439
Parlament se usnesl na tomto zákoně České republiky:
Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění zákona č. 227/2000 Sb., zákona č. 177/2001 Sb., zákona č. 450/2001 Sb., zákona č. 107/2002 Sb., zákona č. 309/2002 Sb., zákona č. 310/2002 Sb. a zákona č. 517/2002 Sb., se mění takto:
1. § 1 včetně nadpisu a poznámek pod čarou č. 1) a 1a) zní:
Tento zákon v souladu s právem Evropských společenství,1) mezinárodními smlouvami, kterými je Česká republika vázána,1a) a k naplnění práva každého na ochranu před neoprávněným zasahováním do soukromí upravuje práva a povinnosti při zpracování osobních údajů a stanoví podmínky, za nichž se uskutečňuje předání osobních údajů do jiných států.
1) | Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně jednotlivců v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. |
1a) | Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních dat č. 108, vyhlášená pod č. 115/2001 Sb. m. s.". |
2. V § 3 odstavec 1 zní:
"(1) Tento zákon se vztahuje na osobní údaje, které zpracovávají státní orgány, orgány územní samosprávy, jiné orgány veřejné moci, jakož i fyzické a právnické osoby.".
3. V § 3 odst. 2, 3 a 4 se slovo "Zákon" nahrazuje slovy "Tento zákon".
4. V § 3 odst. 4 se věta druhá včetně poznámky pod čarou č. 1a) zrušuje.
5. V § 3 odstavec 5 zní:
"(5) Tento zákon se dále vztahuje na zpracování osobních údajů,
a) | jestliže se právní řád České republiky použije přednostně na základě mezinárodního práva veřejného, i když správce není usazen na území České republiky, |
b) | jestliže správce, který je usazen mimo území Evropské unie, provádí zpracování na území České republiky a nejedná se pouze o předání osobních údajů přes území Evropské unie; v tomto případě je správce povinen zmocnit postupem podle § 6 na území České republiky zpracovatele. |
Jestliže zpracování provádí správce prostřednictvím svých organizačních jednotek umístěných na území Evropské unie, musí zajistit, že tyto organizační jednotky budou zpracovávat osobní údaje v souladu s národním právem příslušného členského státu Evropské unie.".
6. V § 3 odstavec 6 včetně poznámek pod čarou č. 4) až 10) zní:
"(6) Ustanovení § 5 odst. 1 a § 11 a 12 se nepoužijí pro zpracování osobních údajů nezbytných pro plnění povinností správce stanovených zvláštními zákony pro zajištění
a) | bezpečnosti České republiky,4) |
b) | obrany České republiky,5) |
c) | veřejného pořádku a vnitřní bezpečnosti,6) |
d) | předcházení, vyhledávání, odhalování trestné činnosti a stíhání trestných činů,7) |
e) | významného hospodářského zájmu České republiky nebo Evropské unie,8) |
f) | významného finančního zájmu České republiky nebo Evropské unie, kterým je zejména stabilita finančního trhu a měny, fungování peněžního oběhu a platebního styku, jakož i rozpočtová a daňová opatření,9) |
g) | výkonu kontroly, dozoru, dohledu a regulace spojených s výkonem veřejné moci v případech uvedených v písmenech c), d), e) a f),10) nebo |
h) | činností spojených se zpřístupňováním svazků bývalé Státní bezpečnosti.10a) |
4) | Například ústavní zákon č. 110/1998 Sb., o bezpečnosti České republiky, ve znění zákona č. 300/2000 Sb., zákon č. 219/1999 Sb., o ozbrojených silách České republiky, ve znění pozdějších předpisů, zákon č. 238/2000 Sb., o Hasičském záchranném sboru České republiky a o změně některých zákonů, ve znění pozdějších předpisů, zákon č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon), ve znění zákona č. 320/2002 Sb., zákon č. 153/1994 Sb., o zpravodajských službách České republiky, ve znění pozdějších předpisů, zákon č. 154/1994 Sb., o Bezpečnostní informační službě, ve znění pozdějších předpisů, a zákon č. 148/1998 Sb., o ochraně utajovaných skutečností a o změně některých zákonů, ve znění pozdějších předpisů. |
5) | Například zákon č. 222/1999 Sb., o zajišťování obrany České republiky, ve znění zákona č. 320/2002 Sb., zákon č. 218/1999 Sb., o rozsahu branné povinnosti a o vojenských správních úřadech (branný zákon), ve znění pozdějších předpisů, zákon č. 219/1999 Sb., o ozbrojených silách České republiky, ve znění pozdějších předpisů, a zákon č. 124/1992 Sb., o Vojenské policii, ve znění pozdějších předpisů. |
6) | Například zákon č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon), ve znění zákona č. 320/2002 Sb., zákon č. 283/1991 Sb., o Policii České republiky, ve znění pozdějších předpisů, a zákon č. 553/1991 Sb., o obecní policii, ve znění pozdějších předpisů. |
7) | Například zákon č. 61/1996 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a o změně a doplnění souvisejících zákonů, ve znění pozdějších předpisů, zákon č. 141/1961 Sb., o trestním řízení soudním (trestní řád), ve znění pozdějších předpisů, a zákon č. 200/1990 Sb., o přestupcích, ve znění pozdějších předpisů. |
8) | Například zákon č. 241/2000 Sb., o hospodářských opatřeních pro krizové stavy a o změně některých souvisejících zákonů, ve znění pozdějších předpisů, zákon č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon), ve znění zákona č. 320/2002 Sb., a zákon č. 148/1998 Sb., o ochraně utajovaných skutečností a o změně některých zákonů, ve znění pozdějších předpisů. |
9) | Například zákon č. 218/2000 Sb., o rozpočtových pravidlech a o změně některých souvisejících zákonů (rozpočtová pravidla), ve znění pozdějších předpisů, zákon č. 250/2000 Sb., o rozpočtových pravidlech územních rozpočtů, ve znění pozdějších předpisů, zákon č. 6/1993 Sb., o České národní bance, ve znění pozdějších předpisů, a zákon č. 212/1992 Sb., o soustavě daní, ve znění zákona č. 302/1993 Sb. |
10) | Například zákon č. 166/1993 Sb., o Nejvyšším kontrolním úřadu, ve znění pozdějších předpisů, zákon č. 337/1992 Sb., o správě daní a poplatků, ve znění pozdějších předpisů, a zákon č. 552/1991 Sb., o státní kontrole, ve znění pozdějších předpisů.". |
7. V § 4 písmeno a) zní:
"a) | osobním údajem jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu,". |
8. V § 4 písm. b) se slova "trestné činnosti" nahrazují slovy "odsouzení za trestný čin" a na konci se doplňují slova "a jakýkoliv biometrický nebo genetický údaj subjektu údajů".
