Zákon č. 101/2000 Sb. o ochraně osobních údajů a o změně některých zákonů.
101/2000 Sb.
ZÁKON
ze dne 4. dubna 2000
o ochraně osobních údajů a o změně některých zákonů
Změna: 227/2000 Sb.
Změna: 177/2001 Sb.
Změna: 450/2001 Sb.
Změna: 107/2002 Sb.
Změna: 310/2002 Sb.
Změna: 517/2002 Sb.
Změna: 439/2004 Sb.
Změna: 480/2004 Sb.
Změna: 439/2004 Sb. (část), 626/2004 Sb.
Změna: 413/2005 Sb., 444/2005 Sb.
Změna: 342/2006 Sb.
Změna: 109/2006 Sb.
Změna: 170/2007 Sb.
Změna: 52/2009 Sb.
Změna: 41/2009 Sb.
Změna: 227/2009 Sb.
Změna: 281/2009 Sb.
Změna: 468/2011 Sb.
Změna: 375/2011 Sb.
Změna: 64/2014 Sb.
Změna: 250/2014 Sb.
Parlament se usnesl na tomto zákoně České republiky:
ČÁST PRVNÍ
OCHRANA OSOBNÍCH ÚDAJŮ
HLAVA I
ÚVODNÍ USTANOVENÍ
§ 1
Předmět úpravy
Tento zákon v souladu s právem Evropské unie,^1) mezinárodními
smlouvami, kterými je Česká republika vázána,^1a) a k naplnění práva
každého na ochranu před neoprávněným zasahováním do soukromí upravuje
práva a povinnosti při zpracování osobních údajů a stanoví podmínky, za
nichž se uskutečňuje předání osobních údajů do jiných států.
§ 2
(1) Zřizuje se Úřad pro ochranu osobních údajů se sídlem v Praze (dále
jen "Úřad").
(2) Úřad je ústředním správním úřadem pro oblast ochrany osobních údajů
v rozsahu stanoveném tímto zákonem, zvláštními právními předpisy^1),
mezinárodními smlouvami, které jsou součástí právního řádu, a přímo
použitelnými předpisy Evropské unie.
(3) Úřad vykonává působnost dozorového úřadu pro oblast ochrany
osobních údajů vyplývající z mezinárodních smluv, které jsou součástí
právního řádu.
§ 3
Působnost zákona
(1) Tento zákon se vztahuje na osobní údaje, které zpracovávají státní
orgány, orgány územní samosprávy, jiné orgány veřejné moci, jakož i
fyzické a právnické osoby.
(2) Tento zákon se vztahuje na veškeré zpracovávání osobních údajů, ať
k němu dochází automatizovaně nebo jinými prostředky.
(3) Tento zákon se nevztahuje na zpracování osobních údajů, které
provádí fyzická osoba výlučně pro osobní potřebu.
(4) Tento zákon se nevztahuje na nahodilé shromažďování osobních údajů,
pokud tyto údaje nejsou dále zpracovávány.
(5) Tento zákon se dále vztahuje na zpracování osobních údajů,
a) jestliže se právní řád České republiky použije přednostně na základě
mezinárodního práva veřejného, i když správce není usazen na území
České republiky,
b) jestliže správce, který je usazen mimo území Evropské unie, provádí
zpracování na území České republiky a nejedná se pouze o předání
osobních údajů přes území Evropské unie; v tomto případě je správce
povinen zmocnit postupem podle § 6 na území České republiky
zpracovatele.
Jestliže zpracování provádí správce prostřednictvím svých organizačních
jednotek umístěných na území Evropské unie, musí zajistit, že tyto
organizační jednotky budou zpracovávat osobní údaje v souladu s
národním právem příslušného členského státu Evropské unie.
(6) Ustanovení § 5 odst. 1 a § 11 a 12 se nepoužijí pro zpracování
osobních údajů nezbytných pro plnění povinností správce stanovených
zvláštními zákony pro zajištění
a) bezpečnosti České republiky,^4)
b) obrany České republiky,^5)
c) veřejného pořádku a vnitřní bezpečnosti,^6)
d) předcházení, vyhledávání, odhalování trestné činnosti a stíhání
trestných činů,^7)
e) významného hospodářského zájmu České republiky nebo Evropské
unie,^8)
f) významného finančního zájmu České republiky nebo Evropské unie,
kterým je zejména stabilita finančního trhu a měny, fungování peněžního
oběhu a platebního styku, jakož i rozpočtová a daňová opatření,^9)
g) výkonu kontroly, dozoru, dohledu a regulace spojených s výkonem
veřejné moci v případech uvedených v písmenech c), d), e) a f),^10)
nebo
h) činností spojených se zpřístupňováním svazků bývalé Státní
bezpečnosti.^10a)
§ 4
Vymezení pojmů
Pro účely tohoto zákona se rozumí
a) osobním údajem jakákoliv informace týkající se určeného nebo
určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo
určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat
zejména na základě čísla, kódu nebo jednoho či více prvků, specifických
pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní
nebo sociální identitu,
b) citlivým údajem osobní údaj vypovídající o národnostním, rasovém
nebo etnickém původu, politických postojích, členství v odborových
organizacích, náboženství a filozofickém přesvědčení, odsouzení za
trestný čin, zdravotním stavu a sexuálním životě subjektu údajů a
genetický údaj subjektu údajů; citlivým údajem je také biometrický
údaj, který umožňuje přímou identifikaci nebo autentizaci subjektu
údajů,
c) anonymním údajem takový údaj, který buď v původním tvaru nebo po
provedeném zpracování nelze vztáhnout k určenému nebo určitelnému
subjektu údajů,
d) subjektem údajů fyzická osoba, k níž se osobní údaje vztahují,
e) zpracováním osobních údajů jakákoliv operace nebo soustava operací,
které správce nebo zpracovatel systematicky provádějí s osobními údaji,
a to automatizovaně nebo jinými prostředky. Zpracováním osobních údajů
se rozumí zejména shromažďování, ukládání na nosiče informací,
zpřístupňování, úprava nebo pozměňování, vyhledávání, používání,
předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo
kombinování, blokování a likvidace,
f) shromažďováním osobních údajů systematický postup nebo soubor
postupů, jehož cílem je získání osobních údajů za účelem jejich dalšího
uložení na nosič informací pro jejich okamžité nebo pozdější
zpracování,
g) uchováváním osobních údajů udržování údajů v takové podobě, která je
umožňuje dále zpracovávat,
h) blokováním operace nebo soustava operací, kterými se na stanovenou
dobu omezí způsob nebo prostředky zpracování osobních údajů, s výjimkou
nezbytných zásahů,
i) likvidací osobních údajů se rozumí fyzické zničení jejich nosiče,
jejich fyzické vymazání nebo jejich trvalé vyloučení z dalších
zpracování,
j) správcem každý subjekt, který určuje účel a prostředky zpracování
osobních údajů, provádí zpracování a odpovídá za něj. Zpracováním
osobních údajů může správce zmocnit nebo pověřit zpracovatele, pokud
zvláštní zákon nestanoví jinak,
k) zpracovatelem každý subjekt, který na základě zvláštního zákona nebo
pověření správcem zpracovává osobní údaje podle tohoto zákona,
l) zveřejněným osobním údajem osobní údaj zpřístupněný zejména
hromadnými sdělovacími prostředky, jiným veřejným sdělením nebo jako
součást veřejného seznamu,
m) evidencí nebo datovým souborem osobních údajů (dále jen "datový
soubor") jakýkoliv soubor osobních údajů uspořádaný nebo
zpřístupnitelný podle společných nebo zvláštních kritérií,
n) souhlasem subjektu údajů svobodný a vědomý projev vůle subjektu
údajů, jehož obsahem je svolení subjektu údajů se zpracováním osobních
údajů,
o) příjemcem každý subjekt, kterému jsou osobní údaje zpřístupněny; za
příjemce se nepovažuje subjekt, který zpracovává osobní údaje podle § 3
odst. 6 písm. g).
