101/2000 Sb.
ZÁKON
ze dne 4. dubna 2000
o ochraně osobních údajů a o změně některých zákonů
Změna: 227/2000 Sb.
Změna: 177/2001 Sb.
Změna: 450/2001 Sb.
Změna: 107/2002 Sb.
Změna: 310/2002 Sb.
Změna: 517/2002 Sb.
Změna: 439/2004 Sb.
Změna: 480/2004 Sb.
Změna: 439/2004 Sb. (část), 626/2004 Sb.
Změna: 413/2005 Sb., 444/2005 Sb.
Změna: 342/2006 Sb.
Změna: 109/2006 Sb.
Změna: 170/2007 Sb.
Změna: 52/2009 Sb.
Změna: 41/2009 Sb.
Změna: 227/2009 Sb.
Změna: 281/2009 Sb.
Změna: 468/2011 Sb.
Změna: 375/2011 Sb.
Změna: 64/2014 Sb.
Změna: 250/2014 Sb.
Změna: 301/2016 Sb.
Změna: 183/2017 Sb.
Parlament se usnesl na tomto zákoně České republiky:
ČÁST PRVNÍ
OCHRANA OSOBNÍCH ÚDAJŮ
HLAVA I
ÚVODNÍ USTANOVENÍ
§ 1
Předmět úpravy
Tento zákon v souladu s právem Evropské unie,1) mezinárodními smlouvami,
kterými je Česká republika vázána,1a) a k naplnění práva každého na ochranu před
neoprávněným zasahováním do soukromí upravuje práva a povinnosti při zpracování osobních
údajů a stanoví podmínky, za nichž se uskutečňuje předání osobních údajů do jiných
států.
§ 2
(1) Zřizuje se Úřad pro ochranu osobních údajů se sídlem v Praze (dále
jen "Úřad").
(2) Úřad je ústředním správním úřadem pro oblast ochrany osobních údajů
v rozsahu stanoveném tímto zákonem, zvláštními právními předpisy1), mezinárodními
smlouvami, které jsou součástí právního řádu, a přímo použitelnými předpisy Evropské
unie.
(3) Úřad vykonává působnost dozorového úřadu pro oblast ochrany osobních
údajů vyplývající z mezinárodních smluv, které jsou součástí právního řádu.
§ 3
Působnost zákona
(1) Tento zákon se vztahuje na osobní údaje, které zpracovávají státní
orgány, orgány územní samosprávy, jiné orgány veřejné moci, jakož i fyzické a právnické
osoby.
(2) Tento zákon se vztahuje na veškeré zpracovávání osobních údajů, ať
k němu dochází automatizovaně nebo jinými prostředky.
(3) Tento zákon se nevztahuje na zpracování osobních údajů, které provádí
fyzická osoba výlučně pro osobní potřebu.
(4) Tento zákon se nevztahuje na nahodilé shromažďování osobních údajů,
pokud tyto údaje nejsou dále zpracovávány.
(5) Tento zákon se dále vztahuje na zpracování osobních údajů,
a) jestliže
se právní řád České republiky použije přednostně na základě mezinárodního práva veřejného,
i když správce není usazen na území České republiky,
b) jestliže správce, který je
usazen mimo území Evropské unie, provádí zpracování na území České republiky a nejedná
se pouze o předání osobních údajů přes území Evropské unie; v tomto případě je správce
povinen zmocnit postupem podle § 6 na území České republiky zpracovatele.
Jestliže
zpracování provádí správce prostřednictvím svých organizačních jednotek umístěných
na území Evropské unie, musí zajistit, že tyto organizační jednotky budou zpracovávat
osobní údaje v souladu s národním právem příslušného členského státu Evropské unie.(6) Ustanovení § 5 odst. 1 a § 11 a 12 se nepoužijí pro zpracování osobních
údajů nezbytných pro plnění povinností správce stanovených zvláštními zákony pro
zajištění
a) bezpečnosti České republiky,4)
b) obrany České republiky,5)
c) veřejného pořádku a vnitřní bezpečnosti,6)
d) předcházení, vyhledávání, odhalování trestné činnosti a stíhání
trestných činů,7)
e) významného hospodářského zájmu České republiky nebo Evropské unie,8)
f) významného finančního zájmu České republiky nebo Evropské unie,
kterým je zejména stabilita finančního trhu a měny, fungování peněžního oběhu a platebního
styku, jakož i rozpočtová a daňová opatření,9)
g) výkonu kontroly, dozoru, dohledu a regulace spojených s výkonem
veřejné moci v případech uvedených v písmenech c), d), e) a f),10)
h) činností spojených se zpřístupňováním svazků bývalé Státní bezpečnosti,10a)
nebo
i) činností spojených s vedením centrální evidence účtů33).
§ 4
Vymezení pojmů
Pro účely tohoto zákona se rozumí
a) osobním
údajem jakákoliv informace týkající se určeného nebo určitelného subjektu údajů.
Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo
či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků,
specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní
nebo sociální identitu,
b) citlivým údajem osobní údaj vypovídající o národnostním, rasovém nebo etnickém
původu, politických postojích, členství v odborových organizacích, náboženství a
filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním
životě subjektu údajů a genetický údaj subjektu údajů; citlivým údajem je také biometrický
údaj, který umožňuje přímou identifikaci nebo autentizaci subjektu údajů,
c) anonymním
údajem takový údaj, který buď v původním tvaru nebo po provedeném zpracování nelze
vztáhnout k určenému nebo určitelnému subjektu údajů,
d) subjektem údajů fyzická
osoba, k níž se osobní údaje vztahují,
e) zpracováním osobních údajů jakákoliv operace
nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními
údaji, a to automatizovaně nebo jinými prostředky. Zpracováním osobních údajů se
rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava
nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání,
výměna, třídění nebo kombinování, blokování a likvidace,
f) shromažďováním osobních
údajů systematický postup nebo soubor postupů, jehož cílem je získání osobních údajů
za účelem jejich dalšího uložení na nosič informací pro jejich okamžité nebo pozdější
zpracování,
g) uchováváním osobních údajů udržování údajů v takové podobě, která
je umožňuje dále zpracovávat,
h) blokováním operace nebo soustava operací, kterými se na stanovenou dobu omezí
způsob nebo prostředky zpracování osobních údajů, s výjimkou nezbytných zásahů,
i)
likvidací osobních údajů se rozumí fyzické zničení jejich nosiče, jejich fyzické
vymazání nebo jejich trvalé vyloučení z dalších zpracování,
j) správcem každý subjekt,
který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá
za něj. Zpracováním osobních údajů může správce zmocnit nebo pověřit zpracovatele,
pokud zvláštní zákon nestanoví jinak,
k) zpracovatelem každý subjekt, který na základě
zvláštního zákona nebo pověření správcem zpracovává osobní údaje podle tohoto zákona,
l) zveřejněným
osobním údajem osobní údaj zpřístupněný zejména hromadnými sdělovacími prostředky,
jiným veřejným sdělením nebo jako součást veřejného seznamu,
m) evidencí nebo datovým
souborem osobních údajů (dále jen "datový soubor") jakýkoliv soubor osobních údajů
uspořádaný nebo zpřístupnitelný podle společných nebo zvláštních kritérií,
n) souhlasem
subjektu údajů svobodný a vědomý projev vůle subjektu údajů, jehož obsahem je svolení
subjektu údajů se zpracováním osobních údajů,
o) příjemcem každý subjekt, kterému
jsou osobní údaje zpřístupněny; za příjemce se nepovažuje subjekt, který zpracovává
osobní údaje podle § 3 odst. 6 písm. g).