9. V § 4 se na konci písmene l) tečka nahrazuje čárkou a doplňují se písmena m) až o), která znějí:
"m) | evidencí nebo datovým souborem osobních údajů (dále jen "datový soubor") jakýkoliv soubor osobních údajů uspořádaný nebo zpřístupnitelný podle společných nebo zvláštních kritérií, |
n) | souhlasem subjektu údajů svobodný a vědomý projev vůle subjektu údajů, jehož obsahem je svolení subjektu údajů se zpracováním osobních údajů, |
o) | příjemcem každý subjekt, kterému jsou osobní údaje zpřístupněny; za příjemce se nepovažuje subjekt, který zpracovává osobní údaje podle § 3 odst. 6 písm. g).". |
10. V § 5 odst. 1 písmeno c) včetně poznámky pod čarou č. 11) zní:
"c) | zpracovat pouze přesné osobní údaje, které získal v souladu s tímto zákonem. Je-li to nezbytné, osobní údaje aktualizuje. Zjistí-li správce, že jím zpracované osobní údaje nejsou s ohledem na stanovený účel přesné, provede bez zbytečného odkladu přiměřená opatření, zejména zpracování blokuje a osobní údaje opraví nebo doplní, jinak osobní údaje zlikviduje. Nepřesné osobní údaje lze zpracovat pouze v mezích uvedených v § 3 odst. 6.11) Nepřesné osobní údaje se musí označit. Informaci o blokování, opravě, doplnění nebo likvidaci osobních údajů je správce povinen bez zbytečného odkladu předat všem příjemcům, |
11) | Například zákon č. 13/1993 Sb., celní zákon, ve znění pozdějších předpisů.". |
11. V § 5 odst. 1 písm. e) se slova "statistické, vědecké" nahrazují slovy "státní statistické služby, pro účely vědecké".
12. V § 5 odst. 1 se na konci textu písmene e) doplňují slova "a osobní údaje anonymizovat, jakmile je to možné,".
13. V § 5 odst. 1 písm. f) se slova " , pokud zvláštní zákon nestanoví jinak" zrušují.
14. V § 5 odst. 1 písm. f) se slova "údaj, jen pokud k tomu dal subjekt údajů" nahrazují slovy "údaje jen v mezích ustanovení § 3 odst. 6, nebo pokud k tomu dal subjekt údajů předem".
15. V § 5 odst. 1 písm. g) se slova ",pokud zvláštní zákon nestanoví jinak" zrušují.
16. V § 5 odst. 1 písm. h) se slova " , pokud zvláštní zákon netanoví jinak" zrušují.
17. V § 5 odst. 2 písmeno a) včetně poznámky pod čarou č. 12) zní:
"a) | jestliže provádí zpracování nezbytné pro dodržení právní povinnosti správce,12)". |
12) | Například zákon č. 111/1998 Sb., o vysokých školách a o změně a doplnění dalších zákonů (zákon o vysokých školách), ve znění pozdějších předpisů, zákon č. 564/1990 Sb., o státní správě a samosprávě ve školství, ve znění pozdějších předpisů, zákon č. 153/1994 Sb., o zpravodajských službách České republiky, ve znění pozdějších předpisů, zákon č. 154/2000 Sb., o šlechtění, plemenitbě a evidenci hospodářských zvířat a o změně některých souvisejících zákonů (plemenářský zákon), ve znění pozdějších předpisů, zákon č. 166/1999 Sb., o veterinární péči a o změně některých souvisejících zákonů (veterinární zákon), ve znění pozdějších předpisů, zákon č. 246/1992 Sb., na ochranu zvířat proti týrání, ve znění pozdějších předpisů, zákon č. 147/1996 Sb., o rostlinolékařské péči a změnách některých souvisejících zákonů, ve znění pozdějších předpisů, a zákon č. 219/2003 Sb., o uvádění do oběhu osiva a sadby pěstovaných rostlin a o změně některých zákonů (zákon o oběhu osiva a sadby).". |
18. V § 5 odst. 2 písmeno b) zní:
"b) | jestliže je zpracování nezbytné pro plnění smlouvy , jejíž smluvní stranou je subjekt údajů , nebo pro jednání o uzavření nebo změně smlouvy uskutečněné na návrh subjektu údajů,". |
