Stáhnout prezentaci
Prezentace se nahrává, počkejte prosím
1
Zákon o zpracování osobních údajů
Ondrej Beňák OBP MVČR
2
Zákon Dne 24. 4. 2019 vyhlášen ve Sbírce zákonů pod č. 110/2019 Sb.
Nahradil zákon 101/2000 Sb., o ochraně osobních údajů Změnový zákon (č. 111/2019 Sb.) – řada dílčích úprav různých zákonů (cca 40) kvůli nařízení nebo směrnici – nikoli zákon o obcích nebo o krajích
3
Struktura návrhu zákona
Hlava I – základní ustanovení Působnost zákona, subjekt údajů Hlava II – adaptace na GDPR Výjimky z GDPR, vyjasnění některých pravidel GDPR Zvláštní výjimky pro novinářské, umělecké, akademické účely Hlava III – transpozice Trestněprávní směrnice (neplatí ani pro obecní nebo městské policie) Hlava IV – pravidla pro bezpečnostní a obranné zájmy Hlava V – postavení ÚOOÚ Přístup k informacím chráněným mlčenlivostí Hlava VI – přestupky a pokuty (jen pro Hlavu III)
4
§ 3 – subjekt údajů Subjektem údajů se rozumí fyzická osoba, k níž se osobní údaje vztahují. Stejná definice jako v § 4 písm. d) zákona 101/2000 Sb.
5
§ 4 – působnost hlavy II (1) Ustanovení této hlavy se použijí při zpracování osobních údajů podle nařízení Evropského parlamentu a Rady (EU) 2016/679. (2) Ustanovení této hlavy a nařízení Evropského parlamentu a Rady (EU) 2016/679 se použijí i při zpracování osobních údajů, které mají být nebo jsou zařazeny do evidence, a při zpracování osobních údajů, které probíhá zcela nebo částečně automatizovaně, nejde-li o zpracování osobních údajů fyzickou osobou v průběhu výlučně osobních nebo domácích činností, a) při výkonu činností, které nespadají do oblasti působnosti práva Evropské unie nebo do působnosti hlavy III nebo IV, nebo b) při výkonu činností, které spadají do oblasti působnosti hlavy V kapitoly 2 Smlouvy o Evropské unii.
6
§ 5 – oprávnění ke zpracování
Správce je oprávněn zpracovávat osobní údaje, pokud je to nezbytné pro splnění a) povinnosti, která je správci uložena právním předpisem, nebo b) úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen.
7
§ 6 – neposuzuje se slučitelnost
(1) Nestanoví-li jiný právní předpis jinak, správce není povinen při zajišťování chráněného zájmu posuzovat před zpracováním osobních údajů k jinému účelu, než ke kterému byly shromážděny, slučitelnost těchto účelů, je-li toto zpracování nezbytné a přiměřené pro splnění a) povinnosti, která je správci uložena, nebo b) úkolu ve veřejném zájmu stanoveného právním předpisem nebo při výkonu veřejné moci, kterým je správce pověřen.
8
§ 6 – chráněné zájmy (2) Chráněným zájmem podle odstavce 1 se rozumí
a) obranné nebo bezpečnostní zájmy České republiky, b) veřejný pořádek a vnitřní bezpečnost, předcházení, vyhledávání nebo odhalování trestné činnosti, stíhání trestných činů, výkon trestů a ochranných opatření, zajišťování bezpečnosti České republiky nebo zajišťování veřejného pořádku a vnitřní bezpečnosti, včetně pátrání po osobách a věcech, c) jiný důležitý cíl veřejného zájmu Evropské unie nebo členského státu Evropské unie, zejména důležitý hospodářský nebo finanční zájem Evropské unie nebo členského státu Evropské unie, včetně záležitostí měnových, peněžních, rozpočtových, daňových a finančního trhu, veřejného zdraví nebo sociálního zabezpečení, d) ochrana nezávislosti soudů a soudců, e) předcházení, vyhledávání, odhalování nebo stíhání porušování etických pravidel regulovaných povolání, f) dohledové, kontrolní nebo regulační funkce spojené s výkonem veřejné moci v případech uvedených v písmenech a) až e), g) ochrana práv a svobod osob, nebo h) vymáhání soukromoprávních nároků.
