lex.One
něco nefunguje?
č. 110/2019 Sb.Účinnost od: 2019-04-24V platnosti
Synch.: 10. 5. 2026 09:13
Graf vazeb →
Verze: pouze aktuální znění (historické verze nejsou k dispozici)

Zákon o zpracování osobních údajů

110 ZÁKON ze dne 12. března 2019 o zpracování osobních údajů Parlament se usnesl na tomto zákoně České republiky:

ČÁST PRVNÍ — ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

HLAVA I — ZÁKLADNÍ USTANOVENÍ

§ 1
(1)Tento zákon zapracovává příslušné předpisy Evropské unie1), zároveň navazuje na přímo použitelný předpis Evropské unie2) a k naplnění práva každého na ochranu soukromí upravuje práva a povinnosti při zpracování osobních údajů.
GrafBECKASPI
§ 2

Předmět úpravy

(1)Tento zákon upravuje
  • a)zpracování osobních údajů podle nařízení Evropského parlamentu a Rady (EU) 2016/6792),
  • b)zpracování osobních údajů příslušnými orgány za účelem předcházení, vyhledávání nebo odhalování trestné činnosti, stíhání trestných činů, výkonu trestů a ochranných opatření, zajišťování bezpečnosti České republiky nebo zajišťování veřejného pořádku a vnitřní bezpečnosti, včetně pátrání po osobách a věcech,
  • c)zpracování osobních údajů při zajišťování obranných a bezpečnostních zájmů České republiky,
  • d)další zpracování osobních údajů, které mají být nebo jsou zařazeny do evidence nebo jejichž zpracování probíhá zcela nebo částečně automatizovaně, nejde-li o zpracování osobních údajů fyzickou osobou v průběhu výlučně osobních nebo domácích činností, a
  • e)postavení a pravomoc Úřadu pro ochranu osobních údajů (dále jen „Úřad“).
GrafBECKASPI
§ 3

Působnost zákona

(1)Subjektem údajů se rozumí fyzická osoba, k níž se osobní údaje vztahují.
GrafBECKASPI

HLAVA II — Subjekt údajů

Díl 1 — ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ PODLE PŘÍMO POUŽITELNÉHO PŘEDPISU EVROPSKÉ UNIE — Obecná ustanovení — Působnost

§ 4
(1)Ustanovení této hlavy se použijí při zpracování osobních údajů podle nařízení Evropského parlamentu a Rady (EU) 2016/679.
(2)Ustanovení této hlavy a nařízení Evropského parlamentu a Rady (EU) 2016/679 se použijí i při zpracování osobních údajů, které mají být nebo jsou zařazeny do evidence, a při zpracování osobních údajů, které probíhá zcela nebo částečně automatizovaně, nejde-li o zpracování osobních údajů fyzickou osobou v průběhu výlučně osobních nebo domácích činností,
  • a)při výkonu činností, které nespadají do oblasti působnosti práva Evropské unie nebo do působnosti hlavy III nebo IV, nebo
  • b)při výkonu činností, které spadají do oblasti působnosti hlavy V kapitoly 2 Smlouvy o Evropské unii.
GrafBECKASPI
§ 5
(1)Správce je oprávněn zpracovávat osobní údaje, pokud je to nezbytné pro splnění
  • a)povinnosti, která je správci uložena právním předpisem, nebo
  • b)úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen.
GrafBECKASPI
§ 6

Oprávnění ke zpracování osobních údajů při plnění právní povinnosti nebo výkonu působnosti

(1)Nestanoví-li jiný právní předpis jinak, správce není povinen při zajišťování chráněného zájmu posuzovat před zpracováním osobních údajů k jinému účelu, než ke kterému byly shromážděny, slučitelnost těchto účelů, je-li toto zpracování nezbytné a přiměřené pro splnění
  • a)povinnosti, která je správci uložena, nebo
  • b)úkolu ve veřejném zájmu stanoveného právním předpisem nebo při výkonu veřejné moci, kterým je správce pověřen.
(2)Chráněným zájmem podle odstavce 1 se rozumí
  • a)obranné nebo bezpečnostní zájmy České republiky,
  • b)veřejný pořádek a vnitřní bezpečnost, předcházení, vyhledávání nebo odhalování trestné činnosti, stíhání trestných činů, výkon trestů a ochranných opatření, zajišťování bezpečnosti České republiky nebo zajišťování veřejného pořádku a vnitřní bezpečnosti, včetně pátrání po osobách a věcech,
  • c)jiný důležitý cíl veřejného zájmu Evropské unie nebo členského státu Evropské unie, zejména důležitý hospodářský nebo finanční zájem Evropské unie nebo členského státu Evropské unie, včetně záležitostí měnových, peněžních, rozpočtových, daňových a finančního trhu, veřejného zdraví nebo sociálního zabezpečení,
  • d)ochrana nezávislosti soudů a soudců,
  • e)předcházení, vyhledávání, odhalování nebo stíhání porušování etických pravidel regulovaných povolání,
  • f)dohledové, kontrolní nebo regulační funkce spojené s výkonem veřejné moci v případech uvedených v písmenech a) až e),
  • g)ochrana práv a svobod osob, nebo
  • h)vymáhání soukromoprávních nároků.
GrafBECKASPI
§ 7

Výjimka z povinnosti posuzování slučitelnosti účelů

(1)Dítě nabývá způsobilosti k udělení souhlasu se zpracováním osobních údajů v souvislosti s nabídkou služeb informační společnosti přímo jemu dovršením patnáctého roku věku.
GrafBECKASPI
§ 8

Způsobilost dítěte pro souhlas se zpracováním osobních údajů

(1)Pokud správce provádí zpracování osobních údajů podle § 5 a je povinen subjektu údajů poskytnout informace podle čl. 13 nebo čl. 14 odst. 1, 2 a 4 nařízení Evropského parlamentu a Rady (EU) 2016/679, může tyto informace v rozsahu odpovídajícím jím obvykle prováděnému zpracování osobních údajů poskytnout zveřejněním způsobem umožňujícím dálkový přístup.
GrafBECKASPI
§ 9

Informační povinnost pro zpracování osobních údajů upravená zákonem

(1)Je-li správce povinen oznámit příjemci provedenou opravu, omezení zpracování nebo výmaz osobních údajů, může tak učinit změnou osobních údajů v evidenci, pokud příjemci pravidelně zpřístupňuje její platný obsah.
GrafBECKASPI
§ 10

Oznámení formou změny výchozí evidence

(1)Správce nemusí provádět posouzení vlivu zpracování na ochranu osobních údajů před jeho zahájením, pokud mu právní předpis stanoví povinnost takové zpracování osobních údajů provést.
GrafBECKASPI
§ 11

Výjimka z povinnosti posouzení vlivu zpracování osobních údajů na ochranu osobních údajů

(1)Nestanoví-li jiný právní předpis jinak, čl. 12 až 22 a v jim odpovídajícím rozsahu též článek 5 nařízení Evropského parlamentu a Rady (EU) 2016/679 se použijí přiměřeně nebo se splnění povinností správce nebo zpracovatele nebo uplatnění práva subjektu údajů stanovených těmito články odloží, je-li to nezbytné a svým rozsahem přiměřené k zajištění chráněného zájmu uvedeného v § 6 odst. 2.
(2)Omezení některých práv nebo povinností podle odstavce 1 správce nebo zpracovatel bez zbytečného odkladu oznámí Úřadu, přitom uvede v přiměřeném rozsahu skutečnosti podle čl. 23 odst. 2 nařízení Evropského parlamentu a Rady (EU) 2016/679; to neplatí pro soudy provádějící zpracování osobních údajů podle čl. 55 odst. 3 nařízení Evropského parlamentu a Rady (EU) 2016/679.
GrafBECKASPI
§ 12

Omezení některých práv a povinností

(1)Pokud je správce povinen oznámit porušení zabezpečení osobních údajů subjektu údajů, toto oznámení provede v omezeném rozsahu nebo jej odloží, je-li to nezbytné a svým rozsahem přiměřené k zajištění chráněného zájmu uvedeného v § 6 odst. 2. Pro oznámení takového postupu Úřadu se § 11 odst. 2 použije obdobně.
GrafBECKASPI
§ 13

Výjimka z povinnosti oznámení porušení zabezpečení osobních údajů subjektu údajů

(1)Pokud bylo zpracování osobních údajů omezeno podle čl. 18 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2016/679, není tím dotčena povinnost správce nebo zpracovatele tyto osobní údaje předat nebo zpřístupnit, je-li tato povinnost stanovena právním předpisem. Tyto údaje se při předání nebo zpřístupnění označí jako údaje uvedené v čl. 18 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2016/679.
GrafBECKASPI
§ 14

Osobní údaje s omezeným zpracováním

(1)Povinnost jmenovat pověřence pro ochranu osobních údajů podle čl. 37 odst. 1 písm. a) nařízení Evropského parlamentu a Rady (EU) 2016/679 mají kromě orgánů veřejné moci také orgány zřízené zákonem, které plní zákonem stanovené úkoly ve veřejném zájmu.
GrafBECKASPI
§ 15

Jmenování pověřence pro ochranu osobních údajů

(1)Osoby oprávněné k vydávání osvědčení o ochraně osobních údajů jsou akreditovány osobou pověřenou k výkonu působnosti akreditačního orgánu podle zákona upravujícího akreditaci subjektů posuzování shody3).
GrafBECKASPI
§ 16

Akreditace subjektů pro vydávání osvědčení

(1)Správce nebo zpracovatel při zpracování osobních údajů za účelem vědeckého nebo historického výzkumu nebo pro statistické účely zajistí dodržování konkrétních opatření k ochraně zájmů subjektu údajů, která odpovídají stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i různě pravděpodobným a závažným rizikům pro práva a svobody fyzických osob. Taková opatření mohou zahrnovat zejména
  • a)technická a organizační opatření zaměřená na důsledné uplatnění povinnosti podle čl. 5 odst. 1 písm. c) nařízení Evropského parlamentu a Rady (EU) 2016/679,
  • b)pořizování záznamů alespoň o všech operacích shromáždění, vložení, pozměnění a výmazu osobních údajů, které umožní určit a ověřit totožnost osoby provádějící operaci, a uchovávání těchto záznamů nejméně po dobu 2 let od provedení operace,
  • c)informování osob zpracovávajících osobní údaje o povinnostech v oblasti ochrany osobních údajů,
  • d)jmenování pověřence,
  • e)zvláštní omezení přístupu k osobním údajům v rámci správce nebo zpracovatele,
  • f)pseudonymizaci osobních údajů,
  • g)šifrování osobních údajů,
  • h)opatření k zajištění trvalé důvěrnosti, integrity, dostupnosti a odolnosti systémů a služeb zpracování,
  • i)opatření umožňující obnovení dostupnosti osobních údajů a včasný přístup k těmto údajům v případě incidentů,
  • j)proces pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování,
  • k)zvláštní omezení přenosu osobních údajů do třetí země, nebo
  • l)zvláštní omezení zpracování osobních údajů pro jiné účely.
(2)Pokud to umožňuje dosáhnout účelu uvedeného v odstavci 1, osobní údaje uvedené v čl. 9 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2016/679 správce nebo zpracovatel dále zpracovává v podobě, která neumožňuje identifikaci subjektu údajů, ledaže tomu brání oprávněné zájmy subjektu údajů.
(3)Nestanoví-li jiný právní předpis jinak, čl. 15, 16, 18 a 21 a v jim odpovídajícím rozsahu též článek 5 nařízení Evropského parlamentu a Rady (EU) 2016/679 se použijí přiměřeně nebo se splnění povinností správce nebo zpracovatele nebo uplatnění práva subjektu údajů stanovených těmito články odloží, je-li to nezbytné a svým rozsahem přiměřené k naplnění účelu zpracování uvedeného v odstavci 1. Článek 15 a v jemu odpovídajícím rozsahu též článek 5 nařízení Evropského parlamentu a Rady (EU) 2016/679 se nepoužije, pokud je zpracování nezbytné pro účely vědeckého výzkumu a poskytnutí informací by vyžadovalo nepřiměřené úsilí.
GrafBECKASPI