19. V § 5 odst. 2 písm. c) se za slovo "ochraně" vkládá slovo "životně".
20. V § 5 odst. 2 písmeno e) zní:
"e) | pokud je to nezbytné pro ochranu práv a právem chráněných zájmů správce, příjemce nebo jiné dotčené osoby; takové zpracování osobních údajů však nesmí být v rozporu s právem subjektu údajů na ochranu jeho soukromého a osobního života,". |
21. V § 5 odst. 2 písmeno f) zní:
"f) | pokud poskytuje osobní údaje o veřejně činné osobě, funkcionáři či zaměstnanci veřejné správy, které vypovídají o jeho veřejné anebo úřední činnosti, o jeho funkčním nebo pracovním zařazení, nebo,". |
22. V § 5 odst. 2 písmeno g) zní:
"g) | jedná-li se o zpracování výlučně pro účely archivnictví podle zvláštního zákona.". |
23. V § 5 odstavec 4 zní:
"(4) Subjekt údajů musí být při udělení souhlasu informován o tom, pro jaký účel zpracování a k jakým osobním údajům je souhlas dáván, jakému správci a na jaké období. Souhlas subjektu údajů se zpracováním osobních údajů musí být správce schopen prokázat po celou dobu zpracování.".
24. V § 5 se odstavec 5 zrušuje.Dosavadní odstavce 6 až 10 se označují jako odstavce 5 až 9.
25. V § 5 odst. 6 se číslo "6" nahrazuje číslem "5".
26. V § 5 odst. 7 a 8 se číslo "7" nahrazuje číslem "6".
27. V § 5 odst. 9 se číslo "6" nahrazuje číslem "5".
28. V § 6 se slovo "může" nahrazuje slovem "musí", za slovo "uzavírá" se vkládají slova "a musí obsahovat záruky zpracovatele o technickém a organizačním zabezpečení ochrany osobních údajů", slova " , jinak je neplatná" a věta "Jestliže zpracovatel ve smlouvě neposkytne dostatečné záruky o technickém a organizačním zabezpečení ochrany osobních údajů, je taková smlouva neplatná." se zrušuje.
29. V § 9 písmeno a) zní:
"a) | subjekt údajů dal ke zpracování výslovný souhlas. Subjekt údajů musí být při udělení souhlasu informován o tom, pro jaký účel zpracování a k jakým osobním údajům je souhlas dáván, jakému správci a na jaké období. Existenci souhlasu subjektu údajů se zpracováním osobních údajů musí být správce schopen prokázat po celou dobu zpracování. Správce je povinen předem subjekt údajů poučit o jeho právech podle § 12 a 21,". |
30. V § 9 písmeno c) včetně poznámek pod čarou č. 15) a 15a) zní:
"c) | se jedná o zpracování při zajišťování zdravotní péče, ochrany veřejného zdraví, zdravotního pojištění a výkon státní správy v oblasti zdravotnictví podle zvláštního zákona15) nebo se jedná o posuzování zdravotního stavu v jiných případech stanovených zvláštním zákonem,15a) |
15) | Například zákon č. 20/1966 Sb., o péči o zdraví lidu, ve znění pozdějších předpisů, zákon č. 258/2000 Sb., o ochraně veřejného zdraví a o změně některých souvisejících zákonů, ve znění pozdějších předpisů, zákon č. 48/1997 Sb., o veřejném zdravotním pojištění a o změně a doplnění některých souvisejících zákonů, ve znění pozdějších předpisů, zákon č. 280/1992 Sb., o resortních, oborových, podnikových a dalších zdravotních pojišťovnách, ve znění pozdějších předpisů, zákon č. 551/1991 Sb., o Všeobecné zdravotní pojišťovně České republiky, ve znění pozdějších předpisů, a zákon č. 592/1992 Sb., o pojistném na všeobecné zdravotní pojištění, ve znění pozdějších předpisů. |
15a) | Například zákon č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení, ve znění pozdějších předpisů.". |
31. V § 9 písmeno d) včetně poznámky pod čarou č. 16) zní:
"d) | je zpracování nezbytné pro dodržení povinností a práv správce odpovědného za zpracování v oblasti pracovního práva a zaměstnanosti, stanovené zvláštním zákonem.16) |
16) | Například zákon č. 65/1965 Sb., zákoník práce, ve znění pozdějších předpisů, zákon č. 1/1992 Sb., o mzdě, odměně za pracovní pohotovost a o průměrném výdělku, ve znění pozdějších předpisů, zákon č. 218/2002 Sb., o službě státních zaměstnanců ve správních úřadech a o odměňování těchto zaměstnanců a ostatních zaměstnanců ve správních úřadech (služební zákon), ve znění pozdějších předpisů, a zákon č. 1/1991 Sb., o zaměstnanosti, ve znění pozdějších předpisů.". |
32. V § 9 se na konci písmene d) tečka nahrazuje čárkou a doplňují se písmena e) až ch), která znějí:
"e) | jde o zpracování, které sleduje politické, filosofické, náboženské nebo odborové cíle, prováděné v rámci oprávněné činnosti občanského sdružení, nadace nebo jiné právnické osoby nevýdělečné povahy (dále jen "sdružení"), a které se týká pouze členů sdružení nebo osob, se kterými je sdružení v opakujícím se kontaktu souvisejícím s oprávněnou činností sdružení, a osobní údaje nejsou zpřístupňovány bez souhlasu subjektu údajů, |
f) | se jedná o údaje podle zvláštního zákona nezbytné pro provádění nemocenského pojištění, důchodového pojištění (zabezpečení), státní sociální podpory a dalších státních sociálních dávek, sociální péče a sociálně-právní ochrany dětí, a při zajištění ochrany těchto údajů v souladu se zákonem, |
g) | se zpracování týká osobních údajů zveřejněných subjektem údajů, |
h) | je zpracování nezbytné pro zajištění a uplatnění právních nároků, nebo |
ch) | jsou zpracovány výlučně pro účely archivnictví podle zvláštního zákona.". |
33. § 11 a 12 znějí:
(1) Správce je při shromažďování osobních údajů povinen subjekt údajů informovat o tom, v jakém rozsahu a pro jaký účel budou osobní údaje zpracovány, kdo a jakým způsobem bude osobní údaje zpracovávat a komu mohou být osobní údaje zpřístupněny, nejsou-li subjektu údajů tyto informace již známy. Správce musí subjekt údajů informovat o jeho právu přístupu k osobním údajům, právu na opravu osobních údajů, jakož i o dalších právech stanovených v § 21.
