Zákon o ochraně osobních údajů - HLAVA II - PRÁVA A POVINNOSTI PŘI ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
Předpis č. 101/2000 Sb.
Vyhlášené znění
101/2000 Sb. Zákon o ochraně osobních údajů a o změně některých zákonů
HLAVA II
PRÁVA A POVINNOSTI PŘI ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
§ 5
(1) Správce je povinen
a) stanovit účel, k němuž mají být osobní údaje zpracovány,
b) stanovit prostředky a způsob zpracování osobních údajů,
c) zpracovávat pouze pravdivé a přesné osobní údaje, které získal v souladu s tímto zákonem. Je povinen ověřovat, zda jsou osobní údaje pravdivé a přesné. Zjistí-li správce, že jím zpracovávané údaje nejsou s ohledem na stanovený účel pravdivé a přesné, zejména k námitce subjektu údajů, je povinen je blokovat a bez zbytečného odkladu opravit nebo doplnit. Nelze-li je opravit nebo doplnit, musí je bez zbytečného odkladu zlikvidovat. Nepravdivé, nepřesné nebo neověřené osobní údaje lze zpracovávat pouze v případě, stanoví-li tak zvláštní zákon.10) Tyto údaje se musí náležitě označit a vést odděleně od ostatních osobních údajů,
d) shromažďovat osobní údaje odpovídající pouze stanovenému účelu a v rozsahu nezbytném pro naplnění stanového účelu,
e) uchovávat osobní údaje pouze po dobu, která je nezbytná k účelu jejich zpracování. Po uplynutí této doby mohou být osobní údaje uchovávány pouze pro účely statistické, vědecké a pro účely archivnictví. Při použití pro tyto účely je třeba dbát práva na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů,
f) zpracovávat osobní údaje pouze v souladu s účelem, k němuž byly shromážděny, pokud zvláštní zákon nestanoví jinak. Zpracovávat k jinému účelu lze osobní údaj, jen pokud k tomu dal subjekt údajů souhlas,
g) shromažďovat osobní údaje pouze otevřeně; je vyloučeno shromažďovat údaje pod záminkou jiného účelu nebo jiné činnosti, pokud zvláštní zákon nestanoví jinak,
h) nesdružovat osobní údaje, které byly získány k rozdílným účelům, pokud zvláštní zákon nestanoví jinak.
(2) Správce může zpracovávat osobní údaje pouze se souhlasem subjektu údajů. Bez tohoto souhlasu je může zpracovávat,
a) jestliže provádí zpracování stanovené zvláštním zákonem nebo nutné pro plnění povinností stanovených zvláštním zákonem,11)
b) jestliže je nezbytné, aby subjekt údajů mohl vstoupit do jednání o smluvním vztahu nebo aby plnil ujednání smlouvy uzavřené se správcem,
c) pokud je to nezbytně třeba k ochraně důležitých zájmů subjektu údajů. V tomto případě je třeba bez zbytečného odkladu získat jeho souhlas. Pokud souhlas není dán, musí správce ukončit zpracování a údaje zlikvidovat,
d) jedná-li se o oprávněně zveřejněné osobní údaje v souladu se zvláštním právním předpisem.12) Tím však není dotčeno právo na ochranu soukromého a osobního života subjektu údajů,
e) pokud je to nezbytné pro ochranu práv správce; takové zpracování osobních údajů však nesmí být v rozporu s právem subjektu údajů na ochranu jeho soukromého a osobního života.
(3) Provádí-li správce zpracování osobních údajů na základě zvláštního zákona,11) je povinen dbát práva na ochranu soukromého a osobního života subjektu údajů.
(4) Bez souhlasu subjektu údajů lze osobní údaje zpracovávat pro účely statistické nebo vědecké. Pro tyto účely zpracování je nutno osobní údaje anonymizovat, jakmile je to možné. Při zpracování osobních údajů pro tyto účely je však nutno zajistit požadovanou úroveň jejich zabezpečení podle § 13.
