Tento zákon v souladu s právem Evropské unie,1) mezinárodními smlouvami, kterými je Česká republika vázána,1a) a k naplnění práva každého na ochranu před neoprávněným zasahováním do soukromí upravuje práva a povinnosti při zpracování osobních údajů a stanoví podmínky, za nichž se uskutečňuje předání osobních údajů do jiných států.

Komentáře

Věděli jste, že v důsledku novely zákona č. 418/2011 Sb., o trestní odpovědnosti právnických osob a řízení proti nim (TOPO), která nabyde účinnosti dne 1. prosince 2016, se právnické osoby budou moci nově dopustit trestného činu neoprávněného nakládání s osobními údaji?
Novela TOPO přináší, mimo jiné, koncepční změnu § 7, na základě které se pozitivní výčet trestných činů, jichž se právnická osoba může dopustit, mění na negativní výčet trestných činů, jichž se právnická osoba dopustit nemůže. V důsledku této změny dojde k rozšíření trestných činů právnických osob z původních 84 na cca 200, a to právě včetně § 180 trestního zákoníku – tj. trestného činu neoprávněného nakládání s osobními údaji (skutková podstata viz níže).
§ 180 Neoprávněné nakládání s osobními údaji
(1) Kdo, byť i z nedbalosti, neoprávněně zveřejní, sdělí, zpřístupní, jinak zpracovává nebo si přisvojí osobní údaje, které byly o jiném shromážděné v souvislosti s výkonem veřejné moci, a způsobí tím vážnou újmu na právech nebo oprávněných zájmech osoby, jíž se osobní údaje týkají, bude potrestán odnětím svobody až na tři léta nebo zákazem činnosti.
(2) Stejně bude potrestán, kdo, byť i z nedbalosti, poruší státem uloženou nebo uznanou povinnost mlčenlivosti tím, že neoprávněně zveřejní, sdělí nebo zpřístupní třetí osobě osobní údaje získané v souvislosti s výkonem svého povolání, zaměstnání nebo funkce, a způsobí tím vážnou újmu na právech nebo oprávněných zájmech osoby, jíž se osobní údaje týkají.
(3) Odnětím svobody na jeden rok až pět let, peněžitým trestem nebo zákazem činnosti bude pachatel potrestán,

  1. spáchá-li čin uvedený v odstavci 1 nebo 2 jako člen organizované skupiny,
  2. spáchá-li takový čin tiskem, filmem, rozhlasem, televizí, veřejně přístupnou počítačovou sítí nebo jiným obdobně účinným způsobem,
  3. způsobí-li takovým činem značnou škodu, nebo
  4. spáchá-li takový čin v úmyslu získat pro sebe nebo pro jiného značný prospěch.

(4) Odnětím svobody na tři léta až osm let bude pachatel potrestán,

  1. způsobí-li činem uvedeným v odstavci 1 nebo 2 škodu velkého rozsahu, nebo
  2. spáchá-li takový čin v úmyslu získat pro sebe nebo pro jiného prospěch velkého rozsahu.
Zatím žádné diskuzní příspěvky

§ 2

0 0
(1)

Zřizuje se Úřad pro ochranu osobních údajů se sídlem v Praze (dále jen „Úřad“).

(2)

Úřad je ústředním správním úřadem pro oblast ochrany osobních údajů v rozsahu stanoveném tímto zákonem, zvláštními právními předpisy1), mezinárodními smlouvami, které jsou součástí právního řádu, a přímo použitelnými předpisy Evropské unie.

(3)

Úřad vykonává působnost dozorového úřadu pro oblast ochrany osobních údajů vyplývající z mezinárodních smluv, které jsou součástí právního řádu.

Komentáře

(1)

Tento zákon se vztahuje na osobní údaje, které zpracovávají státní orgány, orgány územní samosprávy, jiné orgány veřejné moci, jakož i fyzické a právnické osoby.

(2)

Tento zákon se vztahuje na veškeré zpracovávání osobních údajů, ať k němu dochází automatizovaně nebo jinými prostředky.