HLAVA II
PRÁVA A POVINNOSTI PŘI ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
§ 5
(1) Správce je povinen
a) stanovit účel, k němuž mají být osobní údaje
zpracovány,
b) stanovit prostředky a způsob zpracování osobních údajů,
c) zpracovat pouze přesné osobní údaje, které získal v souladu s tímto zákonem. Je-li
to nezbytné, osobní údaje aktualizuje. Zjistí-li správce, že jím zpracované osobní
údaje nejsou s ohledem na stanovený účel přesné, provede bez zbytečného odkladu přiměřená
opatření, zejména zpracování blokuje a osobní údaje opraví nebo doplní, jinak osobní
údaje zlikviduje. Nepřesné osobní údaje lze zpracovat pouze v mezích uvedených v
§ 3 odst. 6.11) Nepřesné osobní údaje se musí označit. Informaci o blokování, opravě,
doplnění nebo likvidaci osobních údajů je správce povinen bez zbytečného odkladu
předat všem příjemcům,
d) shromažďovat osobní údaje odpovídající pouze stanovenému
účelu a v rozsahu nezbytném pro naplnění stanového účelu,
e) uchovávat osobní údaje
pouze po dobu, která je nezbytná k účelu jejich zpracování. Po uplynutí této doby
mohou být osobní údaje uchovávány pouze pro účely státní statistické služby, pro
účely vědecké a pro účely archivnictví. Při použití pro tyto účely je třeba dbát
práva na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu
údajů a osobní údaje anonymizovat, jakmile je to možné,
f) zpracovávat osobní údaje pouze v souladu s účelem, k němuž byly shromážděny.
Zpracovávat k jinému účelu lze osobní údaje jen v mezích ustanovení § 3 odst. 6,
nebo pokud k tomu dal subjekt údajů předem souhlas,
g) shromažďovat osobní údaje pouze
otevřeně; je vyloučeno shromažďovat údaje pod záminkou jiného účelu nebo jiné činnosti,
h) nesdružovat osobní údaje, které byly získány k rozdílným
účelům.
(2) Správce může zpracovávat osobní údaje pouze se souhlasem subjektu
údajů. Bez tohoto souhlasu je může zpracovávat,
a) jestliže provádí zpracování nezbytné pro dodržení právní povinnosti
správce,12)
b) jestliže je zpracování nezbytné pro plnění smlouvy, jejíž smluvní
stranou je subjekt údajů, nebo pro jednání o uzavření nebo změně smlouvy uskutečněné
na návrh subjektu údajů,
c) pokud je to nezbytně třeba k ochraně životně důležitých zájmů subjektu
údajů. V tomto případě je třeba bez zbytečného odkladu získat jeho souhlas. Pokud
souhlas není dán, musí správce ukončit zpracování a údaje zlikvidovat,
d) jedná-li se o oprávněně zveřejněné osobní údaje v souladu se zvláštním
právním předpisem.13) Tím však není dotčeno právo na ochranu soukromého a osobního
života subjektu údajů,
e) pokud je to nezbytné pro ochranu práv a právem chráněných zájmů správce,
příjemce nebo jiné dotčené osoby; takové zpracování osobních údajů však nesmí být
v rozporu s právem subjektu údajů na ochranu jeho soukromého a osobního života,
f) pokud poskytuje osobní údaje o veřejně činné osobě, funkcionáři či
zaměstnanci veřejné správy, které vypovídají o jeho veřejné anebo úřední činnosti,
o jeho funkčním nebo pracovním zařazení, nebo,
g) jedná-li se o zpracování výlučně pro účely archivnictví podle zvláštního
zákona.
(3) Provádí-li správce zpracování osobních údajů na základě zvláštního
zákona,12) je povinen dbát práva na ochranu soukromého a osobního života subjektu
údajů.
(4) Subjekt údajů musí být při udělení souhlasu informován o tom, pro jaký
účel zpracování a k jakým osobním údajům je souhlas dáván, jakému správci a na jaké
období. Souhlas subjektu údajů se zpracováním osobních údajů musí být správce schopen
prokázat po celou dobu zpracování.
(5) Provádí-li správce nebo zpracovatel zpracování osobních údajů za účelem
nabízení obchodu nebo služeb subjektu údajů, lze pro tento účel použít jméno, příjmení
a adresu subjektu údajů, pokud tyto údaje byly získány z veřejného seznamu nebo v
souvislosti se svojí činností jakožto správce nebo zpracovatele. Správce nebo zpracovatel
však nesmí uvedené údaje dále zpracovávat, pokud s tím subjekt údajů vyslovil nesouhlas.
Nesouhlas se zpracováním je nutné vyjádřit písemně. Bez souhlasu subjektu údajů nelze
k uvedeným údajům přiřazovat další osobní údaje.
(6) Správce, který zpracovává osobní údaje podle odstavce 5, může tyto
údaje předat jinému správci pouze za splnění těchto podmínek:
a) údaje subjektu údajů
byly získány v souvislosti s činností správce nebo se jedná o zveřejněné osobní údaje,
b) údaje budou využívány pouze za účelem nabízení obchodu a služeb,
c) subjekt údajů
byl o tomto postupu správce předem informován a nevyslovil s tímto postupem nesouhlas.
(7) Jiný správce, kterému byly předány údaje podle odstavce 6, nesmí tyto
údaje předávat jiné osobě.
(8) Nesouhlas se zpracováním podle odstavce 6 písm. c) musí subjekt údajů
učinit písemně. Správce je povinen informovat každého správce, kterému předal jméno,
příjmení a adresu subjektu údajů, o tom, že subjekt údajů vyslovil nesouhlas se zpracováním.
(9) Za účelem vyloučení možnosti, že jméno, příjmení a adresa subjektu
údajů budou opakovaně použity k nabídce obchodu a služeb, je správce oprávněn dále
zpracovávat pro svoji vlastní potřebu jméno, příjmení a adresu subjektu údajů přesto,
že subjekt údajů vyslovil nesouhlas podle odstavce 5.
§ 6
Pokud zmocnění nevyplývá z právního předpisu, musí správce se zpracovatelem
uzavřít smlouvu o zpracování osobních údajů. Smlouva musí mít písemnou formu. Musí
v ní být zejména výslovně uvedeno, v jakém rozsahu, za jakým účelem a na jakou dobu
se uzavírá a musí obsahovat záruky zpracovatele o technickém a organizačním zabezpečení
ochrany osobních údajů.
§ 8
Jestliže zpracovatel zjistí, že správce porušuje povinnosti stanovené
tímto zákonem, je povinen jej na to neprodleně upozornit a ukončit zpracování osobních
údajů. Pokud tak neučiní, odpovídá za škodu, která subjektu údajů vznikla, společně
a nerozdílně se správcem údajů. Tím není dotčena jeho odpovědnost podle tohoto zákona.
§ 9
Citlivé údaje
Citlivé údaje je možné zpracovávat, jen jestliže
a) subjekt údajů dal ke zpracování výslovný souhlas. Subjekt údajů musí
být při udělení souhlasu informován o tom, pro jaký účel zpracování a k jakým osobním
údajům je souhlas dáván, jakému správci a na jaké období. Existenci souhlasu subjektu
údajů se zpracováním osobních údajů musí být správce schopen prokázat po celou dobu
zpracování. Správce je povinen předem subjekt údajů poučit o jeho právech podle §
12 a 21,
b) je to nezbytné v zájmu zachování života nebo zdraví subjektu údajů
nebo jiné osoby nebo odvrácení bezprostředního závažného nebezpečí hrozícího jejich
majetku, pokud není možno jeho souhlas získat zejména z důvodů fyzické, duševní či
právní nezpůsobilosti, v případě, že je nezvěstný nebo z jiných podobných důvodů.