(5) Souhlasem podle odstavce 2 však nemohou být dotčeny povinnosti uvedené v odstavci 1 písm. c) a g). Souhlas je třeba dát v písemné formě a musí z něho být patrné, v jakém rozsahu je poskytován, komu a k jakému účelu, na jaké období a kdo jej poskytuje. Souhlas může být kdykoliv odvolán. Tento souhlas musí správce uschovat po dobu zpracování osobních údajů, k jejichž zpracování byl dán souhlas.
(6) Provádí-li správce nebo zpracovatel zpracování osobních údajů za účelem nabízení obchodu nebo služeb subjektu údajů, lze pro tento účel použít jméno, příjmení a adresu subjektu údajů, pokud tyto údaje byly získány z veřejného seznamu nebo v souvislosti se svojí činností jakožto správce nebo zpracovatele. Správce nebo zpracovatel však nesmí uvedené údaje dále zpracovávat, pokud s tím subjekt údajů vyslovil nesouhlas. Nesouhlas se zpracováním je nutné vyjádřit písemně. Bez souhlasu subjektu údajů nelze k uvedeným údajům přiřazovat další osobní údaje.
§ 6
Pokud zmocnění nevyplývá z právního předpisu, může správce se zpracovatelem uzavřít smlouvu o zpracování osobních údajů. Smlouva musí mít písemnou formu, jinak je neplatná. Musí v ní být zejména výslovně uvedeno, v jakém rozsahu, za jakým účelem a na jakou dobu se uzavírá. Jestliže zpracovatel ve smlouvě neposkytne dostatečné záruky o technickém a organizačním zabezpečení ochrany osobních údajů, je taková smlouva neplatná.
§ 7
Povinnosti stanovené v § 5 platí obdobně také pro zpracovatele.
§ 8
Jestliže zpracovatel zjistí, že správce porušuje povinnosti stanovené tímto zákonem, je povinen jej na to neprodleně upozornit a ukončit zpracování osobních údajů. Pokud tak neučiní, odpovídá za škodu, která subjektu údajů vznikla, společně a nerozdílně se správcem údajů. Tím není dotčena jeho odpovědnost podle tohoto zákona.
§ 9
Citlivé údaje
Citlivé údaje je možné zpracovávat, jestliže
a) subjekt údajů dal ke zpracování výslovný souhlas. Souhlas musí být dán písemně, podepsán subjektem údajů a musí z něho být zřejmé, k jakým údajům je dáván, jakému správci údajů, k jakému účelu, na jaké období a kdo jej poskytuje. Souhlas může subjekt údajů kdykoliv odvolat. Správce je povinen předem subjekt údajů o jeho právech poučit. Tento souhlas musí správce uschovat po dobu zpracování osobních údajů, k jejichž zpracování byl souhlas dán,
b) je to nezbytné v zájmu zachování života nebo zdraví subjektu údajů nebo jiné osoby nebo odvrácení bezprostředního závažného nebezpečí hrozícího jejich majetku, pokud není možno jeho souhlas získat zejména z důvodů fyzické, duševní či právní nezpůsobilosti, v případě, že je nezvěstný nebo z jiných podobných důvodů. Správce musí ukončit zpracování údajů, jakmile pominou uvedené důvody, a údaje musí zlikvidovat, ledaže by subjekt údajů dal k dalšímu zpracování souhlas,
c) se jedná o poskytování zdravotní péče,13) jakož i jiné posuzování zdravotního stavu podle zvláštního právního předpisu, zejména pro účely sociálního zabezpečení,14)
d) je tak stanoveno zvláštním zákonem.15)
§ 10
Při zpracování osobních údajů správce a zpracovatel dbá, aby subjekt údajů neutrpěl újmu na svých právech, zejména na právu na zachování lidské důstojnosti, a také dbá na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů.
§ 11
(1) Správce je povinen včas a řádně subjekt údajů informovat o tom, že o něm shromažďuje údaje, v jakém rozsahu a pro jaký účel, kdo je bude dále zpracovávat a pro jaký účel a komu mohou být zpřístupněny či komu jsou údaje určeny. Součástí této informace musí být též údaj o jeho sídle, případně o sídle zpracovatele.