Díl 2 — Zpracování osobních údajů za účelem vědeckého nebo historického výzkumu nebo pro statistické účely — Zpracování osobních údajů prováděné pro novinářské účely nebo pro účely akademického, uměleckého nebo literárního projevu — Zákonnost zpracování

§ 17
(1)Osobní údaje lze zpracovávat také tehdy, slouží-li to přiměřeným způsobem pro novinářské účely nebo pro účely akademického, uměleckého nebo literárního projevu. Při posouzení přiměřenosti podle věty první se přihlédne také k tomu, jestli zpracování zahrnuje osobní údaje uvedené v čl. 9 odst. 1 nebo čl. 10 nařízení Evropského parlamentu a Rady (EU) 2016/679.
(2)Zpracování osobních údajů pro účely uvedené v odstavci 1 není podmíněno povolením nebo schválením Úřadu a požívá práva na ochranu zdroje a obsahu informací, a to i v případě zpracování osobních údajů způsobem umožňujícím dálkový přístup.
GrafBECKASPI
§ 18
(1)Správce může při zpracování osobních údajů pro účely uvedené v § 17 odst. 1 své povinnosti, vyplývající z čl. 12 odst. 1 a 2, čl. 13 odst. 1 až 3 a čl. 21 odst. 4, a v jim odpovídajícím rozsahu též z čl. 5 nařízení Evropského parlamentu a Rady (EU) 2016/679, splnit také jakýmkoliv vhodným informováním subjektu údajů o identitě správce. Informovat o identitě správce lze také vhodným přihlášením se k identitě správce, které může být provedeno grafickým označením, ústně či jiným vhodným způsobem. Informace o identitě správce je dostačující tehdy, je-li poučení správce o právech subjektu údajů a dalších skutečnostech potřebných pro ochranu jeho práv v rozsahu odpovídajícím jím obvykle prováděnému zpracování osobních údajů veřejně dostupné způsobem umožňujícím dálkový přístup.
(2)Informaci o identitě správce není třeba poskytnout v odůvodněných případech, zejména pokud: Namísto vyloučení poskytnutí informace o identitě správce může správce poskytnutí této informace odložit.
  • a)to není možné nebo by to vyžadovalo nepřiměřené úsilí,
  • b)subjekt údajů může zpracování uvedené v § 17 odst. 1 oprávněně očekávat,
  • c)subjekt údajů takové informace má, nebo
  • d)by poskytnutí takové informace ohrozilo nebo zmařilo účel zpracování osobních údajů, je-li takový postup nutný k dosažení oprávněného účelu zpracování osobních údajů, zejména v záležitostech veřejného zájmu.
GrafBECKASPI
§ 19

Výjimky z poučovací a informační povinnosti správce

(1)Povinnost informovat podle čl. 14 odst. 1 až 4 a čl. 21 odst. 4 a v jim odpovídajícím rozsahu též čl. 5 nařízení Evropského parlamentu a Rady (EU) 2016/679, jakož i o ostatních právech subjektu údajů, lze splnit také uveřejněním těchto informací způsobem umožňujícím dálkový přístup; v takovém případě postačí informovat o správcem obvykle prováděném zpracování osobních údajů.
(2)Právo na přístup k osobním údajům podle čl. 15 a v jemu odpovídajícím rozsahu též podle čl. 5 nařízení Evropského parlamentu a Rady (EU) 2016/679 se nepoužije, pokud se jedná o osobní údaje, které nebyly správcem uveřejněny a jsou zpracovávány pouze za účelem uvedeným v § 17 odst. 1. V ostatních případech může správce přístup k osobním údajům vyloučit v odůvodněných případech, zejména pokud by jinak došlo k ohrožení nebo zmaření oprávněného účelu zpracování osobních údajů nebo by to vyžadovalo nepřiměřené úsilí.
(3)Ustanovení čl. 14 odst. 2 písm. f) a čl. 15 odst. 1 písm. g) a v jim odpovídajícím rozsahu též čl. 5 nařízení Evropského parlamentu a Rady (EU) 2016/679 se na zpracování osobních údajů pro účely uvedené v § 17 odst. 1 nepoužije.
(4)Pokud je správce povinen oznámit porušení zabezpečení osobních údajů podle čl. 33 odst. 1 nebo čl. 34 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2016/679, nemusí oznamovat informace umožňující určení zdroje nebo obsahu osobních údajů, jejichž zabezpečení bylo porušeno.
GrafBECKASPI
§ 20

Ochrana zdroje a obsahu informací

(1)V případě uplatnění práv na výmaz nebo na opravu osobních údajů, které jsou zpracovávány pro účely uvedené v § 17 odst. 1, se postupuje podle jiných právních předpisů4).
(2)Jde-li o zpracování osobních údajů k účelům uvedeným v § 17 odst. 1, má subjekt údajů právo na omezení zpracování osobních údajů podle čl. 18 a v jemu odpovídajícím rozsahu též podle čl. 5 nařízení Evropského parlamentu a Rady (EU) 2016/679 pouze tehdy, pokud správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů tyto údaje požaduje pro určení, výkon nebo obhajobu právních nároků. To neplatí, pokud by to vyžadovalo nepřiměřené úsilí.
GrafBECKASPI
§ 21

Výjimka z práv na opravu, na výmaz a na omezení zpracování osobních údajů

(1)Je-li správce v souvislosti se zpracováním osobních údajů pro účely uvedené v § 17 odst. 1, uskutečňovaným také způsobem umožňujícím dálkový přístup, povinen oznámit příjemcům opravu, výmaz nebo omezení zpracování osobních údajů podle čl. 17 odst. 2 nebo čl. 19 a v jim odpovídajícím rozsahu též podle čl. 5 nařízení Evropského parlamentu a Rady (EU) 2016/679, může tuto povinnost splnit také uvedením údaje o okamžiku poslední aktualizace obsahu, v němž jsou nebo byly osobní údaje uvedeny, nebo jiným vhodným opatřením.
(2)Oprava, výmaz nebo omezení zpracování podle čl. 19 a v jemu odpovídajícím rozsahu též podle čl. 5 nařízení Evropského parlamentu a Rady (EU) 2016/679 se oznamuje tomu, komu správce osobní údaje zpracovávané pro účely uvedené v § 17 odst. 1 předal, je-li to potřebné k ochraně práv nebo oprávněných zájmů subjektu údajů a nevyžaduje-li to nepřiměřené úsilí.
(3)Správce může informovat subjekt údajů pouze o kategoriích příjemců, pokud v souvislosti se zpracováním osobních údajů pro účely uvedené v § 17 odst. 1 vyžaduje informování subjektu údajů o příjemcích podle čl. 19 a v jemu odpovídajícím rozsahu též podle čl. 5 nařízení Evropského parlamentu a Rady (EU) 2016/679 nepřiměřené úsilí, nebo pokud by došlo k ohrožení nebo zmaření oprávněného účelu zpracování.
GrafBECKASPI
§ 22

Informování o opravě, výmazu a omezení zpracování

(1)Námitku podle čl. 21 a v jemu odpovídajícím rozsahu též podle čl. 5 nařízení Evropského parlamentu a Rady (EU) 2016/679 lze v souvislosti se zpracováním osobních údajů pro účely uvedené v § 17 odst. 1 vznést jen proti konkrétnímu zpřístupnění nebo uveřejnění osobních údajů; přitom subjekt údajů uvede konkrétní důvody nasvědčující, že v daném případě převažuje oprávněný zájem na ochraně jeho práv a svobod nad zájmem na takovém zpřístupnění nebo uveřejnění.
(2)Byla-li podána námitka podle odstavce 1, je správce povinen takové zpřístupnění nebo uveřejnění ukončit, pokud má za to, že subjekt údajů osvědčil, že nad zájmem na tomto uveřejnění v daném případě převažuje oprávněný zájem na ochraně jeho práv a svobod. Správce bez zbytečného odkladu informuje subjekt údajů o tom, zda jeho námitce vyhověl.
GrafBECKASPI
§ 23

Omezení práva na námitku

(1)Ustanovení § 1822 a ustanovení čl. 12 až 19, 21, 33 a 34 a v jim odpovídajícím rozsahu též podle čl. 5 nařízení Evropského parlamentu a Rady (EU) 2016/679 se nepoužijí, použijí přiměřeně nebo se splnění povinností správce nebo zpracovatele nebo uplatnění práva subjektu údajů v nich stanovených odloží,
  • a)je-li takový postup potřebný ke splnění účelu zpracování uvedeného v § 17 odst. 1, a
  • b)nepovede-li takový postup pravděpodobně k vysokému riziku pro oprávněné zájmy subjektu údajů.
(2)Ustanovení kapitoly VII nařízení Evropského parlamentu a Rady (EU) 2016/679 se při zpracování uvedeném v § 17 odst. 1 nepoužijí. Ustanovení čl. 20, 22, 56 a 58 odst. 1 písm. a), b), e) a f) a čl. 58 odst. 2 písm. d), f) a g) a kapitol II, IV, V a IX nařízení Evropského parlamentu a Rady (EU) 2016/679 se nepoužijí, použijí přiměřeně nebo se splnění povinností správce nebo zpracovatele nebo uplatnění práva subjektu údajů stanovených těmito ustanoveními odloží, je-li to nezbytné ke splnění účelu zpracování uvedeného v § 17 odst. 1.
(3)Pokud by vyloučení nebo omezení některých práv nebo povinností podle odstavce 2 vedlo pravděpodobně k vysokému riziku pro oprávněné zájmy subjektu údajů, správce nebo zpracovatel bez zbytečného odkladu přijme a dokumentuje vhodná opatření ke zmírnění takového nebo obdobného rizika.
GrafBECKASPI

HLAVA III — Další výjimky pro zvláštní případy

§ 24

OCHRANA OSOBNÍCH ÚDAJŮ PŘI JEJICH ZPRACOVÁNÍ ZA ÚČELEM PŘEDCHÁZENÍ, VYHLEDÁVÁNÍ NEBO ODHALOVÁNÍ TRESTNÉ ČINNOSTI, STÍHÁNÍ TRESTNÝCH ČINŮ, VÝKONU TRESTŮ A OCHRANNÝCH OPATŘENÍ, ZAJIŠŤOVÁNÍ BEZPEČNOSTI ČESKÉ REPUBLIKY NEBO ZAJIŠŤOVÁNÍ VEŘEJNÉHO POŘÁDKU A VNITŘNÍ BEZPEČNOSTI