(2) V případě, kdy správce zpracovává osobní údaje získané od subjektu údajů, musí subjekt údajů poučit o tom, zda je poskytnutí osobního údaje povinné či dobrovolné. Je-li subjekt údajů povinen podle zvláštního zákona osobní údaje pro zpracování poskytnout, poučí jej správce o této skutečnosti, jakož i o následcích odmítnutí poskytnutí osobních údajů.
(3) Informace a poučení podle odstavce 1 není povinen správce poskytovat v případech, kdy osobní údaje nezískal od subjektu údajů, pokud
a) | zpracovává osobní údaje výlučně pro účely výkonu státní statistické služby, vědecké nebo archivní účely a poskytnutí takových informací by vyžadovalo neúměrné úsilí nebo nepřiměřeně vysoké náklady; nebo pokud ukládání na nosiče informací nebo zpřístupnění je výslovně stanoveno zvláštním zákonem. V těchto případech je správce povinen přijmout potřebná opatření proti neoprávněnému zasahování do soukromého a osobního života subjektu údajů, |
b) | zpracování osobních údajů mu ukládá zvláštní zákon nebo je takových údajů třeba k uplatnění práv a povinností vyplývajících ze zvláštních zákonů, |
c) | zpracovává výlučně oprávněně zveřejněné osobní údaje, nebo |
d) | zpracovává osobní údaje získané se souhlasem subjektu údajů. |
(4) Předchozími ustanoveními nejsou dotčena práva subjektu údajů požadovat informace podle zvláštních zákonů.18)
(5) Při zpracování osobních údajů podle § 5 odst. 2 písm. e) a § 9 písm. h) je správce povinen bez zbytečného odkladu subjekt údajů informovat o zpracování jeho osobních údajů.
(6) Žádné rozhodnutí správce nebo zpracovatele, jehož důsledkem je zásah do právních a právem chráněných zájmů subjektu údajů, nelze bez ověření vydat nebo učinit výlučně na základě automatizovaného zpracování osobních údajů. To neplatí v případě, že takové rozhodnutí bylo učiněno ve prospěch subjektu údajů a na jeho žádost.
(7) Informační povinnost upravenou v § 11 může za správce plnit zpracovatel.
(1) Požádá-li subjekt údajů o informaci o zpracování svých osobních údajů, je mu správce povinen tuto informaci bez zbytečného odkladu předat .
(2) Obsahem informace je vždy sdělení o
a) | účelu zpracování osobních údajů, |
b) | osobních údajích, případně kategoriích osobních údajů, které jsou předmětem zpracování, včetně veškerých dostupných informací o jejich zdroji, |
c) | povaze automatizovaného zpracování v souvislosti s jeho využitím pro rozhodování, jestliže jsou na základě tohoto zpracování činěny úkony nebo rozhodnutí, jejichž obsahem je zásah do práva a oprávněných zájmů subjektu údajů, |
d) | příjemci, případně kategoriích příjemců. |
(3) Správce má právo za poskytnutí informace požadovat přiměřenou úhradu nepřevyšující náklady nezbytné na poskytnutí informace.
(4) Povinnost správce poskytnout informace subjektu údajů upravenou v § 12 může za správce plnit zpracovatel.".Poznámka pod čarou č. 17) se zrušuje.
34. V § 13 se dosavadní text označuje jako odstavec 1 a doplňuje se odstavec 2, který zní:
"(2) Správce nebo zpracovatel je povinen zpracovat a dokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany osobních údajů v souladu se zákonem a jinými právními předpisy.".
35. § 16 až 17a znějí:
(1) Ten, kdo hodlá jako správce zpracovávat osobní údaje nebo změnit registrované zpracování podle tohoto zákona, s výjimkou zpracování uvedených v § 18, je povinen tuto skutečnost písemně oznámit Úřadu před zpracováváním osobních údajů.