(3)

Tento zákon se nevztahuje na zpracování osobních údajů, které provádí fyzická osoba výlučně pro osobní potřebu.

(4)

Tento zákon se nevztahuje na nahodilé shromažďování osobních údajů, pokud tyto údaje nejsou dále zpracovávány.

(5)

Tento zákon se dále vztahuje na zpracování osobních údajů,

  1. jestliže se právní řád České republiky použije přednostně na základě mezinárodního práva veřejného, i když správce není usazen na území České republiky,
  2. jestliže správce, který je usazen mimo území Evropské unie, provádí zpracování na území České republiky a nejedná se pouze o předání osobních údajů přes území Evropské unie; v tomto případě je správce povinen zmocnit postupem podle § 6 na území České republiky zpracovatele.

Jestliže zpracování provádí správce prostřednictvím svých organizačních jednotek umístěných na území Evropské unie, musí zajistit, že tyto organizační jednotky budou zpracovávat osobní údaje v souladu s národním právem příslušného členského státu Evropské unie.

(6)

Ustanovení § 5 odst. 1 a § 11 a 12 se nepoužijí pro zpracování osobních údajů nezbytných pro plnění povinností správce stanovených zvláštními zákony pro zajištění

  1. bezpečnosti České republiky,4)
  2. obrany České republiky,5)
  3. veřejného pořádku a vnitřní bezpečnosti,6)
  4. předcházení, vyhledávání, odhalování trestné činnosti a stíhání trestných činů,7)
  5. významného hospodářského zájmu České republiky nebo Evropské unie,8)
  6. významného finančního zájmu České republiky nebo Evropské unie, kterým je zejména stabilita finančního trhu a měny, fungování peněžního oběhu a platebního styku, jakož i rozpočtová a daňová opatření,9)
  7. výkonu kontroly, dozoru, dohledu a regulace spojených s výkonem veřejné moci v případech uvedených v písmenech c), d), e) a f),10)
  8. činností spojených se zpřístupňováním svazků bývalé Státní bezpečnosti,10a) ne­bo
  9. činností spojených s vedením centrální evidence účtů33).

Komentáře

Pro účely tohoto zákona se rozumí

  1. osobním údajem jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu,
  2. citlivým údajem osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním životě subjektu údajů a genetický údaj subjektu údajů; citlivým údajem je také biometrický údaj, který umožňuje přímou identifikaci nebo autentizaci subjektu údajů,
  3. anonymním údajem takový údaj, který buď v původním tvaru nebo po provedeném zpracování nelze vztáhnout k určenému nebo určitelnému subjektu údajů,
  4. subjektem údajů fyzická osoba, k níž se osobní údaje vztahují,
  5. zpracováním osobních údajů jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Zpracováním osobních údajů se rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace,
  6. shromažďováním osobních údajů systematický postup nebo soubor postupů, jehož cílem je získání osobních údajů za účelem jejich dalšího uložení na nosič informací pro jejich okamžité nebo pozdější zpracování,
  7. uchováváním osobních údajů udržování údajů v takové podobě, která je umožňuje dále zpracovávat,
  8. blokováním operace nebo soustava operací, kterými se na stanovenou dobu omezí způsob nebo prostředky zpracování osobních údajů, s výjimkou nezbytných zásahů,
  9. likvidací osobních údajů se rozumí fyzické zničení jejich nosiče, jejich fyzické vymazání nebo jejich trvalé vyloučení z dalších zpracování,
  10. správcem každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. Zpracováním osobních údajů může správce zmocnit nebo pověřit zpracovatele, pokud zvláštní zákon nestanoví jinak,
  11. zpracovatelem každý subjekt, který na základě zvláštního zákona nebo pověření správcem zpracovává osobní údaje podle tohoto zákona,
  12. zveřejněným osobním údajem osobní údaj zpřístupněný zejména hromadnými sdělovacími prostředky, jiným veřejným sdělením nebo jako součást veřejného seznamu,
  13. evidencí nebo datovým souborem osobních údajů (dále jen „datový soubor“) jakýkoliv soubor osobních údajů uspořádaný nebo zpřístupnitelný podle společných nebo zvláštních kritérií,
  14. souhlasem subjektu údajů svobodný a vědomý projev vůle subjektu údajů, jehož obsahem je svolení subjektu údajů se zpracováním osobních údajů,
  15. příjemcem každý subjekt, kterému jsou osobní údaje zpřístupněny; za příjemce se nepovažuje subjekt, který zpracovává osobní údaje podle § 3 odst. 6 písm. g).