HLAVA II
PRÁVA A POVINNOSTI PŘI ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
§ 5
(1) Správce je povinen
a) stanovit účel, k němuž mají být osobní údaje zpracovány,
b) stanovit prostředky a způsob zpracování osobních údajů,
c) zpracovat pouze přesné osobní údaje, které získal v souladu s tímto
zákonem. Je-li to nezbytné, osobní údaje aktualizuje. Zjistí-li
správce, že jím zpracované osobní údaje nejsou s ohledem na stanovený
účel přesné, provede bez zbytečného odkladu přiměřená opatření, zejména
zpracování blokuje a osobní údaje opraví nebo doplní, jinak osobní
údaje zlikviduje. Nepřesné osobní údaje lze zpracovat pouze v mezích
uvedených v § 3 odst. 6.^11) Nepřesné osobní údaje se musí označit.
Informaci o blokování, opravě, doplnění nebo likvidaci osobních údajů
je správce povinen bez zbytečného odkladu předat všem příjemcům,
d) shromažďovat osobní údaje odpovídající pouze stanovenému účelu a v
rozsahu nezbytném pro naplnění stanového účelu,
e) uchovávat osobní údaje pouze po dobu, která je nezbytná k účelu
jejich zpracování. Po uplynutí této doby mohou být osobní údaje
uchovávány pouze pro účely státní statistické služby, pro účely vědecké
a pro účely archivnictví. Při použití pro tyto účely je třeba dbát
práva na ochranu před neoprávněným zasahováním do soukromého a osobního
života subjektu údajů a osobní údaje anonymizovat, jakmile je to možné,
f) zpracovávat osobní údaje pouze v souladu s účelem, k němuž byly
shromážděny. Zpracovávat k jinému účelu lze osobní údaje jen v mezích
ustanovení § 3 odst. 6, nebo pokud k tomu dal subjekt údajů předem
souhlas,
g) shromažďovat osobní údaje pouze otevřeně; je vyloučeno shromažďovat
údaje pod záminkou jiného účelu nebo jiné činnosti,
h) nesdružovat osobní údaje, které byly získány k rozdílným účelům.
(2) Správce může zpracovávat osobní údaje pouze se souhlasem subjektu
údajů. Bez tohoto souhlasu je může zpracovávat,
a) jestliže provádí zpracování nezbytné pro dodržení právní povinnosti
správce,^12)
b) jestliže je zpracování nezbytné pro plnění smlouvy, jejíž smluvní
stranou je subjekt údajů, nebo pro jednání o uzavření nebo změně
smlouvy uskutečněné na návrh subjektu údajů,
c) pokud je to nezbytně třeba k ochraně životně důležitých zájmů
subjektu údajů. V tomto případě je třeba bez zbytečného odkladu získat
jeho souhlas. Pokud souhlas není dán, musí správce ukončit zpracování a
údaje zlikvidovat,
d) jedná-li se o oprávněně zveřejněné osobní údaje v souladu se
zvláštním právním předpisem.^13) Tím však není dotčeno právo na ochranu
soukromého a osobního života subjektu údajů,
e) pokud je to nezbytné pro ochranu práv a právem chráněných zájmů
správce, příjemce nebo jiné dotčené osoby; takové zpracování osobních
údajů však nesmí být v rozporu s právem subjektu údajů na ochranu jeho
soukromého a osobního života,
f) pokud poskytuje osobní údaje o veřejně činné osobě, funkcionáři či
zaměstnanci veřejné správy, které vypovídají o jeho veřejné anebo
úřední činnosti, o jeho funkčním nebo pracovním zařazení, nebo,
g) jedná-li se o zpracování výlučně pro účely archivnictví podle
zvláštního zákona.
(3) Provádí-li správce zpracování osobních údajů na základě zvláštního
zákona,^12) je povinen dbát práva na ochranu soukromého a osobního
života subjektu údajů.
(4) Subjekt údajů musí být při udělení souhlasu informován o tom, pro
jaký účel zpracování a k jakým osobním údajům je souhlas dáván, jakému
správci a na jaké období. Souhlas subjektu údajů se zpracováním
osobních údajů musí být správce schopen prokázat po celou dobu
zpracování.
(5) Provádí-li správce nebo zpracovatel zpracování osobních údajů za
účelem nabízení obchodu nebo služeb subjektu údajů, lze pro tento účel
použít jméno, příjmení a adresu subjektu údajů, pokud tyto údaje byly
získány z veřejného seznamu nebo v souvislosti se svojí činností
jakožto správce nebo zpracovatele. Správce nebo zpracovatel však nesmí
uvedené údaje dále zpracovávat, pokud s tím subjekt údajů vyslovil
nesouhlas. Nesouhlas se zpracováním je nutné vyjádřit písemně. Bez
souhlasu subjektu údajů nelze k uvedeným údajům přiřazovat další osobní
údaje.
(6) Správce, který zpracovává osobní údaje podle odstavce 5, může tyto
údaje předat jinému správci pouze za splnění těchto podmínek:
a) údaje subjektu údajů byly získány v souvislosti s činností správce
nebo se jedná o zveřejněné osobní údaje,
b) údaje budou využívány pouze za účelem nabízení obchodu a služeb,
c) subjekt údajů byl o tomto postupu správce předem informován a
nevyslovil s tímto postupem nesouhlas.
(7) Jiný správce, kterému byly předány údaje podle odstavce 6, nesmí
tyto údaje předávat jiné osobě.
(8) Nesouhlas se zpracováním podle odstavce 6 písm. c) musí subjekt
údajů učinit písemně. Správce je povinen informovat každého správce,
kterému předal jméno, příjmení a adresu subjektu údajů, o tom, že
subjekt údajů vyslovil nesouhlas se zpracováním.
(9) Za účelem vyloučení možnosti, že jméno, příjmení a adresa subjektu
údajů budou opakovaně použity k nabídce obchodu a služeb, je správce
oprávněn dále zpracovávat pro svoji vlastní potřebu jméno, příjmení a
adresu subjektu údajů přesto, že subjekt údajů vyslovil nesouhlas podle
odstavce 5.
§ 6
Pokud zmocnění nevyplývá z právního předpisu, musí správce se
zpracovatelem uzavřít smlouvu o zpracování osobních údajů. Smlouva musí
mít písemnou formu. Musí v ní být zejména výslovně uvedeno, v jakém
rozsahu, za jakým účelem a na jakou dobu se uzavírá a musí obsahovat
záruky zpracovatele o technickém a organizačním zabezpečení ochrany
osobních údajů.
§ 7
Povinnosti stanovené v § 5 platí obdobně také pro zpracovatele.
§ 8
Jestliže zpracovatel zjistí, že správce porušuje povinnosti stanovené
tímto zákonem, je povinen jej na to neprodleně upozornit a ukončit
zpracování osobních údajů. Pokud tak neučiní, odpovídá za škodu, která
subjektu údajů vznikla, společně a nerozdílně se správcem údajů. Tím
není dotčena jeho odpovědnost podle tohoto zákona.
§ 9
Citlivé údaje
Citlivé údaje je možné zpracovávat, jen jestliže
a) subjekt údajů dal ke zpracování výslovný souhlas. Subjekt údajů musí
být při udělení souhlasu informován o tom, pro jaký účel zpracování a k
jakým osobním údajům je souhlas dáván, jakému správci a na jaké období.
Existenci souhlasu subjektu údajů se zpracováním osobních údajů musí
být správce schopen prokázat po celou dobu zpracování. Správce je
povinen předem subjekt údajů poučit o jeho právech podle § 12 a 21,
b) je to nezbytné v zájmu zachování života nebo zdraví subjektu údajů
nebo jiné osoby nebo odvrácení bezprostředního závažného nebezpečí
hrozícího jejich majetku, pokud není možno jeho souhlas získat zejména
z důvodů fyzické, duševní či právní nezpůsobilosti, v případě, že je
nezvěstný nebo z jiných podobných důvodů. Správce musí ukončit
zpracování údajů, jakmile pominou uvedené důvody, a údaje musí
zlikvidovat, ledaže by subjekt údajů dal k dalšímu zpracování souhlas,
c) se jedná o zpracování při poskytování zdravotních služeb, ochrany
veřejného zdraví, zdravotního pojištění a výkon státní správy v oblasti
zdravotnictví podle zvláštního zákona^15) nebo se jedná o posuzování
zdravotního stavu v jiných případech stanovených zvláštním
zákonem,^15a)
d) je zpracování nezbytné pro dodržení povinností a práv správce
odpovědného za zpracování v oblasti pracovního práva a zaměstnanosti,
stanovené zvláštním zákonem,^16)
e) jde o zpracování, které sleduje politické, filosofické, náboženské
nebo odborové cíle, prováděné v rámci oprávněné činnosti občanského
sdružení, nadace nebo jiné právnické osoby nevýdělečné povahy (dále jen
"sdružení"), a které se týká pouze členů sdružení nebo osob, se kterými
je sdružení v opakujícím se kontaktu souvisejícím s oprávněnou činností
sdružení, a osobní údaje nejsou zpřístupňovány bez souhlasu subjektu
údajů,
f) se jedná o údaje podle zvláštního zákona nezbytné pro provádění
nemocenského pojištění, důchodového pojištění (zabezpečení), státní
sociální podpory a dalších státních sociálních dávek, sociálních
služeb, sociální péče, pomoci v hmotné nouzi, a sociálně-právní ochrany
dětí, a při zajištění ochrany těchto údajů v souladu se zákonem,
g) se zpracování týká osobních údajů zveřejněných subjektem údajů,
h) je zpracování nezbytné pro zajištění a uplatnění právních nároků,
ch) jsou zpracovány výlučně pro účely archivnictví podle zvláštního
zákona, nebo
i) se jedná o zpracování podle zvláštních zákonů při předcházení,
vyhledávání, odhalování trestné činnosti, stíhání trestných činů a
pátrání po osobách.