9
§ 7 – online souhlas dítěte
Dítě nabývá způsobilosti k udělení souhlasu se zpracováním osobních údajů v souvislosti s nabídkou služeb informační společnosti přímo jemu dovršením patnáctého roku věku. Velký politický souboj
10
§ 8 – jednoduché informování online
Pokud správce provádí zpracování osobních údajů podle § 5 a je povinen subjektu údajů poskytnout informace podle čl. 13 nebo čl. 14 odst. 1, 2 a 4 nařízení Evropského parlamentu a Rady (EU) 2016/679, může tyto informace v rozsahu odpovídajícím jím obvykle prováděnému zpracování osobních údajů poskytnout zveřejněním způsobem umožňujícím dálkový přístup.
11
§ 9 – oznamování změnou evidence
Je-li správce povinen oznámit příjemci provedenou opravu, omezení zpracování nebo výmaz osobních údajů, může tak učinit změnou osobních údajů v evidenci, pokud příjemci pravidelně zpřístupňuje její platný obsah.
12
§ 10 – výjimka z posouzení vlivu
Správce nemusí provádět posouzení vlivu zpracování na ochranu osobních údajů před jeho zahájením, pokud mu právní předpis stanoví povinnost takové zpracování osobních údajů provést.
13
§ 11 – hlavní výjimka (omezení práv)
(1) Nestanoví-li jiný právní předpis jinak, čl. 12 až 22 a v jim odpovídajícím rozsahu též článek 5 nařízení Evropského parlamentu a Rady (EU) 2016/679 se použijí přiměřeně nebo se splnění povinností správce nebo zpracovatele nebo uplatnění práva subjektu údajů stanovených těmito články odloží, je-li to nezbytné a svým rozsahem přiměřené k zajištění chráněného zájmu uvedeného v § 6 odst. 2. (2) Omezení některých práv nebo povinností podle odstavce 1 správce nebo zpracovatel bez zbytečného odkladu oznámí Úřadu, přitom uvede v přiměřeném rozsahu skutečnosti podle čl. 23 odst. 2 nařízení Evropského Parlamentu a Rady (EU) 2016/679; to neplatí pro soudy provádějící zpracování osobních údajů podle čl. 55 odst. 3 nařízení Evropského Parlamentu a Rady (EU) 2016/679.
14
§ 12 – výjimka z oznamování porušení zabezpečení subjektu údajů
Pokud je správce povinen oznámit porušení zabezpečení osobních údajů subjektu údajů, toto oznámení provede v omezeném rozsahu nebo jej odloží, je-li to nezbytné a svým rozsahem přiměřené k zajištění chráněného zájmu uvedeného v § 6 odst. 2. Pro oznámení takového postupu Úřadu se § 11 odst. 2 použije obdobně.
15
§ 13 – výjimka z omezení zpracování
Pokud bylo zpracování osobních údajů omezeno podle čl. 18 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2016/679, není tím dotčena povinnost správce nebo zpracovatele tyto osobní údaje předat nebo zpřístupnit, je-li tato povinnost stanovena právním předpisem. Tyto údaje se při předání nebo zpřístupnění označí jako údaje uvedené v čl. 18 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2016/679.
16
§ 14 – pověřenci pro ochranu osobních údajů
Povinnost jmenovat pověřence pro ochranu osobních údajů podle čl. 37 odst. 1 písm. a) nařízení Evropského parlamentu a Rady (EU) 2016/679 mají kromě orgánů veřejné moci také orgány zřízené zákonem, které plní zákonem stanovené úkoly ve veřejném zájmu.