Správce musí ukončit zpracování údajů, jakmile pominou uvedené důvody, a údaje musí
zlikvidovat, ledaže by subjekt údajů dal k dalšímu zpracování souhlas,
c) se jedná o zpracování při poskytování zdravotních služeb, ochrany
veřejného zdraví, zdravotního pojištění a výkon státní správy v oblasti zdravotnictví
podle zvláštního zákona15) nebo se jedná o posuzování zdravotního stavu v jiných
případech stanovených zvláštním zákonem,15a)
d) je zpracování nezbytné pro dodržení povinností a práv správce odpovědného
za zpracování v oblasti pracovního práva a zaměstnanosti, stanovené zvláštním zákonem,16)
e) jde o zpracování, které sleduje politické, filosofické, náboženské
nebo odborové cíle, prováděné v rámci oprávněné činnosti občanského sdružení, nadace
nebo jiné právnické osoby nevýdělečné povahy (dále jen "sdružení"), a které se týká
pouze členů sdružení nebo osob, se kterými je sdružení v opakujícím se kontaktu souvisejícím
s oprávněnou činností sdružení, a osobní údaje nejsou zpřístupňovány bez souhlasu
subjektu údajů,
f) se jedná o údaje podle zvláštního zákona nezbytné pro provádění nemocenského
pojištění, důchodového pojištění (zabezpečení), státní sociální podpory a dalších
státních sociálních dávek, sociálních služeb, sociální péče, pomoci v hmotné nouzi,
a sociálně-právní ochrany dětí, a při zajištění ochrany těchto údajů v souladu se
zákonem,
g) se zpracování týká osobních údajů zveřejněných subjektem údajů,
h) je zpracování nezbytné pro zajištění a uplatnění právních nároků,
ch) jsou zpracovány výlučně pro účely archivnictví podle zvláštního zákona,
nebo
i) se jedná o zpracování podle zvláštních zákonů při předcházení, vyhledávání,
odhalování trestné činnosti, stíhání trestných činů a pátrání po osobách.
§ 10
Při zpracování osobních údajů správce a zpracovatel dbá, aby subjekt údajů
neutrpěl újmu na svých právech, zejména na právu na zachování lidské důstojnosti,
a také dbá na ochranu před neoprávněným zasahováním do soukromého a osobního života
subjektu údajů.
§ 11
(1) Správce je při shromažďování osobních údajů povinen subjekt údajů informovat
o tom, v jakém rozsahu a pro jaký účel budou osobní údaje zpracovány, kdo a jakým
způsobem bude osobní údaje zpracovávat a komu mohou být osobní údaje zpřístupněny,
nejsou-li subjektu údajů tyto informace již známy. Správce musí subjekt údajů informovat
o jeho právu přístupu k osobním údajům, právu na opravu osobních údajů, jakož i o
dalších právech stanovených v § 21.
(2) V případě, kdy správce zpracovává osobní údaje získané od subjektu
údajů, musí subjekt údajů poučit o tom, zda je poskytnutí osobního údaje povinné
či dobrovolné. Je-li subjekt údajů povinen podle zvláštního zákona osobní údaje pro
zpracování poskytnout, poučí jej správce o této skutečnosti, jakož i o následcích
odmítnutí poskytnutí osobních údajů.
(3) Informace a poučení podle odstavce 1 není povinen správce poskytovat
v případech, kdy osobní údaje nezískal od subjektu údajů, pokud
a) zpracovává osobní
údaje výlučně pro účely výkonu státní statistické služby, vědecké nebo archivní účely
a poskytnutí takových informací by vyžadovalo neúměrné úsilí nebo nepřiměřeně vysoké
náklady; nebo pokud ukládání na nosiče informací nebo zpřístupnění je výslovně stanoveno
zvláštním zákonem. V těchto případech je správce povinen přijmout potřebná opatření
proti neoprávněnému zasahování do soukromého a osobního života subjektu údajů,
b)
zpracování osobních údajů mu ukládá zvláštní zákon nebo je takových údajů třeba k
uplatnění práv a povinností vyplývajících ze zvláštních zákonů,
c) zpracovává výlučně
oprávněně zveřejněné osobní údaje, nebo
d) zpracovává osobní údaje získané se souhlasem
subjektu údajů.
(4) Předchozími ustanoveními nejsou dotčena práva subjektu údajů požadovat
informace podle zvláštních zákonů.18)
(5) Při zpracování osobních údajů podle § 5 odst. 2 písm. e) a § 9 písm.
h) je správce povinen bez zbytečného odkladu subjekt údajů informovat o zpracování
jeho osobních údajů.
(6) Žádné rozhodnutí správce nebo zpracovatele, jehož důsledkem je zásah
do právních a právem chráněných zájmů subjektu údajů, nelze bez ověření vydat nebo
učinit výlučně na základě automatizovaného zpracování osobních údajů. To neplatí
v případě, že takové rozhodnutí bylo učiněno ve prospěch subjektu údajů a na jeho
žádost.
(7) Informační povinnost upravenou v § 11 může za správce plnit zpracovatel.
§ 12
Přístup subjektu údajů k informacím
(1) Požádá-li subjekt údajů o informaci o zpracování svých osobních údajů,
je mu správce povinen tuto informaci bez zbytečného odkladu předat.
(2) Obsahem informace je vždy sdělení o
a) účelu zpracování osobních
údajů,
b) osobních údajích, případně kategoriích osobních údajů, které jsou předmětem
zpracování, včetně veškerých dostupných informací o jejich zdroji,
c) povaze automatizovaného
zpracování v souvislosti s jeho využitím pro rozhodování, jestliže jsou na základě
tohoto zpracování činěny úkony nebo rozhodnutí, jejichž obsahem je zásah do práva
a oprávněných zájmů subjektu údajů,
d) příjemci, případně kategoriích příjemců.
(3) Správce má právo za poskytnutí informace požadovat přiměřenou úhradu
nepřevyšující náklady nezbytné na poskytnutí informace.
(4) Povinnost správce poskytnout informace subjektu údajů upravenou v §
12 může za správce plnit zpracovatel.
Povinnosti osob při zabezpečení osobních údajů
§ 13
(1) Správce a zpracovatel jsou povinni přijmout taková opatření, aby
nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich
změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování,
jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování
osobních údajů.
(2) Správce nebo zpracovatel je povinen zpracovat a dokumentovat přijatá
a provedená technicko-organizační opatření k zajištění ochrany osobních údajů v souladu
se zákonem a jinými právními předpisy.
(3) V rámci opatření podle odstavce 1 správce nebo zpracovatel posuzuje
rizika týkající se
a) plnění pokynů pro zpracování osobních údajů osobami, které mají
bezprostřední přístup k osobním údajům,
b) zabránění neoprávněným osobám přistupovat k osobním údajům a k
prostředkům pro jejich zpracování,
c) zabránění neoprávněnému čtení, vytváření, kopírování, přenosu,
úpravě či vymazání záznamů obsahujících osobní údaje a
d) opatření, která umožní určit a ověřit, komu byly osobní údaje
předány.
(4) V oblasti automatizovaného zpracování osobních údajů je správce
nebo zpracovatel v rámci opatření podle odstavce 1 povinen také
a) zajistit, aby systémy pro automatizovaná zpracování osobních údajů
používaly pouze oprávněné osoby,
b) zajistit, aby fyzické osoby oprávněné k používání systémů pro
automatizovaná zpracování osobních údajů měly přístup pouze k osobním údajům odpovídajícím
oprávnění těchto osob, a to na základě zvláštních uživatelských oprávnění zřízených
výlučně pro tyto osoby,
c) pořizovat elektronické záznamy, které umožní určit a ověřit, kdy,
kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány, a
d) zabránit neoprávněnému přístupu k datovým nosičům.
§ 14
Zaměstnanci správce nebo zpracovatele a jiné osoby, které zpracovávají
osobní údaje na základě smlouvy se správcem nebo zpracovatelem, mohou zpracovávat
osobní údaje pouze za podmínek a v rozsahu správcem nebo zpracovatelem stanoveném.