§ 10
Při zpracování osobních údajů správce a zpracovatel dbá, aby subjekt
údajů neutrpěl újmu na svých právech, zejména na právu na zachování
lidské důstojnosti, a také dbá na ochranu před neoprávněným zasahováním
do soukromého a osobního života subjektu údajů.
§ 11
(1) Správce je při shromažďování osobních údajů povinen subjekt údajů
informovat o tom, v jakém rozsahu a pro jaký účel budou osobní údaje
zpracovány, kdo a jakým způsobem bude osobní údaje zpracovávat a komu
mohou být osobní údaje zpřístupněny, nejsou-li subjektu údajů tyto
informace již známy. Správce musí subjekt údajů informovat o jeho právu
přístupu k osobním údajům, právu na opravu osobních údajů, jakož i o
dalších právech stanovených v § 21.
(2) V případě, kdy správce zpracovává osobní údaje získané od subjektu
údajů, musí subjekt údajů poučit o tom, zda je poskytnutí osobního
údaje povinné či dobrovolné. Je-li subjekt údajů povinen podle
zvláštního zákona osobní údaje pro zpracování poskytnout, poučí jej
správce o této skutečnosti, jakož i o následcích odmítnutí poskytnutí
osobních údajů.
(3) Informace a poučení podle odstavce 1 není povinen správce
poskytovat v případech, kdy osobní údaje nezískal od subjektu údajů,
pokud
a) zpracovává osobní údaje výlučně pro účely výkonu státní statistické
služby, vědecké nebo archivní účely a poskytnutí takových informací by
vyžadovalo neúměrné úsilí nebo nepřiměřeně vysoké náklady; nebo pokud
ukládání na nosiče informací nebo zpřístupnění je výslovně stanoveno
zvláštním zákonem. V těchto případech je správce povinen přijmout
potřebná opatření proti neoprávněnému zasahování do soukromého a
osobního života subjektu údajů,
b) zpracování osobních údajů mu ukládá zvláštní zákon nebo je takových
údajů třeba k uplatnění práv a povinností vyplývajících ze zvláštních
zákonů,
c) zpracovává výlučně oprávněně zveřejněné osobní údaje, nebo
d) zpracovává osobní údaje získané se souhlasem subjektu údajů.
(4) Předchozími ustanoveními nejsou dotčena práva subjektu údajů
požadovat informace podle zvláštních zákonů.^18)
(5) Při zpracování osobních údajů podle § 5 odst. 2 písm. e) a § 9
písm. h) je správce povinen bez zbytečného odkladu subjekt údajů
informovat o zpracování jeho osobních údajů.
(6) Žádné rozhodnutí správce nebo zpracovatele, jehož důsledkem je
zásah do právních a právem chráněných zájmů subjektu údajů, nelze bez
ověření vydat nebo učinit výlučně na základě automatizovaného
zpracování osobních údajů. To neplatí v případě, že takové rozhodnutí
bylo učiněno ve prospěch subjektu údajů a na jeho žádost.
(7) Informační povinnost upravenou v § 11 může za správce plnit
zpracovatel.
§ 12
Přístup subjektu údajů k informacím
(1) Požádá-li subjekt údajů o informaci o zpracování svých osobních
údajů, je mu správce povinen tuto informaci bez zbytečného odkladu
předat.
(2) Obsahem informace je vždy sdělení o
a) účelu zpracování osobních údajů,
b) osobních údajích, případně kategoriích osobních údajů, které jsou
předmětem zpracování, včetně veškerých dostupných informací o jejich
zdroji,
c) povaze automatizovaného zpracování v souvislosti s jeho využitím pro
rozhodování, jestliže jsou na základě tohoto zpracování činěny úkony
nebo rozhodnutí, jejichž obsahem je zásah do práva a oprávněných zájmů
subjektu údajů,
d) příjemci, případně kategoriích příjemců.
(3) Správce má právo za poskytnutí informace požadovat přiměřenou
úhradu nepřevyšující náklady nezbytné na poskytnutí informace.
(4) Povinnost správce poskytnout informace subjektu údajů upravenou v §
12 může za správce plnit zpracovatel.
Povinnosti osob při zabezpečení osobních údajů
§ 13
(1) Správce a zpracovatel jsou povinni přijmout taková opatření, aby
nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním
údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k
jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití
osobních údajů. Tato povinnost platí i po ukončení zpracování osobních
údajů.
(2) Správce nebo zpracovatel je povinen zpracovat a dokumentovat
přijatá a provedená technicko-organizační opatření k zajištění ochrany
osobních údajů v souladu se zákonem a jinými právními předpisy.
(3) V rámci opatření podle odstavce 1 správce nebo zpracovatel posuzuje
rizika týkající se
a) plnění pokynů pro zpracování osobních údajů osobami, které mají
bezprostřední přístup k osobním údajům,
b) zabránění neoprávněným osobám přistupovat k osobním údajům a k
prostředkům pro jejich zpracování,
c) zabránění neoprávněnému čtení, vytváření, kopírování, přenosu,
úpravě či vymazání záznamů obsahujících osobní údaje a
d) opatření, která umožní určit a ověřit, komu byly osobní údaje
předány.
(4) V oblasti automatizovaného zpracování osobních údajů je správce
nebo zpracovatel v rámci opatření podle odstavce 1 povinen také
a) zajistit, aby systémy pro automatizovaná zpracování osobních údajů
používaly pouze oprávněné osoby,
b) zajistit, aby fyzické osoby oprávněné k používání systémů pro
automatizovaná zpracování osobních údajů měly přístup pouze k osobním
údajům odpovídajícím oprávnění těchto osob, a to na základě zvláštních
uživatelských oprávnění zřízených výlučně pro tyto osoby,
c) pořizovat elektronické záznamy, které umožní určit a ověřit, kdy,
kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak
zpracovány, a
d) zabránit neoprávněnému přístupu k datovým nosičům.
§ 14
Zaměstnanci správce nebo zpracovatele a jiné osoby, které zpracovávají
osobní údaje na základě smlouvy se správcem nebo zpracovatelem, mohou
zpracovávat osobní údaje pouze za podmínek a v rozsahu správcem nebo
zpracovatelem stanoveném.
§ 15
(1) Zaměstnanci správce nebo zpracovatele, jiné fyzické osoby, které
zpracovávají osobní údaje na základě smlouvy se správcem nebo
zpracovatelem, a další osoby, které v rámci plnění zákonem stanovených
oprávnění a povinností přicházejí do styku s osobními údaji u správce
nebo zpracovatele, jsou povinni zachovávat mlčenlivost o osobních
údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo
zabezpečení osobních údajů. Povinnost mlčenlivosti trvá i po skončení
zaměstnání nebo příslušných prací.
(2) Ustanovením předchozího odstavce není dotčena povinnost zachovávat
mlčenlivost podle zvláštních zákonů.^19)
(3) Povinnost zachovávat mlčenlivost se nevztahuje na informační
povinnost podle zvláštních zákonů.^20)
§ 16
Oznamovací povinnost
(1) Ten, kdo hodlá jako správce zpracovávat osobní údaje nebo změnit
registrované zpracování podle tohoto zákona, s výjimkou zpracování
uvedených v § 18, je povinen tuto skutečnost písemně oznámit Úřadu před
zpracováváním osobních údajů.
