Dne 24. 04. 2019 nabyl účinnosti nový zákon č. 110/2019 Sb., o zpracování osobních údajů, v platném znění (dále jen „Zákon o zpracování osobních údajů“), který byl přijat jakožto prováděcí zákon k nařízení Evropského parlamentu a Rady (EU) č. 2016/679, o ochraně osobních údajů, známého pod zkratkou „GDPR“. Přijetí nového Zákona o zpracování osobních údajů nemá vliv na skutečnost, že právní úprava ochrany osobních údajů se i nadále převážně řídí nařízením GDPR – v některých ohledech však tento zákon právní úpravu GDPR zpřesňuje. Zákon o zpracování osobních údajů rovněž vůči orgánům veřejné moci zmírňuje sankce za porušení zákona při nakládání s osobními údaji, což lze přivítat s ohledem na to, jak vysokou laťku GDPR v tomto směru nastavilo. Zákon o zpracování osobních údajů současně ruší předchozí zákon č. 101/2000 Sb., o ochraně osobních údajů, jakož i vybraná ustanovení některých dalších zákonů. Právní úpravu zpracování a ochrany osobních údajů je tak nyní potřeba hledat buď přímo v GDPR, nebo v novém Zákoně o zpracování osobních údajů.

Pokuty a sankce vůči orgánům veřejné moci

Zákonem o zpracování osobních údajů zákonodárce využil možnosti upravit výše sankcí ve vztahu k orgánům veřejné moci, což GDPR členským státům výslovně umožňovalo. Zákon jednak zavedl zcela nové skutkové podstaty přestupků a stanovil za ně samostatné sankce. Současně i podstatně snížil pokuty, které lze za přestupky uložit orgánům veřejné moci nebo veřejným subjektům. Těmto subjektům je podle nové právní úpravy možné za přestupky uložit pokutu maximálně do výše 10.000.000, – Kč. Pro ostatní správce a zpracovatele, kteří osobní údaje zpracovávají v souladu s nařízením GDPR, však Zákon o zpracování osobních údajů žádné změny nepřináší a nadále tak pro ně platí úprava GDPR, podle níž je možné uložit pokutu až ve výši 20.000.000 EUR nebo v případě podniku až do výše 4 % jeho celkového ročního obratu.

Absence zákonné povinnosti mlčenlivosti u zaměstnanců či smluvních partnerů

Důležitou změnou, která sice ze samotného textu Zákona o zpracování osobních údajů výslovně nevyplývá, přesto je však zcela zásadní, je vypuštění zákonné povinnosti mlčenlivosti všech zaměstnanců či smluvních partnerů správce, která byla v předchozím (dnes již zrušeném) zákoně o ochraně osobních údajů zakotvena. Podle předchozí právní úpravy kdokoliv, kdo přišel při své činnosti do styku s osobními údaji nebo s bezpečnostními opatřeními správců či zpracovatelů, byl ze zákona povinen o těchto skutečnostech zachovávat mlčenlivost. V návaznosti na GDPR tak především zaměstnavatelé spoléhali na to, že zaměstnanci budou i po účinnosti GDPR ze zákona vázáni podobnou povinností mlčenlivosti – ostatně, vzhledem k celkové přísnosti právní úpravy GDPR by se to dalo i rozumně očekávat.

Ani po účinnosti prováděcího Zákona o zpracování osobních údajů však žádná podobná zákonná povinnost zaměstnanců nebo smluvních partnerů správců či zpracovatelů zachovávat mlčenlivost o osobních údajích, s nimiž přišli v rámci své činnosti do styku, jakož i o přijatých bezpečnostních opatřeních správců či zpracovatelů, není nikde výslovně zakotvena, což je poněkud překvapivé. V konečném důsledku to však opět přináší správcům a zpracovatelům další povinnosti, kterým se dalo relativně jednoduše vyhnout. Pokud totiž nyní správci chtějí, aby i nadále jejich zaměstnance či smluvní partnery povinnost mlčenlivosti zavazovala, musí ji patřičně promítnout do příslušných pracovněprávních dokumentů či jiných smluv s těmito subjekty, jelikož samotný zákon jim povinnost mlčenlivosti již neukládá.