§ 15
(1) Zaměstnanci správce nebo zpracovatele, jiné fyzické osoby, které
zpracovávají osobní údaje na základě smlouvy se správcem nebo zpracovatelem, a další
osoby, které v rámci plnění zákonem stanovených oprávnění a povinností přicházejí
do styku s osobními údaji u správce nebo zpracovatele, jsou povinni zachovávat mlčenlivost
o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo
zabezpečení osobních údajů. Povinnost mlčenlivosti trvá i po skončení zaměstnání
nebo příslušných prací.
(2) Ustanovením předchozího odstavce není dotčena povinnost zachovávat
mlčenlivost podle zvláštních zákonů.19)
(3) Povinnost zachovávat mlčenlivost se nevztahuje na informační povinnost
podle zvláštních zákonů.20)
§ 16
Oznamovací povinnost
(1) Ten, kdo hodlá jako správce zpracovávat osobní údaje nebo změnit
registrované zpracování podle tohoto zákona, s výjimkou zpracování uvedených v §
18, je povinen tuto skutečnost písemně oznámit Úřadu před zpracováváním osobních
údajů.
(2) Oznámení musí obsahovat tyto informace:
a) identifikační údaje správce, u fyzické osoby, která není podnikatelem,
jméno, popřípadě jména, příjmení, datum narození a adresu místa trvalého pobytu,
u jiných subjektů obchodní firmu nebo název, sídlo a identifikační číslo osoby, pokud
bylo přiděleno, a jméno, popřípadě jména, a příjmení osob, které jsou jejich statutárními
zástupci,
b) účel nebo účely zpracování,
c) kategorie subjektů údajů a osobních údajů, které se těchto subjektů
týkají,
d) zdroje osobních údajů,
e) popis způsobu zpracování osobních údajů,
f) místo nebo místa zpracování osobních údajů,
g) příjemce nebo kategorie příjemců,
h) předpokládaná předání osobních údajů do jiných států,
i) popis opatření k zajištění ochrany osobních údajů podle § 13.
(3) Obsahuje-li oznámení všechny náležitosti podle odstavce 2 a není-li
zahájeno řízení podle § 17 odst. 1, lze po uplynutí lhůty 30 dnů ode dne doručení
oznámení zahájit zpracování osobních údajů. Úřad v takovém případě zapíše informace
uvedené v oznámení do registru.
(4) Neobsahuje-li oznámení všechny náležitosti podle odstavce 2, Úřad
neprodleně zašle oznamovateli výzvu, v níž upozorní na chybějící nebo nedostatečné
informace a stanoví lhůtu k doplnění oznámení. V případě doplnění oznámení začíná
běžet lhůta podle odstavce 3 dnem doručení doplnění oznámení. V případě, že Úřad
neobdrží doplnění oznámení ve stanovené lhůtě, nahlíží na učiněné oznámení tak, jako
by nebylo podáno.
(5) O provedení registrace vydá Úřad na žádost správce osvědčení, které
obsahuje datum vyhotovení, číslo jednací, jméno, příjmení a podpis osoby, která osvědčení
vydala, otisk úředního razítka, identifikační údaje správce a účel zpracování.
(6) Je-li podle odstavce 1 oznámeno zpracování, které je předmětem kontroly,
Úřad registraci neprovede. Úřad registraci provede, jakmile je kontrola ukončena.
§ 17
(1) Vznikne-li z oznámení důvodná obava, že při zpracování osobních údajů
by mohlo dojít k porušení tohoto zákona, zahájí Úřad z vlastního podnětu řízení.
(2) Zjistí-li Úřad, že oznámeným zpracováním neporušuje správce podmínky
stanovené tímto zákonem, řízení zastaví a provede zápis podle § 16 odst. 3. Nejdříve
dnem následujícím po provedení zápisu lze zahájit zpracování osobních údajů. V případě,
že oznámené zpracování nesplňuje podmínky stanovené tímto zákonem, zpracování osobních
údajů Úřad nepovolí.
§ 17a
(1) Zjistí-li Úřad, že správce, jehož oznámení bylo zapsáno do registru,
porušuje podmínky stanovené tímto zákonem, rozhodne o zrušení registrace.
(2) Pomine-li účel, pro který bylo zpracování zaregistrováno, Úřad z
vlastního podnětu nebo na žádost správce rozhodne o zrušení registrace.
§ 18
(1) Oznamovací povinnost podle § 16 se nevztahuje na zpracování osobních
údajů,
a) které jsou součástí datových souborů veřejně přístupných na základě zvláštního
zákona,
b) které správci ukládá zvláštní zákon nebo je takových osobních údajů třeba
k uplatnění práv a povinností vyplývajících ze zvláštního zákona, nebo
c) jde-li
o zpracování, které sleduje politické, filosofické, náboženské nebo odborové cíle,
prováděné v rámci oprávněné činnosti sdružení, a které se týká pouze členů sdružení,
nebo osob, se kterými je sdružení v opakujícím se kontaktu souvisejícím s oprávněnou
činností sdružení, a osobní údaje nejsou zpřístupňovány bez souhlasu subjektu údajů.
(2) Správce, který provádí zpracování podle § 18 odst. 1 písm. b), je
povinen zajistit, aby informace, týkající se zejména účelu zpracování, kategorií
osobních údajů, kategorií subjektů údajů, kategorií příjemců a doby uchování, které
by byly jinak přístupné prostřednictvím registru vedeného Úřadem podle § 35, byly
zpřístupněny, a to i dálkovým přístupem nebo jinou vhodnou formou.
§ 19
Jestliže správce hodlá ukončit svoji činnost, je povinen Úřadu neprodleně
oznámit, jak naložil s osobními údaji, pokud se na jejich zpracování vztahuje oznamovací
povinnost.
§ 20
Likvidace osobních údajů
(1) Správce nebo na základě jeho pokynu zpracovatel je povinen provést
likvidaci osobních údajů, jakmile pomine účel, pro který byly osobní údaje zpracovány,
nebo na základě žádosti subjektu údajů podle § 21.
(2) Zvláštní zákon stanoví výjimky týkající se uchovávání osobních údajů
pro účely archivnictví a uplatňování práv v občanském soudním řízení, trestním řízení
a správním řízení.
Ochrana práv subjektů údajů
§ 21
(1) Každý subjekt údajů, který zjistí nebo se domnívá, že správce nebo
zpracovatel provádí zpracování jeho osobních údajů, které je v rozporu s ochranou
soukromého a osobního života subjektu údajů nebo v rozporu se zákonem, zejména jsou-li
osobní údaje nepřesné s ohledem na účel jejich zpracování, může
a) požádat správce
nebo zpracovatele o vysvětlení,
b) požadovat, aby správce nebo zpracovatel odstranil
takto vzniklý stav. Zejména se může jednat o blokování, provedení opravy, doplnění
nebo likvidaci osobních údajů.
(2) Je-li žádost subjektu údajů podle odstavce 1 shledána oprávněnou,
správce nebo zpracovatel odstraní neprodleně závadný stav.
(3) Pokud vznikla v důsledku zpracování osobních údajů subjektu údajů
jiná než majetková újma, postupuje se při uplatňování jejího nároku podle zvláštního
zákona.22)
(4) Došlo-li při zpracování osobních údajů k porušení povinností uložených
zákonem u správce nebo u zpracovatele, odpovídají za ně společně a nerozdílně.
(5) Správce je povinen bez zbytečného odkladu informovat příjemce o žádosti
subjektu údajů podle odstavce 1 a o blokování, opravě, doplnění nebo likvidaci osobních
údajů. To neplatí, pokud je informování příjemce nemožné nebo by vyžadovalo neúměrné
úsilí.
HLAVA III
PŘEDÁNÍ OSOBNÍCH ÚDAJŮ DO JINÝCH STÁTŮ
§ 27
(1) Volný pohyb osobních údajů nemůže být omezován, pokud jsou údaje předány
do členského státu Evropské unie.