(2) Oznámení musí obsahovat tyto informace:
a) identifikační údaje správce, u fyzické osoby, která není
podnikatelem, jméno, popřípadě jména, příjmení, datum narození a adresu
místa trvalého pobytu, u jiných subjektů obchodní firmu nebo název,
sídlo a identifikační číslo osoby, pokud bylo přiděleno, a jméno,
popřípadě jména, a příjmení osob, které jsou jejich statutárními
zástupci,
b) účel nebo účely zpracování,
c) kategorie subjektů údajů a osobních údajů, které se těchto subjektů
týkají,
d) zdroje osobních údajů,
e) popis způsobu zpracování osobních údajů,
f) místo nebo místa zpracování osobních údajů,
g) příjemce nebo kategorie příjemců,
h) předpokládaná předání osobních údajů do jiných států,
i) popis opatření k zajištění ochrany osobních údajů podle § 13.
(3) Obsahuje-li oznámení všechny náležitosti podle odstavce 2 a není-li
zahájeno řízení podle § 17 odst. 1, lze po uplynutí lhůty 30 dnů ode
dne doručení oznámení zahájit zpracování osobních údajů. Úřad v takovém
případě zapíše informace uvedené v oznámení do registru.
(4) Neobsahuje-li oznámení všechny náležitosti podle odstavce 2, Úřad
neprodleně zašle oznamovateli výzvu, v níž upozorní na chybějící nebo
nedostatečné informace a stanoví lhůtu k doplnění oznámení. V případě
doplnění oznámení začíná běžet lhůta podle odstavce 3 dnem doručení
doplnění oznámení. V případě, že Úřad neobdrží doplnění oznámení ve
stanovené lhůtě, nahlíží na učiněné oznámení tak, jako by nebylo
podáno.
(5) O provedení registrace vydá Úřad na žádost správce osvědčení, které
obsahuje datum vyhotovení, číslo jednací, jméno, příjmení a podpis
osoby, která osvědčení vydala, otisk úředního razítka, identifikační
údaje správce a účel zpracování.
(6) Je-li podle odstavce 1 oznámeno zpracování, které je předmětem
kontroly, Úřad registraci neprovede. Úřad registraci provede, jakmile
je kontrola ukončena.
§ 17
(1) Vznikne-li z oznámení důvodná obava, že při zpracování osobních
údajů by mohlo dojít k porušení tohoto zákona, zahájí Úřad z vlastního
podnětu řízení.
(2) Zjistí-li Úřad, že oznámeným zpracováním neporušuje správce
podmínky stanovené tímto zákonem, řízení zastaví a provede zápis podle
§ 16 odst. 3. Nejdříve dnem následujícím po provedení zápisu lze
zahájit zpracování osobních údajů. V případě, že oznámené zpracování
nesplňuje podmínky stanovené tímto zákonem, zpracování osobních údajů
Úřad nepovolí.
§ 17a
(1) Zjistí-li Úřad, že správce, jehož oznámení bylo zapsáno do
registru, porušuje podmínky stanovené tímto zákonem, rozhodne o zrušení
registrace.
(2) Pomine-li účel, pro který bylo zpracování zaregistrováno, Úřad z
vlastního podnětu nebo na žádost správce rozhodne o zrušení registrace.
§ 18
(1) Oznamovací povinnost podle § 16 se nevztahuje na zpracování
osobních údajů,
a) které jsou součástí datových souborů veřejně přístupných na základě
zvláštního zákona,
b) které správci ukládá zvláštní zákon nebo je takových osobních údajů
třeba k uplatnění práv a povinností vyplývajících ze zvláštního zákona,
nebo
c) jde-li o zpracování, které sleduje politické, filosofické,
náboženské nebo odborové cíle, prováděné v rámci oprávněné činnosti
sdružení, a které se týká pouze členů sdružení, nebo osob, se kterými
je sdružení v opakujícím se kontaktu souvisejícím s oprávněnou činností
sdružení, a osobní údaje nejsou zpřístupňovány bez souhlasu subjektu
údajů.
(2) Správce, který provádí zpracování podle § 18 odst. 1 písm. b), je
povinen zajistit, aby informace, týkající se zejména účelu zpracování,
kategorií osobních údajů, kategorií subjektů údajů, kategorií příjemců
a doby uchování, které by byly jinak přístupné prostřednictvím registru
vedeného Úřadem podle § 35, byly zpřístupněny, a to i dálkovým
přístupem nebo jinou vhodnou formou.
§ 19
Jestliže správce hodlá ukončit svoji činnost, je povinen Úřadu
neprodleně oznámit, jak naložil s osobními údaji, pokud se na jejich
zpracování vztahuje oznamovací povinnost.
§ 20
Likvidace osobních údajů
(1) Správce nebo na základě jeho pokynu zpracovatel je povinen provést
likvidaci osobních údajů, jakmile pomine účel, pro který byly osobní
údaje zpracovány, nebo na základě žádosti subjektu údajů podle § 21.
(2) Zvláštní zákon stanoví výjimky týkající se uchovávání osobních
údajů pro účely archivnictví a uplatňování práv v občanském soudním
řízení, trestním řízení a správním řízení.
Ochrana práv subjektů údajů
§ 21
(1) Každý subjekt údajů, který zjistí nebo se domnívá, že správce nebo
zpracovatel provádí zpracování jeho osobních údajů, které je v rozporu
s ochranou soukromého a osobního života subjektu údajů nebo v rozporu
se zákonem, zejména jsou-li osobní údaje nepřesné s ohledem na účel
jejich zpracování, může
a) požádat správce nebo zpracovatele o vysvětlení,
b) požadovat, aby správce nebo zpracovatel odstranil takto vzniklý
stav. Zejména se může jednat o blokování, provedení opravy, doplnění
nebo likvidaci osobních údajů.
(2) Je-li žádost subjektu údajů podle odstavce 1 shledána oprávněnou,
správce nebo zpracovatel odstraní neprodleně závadný stav.
(3) Pokud vznikla v důsledku zpracování osobních údajů subjektu údajů
jiná než majetková újma, postupuje se při uplatňování jejího nároku
podle zvláštního zákona.^22)
(4) Došlo-li při zpracování osobních údajů k porušení povinností
uložených zákonem u správce nebo u zpracovatele, odpovídají za ně
společně a nerozdílně.
(5) Správce je povinen bez zbytečného odkladu informovat příjemce o
žádosti subjektu údajů podle odstavce 1 a o blokování, opravě, doplnění
nebo likvidaci osobních údajů. To neplatí, pokud je informování
příjemce nemožné nebo by vyžadovalo neúměrné úsilí.
§ 22
zrušen
§ 23
zrušen
§ 24
zrušen
§ 25
Náhrada škody
V otázkách neupravených tímto zákonem se použije obecná úprava
odpovědnosti za škodu.^23), ^24)
§ 26
Povinnosti podle § 21 až 25 se obdobně vztahují i na osoby, které
shromáždily osobní údaje neoprávněně.
HLAVA III
PŘEDÁNÍ OSOBNÍCH ÚDAJŮ DO JINÝCH STÁTŮ
§ 27
(1) Volný pohyb osobních údajů nemůže být omezován, pokud jsou údaje
předány do členského státu Evropské unie.
(2) Do třetích zemí mohou být osobní údaje předány, pokud zákaz
omezování volného pohybu osobních údajů vyplývá z mezinárodní smlouvy,
k jejíž ratifikaci dal Parlament souhlas, a kterou je Česká republika
vázána,^1a) nebo jsou osobní údaje předány na základě rozhodnutí orgánu
Evropské unie. Informace o těchto rozhodnutích zveřejňuje Úřad ve
Věstníku.
