dnes je 15.9.2019
Input:

Nový zákon o zpracování osobních údajů dle GDPR - základní přehledná informace

6.6.2019, , Zdroj: Verlag Dashöfer

2019.12.1
Nový zákon o zpracování osobních údajů dle GDPR – základní přehledná informace

JUDr. Dušan Srp, Ph.D.

VYŠLO V ČÍSLE 12/2019

Co předcházelo

Dne 25. května 2018 nabylo působnosti Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (zkráceně obecné nařízení o ochraně osobních údajů). V anglickém jazyce je GDPR zkrácený výraz od General Data Protection Regulation. V textu tohoto článku bude hovořeno o GDPR jako o „Obecném nařízení”. Obecné nařízení je právně závazné v celém rozsahu a přímo účinné (použitelné) ve všech členských státech Evropské unie a státech Evropského hospodářského prostoru, tedy dále v Norsku, Islandu a Lichtenštejnsku. V České republice Obecné nařízení fakticky nahradilo dosud platný zákon č. 101/2000 Sb., o ochraně osobních údajů. Zákon č. 101/2000 Sb., o ochraně osobních údajů, implementoval v českém právu směrnici Evropského parlamentu a Rady 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „Směrnice 95/46/ES”).

Česká republika nyní přijala v návaznosti na Obecné nařízení a v limitech daných Obecným nařízením nový zákon o zpracování osobních údajů. Návrh zákona o zpracování osobních údajů byl v Poslanecké sněmovně projednáván jako sněmovní tisk č. 138, v Senátu byl nový zákon projednáván jako tisk č. 25. Zákon měl původně nabýt účinnosti společně s účinností Obecného nařízení, což se však nepodařilo. Nový zákon o zpracování osobních údajů byl vyhlášen ve Sbírce zákonů v částce 47 pod číslem 110/2019 Sb. a nabyl účinnosti dne 24. 4. 2019 (dále jen „zákon o zpracování osobních údajů” či jen „zákon” či „ZZOÚ”). Spolu s návrhem zákona o zpracování osobních údajů byl dále přijat a nabyl účinnosti doprovodný změnový zákon č. 111/2019 Sb. („změnový zákon”). Zákon o zpracování osobních údajů právně zrušuje původní zákon č. 101/2000 Sb., o ochraně osobních údajů.

Zákon o zpracování osobních údajů doplňuje komplexní právní úpravu danou v Obecném nařízení, a to v oblastech, které nejsou Obecným nařízením upraveny a kde Obecné nařízení umožňuje či přímo předpokládá, že členské státy provedou vlastní právní úpravu na vnitrostátní úrovni. Zákon o zpracování osobních údajů dále implementuje směrnici Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV (dále jen „Trestněprávní směrnice”).

O zákonu o ochraně osobních údajů

Nyní podrobněji k obsahu zákona o zpracování osobních údajů. Zákon je rozdělen na část první obsahující šest hlav a část druhou obsahující přechodná a závěrečná ustanovení. V části první hlava I upravuje základní ustanovení, a to předmět a působnost zákona a definici subjektu údajů. Definice subjektu údajů pro účely zákona o zpracování osobních údajů odpovídá legislativní zkratce v Obecném nařízení, jakož i znění dle původního zákona o ochraně osobních údajů.

Hlava II zákona upravuje dílčí otázky spojené s adaptací na Obecné nařízení. Jsou zde rovněž zahrnuty obecné výjimky nebo možnosti vnitrostátní zákonné úpravy, které Obecné nařízení připouští. V díle 1 se například stanoví výjimka z povinnosti posuzování slučitelnosti účelů, pokud jde o zpracování správcem ve veřejném zájmu, případně pokud je správce pověřen výkonem veřejné moci za účelem zajišťování chráněných zájmů. Zavádí se věková hranice dětí pro platné souhlasy se zpracováním osobních údajů na 15 let. Určuje se, že správce nemusí provádět posouzení vlivu zpracování na ochranu osobních údajů před jeho zahájením, pokud mu právní předpis stanoví povinnost takové zpracování osobních údajů provést (např. když zaměstnavatel musí zpracovávat osobní údaje pro účely sociálního pojištění). Určuje se, že povinnost jmenovat pověřence pro ochranu osobních údajů podle Obecného nařízení mají kromě orgánů veřejné moci také orgány zřízené zákonem, které plní zákonem stanovené úkoly ve veřejném zájmu (jde např. o notáře a exekutory, VZP, nikoli však jiné zdravotní pojišťovny, také nejde např. o příspěvkové