(2) Do třetích zemí mohou být osobní údaje předány, pokud zákaz omezování
volného pohybu osobních údajů vyplývá z mezinárodní smlouvy, k jejíž ratifikaci dal
Parlament souhlas, a kterou je Česká republika vázána,1a) nebo jsou osobní údaje
předány na základě rozhodnutí orgánu Evropské unie. Informace o těchto rozhodnutích
zveřejňuje Úřad ve Věstníku.
(3) Není-li podmínka podle odstavců 1 a 2 splněna, může být předání
osobních údajů uskutečněno, jestliže správce prokáže, že
a) předání údajů se děje se souhlasem nebo na základě pokynu subjektu
údajů,
b) jsou v třetí zemi, kde mají být osobní údaje zpracovány, vytvořeny
dostatečné zvláštní záruky ochrany osobních údajů, například prostřednictvím jiných
právních nebo profesních předpisů a bezpečnostních opatření. Takové záruky mohou
být upřesněny zejména smlouvou uzavřenou mezi správcem a příjemcem, pokud tato smlouva
zajišťuje uplatnění těchto požadavků nebo pokud smlouva obsahuje smluvní doložky
pro předání osobních údajů do třetích zemí zveřejněné ve Věstníku Úřadu,
c) jde o osobní údaje, které jsou na základě zvláštního zákona součástí
datových souborů veřejně přístupných nebo přístupných tomu, kdo prokáže právní zájem;
v takovém případě lze osobní údaje zpřístupnit jen v rozsahu a za podmínek stanovených
zvláštním zákonem,
d) je předání nutné pro uplatnění důležitého veřejného zájmu vyplývajícího
ze zvláštního zákona nebo z mezinárodní smlouvy, kterou je Česká republika vázána,
e) je předání nezbytné pro jednání o uzavření nebo změně smlouvy, uskutečněné
z podnětu subjektu údajů, nebo pro plnění smlouvy, jejíž smluvní stranou je subjekt
údajů,
f) je předání nezbytné pro plnění smlouvy uzavřené v zájmu subjektu
údajů mezi správcem a třetí stranou, nebo pro uplatnění jiných právních nároků, nebo
g) je předání nezbytné pro ochranu práv nebo životně důležitých zájmů
subjektu údajů, zejména pro záchranu života nebo pro poskytnutí zdravotních služeb.
(4) Před předáním osobních údajů do třetích zemí podle odstavce 3 je správce
povinen požádat Úřad o povolení k předání, nestanoví-li zvláštní zákon jinak.25)
Při posuzování žádosti Úřad přezkoumá všechny okolnosti související s předáním osobních
údajů, zejména zdroj, konečné určení a kategorie předávaných osobních údajů, účel
a dobu zpracování, s přihlédnutím k dostupným informacím o právních nebo jiných předpisech
upravujících zpracování osobních údajů ve třetí zemi. V povolení k předání Úřad stanoví
dobu, po kterou může správce předání provádět. Pokud dojde ke změně podmínek, za
kterých bylo povolení vydáno, zejména na základě rozhodnutí orgánu Evropské unie,
Úřad toto povolení změní nebo zruší.
HLAVA IV
POSTAVENÍ A PŮSOBNOST ÚŘADU
§ 28
(1) Úřad je nezávislý orgán. Ve své činnosti postupuje nezávisle a řídí
se pouze zákony a jinými právními předpisy.
(2) Do činnosti Úřadu lze zasahovat jen na základě zákona.
(3) Činnost Úřadu je hrazena ze samostatné kapitoly státního rozpočtu
České republiky.
§ 29
(1) Úřad
a) provádí dozor nad dodržováním povinností stanovených zákonem při zpracování
osobních údajů,
b) vede registr zpracování osobních údajů,
c) přijímá podněty a stížnosti na porušení povinností stanovených zákonem
při zpracování osobních údajů a informuje o jejich vyřízení,
d) zpracovává a veřejnosti zpřístupňuje výroční zprávu o své činnosti,
e) vykonává další působnosti stanovené mu zákonem,
f) projednává přestupky a uděluje pokuty podle tohoto zákona,
g) zajišťuje plnění požadavků vyplývajících z mezinárodních smluv, jimiž
je Česká republika vázána, a z přímo použitelných předpisů Evropské unie,
h) poskytuje konzultace v oblasti ochrany osobních údajů,
i) spolupracuje s obdobnými úřady jiných států, s orgány Evropské unie
a s orgány mezinárodních organizací působícími v oblasti ochrany osobních údajů.
Úřad v souladu s právem Evropské unie plní oznamovací povinnost vůči orgánům Evropské
unie.25a)
(2) Při výkonu dozoru ve formě kontroly se postupuje podle zvláštního právního
předpisu.26)
(3) Dozor nad zpracováním osobních údajů, které provádějí zpravodajské
služby, stanoví zvláštní právní předpis.27)
§ 29a
(1) Ministerstvo vnitra nebo Policie České republiky poskytuje Úřadu
pro výkon působnosti stanovené tímto zákonem a dalšími právními předpisy
a) referenční údaje ze základního registru obyvatel,
b) údaje z agendového informačního systému evidence obyvatel,
c) údaje z agendového informačního systému cizinců.
(2) Poskytovanými údaji podle odstavce 1 písm. a) jsou
a) příjmení,
b) jméno, popřípadě jména,
c) adresa místa pobytu,
d) datum narození.
(3) Poskytovanými údaji podle odstavce 1 písm. b) jsou
a) jméno, popřípadě jména, příjmení, popřípadě rodné příjmení,
b) datum narození,
c) adresa místa trvalého pobytu, včetně předchozích adres místa trvalého
pobytu,
d) počátek trvalého pobytu, popřípadě datum zrušení trvalého pobytu
nebo datum ukončení trvalého pobytu na území České republiky.
(4) Poskytovanými údaji podle odstavce 1 písm. c) jsou
a) jméno, popřípadě jména, příjmení, popřípadě rodné příjmení,
b) datum narození,
c) druh a adresa místa pobytu,
d) číslo a platnost oprávnění k pobytu,
e) počátek pobytu, popřípadě datum ukončení pobytu.
(5) Údaje, které jsou vedeny jako referenční údaje v základním registru
obyvatel, se využijí z agendového informačního systému evidence obyvatel nebo agendového
informačního systému cizinců, pouze pokud jsou ve tvaru předcházejícím současný stav.
(6) Z poskytovaných údajů lze v konkrétním případě použít vždy jen takové
údaje, které jsou nezbytné ke splnění daného úkolu.
HLAVA V
ORGANIZACE ÚŘADU
§ 30
(1) Zaměstnanci Úřadu jsou předseda, inspektoři a další zaměstnanci.
(2) Kontrolní činnost Úřadu provádějí inspektoři a pověření zaměstnanci
(dále jen "kontrolující").
(3) Předseda Úřadu má nárok na plat, náhradu výdajů, naturální plnění a
odchodné jako prezident Nejvyššího kontrolního úřadu podle zvláštního zákona.26a)
(4) Inspektoři Úřadu mají nárok na plat, náhradu výdajů a naturální plnění
jako členové Nejvyššího kontrolního úřadu podle zvláštního zákona.26a)
§ 31
Kontrolní činnost Úřadu se provádí na základě kontrolního plánu nebo na
základě podnětů a stížností.
§ 32
Předseda Úřadu
(1) Úřad řídí předseda, kterého jmenuje a odvolává prezident republiky
na návrh Senátu Parlamentu České republiky.
(2) Předseda Úřadu je jmenován na dobu 5 let. Může být jmenován maximálně
na 2 po sobě jdoucí období. Předseda Úřadu se považuje za služební orgán a je oprávněn
dávat státnímu zaměstnanci příkazy k výkonu státní služby podle zákona o státní službě.
(3) Předsedou Úřadu může být jmenován pouze občan České republiky, který
a) je způsobilý k právním úkonům,
b) je bezúhonný, splňuje podmínky stanovené
zvláštním právním předpisem30) a jeho znalosti, zkušenosti a morální vlastnosti jsou
předpokladem, že bude svoji funkci řádně zastávat,
c) má ukončené vysokoškolské vzdělání.