(3) Není-li podmínka podle odstavců 1 a 2 splněna, může být předání
osobních údajů uskutečněno, jestliže správce prokáže, že
a) předání údajů se děje se souhlasem nebo na základě pokynu subjektu
údajů,
b) jsou v třetí zemi, kde mají být osobní údaje zpracovány, vytvořeny
dostatečné zvláštní záruky ochrany osobních údajů, například
prostřednictvím jiných právních nebo profesních předpisů a
bezpečnostních opatření. Takové záruky mohou být upřesněny zejména
smlouvou uzavřenou mezi správcem a příjemcem, pokud tato smlouva
zajišťuje uplatnění těchto požadavků nebo pokud smlouva obsahuje
smluvní doložky pro předání osobních údajů do třetích zemí zveřejněné
ve Věstníku Úřadu,
c) jde o osobní údaje, které jsou na základě zvláštního zákona součástí
datových souborů veřejně přístupných nebo přístupných tomu, kdo prokáže
právní zájem; v takovém případě lze osobní údaje zpřístupnit jen v
rozsahu a za podmínek stanovených zvláštním zákonem,
d) je předání nutné pro uplatnění důležitého veřejného zájmu
vyplývajícího ze zvláštního zákona nebo z mezinárodní smlouvy, kterou
je Česká republika vázána,
e) je předání nezbytné pro jednání o uzavření nebo změně smlouvy,
uskutečněné z podnětu subjektu údajů, nebo pro plnění smlouvy, jejíž
smluvní stranou je subjekt údajů,
f) je předání nezbytné pro plnění smlouvy uzavřené v zájmu subjektu
údajů mezi správcem a třetí stranou, nebo pro uplatnění jiných právních
nároků, nebo
g) je předání nezbytné pro ochranu práv nebo životně důležitých zájmů
subjektu údajů, zejména pro záchranu života nebo pro poskytnutí
zdravotních služeb.
(4) Před předáním osobních údajů do třetích zemí podle odstavce 3 je
správce povinen požádat Úřad o povolení k předání, nestanoví-li
zvláštní zákon jinak.^25) Při posuzování žádosti Úřad přezkoumá všechny
okolnosti související s předáním osobních údajů, zejména zdroj, konečné
určení a kategorie předávaných osobních údajů, účel a dobu zpracování,
s přihlédnutím k dostupným informacím o právních nebo jiných předpisech
upravujících zpracování osobních údajů ve třetí zemi. V povolení k
předání Úřad stanoví dobu, po kterou může správce předání provádět.
Pokud dojde ke změně podmínek, za kterých bylo povolení vydáno, zejména
na základě rozhodnutí orgánu Evropské unie, Úřad toto povolení změní
nebo zruší.
HLAVA IV
POSTAVENÍ A PŮSOBNOST ÚŘADU
§ 28
(1) Úřad je nezávislý orgán. Ve své činnosti postupuje nezávisle a řídí
se pouze zákony a jinými právními předpisy.
(2) Do činnosti Úřadu lze zasahovat jen na základě zákona.
(3) Činnost Úřadu je hrazena ze samostatné kapitoly státního rozpočtu
České republiky.
§ 29
(1) Úřad
a) provádí dozor nad dodržováním povinností stanovených zákonem při
zpracování osobních údajů,
b) vede registr zpracování osobních údajů,
c) přijímá podněty a stížnosti na porušení povinností stanovených
zákonem při zpracování osobních údajů a informuje o jejich vyřízení,
d) zpracovává a veřejnosti zpřístupňuje výroční zprávu o své činnosti,
e) vykonává další působnosti stanovené mu zákonem,
f) projednává přestupky a jiné správní delikty a uděluje pokuty podle
tohoto zákona,
g) zajišťuje plnění požadavků vyplývajících z mezinárodních smluv,
jimiž je Česká republika vázána, a z přímo použitelných předpisů
Evropské unie,
h) poskytuje konzultace v oblasti ochrany osobních údajů,
i) spolupracuje s obdobnými úřady jiných států, s orgány Evropské unie
a s orgány mezinárodních organizací působícími v oblasti ochrany
osobních údajů. Úřad v souladu s právem Evropské unie plní oznamovací
povinnost vůči orgánům Evropské unie.^25a)
(2) Při výkonu dozoru ve formě kontroly se postupuje podle zvláštního
právního předpisu.^26)
(3) Dozor nad zpracováním osobních údajů, které provádějí zpravodajské
služby, stanoví zvláštní právní předpis.^27)
§ 29a
(1) Ministerstvo vnitra nebo Policie České republiky poskytuje Úřadu
pro výkon působnosti stanovené tímto zákonem a dalšími právními
předpisy
a) referenční údaje ze základního registru obyvatel,
b) údaje z agendového informačního systému evidence obyvatel,
c) údaje z agendového informačního systému cizinců.
(2) Poskytovanými údaji podle odstavce 1 písm. a) jsou
a) příjmení,
b) jméno, popřípadě jména,
c) adresa místa pobytu,
d) datum narození.
(3) Poskytovanými údaji podle odstavce 1 písm. b) jsou
a) jméno, popřípadě jména, příjmení, popřípadě rodné příjmení,
b) datum narození,
c) adresa místa trvalého pobytu, včetně předchozích adres místa
trvalého pobytu,
d) počátek trvalého pobytu, popřípadě datum zrušení trvalého pobytu
nebo datum ukončení trvalého pobytu na území České republiky.
(4) Poskytovanými údaji podle odstavce 1 písm. c) jsou
a) jméno, popřípadě jména, příjmení, popřípadě rodné příjmení,
b) datum narození,
c) druh a adresa místa pobytu,
d) číslo a platnost oprávnění k pobytu,
e) počátek pobytu, popřípadě datum ukončení pobytu.
(5) Údaje, které jsou vedeny jako referenční údaje v základním registru
obyvatel, se využijí z agendového informačního systému evidence
obyvatel nebo agendového informačního systému cizinců, pouze pokud jsou
ve tvaru předcházejícím současný stav.
(6) Z poskytovaných údajů lze v konkrétním případě použít vždy jen
takové údaje, které jsou nezbytné ke splnění daného úkolu.
HLAVA V
ORGANIZACE ÚŘADU
§ 30
(1) Zaměstnanci Úřadu jsou předseda, inspektoři a další zaměstnanci.
(2) Kontrolní činnost Úřadu provádějí inspektoři a pověření zaměstnanci
(dále jen "kontrolující").
(3) Předseda Úřadu má nárok na plat, náhradu výdajů, naturální plnění a
odchodné jako prezident Nejvyššího kontrolního úřadu podle zvláštního
zákona.^26a)
(4) Inspektoři Úřadu mají nárok na plat, náhradu výdajů a naturální
plnění jako členové Nejvyššího kontrolního úřadu podle zvláštního
zákona.^26a)
§ 31
Kontrolní činnost Úřadu se provádí na základě kontrolního plánu nebo na
základě podnětů a stížností.
§ 32
Předseda Úřadu
(1) Úřad řídí předseda, kterého jmenuje a odvolává prezident republiky
na návrh Senátu Parlamentu České republiky.
(2) Předseda Úřadu je jmenován na dobu 5 let. Může být jmenován
maximálně na 2 po sobě jdoucí období. Předseda Úřadu se považuje za
služební orgán a je oprávněn dávat státnímu zaměstnanci příkazy k
výkonu státní služby podle zákona o státní službě.
(3) Předsedou Úřadu může být jmenován pouze občan České republiky,
který
a) je způsobilý k právním úkonům,
b) je bezúhonný, splňuje podmínky stanovené zvláštním právním
předpisem^30) a jeho znalosti, zkušenosti a morální vlastnosti jsou
předpokladem, že bude svoji funkci řádně zastávat,
c) má ukončené vysokoškolské vzdělání.
(4) Bezúhonnou je pro účel tohoto zákona fyzická osoba, která nebyla
pravomocně odsouzena pro úmyslný trestný čin nebo i trestný čin
spáchaný z nedbalosti v souvislosti se zpracováním osobních údajů.
(5) S výkonem funkce předsedy Úřadu je neslučitelná funkce poslance
nebo senátora, soudce, státního zástupce, jakákoliv funkce ve veřejné
správě, funkce člena orgánů územní samosprávy a členství v politických
stranách a hnutích.
(6) Předseda Úřadu nesmí zastávat jinou placenou funkci, být v dalším
pracovním poměru ani vykonávat výdělečnou činnost s výjimkou správy
vlastního majetku a činnosti vědecké, pedagogické, literární,
publicistické a umělecké, pokud tato činnost nenarušuje důstojnost nebo
neohrožuje důvěru v nezávislost a nestrannost Úřadu.
(7) Z funkce je předseda Úřadu odvolán, přestal-li splňovat některou z
podmínek pro jeho jmenování.