(1)Nestanoví-li zákon jinak, ustanovení této hlavy se použijí při zpracování osobních údajů, které je nezbytné pro plnění úkolu a výkon veřejné moci spravujícího orgánu stanovených jinými zákony5) za účelem předcházení, vyhledávání a odhalování trestné činnosti, stíhání trestných činů, výkonu trestů a ochranných opatření, zajišťování bezpečnosti České republiky nebo zajišťování veřejného pořádku a vnitřní bezpečnosti, včetně pátrání po osobách a věcech.
(2)Pro účely této hlavy se použije čl. 4 body 1 až 6, 8, 9, 12 až 15 a 26 nařízení Evropského parlamentu a Rady (EU) 2016/679 obdobně.
(3)Spravujícím orgánem se rozumí orgán veřejné moci příslušný k plnění úkolu uvedeného v odstavci 1, který není zpravodajskou službou nebo obecní policií.
(4)Ustanovení této hlavy se použijí na zpracování osobních údajů, které jsou nebo mají být zařazeny do evidence, nebo pokud toto zpracování probíhá zcela nebo částečně automatizovaně.
GrafBECKASPI
§ 25

Obecná ustanovení

(1)Při zpracování osobních údajů spravující orgán
  • a)stanoví konkrétní účel zpracování osobních údajů v souvislosti s plněním úkolu uvedeného v § 24 odst. 1,
  • b)přijímá opatření zajišťující, aby osobní údaje byly přesné ve vztahu k povaze a účelu zpracování, a
  • c)uchovává osobní údaje v podobě umožňující identifikaci subjektu údajů jen po dobu nezbytnou k dosažení účelu jejich zpracování.
(2)Pro účel nesouvisející s plněním úkolu uvedeného v § 24 odst. 1 lze osobní údaje zpracovávat, pouze pokud je k tomu spravující orgán oprávněn a tento účel není neslučitelný se stanoveným konkrétním účelem jejich zpracování.
GrafBECKASPI
§ 26

Zásady zpracování osobních údajů

(1)Je-li to možné, spravující orgán
  • a)připojí ke zpracovávaným osobním údajům informaci o postavení subjektu údajů v trestním řízení, popřípadě také informaci o pravomocných rozhodnutích orgánů činných v trestním řízení, která se těchto údajů týkají, je-li to odůvodněné účelem jejich zpracování, a
  • b)označí nepřesné osobní údaje, popřípadě osobní údaje, které se zakládají na osobních hodnoceních.
GrafBECKASPI
§ 27

Kategorie subjektů údajů a kvalita osobních údajů

(1)Spravující orgán zveřejní způsobem umožňujícím dálkový přístup informace o
  • a)svém názvu a kontaktních údajích,
  • b)kontaktních údajích pověřence pro ochranu osobních údajů (dále jen „pověřenec“),
  • c)účelu zpracování osobních údajů,
  • d)právu podat stížnost k Úřadu a kontaktních údajích Úřadu a
  • e)právu na přístup k osobním údajům, jejich opravu, omezení zpracování nebo výmaz.
GrafBECKASPI
§ 28

Informace pro subjekt údajů

(1)Spravující orgán na žádost subjektu údajů sdělí, zda zpracovává osobní údaje vztahující se k jeho osobě. Jestliže takové údaje spravující orgán zpracovává, předá je subjektu údajů a sdělí mu informace o
  • a)účelu zpracování osobních údajů,
  • b)právních předpisech, na základě kterých tyto údaje převážně zpracovává,
  • c)příjemcích, popřípadě kategoriích příjemců,
  • d)předpokládané době uchování nebo způsobu jejího určení,
  • e)právu požádat o opravu, omezení zpracování nebo výmaz osobních údajů a
  • f)zdroji těchto údajů.
(2)Spravující orgán žádosti podle odstavce 1 nevyhoví, popřípadě vyhoví pouze částečně, pokud by vyhověním došlo k ohrožení
  • a)plnění úkolu v oblasti předcházení, vyhledávání a odhalování trestné činnosti, stíhání trestných činů, výkonu trestů a ochranných opatření, zajišťování bezpečnosti České republiky nebo zajišťování veřejného pořádku a vnitřní bezpečnosti, včetně pátrání po osobách a věcech,
  • b)průběhu řízení o přestupku, kázeňském přestupku nebo jednání, které má znaky přestupku,
  • c)ochrany utajovaných informací, nebo
  • d)oprávněných zájmů třetí osoby.
(3)Pokud by vyhověním žádosti nebo sdělením o nevyhovění žádosti, včetně odůvodnění, došlo k ohrožení podle odstavce 2, spravující orgán informuje subjekt údajů stejně jako ty žadatele, jejichž osobní údaje nezpracovává.
(4)Spravující orgán vede o důvodech pro postup podle odstavců 2 a 3 dokumentaci, kterou uchovává nejméně 3 roky.
GrafBECKASPI
§ 29

Právo na přístup k osobním údajům

(1)Spravující orgán na žádost subjektu údajů provede opravu nebo doplnění osobních údajů vztahujících se k jeho osobě. Vyžaduje-li to účel zpracování osobních údajů, může spravující orgán namísto opravy osobní údaje doplnit nebo k nim připojit dodatečné prohlášení.
(2)Spravující orgán na žádost subjektu údajů provede výmaz osobních údajů vztahujících se k jeho osobě, pokud spravující orgán porušil zásady zpracování osobních údajů podle § 25 nebo jiného právního předpisu5) nebo omezení zpracování některých kategorií osobních údajů, nebo pokud má spravující orgán povinnost tyto údaje vymazat.
(3)Namísto opravy nebo výmazu osobních údajů může spravující orgán omezit zpracování osobních údajů jejich zvláštním označením,
  • a)popírá-li subjekt údajů jejich přesnost, přičemž nelze zjistit, zda jsou tyto údaje přesné, nebo
  • b)musí-li být tyto údaje uchovány pro účely dokazování.
(4)Je-li zpracování osobních údajů omezeno podle odstavce 3 písm. a), spravující orgán informuje subjekt údajů před zrušením takového omezení; spravující orgán rovněž subjekt údajů informuje, má-li být omezení zrušeno na základě rozhodnutí Úřadu nebo příslušného soudu.
(5)Spravující orgán žádosti podle odstavců 1 až 3 nevyhoví, popřípadě vyhoví pouze částečně, pokud by vyhověním došlo k ohrožení podle § 28 odst. 2. Pokud by sdělením o nevyhovění žádosti, včetně odůvodnění, došlo k ohrožení podle § 28 odst. 2, spravující orgán žadatele informuje tak, aby takovému ohrožení předcházel.
(6)Spravující orgán vede o důvodech pro postup podle odstavce 5 dokumentaci, kterou uchovává nejméně 3 roky.
GrafBECKASPI
§ 30

Právo na opravu, omezení zpracování nebo výmaz osobních údajů

(1)Spravující orgán vyřídí žádost podle § 28 nebo 29 bez zbytečného odkladu, nejdéle však do 60 dnů ode dne jejího podání.
(2)Pokud spravující orgán doloží, že žádost podle § 28 nebo 29 je zjevně nedůvodná nebo nepřiměřená, zejména proto, že se v krátké době v téže věci opakuje, nemusí žádosti vyhovět.
(3)Spravující orgán v rámci vyřízení žádosti podle § 28 nebo 29 informuje subjekt údajů o možnosti
  • a)požádat o ověření zákonnosti zpracování osobních údajů prostřednictvím Úřadu a o kontaktních údajích Úřadu,
  • b)podat stížnost Úřadu a
  • c)žádat o soudní ochranu.
(4)O vyřízení žádosti podle § 28 nebo 29 spravující orgán subjekt údajů písemně informuje. Informace o vyřízení žádosti obsahuje odůvodnění, s výjimkou případů, kdy se žádosti vyhovuje v plném rozsahu. Je-li subjekt údajů zastoupen, může spravující orgán požadovat, aby byl podpis na písemné plné moci úředně ověřen; úřední ověření není třeba, pokud byla plná moc udělena před spravujícím orgánem.
(5)Ustanovení odstavce 3 písm. a) a b) se nepoužijí, je-li spravujícím orgánem soud nebo státní zastupitelství.
GrafBECKASPI
§ 31

Společné ustanovení o žádostech subjektu údajů

(1)Úřad může na základě podnětu subjektu údajů ověřit zákonnost zpracování osobních údajů.
(2)Úřad nemusí podnětu podle odstavce 1 vyhovět zejména, pokud doloží, že podnět je zjevně nedůvodný nebo nepřiměřený, například proto, že se v krátké době v téže věci opakuje.
(3)Úřad do 4 měsíců ode dne podání podnětu o ověření zákonnosti zpracování osobních údajů informuje subjekt údajů, zda ověřil zákonnost jejich zpracování či nikoliv; pokud tak neučinil, připojí k informaci odůvodnění svého postupu.
(4)Úřad rovněž informuje subjekt údajů o možnosti žádat o soudní ochranu.
GrafBECKASPI
§ 32

Podnět subjektu údajů o ověření zákonnosti zpracování osobních údajů

(1)Spravující orgán s přihlédnutím k povaze, rozsahu, okolnostem, účelům a rizikům zpracování osobních údajů přijme taková technická a organizační opatření, aby zajistil a doložil splnění svých povinností při ochraně osobních údajů.
(2)Spravující orgán s přihlédnutím k povaze, rozsahu, okolnostem, účelům a rizikům zpracování osobních údajů, vývoji techniky a nákladům přijímá technická a organizační opatření s cílem
  • a)co nejúčinněji chránit osobní údaje,
  • b)omezovat nepřiměřené zpracování osobních údajů,
  • c)omezovat zpracování osobních údajů, které není nezbytné kvůli svému rozsahu, množství údajů, době jejich uložení nebo jejich dostupnosti,
  • d)poskytovat nezbytné záruky práv subjektu údajů a
  • e)předcházet automatickému zveřejňování osobních údajů.
(3)Spravující orgán vede o opatřeních přijatých podle odstavců 1 a 2 dokumentaci, kterou uchovává po dobu zpracování osobních údajů.
(4)Spravující orgán vede písemné přehledy o všech typových činnostech zpracování osobních údajů, které obsahují
  • a)název a kontaktní údaje spravujícího orgánu a pověřence,
  • b)účel zpracování osobních údajů,
  • c)kategorie příjemců nebo budoucích příjemců,
  • d)kategorie subjektů údajů a kategorie osobních údajů,
  • e)informaci, zda a jak je použito profilování,
  • f)kategorie přenosů do třetích zemí nebo mezinárodních organizací,
  • g)právní základ pro operace zpracování, pro něž jsou osobní údaje určeny,
  • h)lhůty pro výmaz nebo přezkum potřebnosti kategorií osobních údajů a
  • i)obecný popis zabezpečení osobních údajů.
(5)Dojde-li k nesprávnému předání nebo k předání nepřesných osobních údajů, spravující orgán o tom bez zbytečného odkladu informuje příjemce těchto údajů a orgán příslušný pro plnění účelu uvedeného v § 24 odst. 1, který je jejich původcem. Pokud spravující orgán provedl opravu, doplnění, omezení zpracování nebo výmaz osobních údajů, vyrozumí o nutnosti takového postupu rovněž příjemce těchto údajů.
GrafBECKASPI
§ 33

