Zákon o ochraně osobních údajů: Porovnání verzí

Autor: Jiří Krišpin

Klíčová slova: osobní údaj, subjekt osobních údajů, správce, zpracovatel, automatizované zpracování, Úřad pro ochranu osobních údajů

Synonyma: ---

Související pojmy:

nadřazené – právo, sbírka zákonů České republiky, státní legislativa

podřazené – ---

Vznik zákona č. 101/2000 Sb. a Úřadu pro ochranu osobních údajů

4. dubna roku 2000 vešel do účinnosti zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, který je krátce nazýván Zákon o ochraně osobních údajů a společně se svými četnými změnami (zákony č. 227/2000 Sb., č. 177/2001 Sb., č. 450/2001 Sb., č. 107/2002 Sb., č. 310/2002 Sb., č. 517/2002 Sb., č. 439/2004 Sb., č. 480/2004 Sb., č. 626/2004 Sb., č. 413/2005 Sb., č. 444/2005 Sb., č. 109/2006 Sb., č. 112/2006 Sb., č. 267/2006 Sb., č. 342/2006 Sb., č. 170/2007 Sb., č. 41/2009 Sb., č. 52/2009 Sb. a č. 227/2009 Sb.) v návaznosti na právo jednotlivce na ochranu soukromí, právo Evropských společenství a uzavřené mezinárodní smlouvy upravuje práva a povinnosti týkající se zpracování osobních údajů a ochraňuje je tak před zneužitím. Na to dohlíží ze zákona zřízený Úřad pro ochranu osobních údajů sídlící v Praze, jenž funguje jako ústřední správní úřad ochrany osobních údajů, který se při své činnosti opírá jak o zákon, tak o výše zmíněné mezinárodní smlouvy, které jsou součástmi právního řádu a přímo použitelné předpisy Evropských společenství. Úřad pro ochranu osobních údajů také provádí dozor nad ochranou osobních údajů plynoucích z v právním řádě použitých mezinárodních smluv.

Oblasti vlivu zákona o ochraně osobních údajů

1) Zákon se zabývá osobními údaji, jenž zpracovávají státní orgány společně s orgány územní samosprávy a také fyzické a právnické osoby.

2) Zákon se zabývá veškerým zpracováním osobních údajů (automatizovaným i jiným).

3) Zákon se nezabývá zpracováváním osobních údajů, prováděném fyzickou osobou pro osobní potřebu.

4) Zákon se nezabývá neúmyslným shromažďováním osobních údajů (jestliže nejsou zpracovávány).

Pojmy se kterými zákon pracuje

1) Osobní údaj – tímto údajem se myslí libovolná informace týkající se konkrétního subjektu údajů, který lze určit např. pomocí čísla, kódu, podoby, …

2) Citlivý údaj – je chápán jako informace o národnostní, rasové či etnické příslušnosti, politickém názoru, náboženském přesvědčení, o členství v odborové organizaci, odsouzení za trestný čin, sexuálním životě a zdravotním stavu. Citlivým údajem je i genetická informace, otisk prstů a další biometrická data.

3) Anonymní údaj – u takovéto informace nelze vzhledem k její povaze nebo stavu, jakým byla upravena určit subjekt údajů, jemuž náleží.

4) Subjekt údajů – fyzická osoba, od které osobní údaje pocházejí.

5) Zpracování osobních údajů – jsou činnosti, které správci nebo zpracovatelé těchto informací s nimi systematicky provádějí jak automatizovaně, tak i jinak. Zákon za ně považuje shromažďování osobních údajů, jejich zaznamenávání, zpřístupňování, úpravu či pozměňování, vyhledávání, užívání, poskytování, šíření, uveřejňování, uschovávání, směňování, třídění, kombinování, blokování a skartování.

6) Shromažďování osobních údajů – získávání a ukládání osobních údajů s úmyslem je okamžitě nebo později zpracovat.

7) Uchování osobních údajů – opatrování údajů ve formě, jenž je dovoluje zpracovávat.

8) Blokování osobních údajů – znepřístupnění údajů na určitou dobu, při které je nejde zpracovávat.

9) Likvidace osobních údajů – může probíhat likvidací nosiče, na kterém jsou zaznamenány, jejich vymazáním z něho, či úplné vyloučení ze zpracovávání.

10) Správce – je název pro subjekt, jenž za určitým cílem s použitím zvolených prostředků zpracovává osobní údaje, a za tuto činnost zodpovídá. Zpracování však za něj může provádět i zpracovatel.

11) Zpracovatel – subjekt, jenž dle zákona nebo z vůle správce provádí zpracování osobních údajů.

