské, akademické, umělecké či literární licence, až praxe však ukáže, zda je tato regulace dostatečná a zda odpovídá zejména novinářské praxi.
Advokátní kancelář Vítek Mrázek Kramný s.r.o.
Mgr. Barbora Prokůpková, advokátka