(4) Bezúhonnou je pro účel tohoto zákona fyzická osoba, která nebyla pravomocně
odsouzena pro úmyslný trestný čin nebo i trestný čin spáchaný z nedbalosti v souvislosti
se zpracováním osobních údajů.
(5) S výkonem funkce předsedy Úřadu je neslučitelná funkce poslance nebo
senátora, soudce, státního zástupce, jakákoliv funkce ve veřejné správě, funkce člena
orgánů územní samosprávy a členství v politických stranách a hnutích.
(6) Předseda Úřadu nesmí zastávat jinou placenou funkci, být v dalším
pracovním poměru ani vykonávat výdělečnou činnost s výjimkou správy vlastního majetku
a činnosti vědecké, pedagogické, literární, publicistické a umělecké, pokud tato
činnost nenarušuje důstojnost nebo neohrožuje důvěru v nezávislost a nestrannost
Úřadu.
(7) Z funkce je předseda Úřadu odvolán, přestal-li splňovat některou z
podmínek pro jeho jmenování.
(8) Z funkce může být předseda odvolán také tehdy, jestliže nevykonává
po dobu 6 měsíců svoji funkci.
Inspektoři Úřadu
§ 33
(1) Inspektora jmenuje a odvolává prezident republiky na návrh Senátu
Parlamentu České republiky.
(2) Inspektor je jmenován na období 10 let. Může být jmenován opakovaně.
(3) Inspektor řídí kontrolu a provádí další úkony, které jsou v působnosti
Úřadu.
(4) Činnosti podle odstavce 3 vykonává 7 inspektorů Úřadu.
§ 34
(1) Inspektorem může být jmenován občan České republiky, který je způsobilý
k právním úkonům, bezúhonný, splňuje podmínky stanovené zvláštním právním předpisem30)
a má ukončené odborné vysokoškolské vzdělání.
(2) S výkonem funkce inspektora je neslučitelná funkce poslance nebo
senátora, soudce, státního zástupce, jakákoliv funkce ve veřejné správě, funkce člena
orgánů územní samosprávy a členství v politických stranách a hnutích. Inspektor nesmí
zastávat jinou placenou funkci, být v pracovním poměru ani vykonávat výdělečnou činnost
s výjimkou správy vlastního majetku a činnosti vědecké, pedagogické, literární, publicistické
a umělecké, pokud tato činnost nenarušuje důstojnost nebo neohrožuje důvěru v nezávislost
a nestrannost Úřadu.
(3) Z funkce je inspektor odvolán, přestal-li splňovat některou z podmínek
pro jeho jmenování.
HLAVA VI
ČINNOST ÚŘADU
§ 35
Registr
(1) Do registru zpracování osobních údajů se k osobám správců zapisují
informace z oznámení podle § 16 odst. 2 a datum provedení, případně zrušení registrace.
(2) Informace zapsané do registru, s výjimkou informací uvedených v § 16
odst. 2 písm. e) a i), jsou veřejně přístupné, zejména způsobem umožňujícím dálkový
přístup.
(3) Zrušení registrace podle § 17a oznamuje Úřad ve Věstníku Úřadu.
§ 36
Výroční zpráva
(1) Výroční zpráva Úřadu obsahuje zejména informace o provedené kontrolní
činnosti a její zhodnocení, informace a zhodnocení stavu v oblasti zpracovávání a
ochrany osobních údajů v České republice a zhodnocení ostatní činnosti Úřadu.
(2) Výroční zprávu předkládá předseda Úřadu pro informaci Poslanecké sněmovně
a Senátu Parlamentu České republiky a vládě České republiky do 2 měsíců po skončení
rozpočtového roku a zveřejňuje ji.
§ 37
Oprávnění kontrolujícího na přístup k informacím
Kontrolující je při kontrole zpracování osobních údajů oprávněn seznamovat
se se všemi informacemi v rozsahu nezbytném pro dosažení účelu kontroly, včetně citlivých
údajů.
§ 38
Průkaz kontrolujícího
Kontrolující je povinen prokázat se kontrolovanému průkazem, jehož vzor
stanoví nařízení vlády a který je současně pověřením ke kontrole.
Opatření k nápravě
§ 40
Dojde-li k porušení povinnosti stanovené zákonem nebo uložené na jeho
základě při zpracování osobních údajů, uloží inspektor opatření k odstranění zjištěných
nedostatků a stanoví lhůtu pro jejich odstranění.
HLAVA VII
PŘESTUPKY
§ 44
nadpis vypuštěn
(1) Fyzická osoba, která
a) je ke správci nebo zpracovateli v pracovním
nebo jiném obdobném poměru,
b) vykonává pro správce nebo zpracovatele činnosti na
základě dohody, nebo
c) v rámci plnění zvláštním zákonem uložených oprávnění a povinností
přichází u správce nebo zpracovatele do styku s osobními údaji,
se dopustí přestupku
tím, že poruší povinnost mlčenlivosti (§ 15).
(2) Fyzická osoba se jako správce nebo zpracovatel dopustí přestupku
tím, že při zpracování osobních údajů
a) nestanoví účel, prostředky nebo způsob zpracování [§ 5 odst. 1 písm.
a) a b)] nebo stanoveným účelem zpracování poruší povinnost nebo překročí oprávnění
vyplývající ze zvláštního zákona,
b) zpracovává nepřesné osobní údaje [§ 5 odst. 1 písm. c)],
c) shromažďuje nebo zpracovává osobní údaje v rozsahu nebo způsobem,
který neodpovídá stanovenému účelu [§ 5 odst. 1 písm. d), f) až h)],
d) uchovává osobní údaje po dobu delší než nezbytnou k účelu zpracování
[§ 5 odst. 1 písm. e)],
e) zpracovává osobní údaje bez souhlasu subjektu údajů mimo případy
uvedené v zákoně (§ 5 odst. 2 a § 9),
f) neposkytne subjektu údajů informace v rozsahu nebo zákonem stanoveným
způsobem (§ 11),
g) odmítne subjektu údajů poskytnout požadované informace (§ 12 a 21),
h) nepřijme nebo neprovede opatření pro zajištění bezpečnosti zpracování
osobních údajů (§ 13),
i) nesplní oznamovací povinnost podle tohoto zákona (§ 16 a 27), nebo
j) neprovede ve stanovené lhůtě uložené opatření k nápravě.
(3) Fyzická osoba se jako správce nebo zpracovatel dopustí přestupku
tím, že při zpracování osobních údajů některým ze způsobů podle odstavce 2
a) ohrozí
větší počet osob svým neoprávněným zasahováním do soukromého a osobního života, nebo
b) poruší povinnosti pro zpracování citlivých údajů (§ 9).
(4) Za přestupek podle odstavce 1 lze uložit pokutu do výše 100 000 Kč.
(5) Za přestupek podle odstavce 2 lze uložit pokutu do výše 1 000 000 Kč.
(6) Za přestupek podle odstavce 3 lze uložit pokutu do výše 5 000 000 Kč.
§ 44a
(1) Fyzická osoba se dopustí přestupku tím, že poruší zákaz zveřejnění
osobních údajů stanovený jiným právním předpisem.
(2) Za přestupek podle odstavce 1 lze uložit pokutu do 1 000 000 Kč.
(3) Za přestupek podle odstavce 1 spáchaný tiskem, filmem, rozhlasem, televizí,
veřejně přístupnou počítačovou sítí nebo jiným obdobně účinným způsobem lze uložit
pokutu do 5 000 000 Kč.