(8) Z funkce může být předseda odvolán také tehdy, jestliže nevykonává
po dobu 6 měsíců svoji funkci.
Inspektoři Úřadu
§ 33
(1) Inspektora jmenuje a odvolává prezident republiky na návrh Senátu
Parlamentu České republiky.
(2) Inspektor je jmenován na období 10 let. Může být jmenován
opakovaně.
(3) Inspektor řídí kontrolu a provádí další úkony, které jsou v
působnosti Úřadu.
(4) Činnosti podle odstavce 3 vykonává 7 inspektorů Úřadu.
§ 34
(1) Inspektorem může být jmenován občan České republiky, který je
způsobilý k právním úkonům, bezúhonný, splňuje podmínky stanovené
zvláštním právním předpisem^30) a má ukončené odborné vysokoškolské
vzdělání.
(2) S výkonem funkce inspektora je neslučitelná funkce poslance nebo
senátora, soudce, státního zástupce, jakákoliv funkce ve veřejné
správě, funkce člena orgánů územní samosprávy a členství v politických
stranách a hnutích. Inspektor nesmí zastávat jinou placenou funkci, být
v pracovním poměru ani vykonávat výdělečnou činnost s výjimkou správy
vlastního majetku a činnosti vědecké, pedagogické, literární,
publicistické a umělecké, pokud tato činnost nenarušuje důstojnost nebo
neohrožuje důvěru v nezávislost a nestrannost Úřadu.
(3) Z funkce je inspektor odvolán, přestal-li splňovat některou z
podmínek pro jeho jmenování.
HLAVA VI
ČINNOST ÚŘADU
§ 35
Registr
(1) Do registru zpracování osobních údajů se k osobám správců zapisují
informace z oznámení podle § 16 odst. 2 a datum provedení, případně
zrušení registrace.
(2) Informace zapsané do registru, s výjimkou informací uvedených v §
16 odst. 2 písm. e) a i), jsou veřejně přístupné, zejména způsobem
umožňujícím dálkový přístup.
(3) Zrušení registrace podle § 17a oznamuje Úřad ve Věstníku Úřadu.
§ 36
Výroční zpráva
(1) Výroční zpráva Úřadu obsahuje zejména informace o provedené
kontrolní činnosti a její zhodnocení, informace a zhodnocení stavu v
oblasti zpracovávání a ochrany osobních údajů v České republice a
zhodnocení ostatní činnosti Úřadu.
(2) Výroční zprávu předkládá předseda Úřadu pro informaci Poslanecké
sněmovně a Senátu Parlamentu České republiky a vládě České republiky do
2 měsíců po skončení rozpočtového roku a zveřejňuje ji.
§ 37
Oprávnění kontrolujícího na přístup k informacím
Kontrolující je při kontrole zpracování osobních údajů oprávněn
seznamovat se se všemi informacemi v rozsahu nezbytném pro dosažení
účelu kontroly, včetně citlivých údajů.
§ 38
Průkaz kontrolujícího
Kontrolující je povinen prokázat se kontrolovanému průkazem, jehož vzor
stanoví nařízení vlády a který je současně pověřením ke kontrole.
§ 39
zrušen
Opatření k nápravě
§ 40
Dojde-li k porušení povinnosti stanovené zákonem nebo uložené na jeho
základě při zpracování osobních údajů, uloží inspektor opatření k
odstranění zjištěných nedostatků a stanoví lhůtu pro jejich odstranění.
§ 40a
Dojde-li k nápravě protiprávního stavu v souladu s uloženým opatřením
nebo bezprostředně poté, kdy bylo zjištěno porušení povinnosti, může
Úřad upustit od uložení pokuty.
§ 41
zrušen
§ 42
zrušen
§ 43
zrušen
HLAVA VII
SPRÁVNÍ DELIKTY
§ 44
nadpis vypuštěn
(1) Fyzická osoba, která
a) je ke správci nebo zpracovateli v pracovním nebo jiném obdobném
poměru,
b) vykonává pro správce nebo zpracovatele činnosti na základě dohody,
nebo
c) v rámci plnění zvláštním zákonem uložených oprávnění a povinností
přichází u správce nebo zpracovatele do styku s osobními údaji,
se dopustí přestupku tím, že poruší povinnost mlčenlivosti (§ 15).
(2) Fyzická osoba se jako správce nebo zpracovatel dopustí přestupku
tím, že při zpracování osobních údajů
a) nestanoví účel, prostředky nebo způsob zpracování [§ 5 odst. 1 písm.
a) a b)] nebo stanoveným účelem zpracování poruší povinnost nebo
překročí oprávnění vyplývající ze zvláštního zákona,
b) zpracovává nepřesné osobní údaje [§ 5 odst. 1 písm. c)],
c) shromažďuje nebo zpracovává osobní údaje v rozsahu nebo způsobem,
který neodpovídá stanovenému účelu [§ 5 odst. 1 písm. d), f) až h)],
d) uchovává osobní údaje po dobu delší než nezbytnou k účelu zpracování
[§ 5 odst. 1 písm. e)],
e) zpracovává osobní údaje bez souhlasu subjektu údajů mimo případy
uvedené v zákoně (§ 5 odst. 2 a § 9),
f) neposkytne subjektu údajů informace v rozsahu nebo zákonem
stanoveným způsobem (§ 11),
g) odmítne subjektu údajů poskytnout požadované informace (§ 12 a 21),
h) nepřijme nebo neprovede opatření pro zajištění bezpečnosti
zpracování osobních údajů (§ 13),
i) nesplní oznamovací povinnost podle tohoto zákona (§ 16 a 27), nebo
j) neprovede ve stanovené lhůtě uložené opatření k nápravě.
(3) Fyzická osoba se jako správce nebo zpracovatel dopustí přestupku
tím, že při zpracování osobních údajů některým ze způsobů podle
odstavce 2
a) ohrozí větší počet osob svým neoprávněným zasahováním do soukromého
a osobního života, nebo
b) poruší povinnosti pro zpracování citlivých údajů (§ 9).
(4) Za přestupek podle odstavce 1 lze uložit pokutu do výše 100 000 Kč.
(5) Za přestupek podle odstavce 2 lze uložit pokutu do výše 1 000 000
Kč.
(6) Za přestupek podle odstavce 3 lze uložit pokutu do výše 5 000 000
Kč.
§ 44a
(1) Fyzická osoba se dopustí přestupku tím, že poruší zákaz zveřejnění
osobních údajů stanovený jiným právním předpisem.
(2) Za přestupek podle odstavce 1 lze uložit pokutu do 1 000 000 Kč.
(3) Za přestupek podle odstavce 1 spáchaný tiskem, filmem, rozhlasem,
televizí, veřejně přístupnou počítačovou sítí nebo jiným obdobně
účinným způsobem lze uložit pokutu do 5 000 000 Kč.
§ 45
nadpis vypuštěn
(1) Právnická osoba nebo fyzická osoba podnikající podle zvláštních
předpisů se jako správce nebo zpracovatel dopustí správního deliktu
tím, že při zpracování osobních údajů
a) nestanoví účel, prostředky nebo způsob zpracování [§ 5 odst. 1 písm.
a) a b)], nebo stanoveným účelem zpracování poruší povinnost nebo
překročí oprávnění vyplývající ze zvláštního zákona,
b) zpracovává nepřesné osobní údaje [§ 5 odst. 1 písm. c)],
c) shromažďuje nebo zpracovává osobní údaje v rozsahu nebo způsobem,
který neodpovídá stanovenému účelu [§ 5 odst. 1 písm. d), f) až h)],
d) uchovává osobní údaje po dobu delší než nezbytnou k účelu zpracování
[§ 5 odst. 1 písm. e)],
e) zpracovává osobní údaje bez souhlasu subjektu údajů mimo případy
uvedené v zákoně (§ 5 odst. 2 a § 9),
f) neposkytne subjektu údajů informace v rozsahu nebo zákonem
stanoveným způsobem (§ 11),
g) odmítne subjektu údajů poskytnout požadované informace (§ 12 a 21),
h) nepřijme nebo neprovede opatření pro zajištění bezpečnosti
zpracování osobních údajů (§ 13),
i) nesplní oznamovací povinnost podle tohoto zákona (§ 16 a 27),
j) nevede přehled případů porušení ochrany osobních údajů podle § 88
odst. 7 zákona o elektronických komunikacích, nebo
k) neprovede ve stanovené lhůtě uložené opatření k nápravě.