(2) Oznámení musí obsahovat tyto informace:
a) | identifikační údaje správce, u fyzické osoby, která není podnikatelem, jméno, popřípadě jména, příjmení, datum narození a adresu místa trvalého pobytu, u jiných subjektů obchodní firmu nebo název, sídlo a identifikační číslo, pokud bylo přiděleno, a jméno, popřípadě jména, a příjmení osob, které jsou jejich statutárními zástupci, |
b) | účel nebo účely zpracování, |
c) | kategorie subjektů údajů a osobních údajů, které se těchto subjektů týkají, |
d) | zdroje osobních údajů, |
e) | popis způsobu zpracování osobních údajů, |
f) | místo nebo místa zpracování osobních údajů, |
g) | příjemce nebo kategorie příjemců, |
h) | předpokládaná předání osobních údajů do jiných států, |
i) | popis opatření k zajištění ochrany osobních údajů podle § 13. |
(3) Obsahuje-li oznámení všechny náležitosti podle odstavce 2 a není-li zahájeno řízení podle § 17 odst. 1, lze po uplynutí lhůty 30 dnů ode dne doručení oznámení zahájit zpracování osobních údajů. Úřad v takovém případě zapíše informace uvedené v oznámení do registru.
(4) Neobsahuje-li oznámení všechny náležitosti podle odstavce 2, Úřad neprodleně zašle oznamovateli výzvu, v níž upozorní na chybějící nebo nedostatečné informace a stanoví lhůtu k doplnění oznámení. V případě doplnění oznámení začíná běžet lhůta podle odstavce 3 dnem doručení doplnění oznámení. V případě, že Úřad neobdrží doplnění oznámení ve stanovené lhůtě, nahlíží na učiněné oznámení tak, jako by nebylo podáno.
(5) O provedení registrace vydá Úřad na žádost správce osvědčení, které obsahuje datum vyhotovení, číslo jednací, jméno, příjmení a podpis osoby, která osvědčení vydala, otisk úředního razítka, identifikační údaje správce a účel zpracování.
(6) Na postup Úřadu podle odstavců 1 až 5 se nevztahuje správní řád.
(1) Vznikne-li z oznámení důvodná obava, že při zpracování osobních údajů by mohlo dojít k porušení tohoto zákona, zahájí Úřad z vlastního podnětu řízení.
(2) Zjistí-li Úřad, že oznámeným zpracováním neporušuje správce podmínky stanovené tímto zákonem, řízení zastaví a provede zápis podle § 16 odst. 3. Nejdříve dnem následujícím po provedení zápisu lze zahájit zpracování osobních údajů. V případě, že oznámené zpracování nesplňuje podmínky stanovené tímto zákonem, zpracování osobních údajů Úřad nepovolí.
(1) Zjistí-li Úřad, že správce, jehož oznámení bylo zapsáno do registru, porušuje podmínky stanovené tímto zákonem, rozhodne o zrušení registrace.
(2) Pomine-li účel, pro který bylo zpracování zaregistrováno, Úřad z vlastního podnětu nebo na žádost správce rozhodne o zrušení registrace.".
36. § 18 zní:
(1) Oznamovací povinnost podle § 16 se nevztahuje na zpracování osobních údajů,
a) | které jsou součástí datových souborů veřejně přístupných na základě zvláštního zákona, |
b) | které správci ukládá zvláštní zákon nebo je takových osobních údajů třeba k uplatnění práv a povinností vyplývajících ze zvláštního zákona, nebo |
c) | jde-li o zpracování, které sleduje politické, filosofické, náboženské nebo odborové cíle, prováděné v rámci oprávněné činnosti sdružení, a které se týká pouze členů sdružení, nebo osob, se kterými je sdružení v opakujícím se kontaktu souvisejícím s oprávněnou činností sdružení, a osobní údaje nejsou zpřístupňovány bez souhlasu subjektu údajů. |
(2) Správce, který provádí zpracování podle § 18 odst. 1 písm. b), je povinen zajistit, aby informace, týkající se zejména účelu zpracování, kategorií osobních údajů, kategorií subjektů údajů, kategorií příjemců a doby uchování, které by byly jinak přístupné prostřednictvím registru vedeného Úřadem podle § 35, byly zpřístupněny, a to i dálkovým přístupem nebo jinou vhodnou formou.".
37. § 21 včetně poznámky pod čarou č. 22) zní:
(1) Každý subjekt údajů, který zjistí nebo se domnívá, že správce nebo zpracovatel provádí zpracování jeho osobních údajů, které je v rozporu s ochranou soukromého a osobního života subjektu údajů nebo v rozporu se zákonem, zejména jsou-li osobní údaje nepřesné s ohledem na účel jejich zpracování, může
a) | požádat správce nebo zpracovatele o vysvětlení, |
b) | požadovat, aby správce nebo zpracovatel odstranil takto vzniklý stav. Zejména se může jednat o blokování, provedení opravy, doplnění nebo likvidaci osobních údajů. |
(2) Je-li žádost subjektu údajů podle odstavce 1 shledána oprávněnou, správce nebo zpracovatel odstraní neprodleně závadný stav.
(3) Nevyhoví-li správce nebo zpracovatel žádosti subjektu údajů podle odstavce 1, má subjekt údajů právo obrátit se přímo na Úřad.
(4) Postup podle odstavce 1 nevylučuje, aby se subjekt údajů obrátil se svým podnětem na Úřad přímo.
(5) Pokud vznikla v důsledku zpracování osobních údajů subjektu údajů jiná než majetková újma, postupuje se při uplatňování jejího nároku podle zvláštního zákona.22)
(6) Došlo-li při zpracování osobních údajů k porušení povinností uložených zákonem u správce nebo u zpracovatele, odpovídají za ně společně a nerozdílně.
(7) Správce je povinen bez zbytečného odkladu informovat příjemce o žádosti subjektu údajů podle odstavce 1 a o blokování, opravě, doplnění nebo likvidaci osobních údajů. To neplatí, pokud je informování příjemce nemožné nebo by vyžadovalo neúměrné úsilí.