§ 45
nadpis vypuštěn
(1) Právnická nebo podnikající fyzická osoba se jako správce nebo zpracovatel
dopustí přestupku tím, že při zpracování osobních údajů
a) nestanoví účel, prostředky nebo způsob zpracování [§ 5 odst. 1 písm.
a) a b)], nebo stanoveným účelem zpracování poruší povinnost nebo překročí oprávnění
vyplývající ze zvláštního zákona,
b) zpracovává nepřesné osobní údaje [§ 5 odst. 1 písm. c)],
c) shromažďuje nebo zpracovává osobní údaje v rozsahu nebo způsobem,
který neodpovídá stanovenému účelu [§ 5 odst. 1 písm. d), f) až h)],
d) uchovává osobní údaje po dobu delší než nezbytnou k účelu zpracování
[§ 5 odst. 1 písm. e)],
e) zpracovává osobní údaje bez souhlasu subjektu údajů mimo případy
uvedené v zákoně (§ 5 odst. 2 a § 9),
f) neposkytne subjektu údajů informace v rozsahu nebo zákonem stanoveným
způsobem (§ 11),
g) odmítne subjektu údajů poskytnout požadované informace (§ 12 a 21),
h) nepřijme nebo neprovede opatření pro zajištění bezpečnosti zpracování
osobních údajů (§ 13),
i) nesplní oznamovací povinnost podle tohoto zákona (§ 16 a 27),
j) nevede přehled případů porušení ochrany osobních údajů podle § 88
odst. 7 zákona o elektronických komunikacích, nebo
k) neprovede ve stanovené lhůtě uložené opatření k nápravě.
(2) Právnická nebo podnikající fyzická osoba jako správce nebo zpracovatel
se dopustí přestupku tím, že při zpracování osobních údajů některým ze způsobů podle
odstavce 1
a) ohrozí větší počet osob svým neoprávněným zasahováním do soukromého
a osobního života, nebo
b) poruší povinnosti pro zpracování citlivých údajů (§ 9).
(3) Za přestupek podle odstavce 1 lze uložit pokutu do 5 000 000 Kč.
(4) Za přestupek podle odstavce 2 lze uložit pokutu do 10 000 000 Kč.
§ 45a
(1) Právnická osoba nebo podnikající fyzická osoba se dopustí přestupku
tím, že poruší zákaz zveřejnění osobních údajů stanovený jiným právním předpisem.
(2) Za přestupek podle odstavce 1 lze uložit pokutu do 1 000 000 Kč.
(3) Za přestupek podle odstavce 1 spáchaný tiskem, filmem, rozhlasem, televizí,
veřejně přístupnou počítačovou sítí nebo jiným obdobně účinným způsobem lze uložit
pokutu do 5 000 000 Kč.
HLAVA VIII
USTANOVENÍ SPOLEČNÁ, PŘECHODNÁ A ZÁVĚREČNÁ
§ 47
Opatření pro přechodné období
(1) Každý, kdo zpracovává ke dni nabytí účinnosti tohoto zákona osobní
údaje a na něhož se vztahuje povinnost oznámení podle § 16, je povinen tak učinit
nejpozději do 6 měsíců ode dne nabytí účinnosti tohoto zákona.
(2) Zpracování osobních údajů prováděné před účinností tohoto zákona je
nutno uvést do souladu s tímto zákonem do 31. prosince 2001.
(3) V případě, že kontrolující zjistí porušení povinnosti podle odstavce
2, ustanovení § 46 odst. 1 a 2 se v takovém případě do 31. prosince 2002 nepoužijí.
ČÁST TŘETÍ
§ 50
Novela zákona o svobodném přístupu k informacím
Zákon č. 106/1999 Sb., o svobodném přístupu k informacím, se mění takto:
1. V § 2 odstavec 3 včetně poznámky pod čarou č. 1) zní:
"(3) Zákon se nevztahuje na poskytování osobních údajů a informací podle
zvláštního právního předpisu.1)
1) Například zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně
některých zákonů, a zákon č. 123/1998 Sb., o právu na informace o životním prostředí.".
2. V § 5 odst. 3 se věta druhá nahrazuje větou, která včetně poznámky
pod čarou č. 3a) zní:
"Na tyto subjekty se pro tento účel nevztahuje povinnost zamezit sdružování
informací podle zvláštního právního předpisu.3a)
3a) § 5 odst. 1 písm. h) zákona č. 101/2000 Sb., o ochraně osobních údajů
a o změně některých zákonů.".
3. V § 8 se odstavce 1 a 2 včetně nadpisu a poznámky pod čarou č. 5) zrušují.
Klaus v. r.
Havel v. r.
Zeman v. r.
Vybraná ustanovení novel
Čl.II zákona č. 439/2004 Sb.
Přechodná ustanovení
1. Oznámení a rozhodnutí ve věci registrace zpracování osobních údajů podle
§ 16, 17 a 17a zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých
zákonů, ve znění zákona č. 450/2001 Sb., podaná a vydaná přede dnem nabytí účinnosti
tohoto zákona zůstávají v platnosti.
2. Povolení k předání nebo předávání osobních údajů do jiného státu vydané
přede dnem nabytí účinnosti tohoto zákona pozbývá dnem nabytí účinnosti tohoto zákona
platnosti, pokud státem, pro který bylo povolení určeno, je členský stát Evropské
unie nebo stát, pro který zákaz omezování volného pohybu osobních údajů vyplývá z
vyhlášené mezinárodní smlouvy, k jejíž ratifikaci dal Parlament souhlas, a kterou
je Česká republika vázána. Povolení k předání nebo předávání osobních údajů do státu,
který není uveden v předchozí větě, vydané přede dnem nabytí účinnosti tohoto zákona
zůstává v platnosti.
3. Řízení zahájené a neskončené přede dnem nabytí účinnosti tohoto zákona
se dokončí podle dosavadních právních předpisů, s výjimkou řízení o povolení k předání
nebo předávání osobních údajů do členského státu Evropské unie nebo státu, pro který
zákaz omezování volného pohybu osobních údajů vyplývá z vyhlášené mezinárodní smlouvy,
k jejíž ratifikaci dal Parlament souhlas, a kterou je Česká republika vázána, které
se zastaví.
4. Správce provádějící zpracování osobních údajů, ke kterému podle dosavadních
právních předpisů nebylo zapotřebí registrace, a které ode dne nabytí účinnosti tohoto
zákona registraci podléhá, musí takové zpracování osobních údajů oznámit Úřadu pro
ochranu osobních údajů do 6 měsíců ode dne nabytí účinnosti tohoto zákona.
1) § 10 odst. 1 písm. a) zákona č. 480/2004 Sb., o některých službách informační
společnosti a o změně některých zákonů (zákon o některých službách informační společnosti).
1) Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně
jednotlivců v souvislosti se zpracováním osobních údajů a o volném pohybu těchto
údajů.
1a) Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních dat
č. 108, vyhlášená pod č. 115/2001 Sb.m. s.
3) § 1 zákona č. 133/2000 Sb., o evidenci obyvatel a rodných číslech a o změně
některých zákonů (zákon o evidenci obyvatel), ve znění pozdějších předpisů.
4) Například ústavní zákon č. 110/1998 Sb., o bezpečnosti České republiky,
ve znění zákona č. 300/2000 Sb., zákon č. 219/1999 Sb., o ozbrojených silách České
republiky, ve znění pozdějších předpisů, zákon č. 238/2000 Sb., o Hasičském záchranném
sboru České republiky a o změně některých zákonů, ve znění pozdějších předpisů, zákon
č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon), ve
znění zákona č. 320/2002 Sb., zákon č. 153/1994 Sb., o zpravodajských službách České
republiky, ve znění pozdějších předpisů, zákon č. 154/1994 Sb., o Bezpečnostní informační
službě, ve znění pozdějších předpisů, a zákon č. 148/1998 Sb., o ochraně utajovaných
skutečností a o změně některých zákonů, ve znění pozdějších předpisů.