Komentáře

Je dynamická IP adresa osobním údajem? Na tuto otázku přinesl odpověď SDEU v rozsudku C-582/14 – Patrick Breyer proti Německu ze dne 19. 10. 2016. Lze uzavřít, že většinou osobním údajem bude, což má dopad i na dosavadní stanovisko ÚOOÚ k této problematice.

Nejprve k pojmu dynamické IP adresy. IP adresa (adresa internetového protokolu) je řada binárních čísel, která je přidělena konkrétnímu zařízení (počítač, tablet, chytrý telefon), slouží k identifikaci tohoto zařízení a umožňuje mu přístup k síti elektronických komunikací. Podmínkou pro připojení daného zařízení k internetu je použití číselné řady, která byla přidělena poskytovatelem služby internetového připojení. IP adresa se zasílá na server, na kterém je uložena právě otevíraná internetová stránka. Poskytovatelé služby internetového připojení (zpravidla telefonní společnosti) přidělují svým zákazníkům dočasně pro jednotlivá připojení k internetu konkrétně tzv. „dynamické IP adresy“, které se při dalších přihlášeních změní. Tyto společnosti vedou záznamy, v nichž je uvedeno, která IP adresa byla v konkrétních okamžicích přidělena danému zařízení. (Stanovisko generálního advokáta Manuela Campose Sánchez-Bordony přednesené dne 12. Května 2016 ve věci věc c‑582/14).

Zda je IP adresa osobním údajem vůči poskytovateli internetového připojení, již SDEU řešil v rozsudku Scarlet (C-70/10), kde prohlásil, že je IP adresa vůči poskytovateli internetového připojení chráněným osobním údajem, jelikož může jednoznačně určit, kterému tuto IP adresu přiřadil. Provozovatel internetových stránek však takovou možnost nemá. Uchovává sice IP adresu, ale nemá informace pro to, aby identifikoval konkrétního uživatele.

Otázkou bylo, zda se použije „objektivní“ či „relativní“ kritérium. Dle „relativního“ kritéria by šlo o osobní údaj jen vůči poskytovateli internetového připojení, protože on sám může uživatele identifikovat. Dle „objektivního“ kritéria jde o osobní údaj i vůči provozovateli internetové stránky, který má možnost identifikovat uživatele pomocí třetí osoby, tedy poskytovatele internetu. Soudní dvůr EU se přiklonil k objektivnímu kritériu. Umožňuje-li právní řád, aby se provozovatel internetové stránky domohl identifikace uživatele třetí osobou (i kdyby šlo o prostředky trestního řízení, kdy identifikaci uživatele nařídí poskytovateli internetu policejní orgán/soud), jedná se již o údaj o identifikovatelné osobě a tudíž o osobní údaj.

ÚOOÚ ve svém dřívějším stanovisku zastával postoj, že ve vztahu k IP adrese zcela chybí jednoznačně určený nebo určitelný subjekt a jako samostatný údaj tedy nemůže být IP adresa považována za osobní údaj. To bude muset ve světle nové evropské judikatury změnit. (Stanovisko ÚOOÚ č. CJ08469/05UOOU).

Všichni provozovatelé internetových stránek by tedy měli pro jistotu zacházet s IP adresami jako s osobními údaji a podrobit je ochraně podle zákona o ochraně osobních údajů.

