Definujte zápatí - název prezentace / pracoviště 1 Navazující studium Veřejná správa NP201Zk Činnost veřejné správy – jaro 2020 I. blok Ochrana osobních údajů doc.JUDr. Soňa Skulová, Ph.D. Význam a náročnost ochrany osobních údajů ve veřejné správě: • kvantita údajů, se kterými VS disponuje (evidence obyvatel, základní registry – z.111/2009 Sb., další databáze a podklady vedené dle zvl. zákonů, spisy, komunikace…), • povinnost třetích osob údaje správním orgánům předávat, • množství osob ve veřejné správě s přístupem k osobním údajům, • nároky na nakládání s údaji ( zejm. zásada legality, přiměřenosti, respektu k právům osob, požadavek důvěryhodnosti VS,…), • S tím spojena povinnost chránit údaje, včetně povinnosti mlčenlivosti . • + na druhé straně povinnost stanovenými postupy informace poskytovat (z.č.106/1999 Sb., z.č. 123/1998 Sb., nahlížení do spisu dle správního řádu, z. o obcích, z. o krajích – práva občanů obce nebo kraje,…) • Tato specifika zpracování osobních údajů ve VS odráží také GDPR a zákon o zpracování osobních údajů (ZOZOÚ) – srov. některé odlišnosti pro orgány veřejné moci nebo veřejné subjekty (např. povinnost jmenovat pověřence pro zpracování /čl. 37 odst. 1 + § 14 ZOZOÚ/, výjimka z monitorování kodexů akreditovaným subjektem /čl. 41 odst. 6/, možnost státu upravit si pravidla pro ukládání pokut /čl. 83 odst. 7 + §§ 61, 62 ZOZOÚ). Ochrana osoby a jejího soukromí - v mezinárodních smlouvách + v právu EU: • OSN - Všeobecná deklarace lidských práv (zejm. čl. 12), • Rada Evropy - evropská Úmluva o ochraně lidských práv a základních svobod (čl. 8), /ČR od r. 1992/. - Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních dat (CETS No.8) /ČR od r. 2011/ • EU - Listina základních práv (čl. 8): Ochrana údajů osobního charakteru 1. Každý má právo na ochranu osobních údajů, které se ho týkají. 2. Tyto údaje musí být zpracovány korektně, k přesně stanoveným účelům a na základě souhlasu dotčené osoby nebo na základě jiného oprávněného důvodu stanoveného zákonem. Každý má právo na přístup k údajům, které o něm byly shromážděny, a má právo na jejich opravu. 3. Na dodržování těchto pravidel dohlíží nezávislý orgán. ČR - Listina základních práv a svobod: Čl. 7 • (1) Nedotknutelnost osoby a jejího soukromí je zaručena. Omezena může být jen v případech stanovených zákonem. • (2) Nikdo nesmí být mučen ani podroben krutému, nelidskému nebo ponižujícímu zacházení nebo trestu. Čl. 10 • (1) Každý občan má právo, aby byla zachována jeho lidská důstojnost, osobní čest, dobrá pověst a chráněno jeho jméno. • (2) Každý má právo na ochranu před neoprávněným zasahováním do soukromého a rodinného života. • (3) Každý má právo na ochranu před neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním údajů o své osobě. EU: od Směrnice k Nařízení:  Směrnice 46/95/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. (POZN.: Ze Směrnice vycházel z.č. 101/2000 Sb., o ochraně osobních údajů, ve kterém byly obsaženy hlavní zásady ochrany osobních údajů a povinnosti při zpracování osobních údajů a kterým byl zřízen Úřad pro ochranu osobních údajů.)  s účinností od 25.května 2018 – směrnice zrušena, nahrazena Nařízením Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice č. 95/46/ES (Obecné nařízení o ochraně osobních údajů – GDPR, „Nařízení“). = právní rámec ochrany osobních údajů platný na celém území EU, který hájí práva jejích občanů proti neoprávněnému zacházení s jejich daty a osobními údaji. Přímo závazný předpis. Umožňuje ve více ustanoveních - odchylky pro úpravu členskými státy Obsahově - kontinuita úpravy, pojmů a požadavků na ochranu osobních údajů.  