Od účinnosti Obecného nařízení o ochraně osobních údajů (č. 2016/679), které znáte spíše pod zkratkou GDPR, uplynul bezmála rok a nyní, nabízí se říci konečně, vstupuje v účinnost zákon o zpracování osobních údajů č. 110/2019 Sb.

Že to ten rok šlo i bez něj, je už patrně zjevné, urban legends typu „bez adaptačního zákona není třeba GDPR řešit“ už snad byly definitivně vyvráceny. GDPR lze vykládat nejen za použití recitálů, ale také pokynů vydávaných Evropským sborem pro ochranu osobních údajů (dříve Pracovní skupina WP29, která vydávala „vodítka“). Ty najdete mj. na webových stránkách Úřadu pro ochranu osobních údajů a jejich četbu lze těm, kdo se ochranou osobních údajů zabývat chtějí či musejí, doporučit.

Přesto je dobře, že tu adaptační zákon nakonec máme. Zákon zpřesňuje některá ustanovení Nařízení, případně stanoví výjimky z jeho ustanovení, pokud to Nařízení připouští.

Zákon mimo jiné stanoví výjimku z povinnosti posuzovat před zpracováním slučitelnost účelu zpracování v případech, kdy správce zpracovává při zajištění chráněného zájmu dle povinnosti uložené právním předpisem osobní údaje, které získal k jinému účelu, avšak toto zpracování musí být nezbytné a přiměřené (tzn. posuzování se ale nevyhne, aby mohl konstatovat, že takové zpracování přiměřené a nezbytné je).

Konečně se také dočkali ti, kteří zpracovávají osobní údaje dětí v souvislosti s nabídkou služeb informační společnosti na základě souhlasu. Nařízení totiž stanovilo věkovou hranici 16 let, zákon ji snižuje o rok, a to na 15 let. Na tomto místě bych chtěla připomenout, že je třeba pečlivě zvažovat právní důvod zpracování osobních údajů dětí, a zda skutečně jejich údaje zpracováváme na základě souhlasu. V ostatních případech totiž nastupuje posouzení jednak právního důvodu, a je-li jím smlouva, pak jejího předmětu ve vztahu k rozumové a volní vyspělosti dítěte (viz občanský zákoník).

Zákon rovněž výslovně umožňuje správcům oznámit příjemcům osobních údajů (pozor, nezaměňovat se subjekty osobních údajů) provedení opravy, omezení zpracování nebo výmazu osobních údajů změnou evidence, pokud do ní mají pravidelně přístup. Tím samozřejmě není dotčena informační povinnost správce vůči osobám, jejichž osobní údaje zpracovává, dle GDPR (čl. 19).

Rovněž je zpřesněna povinnost jmenovat pověřence na ochranu osobních údajů pro případy dle čl. 37 odst. 1, písm. a), a to na orgány veřejné moci a orgány zřízené zákonem, které plní zákonem stanovené úkoly ve veřejném zájmu. Smyslem výše uvedeného čl. Nařízení totiž není kontrola moci ze strany veřejnosti ani kontrola hospodaření s veřejnými prostředky, jako u zákona „stošest“ (o svobodném přístupu k informacím), a tak nemá smysl tuto povinnost v rozsahu dle „stošestky“ vykládat. Povinnost zřídit pověřence tedy má dopadat na subjekty, které se povahou blíží orgánům veřejné moci (ne tedy např. příspěvkové organizace; pozor však, aby na ně nedopadala z jiných důvodů – čl. 37 odst. 1 písm. b) a c) Nařízení!).

Jmenovat lze dále zpřesnění zpracování osobních údajů za účelem vědeckého nebo historického výzkumu a vývoje nebo pro statistické zpracování (zde je vhodné si povšimnout výčtu opatření k ochraně zájmů subjektů údajů, která mohou posloužit i v jiných případech zpracování).

Pozornost si zaslouží i § 17 týkající se zákonnosti zpracování pro novinářské účely nebo pro účely akademického, uměleckého nebo literárního projevu. Zpracovávat lze v takových případech i zvláštní kategorie osobních údajů (např. týkající se náboženského vyznání, politických názorů…), jen je třeba posuzovat nezbytnost jejich zpracování s ohledem na cíl. Důvodová zpráva hovoří o tom, že test proporcionality by měl být prováděn v okamžiku zveřejnění, resp. těsně před ním (což klade nároky na osobu editora). Uvidíme, jakým směrem se bude v tomto směru ubírat rozhodovací praxe Úřadu, případně soudů.

Tím se dostáváme k poslední části, které bych se chtěla v tomto stručném příspěvku věnovat, a to jsou sankce. Zákonodárce očekávaně využil možnosti upravit pravidla ukládání sankcí orgánům veřejné moci a veřejným subjektům. Jednak je tedy omezena výše pokuty v případě porušení povinností zákazu zveřejnění osobních údajů, které stanoví jiný právní předpis (až 1 mil. Kč, resp. až 5 mil. Kč, pokud jsou osobní údaje zveřejněny zvlášť účinným způsobem, např. televizí či prostřednictvím Internetu) .

Dále se omezuje výši pokuty v případech zpracování pro účely předcházení, vyhledávání nebo odhalování trestné činnosti, stíhání trestných činů, výkonu trestů a ochranných opatření, zajišťování bezpečnosti ČR nebo zajišťování veřejného pořádku a vnitřní bezpečnosti, a to na maximálně 10 mil. Kč. V případě osoby, která je orgánem veřejné moci nebo veřejným subjektem (zde je určitá terminologická nekonzistence s § 14, kde je Nařízením užívaný pojem „veřejný subjekt“ nahrazen „orgánem zřízeným zákonem“) může dozorový orgán (tedy ÚOOÚ) upustit od uložení správního trestu.

I v případě ostatních správců může úřad rozhodnout o odložení věci; to když bylo dosaženo účelu, ke kterému by jinak vedlo řízení o přestupku, bylo dosaženo jinak – např. správce provedl opatření k ochraně osobních údajů, odstranil zjištěné nedostatky a podobně.

Závěrem jen drobná informace pro ty, kteří nahlíželi do registru zpracování osobních údajů na stránkách Úřadu – ten bude veřejně dostupný ještě rok a půl počínaje dneškem.