Český parlament přijal adaptační zákon k GDPR

Dne 12. března 2019 byly v Poslanecké sněmovně schváleny dva návrhy tzv. adaptačních zákonů k GDPR, které předtím Senát vrátil s připomínkami směřujícími zejména proti rozšíření působností Úřadu pro ochranu osobních údajů („ÚOOÚ“) v oblasti práva na informace a proti pouhému snížení pokut pro některé veřejné subjekty.

Zákon o zpracování osobních údajů („ZoZOÚ“), jenž nahradí nynější zákon č. 101/2000 Sb., o ochraně osobních údajů, byl přijat v senátní verzi. Naopak u doprovodného zákona, kterým se mění některé zákony v souvislosti s přijetím zákona o zpracování osobních údajů („doprovodný zákon“), poslanci setrvali na svém původním návrhu. Nová pravidla ochrany soukromí dne 10. dubna 2019 podepsal prezident.

Záměrem ZoZOÚ a doprovodného zákona je vedle uzákonění výjimek připuštěných v GDPR a zpřesnění některých definic z GDPR rovněž implementace dvou trestněprávních směrnic.

Přijetí zákonů bude mít vliv např. na:

• hranici tzv. internetové zletilosti (finálně stanovena na 15 let),
• pojem chráněný zájem dle GDPR a související výjimky,
• výjimku z posouzení vlivu na ochranu osobních údajů,
• povinnost některých veřejných orgánů jmenovat pověřence pro ochranu osobních údajů (DPO),
• nemožnost pokutovat některé veřejné subjekty,
• akreditaci GDPR certifikačních autorit,
• zpracování osobních údajů pro novinářské účely,
• novelizaci bezmála 40 zákonů, která se promítne především do sféry trestního práva.

Díky adaptačnímu balíčku bude do zákona č. 106/1999 Sb., o svobodném přístupu k informacím vloženo nové ustanovení zavádějící institut tzv. informačního příkazu vůči povinnému subjektu poskytnout žadateli požadovanou informaci podle výše uvedeného zákonu. Podle nových ustanovení informačního zákona se bude postupovat s účinností od 1. ledna 2020.

Žádné pokuty pro vybrané veřejné subjekty

ZoZOÚ ve své finální podobě zcela upouští od možnosti uložit správní tresty za nesprávné nakládání s osobními údaji některým veřejnoprávním subjektům (obce nevykonávající přenesenou působnost v rozsahu obecního úřadu obce s rozšířenou působností a školská zařízení zřizovaná obcemi), jak požadoval Senát argumentující tím, že by jen docházelo k přesouvání peněz v rámci veřejných rozpočtů. Dle původního návrhu měla být pouze snížena maximální hranice pokut.

Konsolidované znění adaptačního zákona je dostupné zde.

První pokuty za porušení GDPR v zahraničí

Polský Úřad ochrany osobních údajů informoval o uložení sankce ve výši 943 000 polských zlotých (přibližně 220 000 EUR). Pokuta byla uložena za nesplnění informační povinnosti. Úřad informoval, že až šest milionů subjektů o zpracování vůbec nevědělo, a tím pádem nemohly ani vykonat práva, která jim dle GDPR náleží. Společnost, jíž byla pokuta udělena, data získala z veřejně přístupné obdoby našeho živnostenského a obchodního rejstříku a v případu argumentovala tím, že splnit informační povinnost vůči osobám, u kterých nedisponovala e-mailovou adresou, by bylo příliš nákladné. Vzhledem k tomu, že společnost disponovala telefonními čísly a poštovními adresami subjektů, úřad na tuto argumentaci nepřistoupil.

V Dánsku pak příslušný úřad usiluje o udělení pokuty provozovateli taxi služby za příliš dlouhé uchovávání osobních údajů, konkrétně za uchovávání telefonních čísel po dobu pěti let bez dostatečného odůvodnění. Navrhovaná sankce odpovídá 160 000 EUR, musí však být nejprve schválena dánskými soudy.

Informace polského úřadu o udělené pokutě jsou dostupné zde.

Nenechte si ujít ani další aktuality z oblastí IP/IT práva, telekomunikací a médií, e-commerce a dalších technologií, sledujte všechny novinky pod tagem TechLaw zpravodaj.

Článek je také součástí zpravodaje dReport – duben 2019, Právní novinky.