(2) Právnická osoba jako správce nebo zpracovatel se dopustí správního
deliktu tím, že při zpracování osobních údajů některým ze způsobů podle
odstavce 1
a) ohrozí větší počet osob svým neoprávněným zasahováním do soukromého
a osobního života, nebo
b) poruší povinnosti pro zpracování citlivých údajů (§ 9).
(3) Za správní delikt podle odstavce 1 se uloží pokuta do výše 5 000
000 Kč.
(4) Za správní delikt podle odstavce 2 se uloží pokuta do výše 10 000
000 Kč.
§ 45a
(1) Právnická osoba nebo podnikající fyzická osoba se dopustí správního
deliktu tím, že poruší zákaz zveřejnění osobních údajů stanovený jiným
právním předpisem.
(2) Za správní delikt podle odstavce 1 se uloží pokuta do 1 000 000 Kč.
(3) Za správní delikt podle odstavce 1 spáchaný tiskem, filmem,
rozhlasem, televizí, veřejně přístupnou počítačovou sítí nebo jiným
obdobně účinným způsobem se uloží pokuta do 5 000 000 Kč.
§ 46
nadpis vypuštěn
(1) Právnická osoba za správní delikt neodpovídá, jestliže prokáže, že
vynaložila veškeré úsilí, které bylo možno požadovat, aby porušení
právní povinnosti zabránila.
(2) Při rozhodování o výši pokuty se přihlíží zejména k závažnosti,
způsobu, době trvání a následkům protiprávního jednání a k okolnostem,
za nichž bylo protiprávní jednání spácháno.
(3) Odpovědnost právnické osoby za správní delikt zaniká, jestliže
správní orgán o něm nezahájil řízení do 1 roku ode dne, kdy se o něm
dozvěděl, nejpozději však do 3 let ode dne, kdy byl spáchán.
(4) Správní delikty podle tohoto zákona projednává v prvním stupni
Úřad.
(5) Na odpovědnost za jednání, k němuž došlo při podnikání fyzické
osoby nebo v přímé souvislosti s ním, se použijí ustanovení o
odpovědnosti a postihu právnické osoby.
(6) Pokuta je splatná do 30 dnů ode dne, kdy rozhodnutí o jejím uložení
nabylo právní moci.
(7) Pokutu vybírá Úřad. Výnos z pokut je příjmem státního rozpočtu.
HLAVA VIII
USTANOVENÍ SPOLEČNÁ, PŘECHODNÁ A ZÁVĚREČNÁ
§ 47
Opatření pro přechodné období
(1) Každý, kdo zpracovává ke dni nabytí účinnosti tohoto zákona osobní
údaje a na něhož se vztahuje povinnost oznámení podle § 16, je povinen
tak učinit nejpozději do 6 měsíců ode dne nabytí účinnosti tohoto
zákona.
(2) Zpracování osobních údajů prováděné před účinností tohoto zákona je
nutno uvést do souladu s tímto zákonem do 31. prosince 2001.
(3) V případě, že kontrolující zjistí porušení povinnosti podle
odstavce 2, ustanovení § 46 odst. 1 a 2 se v takovém případě do 31.
prosince 2002 nepoužijí.
§ 48
Zrušovací ustanovení
Zrušuje se zákon č. 256/1992 Sb., o ochraně osobních údajů v
informačních systémech.
ČÁST DRUHÁ
zrušena
§ 49
zrušen
ČÁST TŘETÍ
§ 50
Novela zákona o svobodném přístupu k informacím
Zákon č. 106/1999 Sb., o svobodném přístupu k informacím, se mění
takto:
1. V § 2 odstavec 3 včetně poznámky pod čarou č. 1) zní:
"(3) Zákon se nevztahuje na poskytování osobních údajů a informací
podle zvláštního právního předpisu.^1)
1) Například zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně
některých zákonů, a zákon č. 123/1998 Sb., o právu na informace o
životním prostředí.".
2. V § 5 odst. 3 se věta druhá nahrazuje větou, která včetně poznámky
pod čarou č. 3a) zní:
"Na tyto subjekty se pro tento účel nevztahuje povinnost zamezit
sdružování informací podle zvláštního právního předpisu.^3a)
3a) § 5 odst. 1 písm. h) zákona č. 101/2000 Sb., o ochraně osobních
údajů a o změně některých zákonů.".
3. V § 8 se odstavce 1 a 2 včetně nadpisu a poznámky pod čarou č. 5)
zrušují.
ČÁST ČTVRTÁ
ÚČINNOST
§ 51
Tento zákon nabývá účinnosti dnem 1. června 2000, s výjimkou ustanovení
§ 16, 17 a 35, která nabývají účinnosti dnem 1. prosince 2000.
Klaus v. r.
Havel v. r.
Zeman v. r.
Vybraná ustanovení novel
Čl.II zákona č. 439/2004 Sb.
Přechodná ustanovení
1. Oznámení a rozhodnutí ve věci registrace zpracování osobních údajů
podle § 16, 17 a 17a zákona č. 101/2000 Sb., o ochraně osobních údajů a
o změně některých zákonů, ve znění zákona č. 450/2001 Sb., podaná a
vydaná přede dnem nabytí účinnosti tohoto zákona zůstávají v platnosti.
2. Povolení k předání nebo předávání osobních údajů do jiného státu
vydané přede dnem nabytí účinnosti tohoto zákona pozbývá dnem nabytí
účinnosti tohoto zákona platnosti, pokud státem, pro který bylo
povolení určeno, je členský stát Evropské unie nebo stát, pro který
zákaz omezování volného pohybu osobních údajů vyplývá z vyhlášené
mezinárodní smlouvy, k jejíž ratifikaci dal Parlament souhlas, a kterou
je Česká republika vázána. Povolení k předání nebo předávání osobních
údajů do státu, který není uveden v předchozí větě, vydané přede dnem
nabytí účinnosti tohoto zákona zůstává v platnosti.
3. Řízení zahájené a neskončené přede dnem nabytí účinnosti tohoto
zákona se dokončí podle dosavadních právních předpisů, s výjimkou
řízení o povolení k předání nebo předávání osobních údajů do členského
státu Evropské unie nebo státu, pro který zákaz omezování volného
pohybu osobních údajů vyplývá z vyhlášené mezinárodní smlouvy, k jejíž
ratifikaci dal Parlament souhlas, a kterou je Česká republika vázána,
které se zastaví.
4. Správce provádějící zpracování osobních údajů, ke kterému podle
dosavadních právních předpisů nebylo zapotřebí registrace, a které ode
dne nabytí účinnosti tohoto zákona registraci podléhá, musí takové
zpracování osobních údajů oznámit Úřadu pro ochranu osobních údajů do 6
měsíců ode dne nabytí účinnosti tohoto zákona.
1) § 10 odst. 1 písm. a) zákona č. 480/2004 Sb., o některých službách
informační společnosti a o změně některých zákonů (zákon o některých
službách informační společnosti).
1) Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995
o ochraně jednotlivců v souvislosti se zpracováním osobních údajů a o
volném pohybu těchto údajů.
1a) Úmluva o ochraně osob se zřetelem na automatizované zpracování
osobních dat č. 108, vyhlášená pod č. 115/2001 Sb.m. s.
3) § 1 zákona č. 133/2000 Sb., o evidenci obyvatel a rodných číslech a
o změně některých zákonů (zákon o evidenci obyvatel), ve znění
pozdějších předpisů.
4) Například ústavní zákon č. 110/1998 Sb., o bezpečnosti České
republiky, ve znění zákona č. 300/2000 Sb., zákon č. 219/1999 Sb., o
ozbrojených silách České republiky, ve znění pozdějších předpisů, zákon
č. 238/2000 Sb., o Hasičském záchranném sboru České republiky a o změně
některých zákonů, ve znění pozdějších předpisů, zákon č. 240/2000 Sb.,
o krizovém řízení a o změně některých zákonů (krizový zákon), ve znění
zákona č. 320/2002 Sb., zákon č. 153/1994 Sb., o zpravodajských
službách České republiky, ve znění pozdějších předpisů, zákon č.
154/1994 Sb., o Bezpečnostní informační službě, ve znění pozdějších
předpisů, a zákon č. 148/1998 Sb., o ochraně utajovaných skutečností a
o změně některých zákonů, ve znění pozdějších předpisů.