17
§ 15 – akreditační orgán Osoby oprávněné k vydávání osvědčení o ochraně osobních údajů jsou akreditovány osobou pověřenou k výkonu působnosti akreditačního orgánu podle zákona upravujícího akreditaci subjektů posuzování shody. V praxi to bude Český institut pro akreditaci, o.p.s. při MPaO
18
Přechodná ustanovení v adaptačním zákoně
§ 64 odst. 6 – „citlivý údaj“ nebo „citlivý osobní údaj“ znamená údaj spadající mezi zvláštní kategorie ve smyslu článku 9 nebo 10 GDPR § 64 odst. 7 – souhlas podle zákona o ochraně osobních údajů se považuje za souhlas podle GDPR, ledaže nebyl udělen způsobem, který požaduje GDPR
19
Pravomoci ÚOOÚ a pokuty
Sněmovna nakonec pokuty pro orgány veřejné moci a veřejné subjekty podle čl. 83(7) GDPR vypustila úplně z § 61 a 62 § 65 – oportunita: nové ustanovení, podle kterého ÚOOÚ ani nemusí zahájit řízení o přestupku např. z neznalosti, pokud je správce ochoten věc napravit – z důvodu horizontální platnosti GDPR
20
Kontext a podrobnosti Ministerstvo vnitra Obecné nařízení o ochraně osobních údajů legislativně implementuje, ale nevykládá ani nekontroluje. Mikroweb GDPR: Praktické vymáhání je v kompetenci ÚOOÚ Výklad spočívá zejména na ESOÚ, nyní na Pracovní skupině 29, která svá výkladová vodítka k jednotlivým oblastem zveřejňuje a jsou k dispozici i na
21
Změna zákona o organizaci a provádění sociálního zabezpečení – nový § 13a
Odst. 1 – „Orgány sociálního zabezpečení zpracovávají osobní údaje a jiné údaje, jsou-li nezbytné pro výkon jejich působnosti. Tyto údaje orgány sociálního zabezpečení zpřístupňují nebo předávají dalším orgánům veřejné moci nebo osobám v rozsahu a za podmínek stanovených zákonem.“ obecný titul pro zpracování a předávání osobních údajů orgány sociálního zabezpečení podle § 5 písm. a) zákona o zpracování
22
Změna zákona o organizaci a provádění sociálního zabezpečení – nový § 13a
Odst. 2 písm. a) – „Orgány sociálního zabezpečení při zpracování osobních údajů, k němuž dochází v souvislosti s výkonem jejich působnosti podle tohoto zákona nebo jiných právních předpisů, označí vhodným způsobem osobní údaje, jejichž přesnost byla popřena nebo proti jejichž zpracování byla vznesena námitka, a tyto osobní údaje dále zpracovávají i bez souhlasu subjektu údajů, a“
23
Změna zákona o organizaci a provádění sociálního zabezpečení – nový § 13a
Odst. 2 písm. b) – „(OSZ) mohou provádět výkon svojí působnosti, nejde-li o vydávání rozhodnutí, též způsobem, který je založen výhradně na automatizovaném zpracování osobních údajů; popis počítačových algoritmů a výběrová kritéria, na jejichž základě je toto zpracování prováděno, uvede orgán sociálního zabezpečení v záznamech o činnosti zpracování osobních údajů a uchovává je nejméně po dobu jednoho roku od jejich posledního použití pro zpracování osobních údajů.“ Odst. 3 – „Při uplatnění práva na námitku nebo jiného prostředku ochrany proti zpracování osobních údajů se použijí obdobně ustanovení správního řádu o stížnosti.“
24
Změna OSŘ § 26 nový odst. 7 – „Ve věcech ochrany osobních údajů se může dát subjekt údajů v řízení zastupovat též právnickou osobou, jejíž zisk se nerozděluje a k jejímž činnostem uvedeným v zakladatelském právním jednání patří ochrana práv subjektů údajů; za právnickou osobu jedná k tomu pověřený její zaměstnanec nebo člen, který má vysokoškolské právnické vzdělání, které je podle zvláštních předpisů vyžadováno pro výkon advokacie.“.
25
Změna OSŘ § 114a odst. 2 nové písm. f) – „(Za účelem rozhodnutí při jediném jednání předseda senátu) zjistí názor Úřadu pro ochranu osobních údajů, souvisí-li předmět řízení bezprostředně s otázkou ochrany osobních údajů,“. Adaptace na čl. 58 odst. 5 GDPR: „Každý členský stát v právních předpisech stanoví, že jeho dozorový úřad má pravomoc upozornit na porušení tohoto nařízení justiční orgány, a pokud je to vhodné, zahájit soudní řízení či se do něj jinak zapojit s cílem vymoci dodržení tohoto nařízení.“.
