Dne 24. 4. 2019 byl vyhlášen ve Sbírce zákonů pod číslem 110/2019 Sb. po poměrně strastiplné cestě legislativním procesem zákon o zpracování osobních údajů. Stejného dne nabyl i účinnosti. O tom, že cesta přijetí zmíněného zákona, svědčí jak množství pozměňovacích návrhů k němu v Poslanecké sněmovně a v Senátu uplatněných, tak jeho vrácení Senátem zpět Poslanecké sněmovně s pozměňovacími návrhy, kdy Poslanecká sněmovna nakonec přijala zákon ve znění pozměňovacích návrhů uplatněných Senátem. Cílem následujících řádků je čtenáře stručně seznámit s tím, proč vlastně musel být zákon přijat a jaké hlavní instituty v sobě ukrývá.
NUTNOST PŘIJETÍ ZÁKONA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
V reakci na nutnost kontinuálního zajištění slučitelnosti právního řádu České republiky s právem Evropské unie musel český zákonodárce reagovat na nové evropské předpisy v diskutované oblasti, a sice na nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) a na směrnici Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV, které byly součástí balíčku za účelem komplexní revize právního rámce ochrany osobních údajů v Evropské unii.
Dříve oblast ochrany osobních údajů obecně reguloval zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, který implementoval směrnici Evropského parlamentu a Rady 95/46/ES, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Ze směrnice 95/46/ES koncepčně vychází i výše zmíněné obecné nařízení, proto jsou si jejich základní struktura a klíčové instituty blízké. Po stanovení působnosti a definicích jsou pojednány principy nebo zásady ochrany dat, pak práva subjektu údajů, povinnosti správců a zpracovatelů, mezinárodní transfery, dozorové úřady a jejich spolupráce, soudní a správní ochrana, odpovědnost a sankce, sektorová ustanovení. Na rozdíl od směrnice 95/46/ES však nařízení nepředpokládá a ani neumožnuje, aby se provedlo v rámci národní legislativy, pokud tak není v tomto nařízení přímo umožněno. Do nového zákona o zpracování údajů nebylo tedy možno znovu přebírat pojmy a jiné součásti obecného nařízení a základní premisou je skutečnost, že tento zákon musí být aplikován současně s obecným nařízením. Obdobně jako u současného zákona o ochraně osobních údajů platí, že obecná úprava je v tomto předpisu a zvláštní výjimky a postupy jsou dle potřeby v jiných zákonech.
Pokud bychom chtěli porovnat obecné nařízení a směrnici 95/46/ES, je možné nalézt rozdíly zejména v těchto oblastech:
-
posílení působnosti (více oblastí práva EU, dopad na správce mimo EU),
-
posílení ochrany dětí (podmínky souhlasu se zpracováním nebo výmazu),
-
posílení informačních povinností správců (bezplatnost, lhůty),
-
posílení některých práv subjektů údajů (bezplatnost, lhůty, rozsah),
-
nová či výslovně upravená práva subjektu údajů, a to právo "být zapomenut" (čl. 17) a právo na přenositelnost osobních údajů (čl. 18),
-
podrobná úprava vztahu správce a zpracovatele,
-
posílení kontroly nad správci mimo území EU,
-
posílení řady požadavků na správce a zpracovatele,
-
posílení pravidel o bezpečnosti dat (zejm. technické) a hlášení narušení bezpečnosti osobních dat,
-
částečně povinný silný pověřenec ochrany dat, a to i pro veřejnou správu,
-
podrobná úprava instrumentů soft law (kodexy chování, certifikace),
-
zásadní sjednocení pravomocí dozorových úřadů (pro ochranu dat),
-
podrobná úprava spolupráce dozorových úřadů,
-
zcela nová a principiálně nevyzkoušená úprava společného rozhodování dozorových úřadů, v různých typech přeshraničních případů,
-
zavedení rozhodovací pravomoci pro sbor dozorových úřadů v konkrétních věcech,
-
sjednocení prostředků pro soudní ochranu před rozhodnutím či nečinností dozorového úřadu a pro soudní ochranu před nezákonným zpracováním, včetně náhrady škody,
-
sjednocení a zásadní zvýšení sankcí formou 2 % nebo dokonce 4 % podílu z ročního globálního obratu podnikatele nebo absolutní částkou 20 mil. euro pro všechny ostatní,
-
sektorové úpravy pro smíření práva na ochranu údajů se svobodou projevu, s přístupem k úředním dokumentům, pro národní identifikační čísla, pro zaměstnanecké vztahy atd.
Naopak obecné nařízení od směrnice 95/46 v zásadě přebírá tyto instituty:
-
většinu hlavních definic (osobní údaj, citlivé údaje, správce, koncept souhlasu atd.),
-
většinu zásad ochrany dat (principy a zákonnost zpracování),
-
většinu práv subjektů údajů a základní povinnosti správců,
-
systém opt-out z přímého marketingu,
-
koncept bariéry u přenosů do třetích zemí s důkladnými restrikcemi a požadavky na ochranu osobních údajů,
-
zásadní prvky postavení nezávislých dozorových úřadů,
-
koncept výjimek pro privilegovaná zpracování (archivní, statistická, vědecká, historická),
-
koncept výjimek pro ochranu veřejných zájmů (bezpečnost, ekonomika, ochrana práv jiných atd.).
Obecné nařízení o ochraně osobních údajů na řadě míst počítá s nutnou či možnou specifickou úpravou v právním řádu členských států. To také znamená, že vstupem v účinnost se nemusí měnit vzájemný vztah vnitrostátních předpisů, které upravují zacházení s osobními údaji.
Hlavním cílem příslušného nového zákona a novelizace právních předpisů tedy bylo provést implementaci shora uvedených předpisů sekundárního práva Evropské unie a zajistit tak soulad vnitrostátní právní úpravy s těmito předpisy a tím splnit povinnost, která plyne České…