Obecné povinnosti spravujícího orgánu a záměrná ochrana osobních údajů

(1)Stanoví-li více spravujících orgánů účely a prostředky zpracování osobních údajů společně, uzavřou písemnou dohodu, ve které mezi sebou upraví způsob plnění povinností podle této části a kontaktní místo pro příjem žádostí subjektů údajů, nestanoví-li zákon jinak.
GrafBECKASPI
§ 34

Společně spravující orgány

(1)Spravující orgán pověří zpracováním osobních údajů pouze zpracovatele, který je schopen přijetím opatření podle § 32 odst. 1 účinně zajistit plnění povinností při ochraně osobních údajů.
(2)Pokud pověření zpracovatele nevyplývá z právního předpisu, spravující orgán se zpracovatelem uzavře písemnou smlouvu o zpracování osobních údajů. Nevyplývá-li to přímo z právního předpisu, smlouva především určí
  • a)předmět a dobu trvání zpracování osobních údajů,
  • b)povahu a účel zpracování osobních údajů,
  • c)typ osobních údajů, které budou zpracovávány,
  • d)kategorie subjektů údajů a
  • e)práva a povinnosti spravujícího orgánu.
(3)Smlouva o zpracování osobních údajů dále určí, nevyplývá-li to přímo z právního předpisu, že zpracovatel
  • a)jedná pouze podle pokynů spravujícího orgánu,
  • b)zajistí, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti,
  • c)pomáhá spravujícímu orgánu v plnění povinností podle této hlavy,
  • d)na základě pokynu spravujícího orgánu po ukončení své činnosti osobní údaje předá spravujícímu orgánu nebo je vymaže, ledaže zákon ukládá jiný postup, a
  • e)poskytne spravujícímu orgánu informace nezbytné pro doložení splnění povinností podle písmen a) až d) a odstavců 1 a 2.
(4)Zpracovatel vede písemné přehledy o všech typových činnostech zpracování osobních údajů, které obsahují
  • a)název a kontaktní údaje spravujícího orgánu, zpracovatele a pověřence,
  • b)kategorie zpracování osobních údajů pro jednotlivé spravující orgány,
  • c)informace o předání osobních údajů do konkrétních třetích zemí nebo mezinárodních organizací a
  • d)obecný popis zabezpečení osobních údajů.
(5)Zpracovatel bez zbytečného odkladu oznámí spravujícímu orgánu porušení zabezpečení osobních údajů.
(6)Zpracovatel může pověřit dalšího zpracovatele jen s předchozím písemným souhlasem spravujícího orgánu. Je-li souhlas spravujícího orgánu udělen obecně pro blíže neurčeného dalšího zpracovatele, zpracovatel, se kterým spravující orgán uzavřel smlouvu o zpracování osobních údajů, informuje předem spravující orgán o všech připravovaných pověřeních dalších zpracovatelů. Na vztah mezi zpracovatelem, se kterým spravující orgán uzavřel smlouvu o zpracování osobních údajů, a dalším zpracovatelem se použijí odstavce 1 až 3 obdobně.
GrafBECKASPI
§ 35

Zpracovatel

(1)Zpracovatel nebo fyzická osoba, která jedná z pověření spravujícího orgánu nebo zpracovatele, může osobní údaje zpracovávat pouze podle pokynů spravujícího orgánu, nestanoví-li zákon jinak.
GrafBECKASPI
§ 36

Závaznost pokynů spravujícího orgánu

(1)Provádí-li spravující orgán automatizované zpracování osobních údajů, pořizuje záznamy alespoň o operacích shromáždění, vložení, pozměnění, kombinování, nahlédnutí, předání, sdělení a výmazu osobních údajů.
(2)Záznamy o operacích shromáždění, vložení, nahlédnutí nebo sdělení podle odstavce 1 umožňují určit a ověřit důvod a čas těchto operací, totožnost osoby provádějící operaci a totožnost příjemce, ledaže zjištění totožnosti těchto osob není z technických důvodů možné.
(3)Záznamy podle odstavce 1 lze využít pouze pro účely trestního řízení, ověření zákonnosti zpracování osobních údajů, zajištění neporušenosti zabezpečení osobních údajů a zajištění plnění úkolů spravujícího orgánu nebo zpracovatele a povinností osob, kterým se poskytuje přístup k osobním údajům.
(4)Záznamy podle odstavce 1 jsou uchovávány po dobu 3 let od výmazu osobních údajů, ke kterým se vztahují.
(5)Povinnosti spravujícího orgánu stanovené v odstavcích 1 až 4 platí pro zpracovatele obdobně.
GrafBECKASPI
§ 37

Automatizované pořizování záznamů

(1)Je-li pravděpodobné, že určitý druh připravovaného zpracování osobních údajů povede vzhledem k jeho povaze, rozsahu, okolnostem nebo účelu k vysokému riziku neoprávněného zásahu do práv a svobod subjektů údajů, vypracuje spravující orgán posouzení vlivu takového zpracování na ochranu osobních údajů, které obsahuje alespoň
  • a)obecný popis připravovaného zpracování osobních údajů a jeho operací,
  • b)posouzení rizika neoprávněného zásahu do práv a svobod subjektů údajů a
  • c)plánovaná opatření a vhodné záruky ke zmenšení rizika podle písmene b) a splnění povinností podle této hlavy.
GrafBECKASPI
§ 38

Posouzení vlivu na ochranu osobních údajů

(1)Má-li připravovaným zpracováním osobních údajů vzniknout nová evidence, spravující orgán podá Úřadu žádost o projednání takového zpracování, pokud
  • a)z posouzení podle § 37 vyplývá vysoké riziko neoprávněného zásahu do práv a svobod subjektů údajů, nebo
  • b)druh zpracování osobních údajů, s přihlédnutím k využití nových technologií nebo postupů, vede k vysokému riziku zásahu do práv a svobod subjektů údajů.
(2)Součástí žádosti podle odstavce 1 je posouzení vlivu podle § 37; na vyžádání Úřadu spravující orgán poskytne i jiné související informace.
(3)Úřad může vydat seznam zpracování osobních údajů, která je spravující orgán povinen projednat s Úřadem. O takových zpracováních Úřad spravující orgán informuje.
(4)Má-li Úřad za to, že by připravované zpracování osobních údajů porušilo ustanovení této hlavy nebo ustanovení jiného právního předpisu upravujícího zpracování osobních údajů, upozorní na to spravující orgán do 6 týdnů ode dne podání žádosti podle odstavce 1, popřípadě uplatní další své pravomoci. Tuto lhůtu může Úřad s ohledem na složitost věci prodloužit o 1 měsíc; o prodloužení lhůty Úřad informuje spravující orgán do 1 měsíce ode dne podání žádosti.
GrafBECKASPI
§ 39

Projednání s Úřadem

(1)Spravující orgán může na základě výhradně automatizovaného zpracování osobních údajů zasáhnout do práv a právem chráněných zájmů subjektu údajů nebo způsobit jiný obdobně závažný následek pro subjekt údajů, jen pokud to výslovně stanoví jiný zákon.
GrafBECKASPI
§ 39a