26
Novela zákona o svobodném přístupu k informacím
Zákon č. 111/2019 Sb. – část patnáctá – změna InfZ (de facto dva návrhy v jednom) První část: kompromisní návrh mezi vládou/MV a Piráty směřující k ochraně zpravodajských a bezpečnostních zájmů – účinnost Druhá část: návrh Pirátů na zvýšení vymahatelnosti práva na informace (informační příkaz, přezkum od ÚOOÚ) – účinnost
27
Vládní (kompromisní) návrh
§ 4b odst. 2 InfZ – doplněna věta "Má se za to, že před dalším zpracováním otevřených dat nemají přednost oprávněné zájmy nebo práva a svobody subjektu údajů vyžadující ochranu osobních údajů.“ § 7 InfZ – doplněna věta „Povinný subjekt neposkytne rovněž osobní údaje o osobě, která je držitelem osvědčení fyzické osoby pro přístup k utajovaným informacím pro stupeň utajení Přísně tajné a Tajné, pokud by to mohlo ohrozit ochranu utajovaných informací." § 8a - nový odst. 2 –„Povinný subjekt poskytne osobní údaje o veřejně činné osobě, funkcionáři nebo zaměstnanci veřejné správy, které vypovídají o jeho veřejné nebo úřední činnosti nebo o jeho funkčním nebo pracovním zařazení.“
28
Vládní (kompromisní) návrh - § 11 – neposkytnutí informace
§ 11 odst. 1 písm. d) a e) InfZ – ochrana bezpečnostních opatření dle zvl. zákonů, ochrana zahraničních zájmů § 11 odst. 4 písm. a) InfZ – ochrana probíhajícího trestního řízení a spravedlivého procesu (nahrazuje bezvýjimečné vyloučení info o tr.řízení) § 11 odst. 4 písm. c) InfZ – ochrana informací o činnosti zpravodajských služeb obecně (nejen o plnění úkolů) § 11 odst. 6 InfZ – ochrana informací o činnosti OČTŘ a bezpečnostních sborů, zejména policie, a v oblasti bezpečnosti ČR (zjednodušení, upřesnění)
29
Návrh Pirátů Rozhodování nadřízeného orgánu o odvolání a stížnosti
§ 16 odst. 4 InfZ – Informační příkaz: pokud v odvolacím řízení neshledán důvod k odmítnutí žádosti, tak zrušení rozhodnutí o odmítnutí a zastavení řízení + zároveň příkaz k poskytnutí info; nelze se odvolat; příkaz exekučně vykonatelný § 16a odst. 4 písm. b) InfZ – obdobný postup v případě, kdy shledána důvodnou stížnost 1. v případě údajného poskytnutí info odkazem na zveřejněnou info, 2. pokud ani neposkytnuta info ani žádost o info nebyla rozhodnutím odmítnuta, nebo 3. informace poskytnuta jen částečně, aniž byla žádost ve zbytku odmítnuta § 16a odst. 7 písm. b) InfZ – obdobný postup v případě, kdy shledána důvodnou stížnost (4) na požadovanou výši úhrady za náklady na informace - nově žádné výjimky pro věci týkající se samosprávy (lze snížit výši úhrady i u samosprávy)
30
Návrh Pirátů Přezkumné řízení ÚOOÚ a nečinnost
§ 16b InfZ: ÚOOÚ může v přezkumném řízení zrušit rozhodnutí nadřízeného (odvolacího) orgánu + využít opatření proti nečinnosti Pokud info nezákonně odepřeny + věc je skutkově i právně jasná a informace má být poskytnuta – zrušení rozhodnutí nadřízeného orgánu a informační příkaz (k tomu zřejmě zároveň i zrušení rozhodnutí povinného subjektu a zastavení řízení) Postup proti nečinnosti nadřízeného orgánu, který má rozhodnout o odvolání proti rozhodnutí o zamítnutí nebo o stížnosti – podle § 80 správního řádu Nelze-li určit nadřízený orgán dle § 178 správního řádu, je jím ÚOOÚ
31
Kontakty: Odbor dozoru a kontroly veřejné správy MV (ODK): Odbor bezpečnostní politiky MV (OBP): Odbor legislativy a koordinace předpisů MV (OLG): Ministerstvo vnitra ČR: Úřad pro ochranu osobních údajů:
Podobné prezentace
© 2024 SlidePlayer.cz Inc.
All rights reserved.