5) Například zákon č. 222/1999 Sb., o zajišťování obrany České
republiky, ve znění zákona č. 320/2002 Sb., zákon č. 218/1999 Sb., o
rozsahu branné povinnosti a o vojenských správních úřadech (branný
zákon), ve znění pozdějších předpisů, zákon č. 219/1999 Sb., o
ozbrojených silách České republiky, ve znění pozdějších předpisů, a
zákon č. 124/1992 Sb., o Vojenské policii, ve znění pozdějších
předpisů.
6) Například zákon č. 240/2000 Sb., o krizovém řízení a o změně
některých zákonů (krizový zákon), ve znění zákona č. 320/2002 Sb.,
zákon č. 283/1991 Sb., o Policii České republiky, ve znění pozdějších
předpisů, a zákon č. 553/1991 Sb., o obecní policii, ve znění
pozdějších předpisů.
7) Například zákon č. 61/1996 Sb., o některých opatřeních proti
legalizaci výnosů z trestné činnosti a o změně a doplnění souvisejících
zákonů, ve znění pozdějších předpisů, zákon č. 141/1961 Sb., o trestním
řízení soudním (trestní řád), ve znění pozdějších předpisů, a zákon č.
200/1990 Sb., o přestupcích, ve znění pozdějších předpisů.
8) Například zákon č. 241/2000 Sb., o hospodářských opatřeních pro
krizové stavy a o změně některých souvisejících zákonů, ve znění
pozdějších předpisů, zákon č. 240/2000 Sb., o krizovém řízení a o změně
některých zákonů (krizový zákon), ve znění zákona č. 320/2002 Sb., a
zákon č. 148/1998 Sb., o ochraně utajovaných skutečností a o změně
některých zákonů, ve znění pozdějších předpisů.
9) Například zákon č. 218/2000 Sb., o rozpočtových pravidlech a o změně
některých souvisejících zákonů (rozpočtová pravidla), ve znění
pozdějších předpisů, zákon č. 250/2000 Sb., o rozpočtových pravidlech
územních rozpočtů, ve znění pozdějších předpisů, zákon č. 6/1993 Sb., o
České národní bance, ve znění pozdějších předpisů, a zákon č. 212/1992
Sb., o soustavě daní, ve znění zákona č. 302/1993 Sb.
10) Například zákon č. 166/1993 Sb., o Nejvyšším kontrolním úřadu, ve
znění pozdějších předpisů, zákon č. 337/1992 Sb., o správě daní a
poplatků, ve znění pozdějších předpisů, a zákon č. 552/1991 Sb., o
státní kontrole, ve znění pozdějších předpisů.
10a) Zákon č. 140/1996 Sb., o zpřístupnění svazků vzniklých činností
bývalé Státní bezpečnosti, ve znění zákona č. 107/2002 Sb.
11) Například zákon č. 13/1993 Sb., celní zákon, ve znění pozdějších
předpisů.
12) Například zákon č. 111/1998 Sb., o vysokých školách a o změně a
doplnění dalších zákonů (zákon o vysokých školách), ve znění pozdějších
předpisů, zákon č. 564/1990 Sb., o státní správě a samosprávě ve
školství, ve znění pozdějších předpisů, zákon č. 153/1994 Sb., o
zpravodajských službách České republiky, ve znění pozdějších předpisů,
zákon č. 154/2000 Sb., o šlechtění, plemenitbě a evidenci hospodářských
zvířat a o změně některých souvisejících zákonů (plemenářský zákon), ve
znění pozdějších předpisů, zákon č. 166/1999 Sb., o veterinární péči a
o změně některých souvisejících zákonů (veterinární zákon), ve znění
pozdějších předpisů, zákon č. 246/1992 Sb., na ochranu zvířat proti
týrání, ve znění pozdějších předpisů, zákon č. 147/1996 Sb., o
rostlinolékařské péči a změnách některých souvisejících zákonů, ve
znění pozdějších předpisů, a zákon č. 219/2003 Sb., o uvádění do oběhu
osiva a sadby pěstovaných rostlin a o změně některých zákonů (zákon o
oběhu osiva a sadby).
13) Zákon č. 81/1966 Sb., o periodickém tisku a o ostatních hromadných
informačních prostředcích, ve znění pozdějších předpisů.
15) Například zákon č. 20/1966 Sb., o péči o zdraví lidu, ve znění
pozdějších předpisů, zákon č. 258/2000 Sb., o ochraně veřejného zdraví
a o změně některých souvisejících zákonů, ve znění pozdějších předpisů,
zákon č. 48/1997 Sb., o veřejném zdravotním pojištění a o změně a
doplnění některých souvisejících zákonů, ve znění pozdějších předpisů,
zákon č. 280/1992 Sb., o resortních, oborových, podnikových a dalších
zdravotních pojišťovnách, ve znění pozdějších předpisů, zákon č.
551/1991 Sb., o Všeobecné zdravotní pojišťovně České republiky, ve
znění pozdějších předpisů, a zákon č. 592/1992 Sb., o pojistném na
všeobecné zdravotní pojištění, ve znění pozdějších předpisů.
15a) Například zákon č. 582/1991 Sb., o organizaci a provádění
sociálního zabezpečení, ve znění pozdějších předpisů.
16) Například zákon č. 65/1965 Sb., zákoník práce, ve znění pozdějších
předpisů, zákon č. 1/1992 Sb., o mzdě, odměně za pracovní pohotovost a
o průměrném výdělku, ve znění pozdějších předpisů, zákon č. 218/2002
Sb., o službě státních zaměstnanců ve správních úřadech a o odměňování
těchto zaměstnanců a ostatních zaměstnanců ve správních úřadech
(služební zákon), ve znění pozdějších předpisů, a zákon č. 1/1991 Sb.,
o zaměstnanosti, ve znění pozdějších předpisů.
18) Například zákon č. 123/1998 Sb., o právu na informace o životním
prostředí, zákon č. 367/1990 Sb., o obcích (obecní zřízení), ve znění
pozdějších předpisů, zákon č. 106/1999 Sb., o svobodném přístupu k
informacím.
19) Například zákon č. 148/1998 Sb., ve znění pozdějších předpisů,
zákon č. 89/1995 Sb., zákon č. 20/1966 Sb., ve znění pozdějších
předpisů, zákon č. 15/1998 Sb., o Komisi pro cenné papíry a o změně a
doplnění dalších zákonů.
20) Například § 167 a 168 zákona č. 140/1961 Sb., trestní zákon, ve
znění pozdějších předpisů, zákon č. 21/1992 Sb., o bankách, ve znění
pozdějších předpisů, zákon č. 20/1966 Sb., ve znění pozdějších
předpisů.
22) § 13 občanského zákoníku.
23) Zákon č. 40/1964 Sb., ve znění pozdějších předpisů.
24) Zákon č. 513/1991 Sb., obchodní zákoník, ve znění pozdějších
předpisů.
25) Například § 5c zákona č. 1/1991 Sb., o zaměstnanosti, ve znění
zákona č. 167/1999 Sb., zákona č. 155/2000 Sb. a zákona č. 220/2002
Sb., § 71a zákona č. 325/1999 Sb., o azylu a o změně zákona č. 283/1991
Sb., o Policii České republiky, ve znění pozdějších předpisů, (zákon o
azylu), ve znění zákona č. 2/2002 Sb., § 35 odst. 3 zákona č. 359/1999
Sb., o sociálně-právní ochraně dětí, ve znění pozdějších předpisů, a §
4a odst. 3 zákona č. 13/1993 Sb., celní zákon, ve znění zákona č.
1/2002 Sb.
25a) Článek 8 odst. 6 a článek 26 odst. 3 Směrnice č. 95/46/ES.
26) Zákon č. 552/1991 Sb., o státní kontrole, ve znění pozdějších
předpisů.
26a) Zákon č. 236/1995 Sb., o platu a dalších náležitostech spojených s
výkonem funkce představitelů státní moci a některých státních orgánů a
soudců, ve znění pozdějších předpisů.
27) § 12 zákona č. 153/1994 Sb.
30) Zákon č. 451/1991 Sb.
31) Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o
bezpečnostní způsobilosti.
32) Zákon č. 71/1967 Sb., o správním řízení (správní řád), ve znění
zákona č. 29/2000 Sb.