5) Například zákon č. 222/1999 Sb., o zajišťování obrany České republiky, ve
znění zákona č. 320/2002 Sb., zákon č. 218/1999 Sb., o rozsahu branné povinnosti
a o vojenských správních úřadech (branný zákon), ve znění pozdějších předpisů, zákon
č. 219/1999 Sb., o ozbrojených silách České republiky, ve znění pozdějších předpisů,
a zákon č. 124/1992 Sb., o Vojenské policii, ve znění pozdějších předpisů.
6) Například zákon č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů
(krizový zákon), ve znění zákona č. 320/2002 Sb., zákon č. 283/1991 Sb., o Policii
České republiky, ve znění pozdějších předpisů, a zákon č. 553/1991 Sb., o obecní
policii, ve znění pozdějších předpisů.
7) Například zákon č. 61/1996 Sb., o některých opatřeních proti legalizaci
výnosů z trestné činnosti a o změně a doplnění souvisejících zákonů, ve znění pozdějších
předpisů, zákon č. 141/1961 Sb., o trestním řízení soudním (trestní řád), ve znění
pozdějších předpisů, a zákon č. 250/2016 Sb., o odpovědnosti za přestupky a řízení
o nich.
8) Například zákon č. 241/2000 Sb., o hospodářských opatřeních pro krizové
stavy a o změně některých souvisejících zákonů, ve znění pozdějších předpisů, zákon
č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon), ve
znění zákona č. 320/2002 Sb., a zákon č. 148/1998 Sb., o ochraně utajovaných skutečností
a o změně některých zákonů, ve znění pozdějších předpisů.
9) Například zákon č. 218/2000 Sb., o rozpočtových pravidlech a o změně některých
souvisejících zákonů (rozpočtová pravidla), ve znění pozdějších předpisů, zákon č.
250/2000 Sb., o rozpočtových pravidlech územních rozpočtů, ve znění pozdějších předpisů,
zákon č. 6/1993 Sb., o České národní bance, ve znění pozdějších předpisů, a zákon
č. 212/1992 Sb., o soustavě daní, ve znění zákona č. 302/1993 Sb.
10) Například zákon č. 166/1993 Sb., o Nejvyšším kontrolním úřadu, ve znění
pozdějších předpisů, zákon č. 337/1992 Sb., o správě daní a poplatků, ve znění pozdějších
předpisů, a zákon č. 552/1991 Sb., o státní kontrole, ve znění pozdějších předpisů.
10a) Zákon č. 140/1996 Sb., o zpřístupnění svazků vzniklých činností bývalé
Státní bezpečnosti, ve znění zákona č. 107/2002 Sb.
11) Například zákon č. 13/1993 Sb., celní zákon, ve znění pozdějších předpisů.
12) Například zákon č. 111/1998 Sb., o vysokých školách a o změně a doplnění
dalších zákonů (zákon o vysokých školách), ve znění pozdějších předpisů, zákon č.
564/1990 Sb., o státní správě a samosprávě ve školství, ve znění pozdějších předpisů,
zákon č. 153/1994 Sb., o zpravodajských službách České republiky, ve znění pozdějších
předpisů, zákon č. 154/2000 Sb., o šlechtění, plemenitbě a evidenci hospodářských
zvířat a o změně některých souvisejících zákonů (plemenářský zákon), ve znění pozdějších
předpisů, zákon č. 166/1999 Sb., o veterinární péči a o změně některých souvisejících
zákonů (veterinární zákon), ve znění pozdějších předpisů, zákon č. 246/1992 Sb.,
na ochranu zvířat proti týrání, ve znění pozdějších předpisů, zákon č. 147/1996 Sb.,
o rostlinolékařské péči a změnách některých souvisejících zákonů, ve znění pozdějších
předpisů, a zákon č. 219/2003 Sb., o uvádění do oběhu osiva a sadby pěstovaných rostlin
a o změně některých zákonů (zákon o oběhu osiva a sadby).
13) Zákon č. 81/1966 Sb., o periodickém tisku a o ostatních hromadných informačních
prostředcích, ve znění pozdějších předpisů.
15) Například zákon č. 20/1966 Sb., o péči o zdraví lidu, ve znění pozdějších
předpisů, zákon č. 258/2000 Sb., o ochraně veřejného zdraví a o změně některých souvisejících
zákonů, ve znění pozdějších předpisů, zákon č. 48/1997 Sb., o veřejném zdravotním
pojištění a o změně a doplnění některých souvisejících zákonů, ve znění pozdějších
předpisů, zákon č. 280/1992 Sb., o resortních, oborových, podnikových a dalších zdravotních
pojišťovnách, ve znění pozdějších předpisů, zákon č. 551/1991 Sb., o Všeobecné zdravotní
pojišťovně České republiky, ve znění pozdějších předpisů, a zákon č. 592/1992 Sb.,
o pojistném na všeobecné zdravotní pojištění, ve znění pozdějších předpisů.
15a) Například zákon č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení,
ve znění pozdějších předpisů.
16) Například zákon č. 65/1965 Sb., zákoník práce, ve znění pozdějších předpisů,
zákon č. 1/1992 Sb., o mzdě, odměně za pracovní pohotovost a o průměrném výdělku,
ve znění pozdějších předpisů, zákon č. 218/2002 Sb., o službě státních zaměstnanců
ve správních úřadech a o odměňování těchto zaměstnanců a ostatních zaměstnanců ve
správních úřadech (služební zákon), ve znění pozdějších předpisů, a zákon č. 1/1991
Sb., o zaměstnanosti, ve znění pozdějších předpisů.
18) Například zákon č. 123/1998 Sb., o právu na informace o životním prostředí,
zákon č. 367/1990 Sb., o obcích (obecní zřízení), ve znění pozdějších předpisů, zákon
č. 106/1999 Sb., o svobodném přístupu k informacím.
19) Například zákon č. 148/1998 Sb., ve znění pozdějších předpisů, zákon č.
89/1995 Sb., zákon č. 20/1966 Sb., ve znění pozdějších předpisů, zákon č. 15/1998
Sb., o Komisi pro cenné papíry a o změně a doplnění dalších zákonů.
20) Například § 167 a 168 zákona č. 140/1961 Sb., trestní zákon, ve znění pozdějších
předpisů, zákon č. 21/1992 Sb., o bankách, ve znění pozdějších předpisů, zákon č.
20/1966 Sb., ve znění pozdějších předpisů.
22) § 13 občanského zákoníku.
23) Zákon č. 40/1964 Sb., ve znění pozdějších předpisů.
24) Zákon č. 513/1991 Sb., obchodní zákoník, ve znění pozdějších předpisů.
25) Například § 5c zákona č. 1/1991 Sb., o zaměstnanosti, ve znění zákona č.
167/1999 Sb., zákona č. 155/2000 Sb. a zákona č. 220/2002 Sb., § 71a zákona č. 325/1999
Sb., o azylu a o změně zákona č. 283/1991 Sb., o Policii České republiky, ve znění
pozdějších předpisů, (zákon o azylu), ve znění zákona č. 2/2002 Sb., § 35 odst. 3
zákona č. 359/1999 Sb., o sociálně-právní ochraně dětí, ve znění pozdějších předpisů,
a § 4a odst. 3 zákona č. 13/1993 Sb., celní zákon, ve znění zákona č. 1/2002 Sb.
25a) Článek 8 odst. 6 a článek 26 odst. 3 Směrnice č. 95/46/ES.
26) Zákon č. 552/1991 Sb., o státní kontrole, ve znění pozdějších předpisů.
26a) Zákon č. 236/1995 Sb., o platu a dalších náležitostech spojených s výkonem
funkce představitelů státní moci a některých státních orgánů a soudců, ve znění pozdějších
předpisů.
27) § 12 zákona č. 153/1994 Sb.
30) Zákon č. 451/1991 Sb.
31) Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní
způsobilosti.
32) Zákon č. 71/1967 Sb., o správním řízení (správní řád), ve znění zákona č.
29/2000 Sb.
33) Zákon č. 300/2016 Sb., o centrální evidenci účtů.