Izolovaný systém

(1)Izolovaným systémem se rozumí systém umělé inteligence pro vzdálenou biometrickou identifikaci fyzických osob v reálném čase podle čl. 3 bodu 42 nařízení Evropského parlamentu a Rady (EU) 2024/1689 používaný spravujícím orgánem v prostoru, který
  • a)má stálý územní rozsah a
  • b)je omezen na objekty a prostory, které jsou součástí mezinárodního letiště.
(2)Izolovaný systém se může skládat z více územně oddělených součástí.
(3)Do referenční databáze izolovaného systému lze pro plnění úkolů spravujícího orgánu podle čl. 3 bodu 46 nařízení Evropského parlamentu a Rady (EU) 2024/1689 zařadit pouze biometrické údaje osoby, které jsou nezbytné pro plnění cíle používání izolovaného systému, kterým je
  • a)pátrání po zmizelé osobě nebo po oběti trestného činu proti lidské důstojnosti v sexuální oblasti, únosu dítěte a osoby stižené duševní poruchou, zavlečení nebo obchodování s lidmi,
  • b)pátrání po osobě podezřelé, obviněné nebo obžalované ze spáchání některého z trestných činů uvedených v příloze II nařízení Evropského parlamentu a Rady (EU) 2024/1689, pokud za něj trestní zákoník stanoví trest odnětí svobody s horní hranicí trestní sazby nejméně 4 roky, nebo odsouzené za takový trestný čin,
  • c)předcházení konkrétnímu, závažnému a bezprostřednímu ohrožení života nebo zdraví fyzické osoby, nebo
  • d)předcházení teroristickému útoku, který na základě zjištěných skutečností hrozí nebo jej lze důvodně předpokládat.
(4)Zprávu o použití izolovaného systému podle čl. 5 odst. 4 nařízení Evropského parlamentu a Rady (EU) 2024/1689 předkládá spravující orgán Úřadu do 72 hodin od zahájení jeho použití.
(5)Spravující orgán ukládá údaje vzniklé biometrickým zpracováním zobrazení osob spolu s údajem o čase pořízení, označením kamery a evidenčním číslem v evidenci, která je oddělena od jiných evidencí; po uplynutí 90 dnů spravující orgán uložené údaje z evidence vymaže. Spravující orgán zajistí, aby přístup do této evidence byl možný jen pro účely trestního řízení o trestném činu podle odstavce 3 písm. b) na základě předchozího povolení soudce podle trestního řádu. O každém takovém přístupu spravující orgán informuje Úřad do 72 hodin.
GrafBECKASPI
§ 39b
(1)Izolovaný systém lze používat pro identifikaci fyzických osob,
  • a)u kterých jsou v okamžiku zařazení do referenční databáze splněny všechny podmínky pro omezení osobní svobody podle právních předpisů upravujících trestní řízení11), pokud jsou
    • 1.podezřelé, obviněné nebo obžalované ze spáchání některého z trestných činů uvedených v příloze II nařízení Evropského parlamentu a Rady (EU) 2024/1689, pokud za něj trestní zákoník stanoví trest odnětí svobody s horní hranicí trestní sazby nejméně 4 roky, nebo odsouzené za takový trestný čin, nebo
    • 2.podezřelé, obviněné nebo obžalované ze spáchání trestného činu neuvedeného v bodě 1, pokud je důvodná obava, že by dokonáním, vykonáním nebo opakováním takového trestného činu způsobily ublížení na zdraví, těžkou újmu na zdraví nebo smrt, nebo
  • b)po kterých bylo vyhlášeno pátrání a
    • 1.lze se důvodně domnívat, že je ohrožen jejich život nebo zdraví, nebo
    • 2.u kterých jsou v okamžiku zařazení do referenční databáze splněny všechny zákonné podmínky pro omezení osobní svobody, s výjimkou osob, u kterých takové podmínky souvisejí s podezřením, obviněním nebo obžalobou ze spáchání trestného činu nebo s odsouzením za trestný čin.
(2)Spravující orgán může používat izolovaný systém podle odstavce 1 jen po předchozím písemném povolení předsedy senátu vrchního soudu příslušného podle sídla spravujícího orgánu (dále jen „příslušný soudce“).
(3)Rozhodnutí o povolení používání izolovaného systému vydává příslušný soudce na základě písemné odůvodněné žádosti, která obsahuje
  • a)označení spravujícího orgánu, adresu sídla nebo jinou adresu pro doručování,
  • b)přesné územní vymezení prostoru nebo všech územně oddělených součástí, ve kterých má být izolovaný systém používán,
  • c)časové období, po které má být izolovaný systém používán,
  • d)kategorie fyzických osob, které mají být zařazovány do referenční databáze izolovaného systému,
  • e)jméno, příjmení a kontaktní údaje pověřence, který je pověřen dohledem nad referenční databází,
  • f)shrnutí posouzení vlivu izolovaného systému na základní práva podle čl. 27 nařízení Evropského parlamentu a Rady (EU) 2024/1689,
  • g)potvrzení o tom, že spravující orgán provedl registraci podle čl. 49 nařízení Evropského parlamentu a Rady (EU) 2024/1689, ledaže je používání ze závažných naléhavých důvodů potřebné zahájit před provedením registrace, a
  • h)informaci o zařazování osob do referenční databáze, pokud byl izolovaný systém používán v předcházejícím období.
(4)Nemá-li žádost náležitosti podle odstavce 3 nebo trpí-li jinými vadami, vyzve příslušný soudce žadatele k jejich odstranění a poskytne mu k tomu přiměřenou lhůtu. Příslušný soudce vydá rozhodnutí o žádosti o povolení používání izolovaného systému do 30 dnů ode dne podání úplné žádosti.
(5)Při rozhodování o žádosti o povolení používání izolovaného systému příslušný soudce posoudí důvody pro používání izolovaného systému, jakož i to, zda je používání izolovaného systému nezbytné a přiměřené k dosažení cíle uvedeného v § 39a odst. 3 a zda je omezeno na nezbytně nutný územní rozsah a dobu, po kterou bude používání izolovaného systému trvat. Příslušný soudce rovněž vezme v úvahu závažnost, pravděpodobnost a rozsah újmy, ke které by mohlo dojít v případě, že k používání izolovaného systému nedojde, jakož i důsledky používání izolovaného systému pro práva a svobody všech dotčených osob, zejména závažnost, pravděpodobnost a rozsah těchto důsledků.
(6)Rozhodnutí o žádosti o povolení používání izolovaného systému obsahuje označení žadatele, výrok, zda se používání izolovaného systému povoluje, povoluje částečně nebo nepovoluje, a odůvodnění. Rozhodnutí o povolení nebo částečném povolení izolovaného systému musí obsahovat vymezení izolovaného systému podle hledisek uvedených v odstavci 3 písm. b) až d).
(7)Účastníkem řízení o žádosti o povolení používání izolovaného systému je pouze žadatel. Proti rozhodnutí o žádosti o povolení používání izolovaného systému není přípustný opravný prostředek. Na rozhodování o žádosti o povolení používání izolovaného systému se správní řád nepoužije.
(8)Používání izolovaného systému lze povolit nejdéle na 12 měsíců. Tuto dobu lze na žádost prodloužit vždy nejdéle na dalších 12 měsíců, a to i opakovaně; odstavce 3 až 7 se použijí obdobně.
(9)Spravující orgán oznámí pověřenci zařazení biometrických údajů každé konkrétní osoby do referenční databáze do 24 hodin od zařazení. Pokud pověřenec s takovým zařazením nesouhlasí, je spravující orgán povinen konkrétní osobu z referenční databáze vyřadit.
GrafBECKASPI
§ 39c
(1)Izolovaný systém, jehož používání bylo povoleno podle § 39b, může spravující orgán použít také pro identifikaci konkrétní fyzické osoby, která nespadá do kategorie fyzických osob uvedené v § 39b odst. 1, pokud je to nezbytné pro dosažení cíle uvedeného v § 39a odst. 3.
(2)Izolovaný systém lze použít podle odstavce 1 jen po předchozím písemném povolení příslušného soudce. Nesnese-li věc odkladu, lze izolovaný systém použít podle odstavce 1 i bez povolení. Spravující orgán je však povinen o povolení požádat do 24 hodin od okamžiku použití izolovaného systému, a pokud je neobdrží, je povinen použití izolovaného systému podle odstavce 1 ukončit a dotčené údaje a záznamy zničit.
(3)Rozhodnutí o povolení k použití izolovaného systému podle odstavce 1 vydává příslušný soudce na základě písemné odůvodněné žádosti, která obsahuje
  • a)označení spravujícího orgánu, adresu sídla nebo jinou adresu pro doručování,
  • b)odůvodnění zařazení biometrických údajů konkrétní fyzické osoby do referenční databáze izolovaného systému, včetně odůvodnění cíle uvedeného v § 39a odst. 3, kterého má být zařazením této osoby do referenční databáze dosaženo,
  • c)časové období, po které má být izolovaný systém vůči konkrétní fyzické osobě použit, a
  • d)informaci o jakékoli předchozí žádosti o použití izolovaného systému vůči konkrétní fyzické osobě, včetně informace, jak bylo o této žádosti rozhodnuto.
(4)Nemá-li žádost náležitosti podle odstavce 3 nebo trpí-li jinými vadami, vyzve příslušný soudce žadatele k jejich odstranění a poskytne mu k tomu přiměřenou lhůtu. Příslušný soudce vydá rozhodnutí o žádosti o povolení k použití izolovaného systému podle odstavce 1 do 72 hodin od podání úplné žádosti.
(5)Při rozhodování o žádosti o povolení k použití izolovaného systému podle odstavce 1 příslušný soudce posoudí důvody pro použití izolovaného systému podle odstavce 1, jakož i to, zda je takové použití izolovaného systému nezbytné a přiměřené k dosažení cíle uvedeného v § 39a odst. 3 a zda je omezeno na nezbytně nutnou dobu. Příslušný soudce rovněž vezme v úvahu závažnost, pravděpodobnost a rozsah újmy, ke které by mohlo dojít v případě, že k použití izolovaného systému podle odstavce 1 nedojde, jakož i důsledky pro práva a svobody všech dotčených osob, zejména závažnost, pravděpodobnost a rozsah těchto důsledků.
(6)Rozhodnutí o žádosti o povolení k použití izolovaného systému podle odstavce 1 obsahuje označení žadatele, výrok, zda se použití izolovaného systému podle odstavce 1 povoluje, povoluje částečně nebo nepovoluje, a odůvodnění. Rozhodnutí o povolení nebo částečném povolení k použití izolovaného systému podle odstavce 1 musí obsahovat časové období, po které může být izolovaný systém použit podle odstavce 1, a určení konkrétní fyzické osoby, pro jejíž identifikaci lze izolovaný systém použít podle odstavce 1.
(7)Účastníkem řízení o žádosti o povolení k použití izolovaného systému podle odstavce 1 je pouze žadatel. Proti rozhodnutí o žádosti o povolení k použití izolovaného systému podle odstavce 1 není přípustný opravný prostředek. Na rozhodování o žádosti o povolení k použití izolovaného systému podle odstavce 1 se správní řád nepoužije.
(8)Použití izolovaného systému podle odstavce 1 lze povolit nejdéle na 12 měsíců. Tuto dobu lze na žádost prodloužit vždy nejdéle na dalších 12 měsíců, a to i opakovaně; odstavce 3 až 7 se použijí obdobně.
GrafBECKASPI
§ 40
(1)Spravující orgán přijme taková organizační a technická opatření, aby zajistil úroveň zabezpečení osobních údajů odpovídající povaze, rozsahu, okolnostem, účelu a riziku jejich zpracování.
(2)Jsou-li osobní údaje zpracovávány automatizovaně, spravující orgán přijme nezbytná opatření, aby
  • a)tyto osobní údaje zabezpečil před neoprávněným přístupem, přenosem, změnou, zničením, ztrátou, odcizením, zneužitím nebo jiným neoprávněným zpracováním,
  • b)zajistil obnovitelnost těchto osobních údajů,
  • c)zajistil možnost určit a ověřit osobu, která tyto osobní údaje vložila nebo které byly prostřednictvím zařízení pro přenos údajů předány nebo zpřístupněny,
  • d)zajistil bezpečnost a spolehlivost informačního systému, který tyto osobní údaje obsahuje, včetně hlášení výskytu chyb, a
  • e)zabránil v neoprávněném přístupu k nosiči těchto osobních údajů nebo zařízení užívanému k jejich zpracování.
(3)Povinnosti spravujícího orgánu stanovené v odstavcích 1 a 2 platí pro zpracovatele obdobně.
GrafBECKASPI
§ 41

Zabezpečení zpracování osobních údajů

(1)Spravující orgán ohlásí bez zbytečného odkladu porušení zabezpečení osobních údajů Úřadu, ledaže je riziko neoprávněného zásahu do práv a svobod subjektu údajů nízké.
(2)Pokud spravující orgán provede ohlášení po více než 72 hodinách od okamžiku, kdy se o něm dozvěděl, připojí k němu odůvodnění tohoto prodlení.
(3)V ohlášení podle odstavce 1 spravující orgán uvede, pokud jsou mu tyto údaje známy, alespoň
  • a)popis povahy porušení zabezpečení osobních údajů,
  • b)kategorie a přibližný počet subjektů údajů a záznamů osobních údajů, kterých se porušení zabezpečení týká,
  • c)jméno a kontaktní údaje pověřence nebo jiného pracoviště, které poskytne bližší informace k porušení zabezpečení osobních údajů,
  • d)popis pravděpodobných důsledků porušení zabezpečení osobních údajů a
  • e)popis opatření přijatých nebo navržených spravujícím orgánem k nápravě nebo zmírnění újmy způsobené porušením zabezpečení osobních údajů.
(4)Skutečnosti podle odstavce 3, které mu nebyly v době ohlášení známy, spravující orgán doplní bez zbytečného odkladu poté, co se o nich dozví.
(5)Skutečnosti podle odstavce 3 sdělí spravující orgán též osobě nebo orgánu jiného členského státu Evropské unie, který osobní údaje poskytl nebo obdržel.
(6)Spravující orgán vede o každém porušení zabezpečení osobních údajů, jeho důsledcích a přijatých nápravných opatřeních dokumentaci, kterou uchovává nejméně 3 roky.
GrafBECKASPI
§ 42

Ohlašování porušení zabezpečení osobních údajů Úřadu

(1)Spravující orgán oznámí bez zbytečného odkladu porušení zabezpečení osobních údajů subjektu údajů, pokud je riziko neoprávněného zásahu do práv a svobod subjektu údajů plynoucí z tohoto porušení vysoké.
(2)V oznámení spravující orgán uvede alespoň údaje uvedené v § 41 odst. 3 písm. a) a c) až e).
(3)Pokud by oznámení subjektu údajů podle odstavce 1 vyžadovalo nepřiměřené úsilí, spravující orgán oznámení vhodným způsobem zveřejní.
(4)Spravující orgán není povinen porušení zabezpečení osobních údajů oznámit, pokud
  • a)provedená technická a organizační opatření zajišťují, že dotčené osobní údaje nelze zneužít, nebo
  • b)následná opatření spravujícího orgánu významně snížila riziko neoprávněného zásahu do práv a svobod subjektu údajů.
(5)O existenci vysokého rizika neoprávněného zásahu do práv a svobod subjektu údajů nebo o splnění podmínek podle odstavce 4 může rozhodnout také Úřad.
(6)Spravující orgán porušení zabezpečení osobních údajů neoznámí, popřípadě oznámí pouze částečně, pokud by oznámením došlo k ohrožení podle § 28 odst. 2.
GrafBECKASPI