Specifika při zpracování osobních údajů prováděného novináři a umělci

Zákon o zpracování osobních údajů dále také zavádí určitá specifika v oblasti zpracování osobních údajů pro vědecké, statistické, novinářské nebo umělecké účely, přičemž osobní údaje lze pro tyto účely zpracovávat za předpokladu, že je to pro daný účel přiměřené. Otázku přiměřenosti však bude nutné posuzovat vždy individuálně a ve vztahu ke konkrétním okolnostem daného případu. Zákon o zpracování osobních údajů v těchto případech rovněž omezuje právo subjektů údajů na přístup k osobním údajům, a to z důvodu zvýšené ochrany zdroje a obsahu osobních údajů. Současně je v uvedených případech redukována i informační povinnost správce, který např. při vzniku povinnosti oznámit porušení zabezpečení osobních údajů v souladu s GDPR nemusí oznamovat informace umožňující určení zdroje nebo obsahu osobních údajů, jejichž zabezpečení bylo porušeno. Správce rovněž v odůvodněných případech není povinen poskytovat informace o své identitě – jako např. v případě, kdy subjekt údajů takové informace má, popř. poskytnutí těchto informací není možné nebo by to vyžadovalo nepřiměřené úsilí.

Další důležité změny a novinky

Další novinkou, kterou uvítají zejména zaměstnavatelé, pokud zpracovávají osobní údaje z důvodu plnění povinností uložených jim zákonem, je výjimka z povinnosti správce vypracovávat posouzení vlivu zpracování na ochranu osobních údajů před jeho zahájením. Pokud tedy existuje povinnost provádět zpracování osobních údajů přímo ze zákona, nejsou správci v takových případech povinni posouzení vlivu vypracovávat. Zákon o zpracování osobních údajů také nově umožní správcům poskytovat informace o zpracování osobních údajů subjektům údajů způsobem umožňujícím dálkový přístup (tedy např. prostřednictvím internetu), což nepochybně bude pro mnohé z nich velmi praktickým řešením.

Co se týče pověřence pro ochranu osobních, ukládá Zákon o zpracování osobních údajů povinnost jmenovat pověřence pro ochranu osobních údajů kromě orgánů veřejné moci také dalším orgánům zřízeným zákonem, pokud plní zákonem stanovené úkoly ve veřejném zájmu. Další důležitou změnou (resp. upřesněním) trochu z jiného soudku, kterou nový zákon rovněž přináší, je zakotvení způsobilosti dítěte udělit souhlas se zpracováním osobních údajů v souvislosti s nabídkou informační společnosti (např. v souvislosti s účastí na sociálních sítích) dovršením věku 15 let. Oproti GDPR tak došlo ke snížení této věkové hranice o jeden rok.

Závěr

Zákon o zpracování osobních údajů nijak zásadně nemění klíčové požadavky kladené na zpracování osobních údajů nařízením GDPR a přináší spíše kosmetické úpravy či upřesnění v některých specifických oblastech zpracování. Ve vztahu k advokátům či daňovým poradcům Zákon o zpracování osobních údajů rovněž poskytl Úřadu pro ochranu osobních údajů oprávnění seznamovat se s informacemi chráněnými povinností mlčenlivosti podle zákona o advokacii nebo zákona o daňovém poradenství. Seznámit se s těmito informacemi lze však pouze se souhlasem a za přítomnosti zástupce příslušné profesní komory. Lze předpokládat, že ne vždy Úřad pro ochranu osobních údajů podobný souhlas získá. V takovém případě má možnost obrátit se na kontrolní orgán příslušné profesní komory, a pokud i zde bude neúspěšný, může se za účelem nahrazení souhlasu obrátit i na soud.

Jiří Matzner