Diskuze
[1] Roman Kramařík / 1. 12. 2016 / Objektivní test a princip proporcionality

Osobně jsem považoval dosavadní přístup (subjektivní test) za rozumnější. Regulace je účinná, když je cílená. Pokud se za osobní údaj bude považovat cokoliv, co je přiřaditelné určité osobě teprve ve spolupráci s někým jiným (či dokonce státním orgánem), bude to mít netušené praktické dopady (osobním údajem bude prakticky cokoliv). Takový přístup by byl v rozporu s principem proporcionality a myslím, že ECJ zde s vaničkou vylil i dítě. Doufám, že národní úřady i soudy budou číst rozsudek ve věci Breyer (C-582/14) spíše kriticky a restriktivně. U dynamických IP adres to už ale nepomůže, protože GDPR všechny údaje, které jsou identifikovatelné IP adresou, za osobní automaticky označuje, bez ohledu na to, zda příslušný správce má či nemá nástroje, jak IP adresu spojit s konkrétní osobou.


Poslední diskuze ke komentářům

ZoOOÚ § 4: Objektivní test a princip proporcionality

Osobně jsem považoval dosavadní přístup (subjektivní test) za rozumnější. Regulace je účinná, když…
01/12/2016 / Roman Kramařík

Poslední komentáře

ZVZ § 16: Stanovení předpokládané hodnoty veřejných zakázek v souvislosti se…

V souvislosti se vznikem nového zadavatele odštěpením od stávajícího zadavatelského subjektu vzniká celá řada otízek v souvislosti se správným stanovením předpokládané hodnoty veřejných zakázek, na…
28/04/2017 / Marek Šimandl 0

ZoOHS § 16: Co lze považovat za nezákonný zásah?

ÚOHS (dále jen „žalovaný“) posuzoval spojení soutěžitelů UNIPETROL a ČESKÁ RAFINÉRSKÁ, spočívající v úplném převzetí kontroly ze strany společnosti UNIPETROL (dále též „žalobce“) nad společností…
03/03/2017 / Eva Zorková 0

ZoOHS § 21b: Může být procesní úkon spočívající v upřesnění předmětu správního…

Nejvyšší správní soud se k této otázce vyjádřil ve svém rozsudku ze dne 3. 1. 2017, sp. zn. 2 As 260/2016. Okolnosti: ****ÚOHS (dále jen „žalovaný“) zahájil s několika soutěžiteli, mezi nimi i se…
06/02/2017 / Eva Zorková 0

Poslední diskuze k článkům

Prosincové plenární zasedání WP29: ČESKÉ NEOFICIÁLNÍ PŘEKLADY POKYNŮ WP29

Úřad včerejšího dne zveřejnil na svých webových stránkách své neoficiální překlady: (i) pokynů k…
11/01/2017 / Janka Brezániová

Adventní hitparáda právních zásad: A co třeba tahle:

Singularia non sunt extendenda, aneb že výjimky je třeba interpretovat restriktivně párkrát mi…
04/01/2017 / Consensus

Nejnovější judikatura

EnergZ § 4: NSS rozhodl ve věci týkající se licence na výrobu elektřiny pro…

Nejvyšší správní soud dnes shledal důvodnou kasační stížnost stěžovatelky FVE III Tuchlovice s. r. o. a zrušil rozsudek Krajského soudu v Brně, jímž bylo zrušeno rozhodnutí o udělení licence na…
31/03/2017 / Petr Měšťánek 0

PoZE § 4: Okamžik uvedení výrobny do provozu

K Městskému soudu doputovala žaloba provozovatele FVE (Výrobce) na zrušení rozhodnutí Ústředního inspektorátu Státní energetické inspekce (SEI), kterým SEI Výrobci uložila pokuta za správní delikt…
02/01/2017 / Reglon 0

PoZE § 13: Výrobci energie neplatí za lokální spotřebu příspěvek na OZE

Okresní soud v Českých Budějovicích ve svém rozhodnutí č.j. 27 C 256/2015 – 205 potvrdil výklad, podle kterého nemusí výrobci energie z obnovitelných zdrojů platit z lokální spotřeby žádný příspěvek…
09/12/2016 / Barbora Šafaříková 0

Feedback