HLAVA IV — Oznamování porušení zabezpečení osobních údajů subjektu údajů

§ 43

OCHRANA OSOBNÍCH ÚDAJŮ PŘI ZAJIŠŤOVÁNÍ OBRANNÝCH A BEZPEČNOSTNÍCH ZÁJMŮ ČESKÉ REPUBLIKY

(1)Ustanovení této hlavy se použijí při zpracování osobních údajů k zajišťování obranných a bezpečnostních zájmů České republiky, pokud jiný právní předpis6) nestanoví jinak.
(2)Pro účely této hlavy se použije čl. 4 body 1, 2, 6 až 8, 9 a 11 nařízení Evropského parlamentu a Rady (EU) 2016/679 obdobně.
(3)Správce může zpracovávat osobní údaje pouze se souhlasem subjektu údajů. Bez tohoto souhlasu může správce osobní údaje zpracovávat, jestliže
  • a)provádí zpracování nezbytné pro dodržení povinnosti správce,
  • b)je zpracování nezbytné pro plnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro jednání o uzavření nebo změně smlouvy uskutečněné na návrh subjektu údajů,
  • c)je zpracování nezbytné k ochraně životně důležitých zájmů subjektu údajů; v tomto případě je třeba bez zbytečného odkladu získat jeho souhlas, jinak musí správce toto zpracování ukončit a údaje vymazat,
  • d)se jedná o oprávněně zveřejněné osobní údaje,
  • e)je zpracování nezbytné pro ochranu práv nebo právem chráněných zájmů správce, příjemce nebo jiné dotčené osoby; takové zpracování osobních údajů však nesmí být v rozporu s právem subjektu údajů na ochranu jeho soukromého a osobního života,
  • f)poskytuje osobní údaje o veřejně činné osobě, funkcionáři nebo zaměstnanci orgánu veřejné správy, které vypovídají o jeho veřejné nebo úřední činnosti nebo funkčním nebo pracovním zařazení, nebo
  • g)se jedná o zpracování výlučně pro účely archivnictví.
(4)Subjekt údajů musí být před udělením souhlasu informován o tom, pro jaký účel zpracování osobních údajů a k jakým osobním údajům je souhlas dáván, jakému správci a na jaké období. Souhlas subjektu údajů se zpracováním osobních údajů musí být správce schopen prokázat po celou dobu jejich zpracování.
(5)Povinnosti stanovené v odstavcích 3 a 4 platí pro zpracovatele obdobně.
GrafBECKASPI
§ 44
(1)Pokud pověření nevyplývá z jiného právního předpisu, musí správce se zpracovatelem uzavřít smlouvu o zpracování osobních údajů. Smlouva musí mít písemnou formu. Musí v ní být zejména výslovně uvedeno, v jakém rozsahu, za jakým účelem a na jakou dobu se uzavírá, a musí obsahovat záruky zpracovatele o přijetí a dodržování technických a organizačních opatření k zajištění bezpečnosti a ochrany osobních údajů.
GrafBECKASPI
§ 45
(1)Jestliže zpracovatel zjistí, že správce porušuje povinnosti stanovené tímto zákonem nebo jiným právním předpisem6), je povinen jej na to neprodleně upozornit a ukončit zpracování osobních údajů. Pokud tak neučiní, odpovídá za škodu společně a nerozdílně se správcem.
GrafBECKASPI
§ 46

Povinnosti osob při zabezpečení osobních údajů

(1)Správce je povinen přijmout taková technická a organizační opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení, ztrátě, neoprávněnému přenosu nebo jinému neoprávněnému zpracování nebo zneužití. Tato povinnost platí i po ukončení zpracování osobních údajů.
(2)Správce je povinen přijmout technická a organizační opatření k zajištění ochrany osobních údajů v souladu se zákonem a jinými právními předpisy. Správce vede o přijatých technických a organizačních opatřeních dokumentaci, kterou uchovává po dobu zpracování osobních údajů.
(3)V rámci opatření podle odstavce 1 správce posuzuje rizika týkající se oblastí
  • a)plnění pokynů pro zpracování osobních údajů osobami, které mají bezprostřední přístup k osobním údajům,
  • b)zabránění neoprávněným osobám přistupovat k osobním údajům a k prostředkům pro jejich zpracování,
  • c)zabránění neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě nebo vymazání záznamů obsahujících osobní údaje a
  • d)opatření, která umožní určit a ověřit, komu byly osobní údaje předány.
(4)Při automatizovaném zpracování osobních údajů je správce v rámci opatření podle odstavce 1 dále povinen
  • a)zajistit, aby systém pro automatizované zpracování osobních údajů používala pouze oprávněná fyzická osoba,
  • b)zajistit, aby oprávněná fyzická osoba měla přístup pouze k osobním údajům odpovídajícím jejímu oprávnění, a to na základě zvláštního uživatelského oprávnění zřízeného výlučně pro tuto osobu,
  • c)pořizovat elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány, a
  • d)zabránit neoprávněnému přístupu k datovým nosičům.
(5)Povinnosti stanovené v odstavcích 1 až 4 platí pro zpracovatele obdobně.
GrafBECKASPI
§ 47
(1)Zaměstnanci správce nebo zpracovatele, jiné osoby, které zpracovávají osobní údaje na základě smlouvy se správcem nebo zpracovatelem, nebo osoby, které v rámci plnění zákonem stanovených oprávnění a povinností přicházejí do styku s osobními údaji u správce nebo zpracovatele, jsou povinni zachovávat mlčenlivost o osobních údajích a o organizačních a technických opatřeních, jejichž zveřejnění by ohrozilo bezpečnost osobních údajů. Povinnost mlčenlivosti trvá i po skončení zaměstnání nebo příslušných prací.
GrafBECKASPI
§ 48
(1)Správce nebo na základě jeho pokynu zpracovatel je povinen provést výmaz osobních údajů, jakmile pomine účel, pro který byly osobní údaje zpracovány, nebo na základě žádosti subjektu údajů podle § 49.
GrafBECKASPI
§ 49

Výmaz osobních údajů

(1)Každý subjekt údajů, který má za to, že správce nebo zpracovatel provádí zpracování jeho osobních údajů, které je v rozporu s ochranou soukromého a osobního života subjektu údajů nebo s touto hlavou, zejména jsou-li osobní údaje nepřesné s ohledem na účel jejich zpracování, může
  • a)požádat správce nebo zpracovatele o vysvětlení, nebo
  • b)požadovat, aby správce nebo zpracovatel odstranil takto vzniklý stav, zejména provedením opravy, doplněním nebo výmazem osobních údajů.
(2)Je-li žádost subjektu údajů podle odstavce 1 písm. b) shledána oprávněnou, správce nebo zpracovatel bez zbytečného odkladu odstraní závadný stav.
(3)Došlo-li při zpracování osobních údajů k porušení povinností uložených zákonem u správce nebo u zpracovatele, odpovídají za újmu společně a nerozdílně.
(4)Správce je povinen bez zbytečného odkladu informovat příjemce o žádosti subjektu údajů podle odstavce 1 a o opravě, doplnění nebo výmazu osobních údajů. To se nepoužije, je-li informování příjemce nemožné nebo by vyžadovalo neúměrné úsilí.
GrafBECKASPI

HLAVA V — Ochrana práv subjektu údajů

§ 50

ÚŘAD

(1)Úřad je ústředním správním úřadem pro oblast ochrany osobních údajů v rozsahu stanoveném tímto zákonem, jinými právními předpisy5), mezinárodními smlouvami, které jsou součástí právního řádu, a přímo použitelnými předpisy Evropské unie.
(2)Sídlem Úřadu je Praha.
GrafBECKASPI
§ 51
(1)Do činnosti Úřadu lze zasahovat jen na základě zákona. Při výkonu své působnosti v oblasti ochrany osobních údajů Úřad postupuje nezávisle a řídí se pouze právními předpisy a přímo použitelnými předpisy Evropské unie.
(2)Činnost Úřadu je hrazena ze samostatné kapitoly státního rozpočtu České republiky.
(3)Nejvyšší státní tajemník není nadřízeným služebním orgánem vůči předsedovi Úřadu. Proti rozhodnutí předsedy Úřadu ve věci státní služby není odvolání přípustné.
GrafBECKASPI
§ 52

