X Lege je publikační platformaAdaptační zákon ke GDPR konečně schválen
V nejbližších dnech bude ve Sbírce zákonů vyhlášen zákon o zpracování osobních údajů, takzvaný adaptační zákon ke GDPR. Dnem vyhlášení tento zákon zároveň nabyde účinnosti. Níže přinášíme shrnutí nejdůležitějších změn, které zákon o zpracování osobních údajů přináší.
Zrušení „stojedničky“
Nově přijatý zákon o zpracování osobních údajů mimo jiné ruší zákon č. 101/2000 Sb., o ochraně osobních údajů, a rovněž vybraná ustanovení některých dalších zákonů, která se dotýkají zpracování a ochrany osobních údajů ve specifických situacích. Právní úpravu zpracování a ochrany osobních údajů je tedy třeba hledat vždy primárně v GDPR[1] a v novém zákoně o zpracování osobních údajů.
Odchylky od GDPR
Zákon o ochraně osobních údajů využívá některých oprávnění ke stanovení odchylné úpravy zpracování osobních údajů ve vybraných případech. Pro širokou veřejnost je zajímavé především stanovení věkové hranice 15 let pro udělení souhlasu se zpracováním osobních údajů v souvislosti se s nabídkou služeb informační společnosti. Dále byly stanoveny určité výjimky z povinnosti posuzování slučitelnosti účelů a vlivu na ochranu osobních údajů, informační a poučovací povinnosti, povinnosti oznámit porušení zabezpečení osobních údajů subjektu údajů nebo specifická úprava zpracování osobních údajů pro vědecké, statistické, novinářské nebo umělecké účely.
Zvláštní hlavy jsou pak věnovány zpracování a ochraně osobních údajů orgány veřejné moci za plnění úkolů v trestněprávní oblasti, zajišťování bezpečnosti České republiky nebo zajišťování veřejného pořádku a vnitřní bezpečnosti a zpracování a ochraně osobních údajů při zajišťování obranných a bezpečnostních zájmů České republiky.
Úřad pro ochranu osobních údajů
Úprava postavení, obsazení a úkolů Úřadu pro ochranu osobních údajů je nově obsažena v hlavě páté zákona o zpracování osobních údajů.
Přestupky
Nad rámec ustanovení GDPR zavádí zákon o zpracování osobních údajů nové skutkové podstaty přestupků, spočívající v porušení povinností stanovených samotným zákonem o zpracování osobních údajů a stanovuje za ně samostatné sankce. Pamatuje rovněž na případy, kdy by došlo k porušení zákazu zveřejnění osobních údajů, stanoveného jiným právním předpisem.
Zákon o zpracování osobních údajů využívá oprávnění zakotveného v článku 83 odst. 7 GDPR a výrazně snižuje pokuty, které je možno uložit orgánům veřejné moci nebo veřejným subjektům. Těmto subjektům lze za přestupky uložit pokutu do 10 000 000 Kč, pokud je však takový subjekt obcí, která nevykonává přenesenou působnost v rozsahu obecního úřadu obce s rozšířenou působností, dobrovolným svazkem takových obcí, příspěvkovou organizací takové obce nebo právnickou osobou vykonávající činnost školy nebo školského zařízení zřizovanou obcí nebo dobrovolným svazkem obcí, pak jen do 5 000 Kč.
Vedle pokut však zákon o zpracování osobních údajů umožňuje uložit subjektům, u nichž bylo zjištěno porušení právních předpisů na úseku ochrany osobních údajů, rovněž opatření k odstranění nedostatků, při jejichž uložení lze navíc od správního trestu (pokuty) upustit.
Autoři: Martina Černá, koncipientka Kocián Šolc Balaštík, Drahomír Tomašuk, partner Kocián Šolc Balaštík
[1] NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů – General Data Protection Regulation)