12) Zveřejněný osobní údaj – je údaj publikovaný sdělovacími médii, prezentovaný na veřejnosti či jako součást veřejně přístupného seznamu.

13) Evidence či datový soubor osobních údajů – soubor osobních údajů uspořádaný nebo zpřístupnitelný dle společných či speciálních kritérií.

14) Souhlas subjektu údajů – je souhlas subjektu údajů se zpracováním svých osobních údajů.

15) Příjemce – je subjekt, jemuž jsou osobní údaje zpřístupněny.

Práva a povinnosti správce osobních údajů

1) Správce osobních údajů musí:

a) určit účel zpracování osobních údajů,

b) vybrat jakými prostředky a jak se budou osobní údaje zpracovávat,

c) zpracovávat pouze přesné údaje, pokud pracuje s nepřesnými osobními údaji, musí zpracování blokovat a údaje doplnit, opravit, nebo zlikvidovat. Nepřesné údaje je třeba označit a o nakládání s nimi informovat všechny příjemce,

d) shromažďovat pouze nezbytné osobní údaje v odpovídajícím rozsahu,

e) uchovávat osobní údaje pouze do konce jejich zpracování. Nadále opatrovat je lze pouze pro účely státní statistické služby, vědecké a archivní za předpokladu, že bude zajištěna jejich ochrana před zneužitím a co nejrychlejší anonymizace,

f) zpracovávat osobní údaje jen za účelem, ke kterému byly poskytnuty. Zpracovávat je jinak lze pouze po předchozím souhlasu subjektu údajů,

g) shromažďovat osobní údaje pouze pro předem oznámený účel,

h) nekombinovat osobní údaje shromážděné k různým účelům.

2) Bez souhlasu subjektu údajů může správce osobní údaje zpracovávat pokud:

a) je to třeba pro dodržení právní povinnosti správce (např. státu, policie, armády, …),

b) je to nutné k ochránění životně důležitých zájmů subjektu údajů. Je však třeba co nejdříve získat jeho souhlas s tímto zpracováním a pokud ho k tomu nedá, údaje zlikvidovat,

c) takové zpracování ochraňuje práva a právem chráněné zájmy správce, příjemce či další osoby. Toto zpracování ale nesmí kolidovat s právem subjektu údajů na ochranu soukromí a osobního života.

Při udílení souhlasu se zpracováním svých osobních údajů musí být subjekt seznámen s tím, o jaké osobní údaje se jedná, proč, kým a po jakou dobu budou zpracovávány. Existenci tohoto souhlasu je pak správce povinen doložit po celou dobu zpracování.

Shora uvedené povinnosti obdobně platí též pro zpracovatele.

Dotaz na zpracování osobních údajů

1) Pokud o to subjekt údajů požádá, musí mu správce co nejrychleji podat informaci o jeho osobních údajích.

2) Tato informace vždy subjekt údajů zpravuje o:

a) účelu zpracování osobních údajů,

b) zpracovávaných osobních údajích, spolu se všemi informacemi o jejich zdroji,

c) o automatizovaném zpracování, pokud jsou na jeho podkladě uskutečňovány takové úkony či rozhodnutí, jenž zasahují do práv a oprávněných zájmů subjektu údajů,

d) příjemcích zpracovaných údajů či jejich kategoriích.

3) Správce je oprávněn požadovat proplacení nákladů vynaložených na poskytnutí informace.

4) Poskytovat informace subjektu údajů může za správce zpracovatel.

Zabezpečení osobních údajů

1) Správce i zpracovatel musí zavést taková opatření, aby se nikdo neoprávněný úmyslně nebo náhodou nedostal ke zpracovávaným osobním údajům, aby nemohlo dojít k jejich změnám, ničením a ztrátám, nepovoleným přenosům, zpracováním a dalším typům zneužití. Tato opatření musí trvat i po skončení zpracování.

2) Správce i zpracovatel musí evidovat všechna svá opatření na ochranu osobních údajů.

3)Správce či zpracovatel bdí nad:

a) prací osob, které mají k osobním údajům přístup,

b) znemožněním přístupu neoprávněných osob k osobním údajům a prostředkům k jejich zpracovávání,

c) znemožněním nepovoleného čtení, vytváření, kopírování, přenosu, úpravě a vymazání záznamů osobních údajů,

d) opatřeními, jež určují a ověřují příjemce osobních údajů.