22) | § 13 občanského zákoníku.". |
38. § 22, 23 a 24 se zrušují.
39. Nadpis hlavy III zní: "Předání osobních údajů do jiných států".
40. § 27 včetně poznámky pod čarou č. 25) zní:
(1) Volný pohyb osobních údajů nemůže být omezován, pokud jsou údaje předány do členského státu Evropské unie.
(2) Do třetích zemí mohou být osobní údaje předány, pokud zákaz omezování volného pohybu osobních údajů vyplývá z mezinárodní smlouvy, k jejíž ratifikaci dal Parlament souhlas, a kterou je Česká republika vázána,1a) nebo jsou osobní údaje předány na základě rozhodnutí orgánu Evropské unie. Informace o těchto rozhodnutích zveřejňuje Úřad ve Věstníku.
(3) Není-li podmínka podle odstavců 1 a 2 splněna, může být předání osobních údajů uskutečněno, jestliže správce prokáže, že
a) | předání údajů se děje se souhlasem nebo na základě pokynu subjektu údajů, |
b) | jsou v třetí zemi, kde mají být osobní údaje zpracovány, vytvořeny dostatečné zvláštní záruky ochrany osobních údajů, například prostřednictvím jiných právních nebo profesních předpisů a bezpečnostních opatření. Takové záruky mohou být upřesněny zejména smlouvou uzavřenou mezi správcem a příjemcem, pokud tato smlouva zajišťuje uplatnění těchto požadavků nebo pokud smlouva obsahuje smluvní doložky pro předání osobních údajů do třetích zemí zveřejněné ve Věstníku Úřadu, |
c) | jde o osobní údaje, které jsou na základě zvláštního zákona součástí datových souborů veřejně přístupných nebo přístupných tomu, kdo prokáže právní zájem; v takovém případě lze osobní údaje zpřístupnit jen v rozsahu a za podmínek stanovených zvláštním zákonem, |
d) | je předání nutné pro uplatnění důležitého veřejného zájmu vyplývajícího ze zvláštního zákona nebo z mezinárodní smlouvy, kterou je Česká republika vázána, |
e) | je předání nezbytné pro jednání o uzavření nebo změně smlouvy, uskutečněné z podnětu subjektu údajů, nebo pro plnění smlouvy, jejíž smluvní stranou je subjekt údajů, |
f) | je předání nezbytné pro plnění smlouvy uzavřené v zájmu subjektu údajů mezi správcem a třetí stranou, nebo pro uplatnění jiných právních nároků, nebo |
g) | je předání nezbytné pro ochranu práv nebo životně důležitých zájmů subjektu údajů, zejména pro záchranu života nebo pro poskytnutí zdravotní péče. |
(4) Před předáním osobních údajů do třetích zemí podle odstavce 3 je správce povinen požádat Úřad o povolení k předání, nestanoví-li zvláštní zákon jinak.25) Při posuzování žádosti Úřad přezkoumá všechny okolnosti související s předáním osobních údajů, zejména zdroj, konečné určení a kategorie předávaných osobních údajů, účel a dobu zpracování, s přihlédnutím k dostupným informacím o právních nebo jiných předpisech upravujících zpracování osobních údajů ve třetí zemi. V povolení k předání Úřad stanoví dobu, po kterou může správce předání provádět. Pokud dojde ke změně podmínek, za kterých bylo povolení vydáno, zejména na základě rozhodnutí orgánu Evropské unie, Úřad toto povolení změní nebo zruší.
25) | Například § 5c zákona č. 1/1991 Sb., o zaměstnanosti, ve znění zákona č. 167/1999 Sb., zákona č. 155/2000 Sb. a zákona č. 220/2002 Sb., § 71a zákona č. 325/1999 Sb., o azylu a o změně zákona č. 283/1991 Sb., o Policii České republiky, ve znění pozdějších předpisů, (zákon o azylu), ve znění zákona č. 2/2002 Sb., § 35 odst. 3 zákona č. 359/1999 Sb., o sociálně-právní ochraně dětí, ve znění pozdějších předpisů, a § 4a odst. 3 zákona č. 13/1993 Sb., celní zákon, ve znění zákona č. 1/2002 Sb.".Poznámka pod čarou č. 24a) se zrušuje. |
41. V § 29 odst. 1 písm. a) se slova "při zpracování osobních údajů" zrušují.
42. V § 29 odst. 1 písmeno b) zní:
"b) | vede registr zpracování osobních údajů,". |
43. V § 29 odst. 1 písm. c) se slovo "občanů" zrušuje a na konci textu písmene c) se doplňují slova "a informuje o jejich vyřízení".
44. V § 29 odst. 1 se na konci textu písmene i) doplňují slova, která včetně poznámky pod čarou č. 25a) znějí: " , s orgány Evropské unie a s orgány mezinárodních organizací působícími v oblasti ochrany osobních údajů. Úřad v souladu s právem Evropských společenství plní oznamovací povinnost vůči orgánům Evropské unie.25a)Poznámka pod čarou č. 25a) zní:
25a) | Článek 8 odst. 6 a článek 26 odst. 3 Směrnice č. 95/46/ES.". |
45. V § 31 se slovo "občanů" zrušuje.
46. § 35 zní:
(1) Do registru zpracování osobních údajů se k osobám správců zapisují informace z oznámení podle § 16 odst. 2 a datum provedení, případně zrušení registrace.
