110/2019 Sb. o zpracování osobních údajů

Schválený:
110/2019 Sb.
ZÁKON
ze dne 12. března 2019
o zpracování osobních údajů
Parlament se usnesl na tomto zákoně České republiky:
 
ČÁST PRVNÍ
ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
 
HLAVA I
ZÁKLADNÍ USTANOVENÍ
 
§ 1
Předmět úpravy
Tento zákon zapracovává příslušné předpisy Evropské unie1), zároveň navazuje na přímo použitelný předpis Evropské unie2) a k naplnění práva každého na ochranu soukromí upravuje práva a povinnosti při zpracování osobních údajů.
 
§ 2
Působnost zákona
Tento zákon upravuje
a) zpracování osobních údajů podle nařízení Evropského parlamentu a Rady (EU) 2016/6792),
b) zpracování osobních údajů příslušnými orgány za účelem předcházení, vyhledávání nebo odhalování trestné činnosti, stíhání trestných činů, výkonu trestů a ochranných opatření, zajišťování bezpečnosti České republiky nebo zajišťování veřejného pořádku a vnitřní bezpečnosti, včetně pátrání po osobách a věcech,
c) zpracování osobních údajů při zajišťování obranných a bezpečnostních zájmů České republiky,
d) další zpracování osobních údajů, které mají být nebo jsou zařazeny do evidence nebo jejichž zpracování probíhá zcela nebo částečně automatizovaně, nejde-li o zpracování osobních údajů fyzickou osobou v průběhu výlučně osobních nebo domácích činností, a
e) postavení a pravomoc Úřadu pro ochranu osobních údajů (dále jen "Úřad").
 
§ 3
Subjekt údajů
Subjektem údajů se rozumí fyzická osoba, k níž se osobní údaje vztahují.
 
HLAVA II
ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ PODLE PŘÍMO POUŽITELNÉHO PŘEDPISU EVROPSKÉ UNIE
Díl 1
Obecná ustanovení
 
§ 4
Působnost
(1) Ustanovení této hlavy se použijí při zpracování osobních údajů podle nařízení Evropského parlamentu a Rady (EU) 2016/679.
(2) Ustanovení této hlavy a nařízení Evropského parlamentu a Rady (EU) 2016/679 se použijí i při zpracování osobních údajů, které mají být nebo jsou zařazeny do evidence, a při zpracování osobních údajů, které probíhá zcela nebo částečně automatizovaně, nejde-li o zpracování osobních údajů fyzickou osobou v průběhu výlučně osobních nebo domácích činností,
a) při výkonu činností, které nespadají do oblasti působnosti práva Evropské unie nebo do působnosti hlavy III nebo IV, nebo
b) při výkonu činností, které spadají do oblasti působnosti hlavy V kapitoly 2 Smlouvy o Evropské unii.
 
§ 5
Oprávnění ke zpracování osobních údajů při plnění právní povinnosti nebo výkonu působnosti
Správce je oprávněn zpracovávat osobní údaje, pokud je to nezbytné pro splnění
a) povinnosti, která je správci uložena právním předpisem, nebo
b) úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen.
 
§ 6
Výjimka z povinnosti posuzování slučitelnosti účelů
(1) Nestanoví-li jiný právní předpis jinak, správce není povinen při zajišťování chráněného zájmu posuzovat před zpracováním osobních údajů k jinému účelu, než ke kterému byly shromážděny, slučitelnost těchto účelů, je-li toto zpracování nezbytné a přiměřené pro splnění
a) povinnosti, která je správci uložena, nebo
b) úkolu ve veřejném zájmu stanoveného právním předpisem nebo při výkonu veřejné moci, kterým je správce pověřen.
(2) Chráněným zájmem podle odstavce 1 se rozumí
a) obranné nebo bezpečnostní zájmy České republiky,
b) veřejný pořádek a vnitřní bezpečnost, předcházení, vyhledávání nebo odhalování trestné činnosti, stíhání trestných činů, výkon trestů a ochranných opatření, zajišťování bezpečnosti České republiky nebo zajišťování veřejného pořádku a vnitřní bezpečnosti, včetně pátrání po osobách a věcech,
c) jiný důležitý cíl veřejného zájmu Evropské unie nebo členského státu Evropské unie, zejména důležitý hospodářský nebo finanční zájem Evropské unie nebo členského státu Evropské unie, včetně záležitostí měnových, peněžních, rozpočtových, daňových a finančního trhu, veřejného zdraví nebo sociálního zabezpečení,
d) ochrana nezávislosti soudů a soudců,
e) předcházení, vyhledávání, odhalování nebo stíhání porušování etických pravidel regulovaných povolání,
f) dohledové, kontrolní nebo regulační funkce spojené s výkonem veřejné moci v případech uvedených v písmenech a) až e),
g) ochrana práv a svobod osob, nebo
h) vymáhání soukromoprávních nároků.
 