Předseda a místopředseda Úřadu

(1)Úřad řídí předseda Úřadu, kterého jmenuje a odvolává prezident republiky na návrh Senátu. Předseda Úřadu se považuje za člena dozorového úřadu podle čl. 53 nařízení Evropského parlamentu a Rady (EU) 2016/679. Předseda Úřadu může pověřit místopředsedu Úřadu trvalým plněním některých svých úkolů. Předseda Úřadu se považuje za služební orgán podle zákona o státní službě a je oprávněn dávat státnímu zaměstnanci příkazy k výkonu státní služby.
(2)Funkční období předsedy Úřadu je 5 let. Předseda Úřadu může být jmenován nejvýše na 2 po sobě jdoucí funkční období.
(3)Předsedou Úřadu může být jmenován pouze občan České republiky, který
  • a)je plně svéprávný,
  • b)dosáhl věku 40 let,
  • c)je bezúhonný, splňuje podmínky stanovené jiným právním předpisem7) a jeho znalosti, zkušenosti a morální vlastnosti jsou předpokladem, že bude svoji funkci řádně zastávat, a
  • d)získal vysokoškolské vzdělání absolvováním magisterského studijního programu zaměřeného na právo nebo informatiku, má potřebnou úroveň znalostí anglického, německého nebo francouzského jazyka a nejméně 5 let praxe v oblasti ochrany osobních údajů nebo lidských práv a základních svobod; přípustné je i jiné zaměření studijního programu, má-li takovou praxi delší než 10 let.
(4)Za bezúhonnou se pro účel tohoto zákona považuje fyzická osoba, která nebyla pravomocně odsouzena pro úmyslný trestný čin nebo trestný čin spáchaný z nedbalosti v souvislosti se zpracováním osobních údajů.
(5)S výkonem funkce předsedy Úřadu je neslučitelná funkce poslance nebo senátora, soudce, státního zástupce, jakákoliv funkce ve veřejné správě a členství v politické straně nebo politickém hnutí.
(6)Předseda Úřadu nesmí zastávat jinou placenou funkci, být v dalším pracovním poměru ani vykonávat výdělečnou činnost s výjimkou správy vlastního majetku a činnosti vědecké, pedagogické, literární, publicistické a umělecké, pokud tato činnost nenarušuje důstojnost nebo neohrožuje důvěru v nezávislost a nestrannost Úřadu.
(7)Z funkce může být předseda Úřadu odvolán, přestal-li splňovat některou z podmínek pro jeho jmenování.
GrafBECKASPI
§ 53
(1)Úřad má 2 místopředsedy, které na návrh předsedy Úřadu volí a odvolává Senát. Místopředseda Úřadu je ředitelem sekce. Místopředseda Úřadu se považuje za člena dozorového úřadu podle čl. 53 nařízení Evropského parlamentu a Rady (EU) 2016/679.
(2)Místopředseda Úřadu zastupuje předsedu Úřadu v jeho nepřítomnosti; pořadí zastupování se řídí pořadím, ve kterém byli místopředsedové Úřadu zvoleni, včetně případného bezprostředně předcházejícího funkčního období.
(3)Místopředsedou Úřadu může být jmenován občan České republiky, který dosáhl věku 35 let; ustanovení § 52 odst. 2 až 7 s výjimkou § 52 odst. 3 písm. b) se použijí obdobně.
GrafBECKASPI
§ 54
(1)Ve vztahu ke zpracování osobních údajů podle hlavy II Úřad
  • a)při provádění auditu podle čl. 58 odst. 1 písm. b) nařízení Evropského parlamentu a Rady (EU) 2016/679 postupuje podle kontrolního řádu,
  • b)při postupu podle čl. 58 odst. 1 písm. d) nařízení Evropského parlamentu a Rady (EU) 2016/679 může správce vyzvat k vyjasnění nebo nápravě,
  • c)sdělením upozorňuje správce nebo zpracovatele, že zamýšleným zpracováním osobních údajů zřejmě poruší své povinnosti,
  • d)může stanovit opatřením obecné povahy kritéria nebo požadavky podle čl. 41 odst. 3, čl. 42 odst. 5 nebo čl. 43 odst. 1 písm. b) nařízení Evropského parlamentu a Rady (EU) 2016/679,
  • e)může nařídit subjektu pro vydávání osvědčení, aby odebral osvědčení, které tento subjekt vydal podle čl. 42 a 43 nařízení Evropského parlamentu a Rady (EU) 2016/679,
  • f)schvaluje kodexy chování; je-li kodex chování v rozporu s nařízením Evropského parlamentu a Rady (EU) 2016/679, Úřad jeho schválení zamítne, a
  • g)zveřejňuje způsobem umožňujícím dálkový přístup standardní smluvní doložky přijaté podle čl. 28 odst. 8 nebo čl. 46 odst. 2 písm. d) nařízení Evropského parlamentu a Rady (EU) 2016/679.
(2)Ve vztahu ke zpracování osobních údajů podle hlavy III, nejde-li o zpracování osobních údajů prováděné soudy a státními zastupitelstvími, Úřad
  • a)provádí dozor nad dodržováním povinností stanovených zákonem při zpracování osobních údajů,
  • b)ověřuje zákonnost zpracování osobních údajů na podnět subjektu údajů podle § 31,
  • c)přijímá podněty a stížnosti na porušení povinností stanovených zákonem při zpracování osobních údajů a informuje o jejich vyřízení,
  • d)projednává přestupky a ukládá pokuty,
  • e)poskytuje konzultace v oblasti ochrany osobních údajů,
  • f)informuje veřejnost o rizicích, pravidlech, zárukách a právech v souvislosti se zpracováním osobních údajů,
  • g)informuje správce a zpracovatele o jejich povinnostech v oblasti ochrany osobních údajů a
  • h)vykonává další působnost stanovenou mu zákonem.
(3)Úřad dále
  • a)zpracovává a veřejnosti zpřístupňuje výroční zprávu o své činnosti,
  • b)zajišťuje plnění požadavků vyplývajících z mezinárodních smluv, jimiž je Česká republika vázána, a z přímo použitelných předpisů Evropské unie,
  • c)i bez žádosti poskytuje Parlamentu vyjádření k návrhu právního předpisu, který upravuje zpracování osobních údajů,
  • d)podílí se na činnosti Evropského sboru pro ochranu osobních údajů, spolupracuje s obdobnými úřady jiných států, s orgány Evropské unie a s orgány mezinárodních organizací působícími v oblasti ochrany osobních údajů.
(4)Dozor nad zpracováním osobních údajů, které provádějí soudy nebo státní zastupitelství podle hlavy III tohoto zákona nebo zpravodajské služby, stanoví jiný právní předpis8).
GrafBECKASPI
§ 54a

Činnosti Úřadu

(1)Úřad na základě žádosti rozhoduje o
  • a)schválení kodexu chování podle čl. 40 odst. 5 nařízení Evropského parlamentu a Rady (EU) 2016/679,
  • b)změně kodexu chování podle čl. 40 odst. 5 nařízení Evropského parlamentu a Rady (EU) 2016/679 a
  • c)udělení nebo prodloužení akreditace pro monitorování kodexu chování podle čl. 41 odst. 3 nařízení Evropského parlamentu a Rady (EU) 2016/679.
GrafBECKASPI
§ 55

Rozhodnutí o kodexu chování

(1)Úřad využívá při výkonu působnosti podle tohoto zákona nebo jiného právního předpisu ze základního registru obyvatel údaje v rozsahu
  • a)příjmení,
  • b)jméno, popřípadě jména,
  • c)adresa místa pobytu a
  • d)datum narození.
(2)Úřad využívá při výkonu působnosti podle tohoto zákona nebo jiného právního předpisu z informačního systému evidence obyvatel údaje v rozsahu
  • a)jméno, popřípadě jména, příjmení, popřípadě rodné příjmení,
  • b)datum narození,
  • c)adresa místa trvalého pobytu, včetně předchozích adres místa trvalého pobytu,
  • d)počátek trvalého pobytu, popřípadě datum zrušení trvalého pobytu nebo datum ukončení trvalého pobytu na území České republiky, a
  • e)rodné číslo.
(3)Úřad využívá při výkonu působnosti podle tohoto zákona nebo jiného právního předpisu z informačního systému cizinců údaje v rozsahu
  • a)jméno, popřípadě jména, příjmení, popřípadě rodné příjmení,
  • b)datum narození,
  • c)druh a adresa místa pobytu,
  • d)číslo a platnost oprávnění k pobytu a
  • e)počátek pobytu, popřípadě datum ukončení pobytu.
(4)Údaje, které jsou vedeny jako referenční údaje v základním registru obyvatel, se využijí z informačního systému evidence obyvatel nebo informačního systému cizinců, pouze pokud jsou ve tvaru předcházejícím současný stav.
(5)Z poskytovaných údajů lze v konkrétním případě využít vždy jen takové údaje, které jsou nezbytné ke splnění daného úkolu.
GrafBECKASPI
§ 56

Využívání údajů z informačních systémů veřejné správy

(1)Úřad poskytuje v oblasti ochrany osobních údajů podle hlavy III pomoc, včetně provedení šetření, kontrol nebo poskytnutí informací, dozorovým úřadům jiných členských států Evropské unie a států, které uplatňují předpisy k provedení směrnice Evropského parlamentu a Rady (EU) 2016/680.
(2)Žádost dozorového úřadu jiného členského státu Evropské unie nebo státu, který uplatňuje právní předpisy k provedení směrnice Evropského parlamentu a Rady (EU) 2016/680, podle odstavce 1 Úřad vyřídí bez zbytečného odkladu, nejpozději do 1 měsíce ode dne jejího podání, ledaže k poskytnutí pomoci není Úřad oprávněn nebo by jím došlo k porušení zákona.
(3)O vyřízení žádosti podle odstavce 2 nebo důvodech jejího nevyřízení Úřad informuje žádající dozorový úřad.
(4)Pomoc podle odstavce 1 se poskytuje na náklady Úřadu; pokud vyřízení žádosti vyžaduje vynaložení neúměrných nákladů, Úřad vyřízení žádosti odloží, dokud nedojde k dosažení dohody se žádajícím dozorovým úřadem o způsobu úhrady takových nákladů.
(5)Pokud vyřízení žádosti Úřadu v cizině vyžaduje vynaložení neúměrných nákladů, může být s jeho souhlasem žádost vyřízena na jeho náklady.
GrafBECKASPI
§ 57

Mezinárodní spolupráce

(1)Výroční zpráva Úřadu obsahuje zejména informace o provedené kontrolní činnosti a její zhodnocení, informace o stavu v oblasti zpracování a ochrany osobních údajů v České republice a jeho zhodnocení a zhodnocení ostatní činnosti Úřadu, včetně dozoru nad zpracováním osobních údajů podle hlavy II tohoto zákona.
(2)Výroční zprávu předkládá předseda Úřadu Parlamentu a vládě do 3 měsíců od skončení rozpočtového roku.
GrafBECKASPI
§ 58

Výroční zpráva

(1)Úřad je oprávněn seznamovat se se všemi informacemi nezbytnými pro plnění konkrétního úkolu. To platí i pro informace chráněné povinností mlčenlivosti podle jiného právního předpisu, nestanoví-li jiný právní předpis9) pro přístup Úřadu k takovým údajům jiné podmínky.
(2)S informacemi chráněnými povinností mlčenlivosti podle zákona o advokacii je Úřad oprávněn se seznamovat pouze za přítomnosti a se souhlasem zástupce České advokátní komory (dále jen „komora“), kterého ustanoví předseda komory z řad jejích zaměstnanců nebo z řad advokátů. Odmítne-li zástupce komory souhlas udělit, bezodkladně zajistí na písemnou žádost Úřadu důvěrnost a neporušenost informací podle věty první a bezodkladně předá kontrolní radě komory písemnou žádost Úřadu o nahrazení souhlasu zástupce komory rozhodnutím kontrolní rady komory. Nerozhodne-li kontrolní rada komory o žádosti Úřadu tak, že nahrazuje souhlas zástupce komory, ve lhůtě 30 dnů ode dne doručení žádosti zástupcem komory, lze souhlas zástupce komory nahradit na návrh Úřadu rozhodnutím soudu podle zákona o zvláštních řízeních soudních.
(3)S informacemi chráněnými povinností mlčenlivosti podle zákona o daňovém poradenství a Komoře daňových poradců České republiky je Úřad oprávněn se seznamovat pouze za přítomnosti a se souhlasem zástupce Komory daňových poradců České republiky, kterého ustanoví prezident Komory daňových poradců České republiky z řad jejích zaměstnanců nebo z řad daňových poradců. Odmítne-li zástupce Komory daňových poradců České republiky souhlas udělit, bezodkladně zajistí na písemnou žádost Úřadu důvěrnost a neporušenost informací podle věty první a bezodkladně předá dozorčí komisi Komory daňových poradců České republiky písemnou žádost Úřadu o nahrazení souhlasu zástupce Komory daňových poradců České republiky rozhodnutím dozorčí komise Komory daňových poradců České republiky. Nerozhodne-li dozorčí komise Komory daňových poradců České republiky o žádosti Úřadu tak, že nahrazuje souhlas zástupce Komory daňových poradců České republiky, ve lhůtě 30 dnů ode dne doručení žádosti zástupcem Komory daňových poradců České republiky, lze souhlas zástupce Komory daňových poradců České republiky nahradit na návrh Úřadu rozhodnutím soudu podle zákona o zvláštních řízeních soudních.
(4)Úřad vyloučí z nahlížení do spisu informace, které jsou obchodním, bankovním nebo jiným obdobným zákonem chráněným tajemstvím, informace, které požívají autorskoprávní ochrany, a informace podle odstavce 1 věty druhé nebo odstavce 2, pokud do spisu umožní nahlédnout osobě odlišné od osoby, od níž byly tyto informace získány. V řízení o uložení povinnosti Úřad zpřístupní účastníkovi řízení informace vyloučené podle věty první, pokud jimi byl nebo bude proveden důkaz. Před zpřístupněním informace musí být účastník řízení nebo jeho zástupce poučen o ochraně, kterou informace požívá; o poučení se sepíše protokol. Právo na přístup k takovým informacím nezahrnuje právo činit si výpisy nebo právo na pořízení kopií informací.
(5)Odstavcem 1 není dotčena povinnost kontrolujícího prokázat oprávnění k přístupu k utajované informaci.
GrafBECKASPI
§ 59