4) V případě automatizovaného zpracování osobních údajů je správce či zpracovatel povinen zajistit též:

a) obsluhu systémů pro zpracovávání osobních údajů pouze oprávněnými osobami,

b) aby fyzické osoby obsluhující tyto systémy zpracovávali pouze ty osobní údaje, k jejich zpracování mají oprávnění,

c) vytvářet elektronické záznamy o tom, kým, kdy a proč byly osobní údaje zpracovány a zaznamenávány,

d) zabránit nepovolenému přístupu k datovým nosičům.

Oznámení o započetí zpracování osobních údajů

1) Osoba, která hodlá zpracovávat, či změnit již zaregistrované zpracování osobních údajů o tom musí předtím písemně informovat Úřad pro ochranu osobních údajů.

2) Toto oznámení musí obsahovat tyto náležitosti:

a) v případě fyzické osoby, jenž není podnikatelem jméno, příjmení, datum narození a trvalé bydliště, u právnické osoby její název, adresu sídla, identifikační číslo osoby (pokud ho má) a jména a příjmení osob, jež jsou jejími zástupci,

b) účel zpracování osobních údajů,

c) kategorie subjektů údajů a jejich osobních údajů,

d) zdroje, z kterých osobní údaje pochází,

e) popis jejich zpracování,

f) místo této činnosti,

g) příjemce či jejich kategorie,

h) informace o případném předání osobních údajů do jiných států,

ch) opatření na ochranu osobních údajů.

3) Má-li oznámení všechny potřebné náležitosti, je možno 30 dnů od data doručení začít zpracovávat osobní údaje. Informace podané zpracovatelem jsou zapsány do registru. Při konci své činnosti musí správce bez odkladu oznámit Úřadu pro ochranu osobních údajů, jak se zpracovávanými osobními údaji naložil.

Likvidace osobních údajů

1) V případě, že pomine účel, pro který byly osobní údaje zpracovávány, nebo o to oprávněně požádá subjekt údajů, musí je jejich správce či zpracovatel zlikvidovat.

2) Pro účely archivnictví, občanského soudního řízení, správního řízení a trestního řízení mohou být osobní údaje uchovány.

Ochrana práv náležícím subjektu údajů

1) Subjekt údajů, jenž zjistí, či se domnívá, že jeho osobní údaje jsou zpracovávány v rozporu se zákonem nebo na úkor jeho osobních práv, či jsou nepřesné vzhledem k účelu zpracování, může po správci a zpracovateli žádat:

a) vysvětlení,

b) nápravu provedenou blokováním, opravením, doplněním či likvidací osobních údajů.

2) Při opodstatněné žádosti subjektu údajů je správce či zpracovatel povinen ihned sjednat nápravu.

3) Pokud správce či zpracovatel na žádost nereaguje, má subjekt údajů možnost obrátit se na Úřad pro ochranu osobních údajů.

4) Subjekt údajů se však může obrátit na Úřad pro ochranu osobních údajů i přímo.

5) Za porušení zákona odpovídají správce a zpracovatel za vzniklý stav společně a nerozdílně.

6) Pokud je to možné, musí správce bezodkladně uvědomit příjemce o žádosti subjektu údajů ohledně osobních údajů a jejich případném blokování, opravě, doplnění či likvidaci.

Úřad pro ochranu osobních údajů

1) Úřad pro ochranu osobních údajů je nezávislý orgán, jenž se při své činnosti řídí pouze zákony a právními předpisy.

2) Do jeho práce je možno zasahovat jen na základě zákona.

3) Tento úřad je hrazen ze státního rozpočtu.

Úřad pro ochranu osobních údajů:

a) dozírá na dodržování pravidel zpracování osobních údajů,

b) spravuje registr těchto zpracování,

c) je příjemcem stížností týkajících se zpracování osobních údajů a uvědomuje o způsobu jejich vyřízení,

d) vyhotovuje a zpřístupňuje svou výroční zprávu,

e) provádí další činnost stanovenou mu zákonem,

f) vyšetřuje přestupky a další delikty, které pokutuje dle zákona,

g) garantuje plnění závazků vycházejících z mezinárodních smluv a přímo použitelných předpisů Evropských společenství,

h) provádí konzultace ohledně ochrany osobních údajů,

ch) na mezinárodní úrovni spolupracuje s jinými orgány a úřady zabývajícími se ochranou osobních údajů, k orgánům Evropské unie má oznamovací povinnost.

Použitá literatura

Česká republika. Zákon ze dne 4. dubna 2000 o ochraně osobních údajů a změně některých zákonů. In •Sbírka zákonů, Česká republika. 2000, částka 32/2000 Sb. , č. 101, s. 1521-1533.