(2) Informace zapsané do registru, s výjimkou informací uvedených v § 16 odst. 2 písm. e) a i), jsou veřejně přístupné, zejména způsobem umožňujícím dálkový přístup.
(3) Zrušení registrace podle § 17a oznamuje Úřad ve Věstníku Úřadu.".
47. V § 36 odst. 2 se slova "ve Věstníku Úřadu" zrušují.
48. V § 38 odst. 5 písm. a) se slovo "kontrolora" nahrazuje slovy "jehož vzor upraví nařízení vlády".
49. V § 39 se dosavadní text označuje jako odstavec 1 a doplňuje se odstavec 2, který zní:
"(2) Tomu, kdo neposkytne Úřadu při výkonu kontroly potřebnou součinnost, může být uložena pořádková pokuta do výše 25 000 Kč, a to i opakovaně . Za neposkytnutí součinnosti se považuje i nesplnění opatření uložených k nápravě zjištěného stavu ve stanovené lhůtě.".
50. Hlava VII zní:
(1) Fyzická osoba, která
a) | je ke správci nebo zpracovateli v pracovním nebo jiném obdobném poměru, |
b) | vykonává pro správce nebo zpracovatele činnosti na základě dohody, nebo |
c) | v rámci plnění zvláštním zákonem uložených oprávnění a povinností přichází u správce nebo zpracovatele do styku s osobními údaji, |
se dopustí přestupku tím, že poruší povinnost mlčenlivosti (§ 15).
(2) Fyzická osoba se jako správce nebo zpracovatel dopustí přestupku tím, že při zpracování osobních údajů
a) | nestanoví účel, prostředky nebo způsob zpracování [§ 5 odst. 1 písm. a) a b)] nebo stanoveným účelem zpracování poruší povinnost nebo překročí oprávnění vyplývající ze zvláštního zákona, |
b) | zpracovává nepřesné osobní údaje [§ 5 odst. 1 písm. c)], |
c) | shromažďuje nebo zpracovává osobní údaje v rozsahu nebo způsobem, který neodpovídá stanovenému účelu [§ 5 odst. 1 písm. d), f) až h)], |
d) | uchovává osobní údaje po dobu delší než nezbytnou k účelu zpracování [§ 5 odst. 1 písm. e)], |
e) | zpracovává osobní údaje bez souhlasu subjektu údajů mimo případy uvedené v zákoně (§ 5 odst. 2 a § 9), |
f) | neposkytne subjektu údajů informace v rozsahu nebo zákonem stanoveným způsobem (§ 11), |
g) | odmítne subjektu údajů poskytnout požadované informace (§ 12 a 21), |
h) | nepřijme nebo neprovede opatření pro zajištění bezpečnosti zpracování osobních údajů (§ 13), |
i) | nesplní oznamovací povinnost podle tohoto zákona (§ 16 a 27). |
(3) Fyzická osoba se jako správce nebo zpracovatel dopustí přestupku tím, že při zpracování osobních údajů některým ze způsobů podle odstavce 2
a) | ohrozí větší počet osob svým neoprávněným zasahováním do soukromého a osobního života, nebo |
b) | poruší povinnosti pro zpracování citlivých údajů (§ 9). |
(4) Za přestupek podle odstavce 1 lze uložit pokutu do výše 100 000 Kč.
(5) Za přestupek podle odstavce 2 lze uložit pokutu do výše 1 000 000 Kč.
(6) Za přestupek podle odstavce 3 lze uložit pokutu do výše 5 000 000 Kč.
(1) Právnická osoba nebo fyzická osoba podnikající podle zvláštních předpisů se jako správce nebo zpracovatel dopustí správního deliktu tím, že při zpracování osobních údajů
a) | nestanoví účel, prostředky nebo způsob zpracování [§ 5 odst. 1 písm. a) a b)], nebo stanoveným účelem zpracování poruší povinnost nebo překročí oprávnění vyplývající ze zvláštního zákona, |
b) | zpracovává nepřesné osobní údaje [§ 5 odst. 1 písm. c)], |
c) | shromažďuje nebo zpracovává osobní údaje v rozsahu nebo způsobem, který neodpovídá stanovenému účelu [§ 5 odst. 1 písm. d), f) až h)], |
d) | uchovává osobní údaje po dobu delší než nezbytnou k účelu zpracování [§ 5 odst. 1 písm. e)], |
e) | zpracovává osobní údaje bez souhlasu subjektu údajů mimo případy uvedené v zákoně (§ 5 odst. 2 a § 9), |
f) | neposkytne subjektu údajů informace v rozsahu nebo zákonem stanoveným způsobem (§ 11), |
g) | odmítne subjektu údajů poskytnout požadované informace (§ 12 a 21), |
h) | nepřijme nebo neprovede opatření pro zajištění bezpečnosti zpracování osobních údajů (§ 13), |
i) | nesplní oznamovací povinnost podle tohoto zákona (§ 16 a 27). |
(2) Právnická osoba jako správce nebo zpracovatel se dopustí správního deliktu tím, že při zpracování osobních údajů některým ze způsobů podle odstavce 1
a) | ohrozí větší počet osob svým neoprávněným zasahováním do soukromého a osobního života, nebo |
b) | poruší povinnosti pro zpracování citlivých údajů (§ 9). |
(3) Za správní delikt podle odstavce 1 se uloží pokuta do výše 5 000 000 Kč.
(4) Za správní delikt podle odstavce 2 se uloží pokuta do výše 10 000 000 Kč.
(1) Právnická osoba za správní delikt neodpovídá, jestliže prokáže, že vynaložila veškeré úsilí, které bylo možno požadovat, aby porušení právní povinnosti zabránila.