Vedle toho přijata (mimo rámec GDPR): („Trestněprávní“) Směrnice Evropského parlamentu a Rady (EU) č.2016/680 Režimy ochrany osobních údajů v našem právním řádu: • soukromoprávní (tradiční) – základem Občanský zákoník (§ 3, § 12 - pod soudní ochranou, § 77a n. – jméno, § 81 a n. – osobnost člověka (chráněny mj. důstojnost, vážnost, čest, soukromí a projevy osobní povahy). • veřejnoprávní regulace : Úprava vyvolána podmínkami informační společnosti – snadné operace s velkým množství dat, tedy i zneužití (slabší postavení fyzických osob - “FO“). Stanovení práv a povinností, prostředků ochrany práv, pravomoci sankční, dozorové, včetně institucionálního zajištění. Základ veřejnoprávního režimu ochrany osobních údajů (vedle mezin. a ústavních základů): I. Obecné nařízení - GDPR. Vedle toho (mimo rámec GDPR): II. („trestněprávní“) Směrnice o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů. • S účinností od 24.4.2019 (tedy opožděně ve vztahu k účinnosti GDPR): III. („adaptační“) Zákon č.110/2019 Sb., o zpracování osobních údajů, který dále upravuje i otázky neupravené GDPR, či přináší odchylnou vnitrostátní úpravu (kde jsou k tomu Nařízením členské státy zmocněny). Založena působnost hlavy druhé zákona a GDPR také na zpracování os.údajů, která nespadají do oblasti působnosti práva EU (§ 4). Zrušen zákon o ochraně osobních údajů. + IV. Změnový zákon (z.č.111/2019 Sb. - včetně změny z.č. 106/1999 Sb., z. o archivnictví, z. o evidenci obyvatel, z. o kybernetické bezpečnosti, s.ř.s., a d.) Zákon č. 110/2019 Sb., o zpracování osobních údajů – upravuje: Část první – „Zpracování osobních údajů“ • Hlava I – Základní ustanovení (předmět úpravy, působnost zákona, subjekt údajů). • Hlava II – Zpracování osobních údajů dle GDPR = adaptační část - vůči GDPR: upřesňuje, stanoví odchylky. • Hlava III – k Trestněprávní směrnici = jde o transpozici. • Hlava IV – ochrana osobních údajů při zajišťování obranných a bezpečnostních zájmů ČR (specifické podmínky a omezení – jak předpokládá zejm. čl. 23 GDPR) = opět adaptační vůči GDPR. • Hlava V – Úřad pro ochranu osobních údajů („dozorový orgán“). • Hlava VI – Přestupky ( vč. speciální úpravy odložení věci - § 65). Část druhá: Přechodná, zrušovací a závěrečná ustanovení. Nařízení přebírá všechny dosavadní zásady ochrany a zpracování údajů, na nichž unijní systém ochrany osobních údajů stojí. Potvrzuje, že ochrana cestuje přes hranice, současně s osobními údaji. Posílení práv subjektů údajů (FO). Stejný základ a úroveň v rámci celé EU, včetně usnadnění domoci se nápravy a ochrany (i na úrovni EU). Posílena odpovědnost správců (subjekty zpracovávající osobní údaje). Rozsah působnosti úpravy - široký: - GDPR (čl. 2 odst. 1) – vztahuje se na automatizované, poloautomatiz., neautomatiz. zpracování (= údaje jsou nebo budou zařazeny v evidenci). Výjimka z aplikace - FO při výlučně osobních či domácích činnostech (GDPR - čl. 2 odst.2. písm. c). Zavádí či posunuje speciální terminologii (osobní údaj, zvláštní kategorie /dříve „citlivý údaj“/, správce, zpracovatel, zpracování, evidence, profilování, pseudonymizace, porušení zabezpečení, námitka, stížnost…) - viz zejména čl.4. Nařízení - zakládá dva komplexní principy, jež je nutno trvale brát v úvahu, resp. prolínají textem Nařízení: I. Princip odpovědnosti správce : Správce odpovídá za dodržení zásad zpracování, které jsou uvedeny v článku 5 odst. 1 Nařízení. Správce musí být schopen tento soulad doložit. K dokládání souladu budou mimo jiné sloužit kodexy, osvědčení či certifikace, případně záznamy o činnostech (vede je správce – u SO: pro jednotlivé agendy a činnosti, kde dochází ke zpracování os. údajů). II. Přístup založený na riziku: Správce již od počátku záměru, resp. koncipování zpracování osobních údajů musí brát v potaz povahu, rozsah, kontext a účel zpracování a přihlédnout k pravděpodobným rizikům pro práva a svobody fyzických osob a tomu musí přizpůsobit zpracování a také zabezpečení osobních údajů. Rozlišuje se riziko či vysoké riziko pro práva a svobody fyzické osoby. Na bázi uvedených principů se uplatňují konkrétní povinnosti, resp. zásady. Zásady zpracování osobních údajů (čl.5): • Zákonnost, korektnost (viz níže – k čl.6) • Transparentnost vůči SÚ (= respektovat oznámený účel zpracování), • Přesnost zpracovávaných údajů = nelze vědomě nepřesné + povinnost aktualizace, vymazání, včetně event. práva býti zapomenut, opravy. • „Integrita a důvěrnost“ zpracování a systémů. = zajištění bezpečnosti dat, ochrana před neoprávněným a nezákonným zpracováním), + prevence (opatrnost, uvážlivost) (písm. čl. 5 písm. f) + zejm. čl. 32), Ad „Zákonnost zpracování“ ( čl. 6) = povinnost mít vždy alespoň jeden legitimní účel, respektování účelu, minimalizace ve vztahu k účelu a jeho trvání. Legitimní účely:  - souhlas subjektu údajů,  - nezbytné pro splnění smlouvy,  -nezbytné pro splnění právní povinnosti správce,  - nezbytné pro ochranu životně důležitých zájmů s.ú. či jiné FO,  - nezbytné pro účely oprávněných zájmů správce nebo 3. strany ( s vyvážením zájmů či základních práv SÚ),  nezbytné pro úkoly ve veřejném zájmu nebo pro výkon veřejné moci jímž je správce pověřen (musí mít právní základ, může být konkretizováno – typicky ve zvl. předpisech + úprava přiměřená sledovaném u legitimnímu cíli). + stanoveny podmínky event. využití pro jiný než pro účel, než pro který byly shromážděny. Práva subjektů údajů (čl. 12 – 22 Nařízení) • právo na to být informován o zpracování osobních údajů, • právo na přístup k osobním údajům, • právo na opravu, resp. doplnění, • právo na výmaz („být zapomenut“), • právo na omezení zpracování, • právo na přenositelnost údajů, • právo vznést námitku, • právo nebýt předmětem automatizovaného individuálního rozhodování, včetně profilování. + Právo na právní ochranu: - právo na stížnost, - na soudní ochranu vůči Úřadu a vůči správci nebo zpracovateli, - na zastupování, - na náhradu újmy. - liší se dle správce či zpracovatele, dle druhu – rizikovosti zpracování, resp. dle míry ohrožení os. údajů (viz principy „odpovědného správce“ a „přístupu založeného na riziku“). Povinnost za stanovených podmínek : • vést záznamy o činnostech zpracování osobních údajů • provádět posuzování vlivu zpracování na ochranu osobních údajů  Vyžádat si předchozí konzultaci u dozorového úřadu – ÚOOÚ  Ohlásit případ porušení zabezpečení osobních údajů Úřadu  Oznámit případ porušení zpracování osobních údajů subjektu údajů. + Institucionální : Ustavit pověřence pro ochranu osobních údajů a vytvořit podmínky pro jeho činnost (čl. 37 – 39). – vždy u orgánu veřejné moci a veřejného subjektu (+ dle § 14 z.č. 110/2019 Sb. - orgány zřízené zákonem, které plní zákonem stanovené úkoly ve veřejném zájmu). Nové povinnosti při zpracování osobních údajů (oproti zrušenému zákonu o ochraně osobních údajů) : Úřad pro ochranu osobních údajů Dozorový orgán – nezávislý. Je ústředním správním úřadem pro oblast ochrany osobních údajů. Hlavní úkoly: monitorovat a vymáhat uplatňování obecného nařízení a dalších předpisů upravujících některé otázky ochrany osobních údajů, tedy působit jako dozorový úřad, a zvyšovat povědomí veřejnosti o ochraně osobních údajů. ------------------------------------------------------------------------------------------------------- - Konzultační činnost – skupinám správců, i jednotlivým, i subjektům údajů. + zobecňuje, zveřejňuje na svých stránkách. - Kontrolní činnost - oprávnění kontrolujících - dle kontrolního řádu (z.č. 255/2012 Sb.) - kontrolní protokol, námitky k předsedovi Úřadu). - Sankce (projednávání přestupků), opatření k nápravě. Dosavadní bohatá metodická a „osvětová“ činnost – www.uoou.cz Z.č.110/2019 Sb. omezuje ukládání trestů („Úřad…upustí od potrestání“) u správců a zpracovatelů, kterými jsou orgány veřejné moci a veřejné subjekty. Oproti Nařízení – limitována max. výše pokut za přestupky (odstupňováno – do 1 000 000, 5 000 000, 10 000 000 Kč). ------------------------------------------------------------------------------------------------------ Nově zřízen „Evropský sbor pro ochranu osobních údajů“.