Přijetí zákona o zpracování osobních údajů a nová pravidla pro nakládání s rodnými čísly
Předchozí Následující29.03.2019 11:32
Parlament České republiky přijal zákon o zpracování osobních údajů a doprovodný změnový zákon, jímž se provádí dílčí změny v dalších právních předpisech.
Téměř po roce od nabytí platnosti obecného nařízení o ochraně osobních údajů (GDPR) se Parlamentu České republiky podařilo přijmout související adaptační legislativu, kterou je jednak zákon o zpracování osobních údajů a jednak doprovodný změnový zákon, jímž se provádí dílčí změny v dalších právních předpisech. Adaptační legislativou, která v některých aspektech doplňuje a drobně modifikuje evropskou úpravou, se obecné nařízení „usazuje“ do zdejšího právního řádu.
Toho času čekají oba zákony na podpis prezidenta republiky. Připojí-li prezident svůj podpis, nabydou účinnosti dnem vyhlášení ve Sbírce zákonů.
Zákon o zpracování osobních údajů, vedle otázek týkající se postavení Úřadu pro ochranu osobních údajů, jeho pravomocí v návaznosti na obecné nařízení, či úpravy problematiky zpracování osobních údajů mimo případy, na které se nařízení nevztahuje (např. vyhledávání a odhalování trestné činnosti atp.), doplňuje obecné nařízení v několika aspektech, když kupříkladu: (a) určuje věk dítěte v souvislosti se služby informační společnosti na 15 let, (b) specifikuje výjimky z povinnost provádět test slučitelnosti účelů, (c) vymezuje výjimky z povinnosti provádět posouzení vlivu na ochranu osobních údajů či z povinnosti informovat subjekt údajů o zpracování osobních údajů, (d) konkretizuje podmínky pro jmenování pověřence pro ochranu osobních údajů atd.
Vedle toho doprovodný zákon přináší řadu dílčích změn do mnoha předpisů. Ze všech se nabízí poukázat na po mnohé pozitivní a potřebnou změnu v právní úpravě nakládání s rodnými čísly.
Dosavadní právní úprava předpokládá, že s rodným číslem lze nakládat jen (a) při činnosti ministerstev, jiných správních úřadů a obecně při výkonu veřejné správy (katastr nemovitostí, evidence pojištěnců zdravotních pojišťoven atp.), (b) ukládá-li to zákon (zaměstnavatel je povinen pod rodným číslem přihlásit zaměstnance do systému nemocenského pojištění atp.) a (c) udělil-li k tomu nositel rodného čísla nebo jeho zákonný zástupce souhlas. Souhlas, ve vztahu k němuž i zde platí princip nezbytnosti (nelze souhlasit tam, kde není rodné číslo nezbytné ke sledovanému účelu), přitom musí splňovat náležitosti podle předpisů na ochranu osobních údajů.
Jinak a stručně řečeno, podle dosavadních právních předpisů není například možné shromažďovat a dále zpracovávat rodná čísla dlužníků za účelem vymáhání pohledávek.
Doprovodným zákonem dojde ke změně uvedeného paradigmatu, když bude možné nakládat s rodným číslem také tehdy, pokud to bude nezbytné pro vymáhání soukromoprávních nároků nebo pro předcházení vzniku nesplácených pohledávek, tedy v případě, který byl popsán shora. Podmínkou je, že budou přijata konkrétní opatření k ochraně práv a svobod nositelů rodného čísla. Takovými opatřeními se rozumí například: (a) technická a organizační opatření k ochraně osobních údajů ve smyslu obecného nařízení, (b) ověřování totožnosti osoby přistupující k rodnému číslu a pořizování záznamů o přístupech, vložení, změně atp., (c) informování dotčených osob o nakládání s jejich rodným číslem, či (d) zajištění důvěrnosti informací.
Účinností zákona o zpracování a doprovodného zákona bude základní právní rámec nové právní úpravy ochrany osobních údajů kompletní. Je tudíž čas dotáhnout implementaci obecného nařízení, tj. mj. v návaznosti na obsah zákona o zpracování a v nedávné době vydaného metodického doporučení Úřadu pro ochranu osobních údajů například provést posouzení vlivu na ochranu osobních údajů, či sestavit záznamy o činnostech zpracování. Pokud snad někdo prozatím vyčkával a nedělal si s ochranou osobních údajů ani přes dřívější silné mediální ohlasy velkou hlavu, nyní by se měl s vervou pustit do díla, neboť spolu s účinností zákona o zpracování osobních údajů Úřad pro ochranu osobních údajů získá (teprve x konečně) možnost udělovat sankce za porušování obecného nařízení o ochraně osobních údajů.
Autor článku: JUDr. Jakub Morávek, Ph.D.