(2) Při rozhodování o výši pokuty se přihlíží zejména k závažnosti, způsobu, době trvání a následkům protiprávního jednání a k okolnostem, za nichž bylo protiprávní jednání spácháno.
(3) Odpovědnost právnické osoby za správní delikt zaniká, jestliže správní orgán o něm nezahájil řízení do 1 roku ode dne, kdy se o něm dozvěděl, nejpozději však do 3 let ode dne, kdy byl spáchán.
(4) Porušení povinností podle § 44 a 45 projednává Úřad.
(5) Na odpovědnost za jednání, k němuž došlo při podnikání fyzické osoby nebo v přímé souvislosti s ním, se použijí ustanovení o odpovědnosti a postihu právnické osoby.
(6) Pokuta je splatná do 30 dnů ode dne, kdy rozhodnutí o jejím uložení nabylo právní moci.
(7) Pokutu vybírá Úřad a vymáhá místně příslušný územní finanční úřad podle zvláštního zákona.34) Výnos z pokut je příjmem státního rozpočtu.
34) | Zákon č. 337/1992 Sb., o správě daní a poplatků.". |
1. Oznámení a rozhodnutí ve věci registrace zpracování osobních údajů podle § 16, 17 a 17a zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění zákona č. 450/2001 Sb., podaná a vydaná přede dnem nabytí účinnosti tohoto zákona zůstávají v platnosti.
2. Povolení k předání nebo předávání osobních údajů do jiného státu vydané přede dnem nabytí účinnosti tohoto zákona pozbývá dnem nabytí účinnosti tohoto zákona platnosti, pokud státem, pro který bylo povolení určeno, je členský stát Evropské unie nebo stát, pro který zákaz omezování volného pohybu osobních údajů vyplývá z vyhlášené mezinárodní smlouvy, k jejíž ratifikaci dal Parlament souhlas, a kterou je Česká republika vázána. Povolení k předání nebo předávání osobních údajů do státu, který není uveden v předchozí větě, vydané přede dnem nabytí účinnosti tohoto zákona zůstává v platnosti.
3. Řízení zahájené a neskončené přede dnem nabytí účinnosti tohoto zákona se dokončí podle dosavadních právních předpisů, s výjimkou řízení o povolení k předání nebo předávání osobních údajů do členského státu Evropské unie nebo státu, pro který zákaz omezování volného pohybu osobních údajů vyplývá z vyhlášené mezinárodní smlouvy, k jejíž ratifikaci dal Parlament souhlas, a kterou je Česká republika vázána, které se zastaví.
4. Správce provádějící zpracování osobních údajů, ke kterému podle dosavadních právních předpisů nebylo zapotřebí registrace, a které ode dne nabytí účinnosti tohoto zákona registraci podléhá, musí takové zpracování osobních údajů oznámit Úřadu pro ochranu osobních údajů do 6 měsíců ode dne nabytí účinnosti tohoto zákona.
Zákon č. 21/1992 Sb., o bankách, ve znění zákona č. 264/1992 Sb., zákona č. 292/1993 Sb., zákona č. 156/1994 Sb., zákona č. 83/1995 Sb., zákona č. 84/1995 Sb., zákona č. 61/1996 Sb., zákona č. 306/1997 Sb., zákona č. 16/1998 Sb., zákona č. 127/1998 Sb., zákona č. 165/1998 Sb., zákona č. 120/2001 Sb., zákona č. 239/2001 Sb., zákona č. 319/2001 Sb. a zákona č. 126/2002 Sb., se mění takto:
1. V § 37 se odstavce 3, 4 a 5, včetně poznámek pod čarou 7c), 7d), 7e) zrušují a odstavec 2 zní:
"(2) Banky a pobočky zahraničních bank jsou povinny pro účely bankovních obchodů zjišťovat a zpracovávat údaje o osobách, vyjma citlivých údajů o fyzických osobách, potřebné k tomu, aby bylo možné bankovní obchod uskutečnit bez nepřiměřených právních a věcných rizik pro banku. Údaje musí být přiměřené právním a věcným rizikům bankovního obchodu se subjektem údajů a relevantní pro posouzení těchto rizik. Na takto získané a zpracovávané údaje se vztahují ustanovení o bankovním tajemství (§ 38).".Poznámka pod čarou 7b) se zrušuje.
2. V § 38 se na konci odstavce 10 doplňuje věta, která včetně poznámky pod čarou č. 10b) zní: "Ustanovení zvláštního zákona10b) tím nejsou dotčena.".Poznámka pod čarou č. 10b) zní:
"10b) | Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů.". |
3. V § 38a odst. 1 se slova "Banky a pobočky zahraničních bank se mohou vzájemně informovat" nahrazují slovy "V rámci plnění povinnosti postupovat při výkonu své činnosti obezřetně se banky a pobočky zahraničních bank mohou vzájemně informovat".
4. V § 38b odst. 1 se slovo "právnická" zrušuje a za slovo "sídla" se vkládají slova "nebo místa podnikání".
Předseda vlády se zmocňuje, aby ve Sbírce zákonů vyhlásil úplné znění zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, jak vyplývá ze zákonů jej měnících.
Tento zákon nabývá účinnosti dnem jeho vyhlášení, s výjimkou ustanovení čl. I bodů 49 a 50, která nabývají účinnosti dnem 1. ledna 2005.
Zaorálek v. r.
Klaus v. r.
Špidla v. r.