§ 7
Způsobilost dítěte pro souhlas se zpracováním osobních údajů
Dítě nabývá způsobilosti k udělení souhlasu se zpracováním osobních údajů v souvislosti s nabídkou služeb informační společnosti přímo jemu dovršením patnáctého roku věku.
 
§ 8
Informační povinnost pro zpracování osobních údajů upravená zákonem
Pokud správce provádí zpracování osobních údajů podle § 5 a je povinen subjektu údajů poskytnout informace podle čl. 13 nebo čl. 14 odst. 1, 2 a 4 nařízení Evropského parlamentu a Rady (EU) 2016/679, může tyto informace v rozsahu odpovídajícím jím obvykle prováděnému zpracování osobních údajů poskytnout zveřejněním způsobem umožňujícím dálkový přístup.
 
§ 9
Oznámení formou změny výchozí evidence
Je-li správce povinen oznámit příjemci provedenou opravu, omezení zpracování nebo výmaz osobních údajů, může tak učinit změnou osobních údajů v evidenci, pokud příjemci pravidelně zpřístupňuje její platný obsah.
 
§ 10
Výjimka z povinnosti posouzení vlivu zpracování osobních údajů na ochranu osobních údajů
Správce nemusí provádět posouzení vlivu zpracování na ochranu osobních údajů před jeho zahájením, pokud mu právní předpis stanoví povinnost takové zpracování osobních údajů provést.
 
§ 11
Omezení některých práv a povinností
(1) Nestanoví-li jiný právní předpis jinak, čl. 12 až 22 a v jim odpovídajícím rozsahu též článek 5 nařízení Evropského parlamentu a Rady (EU) 2016/679 se použijí přiměřeně nebo se splnění povinností správce nebo zpracovatele nebo uplatnění práva subjektu údajů stanovených těmito články odloží, je-li to nezbytné a svým rozsahem přiměřené k zajištění chráněného zájmu uvedeného v § 6 odst. 2.
(2) Omezení některých práv nebo povinností podle odstavce 1 správce nebo zpracovatel bez zbytečného odkladu oznámí Úřadu, přitom uvede v přiměřeném rozsahu skutečnosti podle čl. 23 odst. 2 nařízení Evropského parlamentu a Rady (EU) 2016/679; to neplatí pro soudy provádějící zpracování osobních údajů podle čl. 55 odst. 3 nařízení Evropského parlamentu a Rady (EU) 2016/679.
 
§ 12
Výjimka z povinnosti oznámení porušení zabezpečení osobních údajů subjektu údajů
Pokud je správce povinen oznámit porušení zabezpečení osobních údajů subjektu údajů, toto oznámení provede v omezeném rozsahu nebo jej odloží, je-li to nezbytné a svým rozsahem přiměřené k zajištění chráněného zájmu uvedeného v § 6 odst. 2. Pro oznámení takového postupu Úřadu se § 11 odst. 2 použije obdobně.
 
§ 13
Osobní údaje s omezeným zpracováním
Pokud bylo zpracování osobních údajů omezeno podle čl. 18 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2016/679, není tím dotčena povinnost správce nebo zpracovatele tyto osobní údaje předat nebo zpřístupnit, je-li tato povinnost stano