Oprávnění Úřadu na přístup k informacím

(1)Místopředseda a zaměstnanci Úřadu jsou povinni zachovávat mlčenlivost o osobních údajích, o informacích podle § 58 odst. 4, jakož i o organizačních a technických opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů, se kterými se seznámili při výkonu působnosti Úřadu nebo v souvislosti s ní. Tato povinnost trvá i po skončení služebního nebo pracovního poměru.
(2)Povinnosti zachovávat mlčenlivost podle odstavce 1 se nelze dovolávat vůči Úřadu. Povinnosti mlčenlivosti podle odstavce 1 se lze dovolávat vůči orgánu činnému v trestním řízení nebo soudu pouze tehdy, pokud by se povinnosti mlčenlivosti vůči orgánu činnému v trestním řízení nebo soudu mohl dovolávat ten, jemuž byla zákonem uložena a od něhož informace chráněná povinností mlčenlivosti pochází. Subjektu údajů lze osobní údaje sdělit, pouze pokud tímto sdělením nedojde k ohrožení chráněného zájmu uvedeného v § 6 odst. 2.
(3)Povinnosti zachovávat mlčenlivost může místopředsedu Úřadu a zaměstnance zprostit předseda Úřadu nebo jím pověřená osoba.
GrafBECKASPI
§ 60

Mlčenlivost zaměstnanců Úřadu

(1)Dojde-li k porušení povinnosti stanovené zákonem nebo uložené na jeho základě při zpracování osobních údajů podle hlavy II nebo III nebo podle nařízení Evropského parlamentu a Rady (EU) 2016/679, může Úřad uložit opatření k odstranění zjištěných nedostatků a stanovit přiměřenou lhůtu pro jejich odstranění.
GrafBECKASPI

HLAVA VI — Opatření k odstranění nedostatků

§ 61

PŘESTUPKY

(1)Fyzická osoba, právnická osoba nebo podnikající fyzická osoba se dopustí přestupku tím, že poruší zákaz zveřejnění osobních údajů stanovený jiným právním předpisem10).
(2)Za přestupek podle odstavce 1 lze uložit pokutu do
  • a)1 000 000 Kč, nebo
  • b)5 000 000 Kč, jde-li o přestupek spáchaný tiskem, filmem, rozhlasem, televizí, veřejně přístupnou počítačovou sítí nebo jiným obdobně účinným způsobem.
(3)Úřad upustí od uložení správního trestu také tehdy, jde-li o subjekty uvedené v čl. 83 odst. 7 nařízení Evropského parlamentu a Rady (EU) 2016/679.
GrafBECKASPI
§ 62
(1)Správce nebo zpracovatel podle hlavy II se dopustí přestupku tím, že
  • a)poruší některou z povinností podle čl. 8, 11, 25 až 39, 42 až 49 nařízení Evropského parlamentu a Rady (EU) 2016/679 nebo hlavy II,
  • b)poruší některou ze základních zásad pro zpracování osobních údajů podle čl. 5 až 7 nebo 9 nařízení Evropského parlamentu a Rady (EU) 2016/679,
  • c)poruší některé z práv subjektu údajů podle čl. 12 až 22 nařízení Evropského parlamentu a Rady (EU) 2016/679 nebo hlavy II,
  • d)nesplní příkaz nebo poruší omezení zpracování osobních údajů nebo nedodrží přerušení toků údajů uložené Úřadem podle čl. 58 odst. 2 nařízení Evropského parlamentu a Rady (EU) 2016/679, nebo
  • e)neposkytne Úřadu přístup k údajům, informacím a prostorám podle čl. 58 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2016/679.
(2)Subjekt pro vydávání osvědčení se dopustí přestupku tím, že poruší některou z povinností podle čl. 42 a 43 nařízení Evropského parlamentu a Rady (EU) 2016/679 nebo hlavy II.
(3)Subjekt pro monitorování souladu se dopustí přestupku tím, že poruší některou z povinností podle čl. 41 odst. 4 nařízení Evropského parlamentu a Rady (EU) 2016/679.
(4)Úřad může upustit od uložení správního trestu také tehdy, pokud uloží opatření podle § 54 odst. 1 písm. e) nebo § 60.
(5)Úřad upustí od uložení správního trestu také tehdy, jde-li o správce a zpracovatele uvedené v čl. 83 odst. 7 nařízení Evropského parlamentu a Rady (EU) 2016/679.
GrafBECKASPI
§ 63
(1)Právnická osoba se dopustí přestupku tím, že při zpracování osobních údajů
  • a)v rozporu s § 25 odst. 1 písm. a) nestanoví účel zpracování osobních údajů nebo stanoveným účelem zpracování osobních údajů poruší povinnost nebo překročí oprávnění vyplývající z jiného zákona,
  • b)v rozporu s § 25 odst. 1 písm. b) nepřijme opatření zajišťující, aby osobní údaje byly přesné ve vztahu k povaze a účelu jejich zpracování,
  • c)v rozporu s § 25 odst. 1 písm. c) uchovává osobní údaje po dobu delší než nezbytnou k dosažení účelu jejich zpracování,
  • d)v rozporu s § 27 neposkytne subjektu údajů informace v rozsahu nebo zákonem stanoveným způsobem,
  • e)v rozporu s § 28 odst. 2 nevyhoví žádosti subjektu údajů uvedené v § 28 odst. 1,
  • f)v rozporu s § 29 odst. 5 nevyhoví žádosti subjektu údajů uvedené v § 29 odst. 1 nebo 2,
  • g)v rozporu s § 32 odst. 1 až 3 nepřijme technická a organizační opatření nebo nevede jejich dokumentaci,
  • h)v rozporu s § 32 odst. 4 nevede písemné přehledy o všech typových činnostech zpracování osobních údajů,
  • i)v rozporu s § 36 odst. 1 nepořizuje záznamy,
  • j)v rozporu s § 36 odst. 3 využije záznamy k jinému účelu,
  • k)v rozporu s § 37 neprovede posouzení vlivu na ochranu osobních údajů,
  • l)v rozporu s § 38 odst. 1 nepožádá Úřad o projednání připravovaného zpracování osobních údajů,
  • m)v rozporu s § 39 zasáhne do práv a právem chráněných zájmů subjektu údajů nebo způsobí jiný obdobně závažný následek pro subjekt údajů,
  • n)v rozporu s § 40 odst. 1 nepřijme organizační a technická opatření k zajištění odpovídající úrovně zabezpečení osobních údajů,
  • o)v rozporu s § 40 odst. 2 nepřijme nezbytná opatření,
  • p)v rozporu s § 41 odst. 1 neohlásí porušení zabezpečení osobních údajů Úřadu,
  • q)v rozporu s § 42 odst. 1 neoznámí porušení zabezpečení osobních údajů subjektu údajů,
  • r)neprovede uložené opatření k nápravě ve lhůtě stanovené Úřadem,
  • s)poruší omezení zpracování zvláštních kategorií osobních údajů podle jiného právního předpisu5),
  • t)poruší povinnost jmenovat pověřence podle jiného právního předpisu5),
  • u)poruší povinnost informovat o nesprávném předání nebo o předání nepřesných osobních údajů podle § 32 odst. 5 nebo podle jiného právního předpisu5),
  • v)poruší některou z podmínek podle jiného právního předpisu5) pro předání osobních údajů do mezinárodní organizace nebo státu, který neuplatňuje právní předpisy k provedení směrnice Evropského parlamentu a Rady (EU) 2016/680, nebo
  • w)poruší povinnost prověřovat potřebnost dalšího zpracování nebo vymazat osobní údaje podle jiného právního předpisu5).
(2)Právnická osoba se dále dopustí přestupku tím, že
  • a)v rozporu s § 39a odst. 4 nepředloží zprávu o použití izolovaného systému,
  • b)v rozporu s rozhodnutím o povolení používání izolovaného systému podle § 39b odst. 6 nedodrží při použití izolovaného systému jeho územní vymezení, časové období použití nebo kategorie fyzických osob,
  • c)v rozporu s § 39b odst. 9 neoznámí zařazení konkrétní osoby do referenční databáze nebo takovou osobu z referenční databáze nevyřadí,
  • d)v rozporu s § 39c odst. 2 nepožádá o povolení do 24 hodin nebo neukončí použití izolovaného systému nebo dotčené údaje a záznamy nezničí, nebo
  • e)v rozporu s rozhodnutím o povolení k použití izolovaného systému podle § 39c odst. 6 nedodrží časové období použití nebo omezení na konkrétní fyzickou osobu.
(3)Přestupku se dopustí ten, kdo při zpracování osobních údajů
  • a)v rozporu s § 34 odst. 4 nevede přehledy o všech typových činnostech zpracování osobních údajů,
  • b)v rozporu s § 34 odst. 5 neoznámí spravujícímu orgánu porušení zabezpečení osobních údajů,
  • c)v rozporu s § 35 nezpracovává osobní údaje pouze podle pokynů spravujícího orgánu nebo podle zákona,
  • d)v rozporu s § 36 odst. 1 nepořizuje záznamy,
  • e)v rozporu s § 36 odst. 3 využije záznamy k jinému účelu,
  • f)v rozporu s § 40 odst. 1 nepřijme organizační a technická opatření k zajištění odpovídající úrovně zabezpečení osobních údajů,
  • g)v rozporu s § 40 odst. 2 nepřijme nezbytná opatření,
  • h)neprovede uložené opatření k nápravě ve lhůtě stanovené Úřadem,
  • i)poruší omezení zpracování zvláštních kategorií osobních údajů podle jiného právního předpisu5),
  • j)poruší povinnost jmenovat pověřence podle jiného právního předpisu5),
  • k)poruší povinnost informovat o nesprávném předání nebo o předání nepřesných osobních údajů podle § 32 odst. 5 nebo podle jiného právního předpisu5),
  • l)poruší některou z podmínek podle jiného právního předpisu5) pro předání osobních údajů do mezinárodní organizace nebo státu, který neuplatňuje právní předpisy k provedení směrnice Evropského parlamentu a Rady (EU) 2016/680, nebo
  • m)poruší povinnost prověřovat potřebnost dalšího zpracování nebo vymazat osobní údaje podle jiného právního předpisu5).
(4)Za přestupek podle odstavců 1 až 3 lze uložit pokutu do 10 000 000 Kč.
GrafBECKASPI
§ 64
(1)Přestupky podle tohoto zákona projednává Úřad.
GrafBECKASPI
§ 65
(1)Aniž řízení o přestupku podle tohoto zákona a porušení nařízení Evropského parlamentu a Rady (EU) 2016/679 zahájí, může Úřad věc usnesením odložit též, jestliže je vzhledem k významu a míře porušení nebo ohrožení chráněného zájmu, který byl činem dotčen, způsobu provedení činu, jeho následku, okolnostem, za nichž byl čin spáchán, nebo vzhledem k chování podezřelého po spáchání činu zřejmé, že účelu, jehož by bylo možno dosáhnout provedením řízení o přestupku, bylo dosaženo nebo jej lze dosáhnout jinak. Usnesení o odložení věci podle věty první se pouze poznamená do spisu; ustanovení zákona upravujícího odpovědnost za přestupky a řízení o nich týkající se vyrozumění o odložené věci se v takovém případě nepoužije.
GrafBECKASPI
§CZ Zákonv0.1.0