(2) Správce musí dále subjekt údajů poučit o tom, zda je podle zákona povinen pro zpracování osobní údaje poskytnout, jaké důsledky budou vyvozeny, pokud tak neučiní, a kdy je oprávněn odmítnout poskytnutí osobních údajů nebo zda poskytnutí osobních údajů je dobrovolné.
(3) Správce musí subjekt údajů informovat o jeho právu k přístupu k osobním údajům, jakož i o dalších právech stanovených v § 21 tohoto zákona.
(4) Jestliže správce nezískal osobní údaje od subjektu údajů, poskytne mu kromě informací podle odstavců 1 a 2 před jejich dalším zpracováním dále také informace o tom, kdo mu údaje poskytl, informace o druhu osobních údajů a také obsah těchto údajů.
(5) Údaje podle odstavce 1 není povinen správce poskytovat, pokud
a) zpracovává osobní údaje výlučně pro účely statistické, vědecké nebo archivnictví,
b) zpracování osobních údajů mu ukládá zákon,
c) zvláštní zákon16) stanoví, že není povinen osobní údaje poskytovat.
(6) Rozhodnutí orgánu veřejné moci ani jiný úkon nelze bez ověření vydat nebo učinit na základě výlučně automatizovaného zpracování osobních údajů. To neplatí v případě, že takové rozhodnutí nebo úkon byly učiněny ve prospěch subjektu údajů.
(7) Předchozími ustanoveními nejsou dotčena práva subjektu údajů požadovat informace podle zvláštních zákonů.17)
(8) Při zpracování osobních údajů podle § 5 odst. 2 písm. e) je správce povinen bez zbytečného odkladu subjekt údajů informovat o tomto postupu.
§ 12
(1) Informace podle § 11 odst. 1 až 4 jsou subjektu údajů podávány písemně, ve srozumitelné formě a bez zbytečného prodlení. Informace se však neposkytují, jsou-li součástí poučení podle právního předpisu.
(2) Správce je povinen jednou za kalendářní rok bezplatně, jinak kdykoli za přiměřenou úhradu nepřevyšující náklady nezbytné na poskytnutí informace, subjektu údajů na základě písemné žádosti poskytnout informace o osobních údajích o něm zpracovávaných, pokud tento zákon nebo zvláštní zákon16) nestanoví jinak.
Povinnosti osob při zabezpečení osobních údajů
§ 13
Správce a zpracovatel jsou povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů.
§ 14
Zaměstnanci správce nebo zpracovatele a jiné osoby, které zpracovávají osobní údaje na základě smlouvy se správcem nebo zpracovatelem, mohou zpracovávat osobní údaje pouze za podmínek a v rozsahu správcem nebo zpracovatelem stanoveném.
§ 15
(1) Zaměstnanci správce nebo zpracovatele, jiné fyzické osoby, které zpracovávají osobní údaje na základě smlouvy se správcem nebo zpracovatelem, a další osoby, které v rámci plnění zákonem stanovených oprávnění a povinností přicházejí do styku s osobními údaji u správce nebo zpracovatele, jsou povinni zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů. Povinnost mlčenlivosti trvá i po skončení zaměstnání nebo příslušných prací.
(2) Ustanovením předchozího odstavce není dotčena povinnost zachovávat mlčenlivost podle zvláštních zákonů.18)
(3) Povinnost zachovávat mlčenlivost se nevztahuje na informační povinnost podle zvláštních zákonů.19)
§ 16
Oznamovací povinnost
(1) Ten, kdo hodlá zpracovávat osobní údaje, je povinen tuto skutečnost oznámit Úřadu před započetím zpracovávání osobních údajů. Oznámení je povinen učinit i správce, jestliže hodlá změnit zpracování osobních údajů. Oznámení musí být učiněno písemně.
(2) Oznámení musí obsahovat následující informace:
a) název správce, adresu jeho sídla a identifikační číslo, pokud bylo přiděleno,
b) účel nebo účely zpracování,
c) kategorie subjektů údajů a osobních údajů, které se těchto subjektů týkají,
d) zdroje osobních údajů,
e) popis způsobu zpracování osobních údajů,
f) místo nebo místa zpracování osobních údajů, jsou-li odlišná od adresy sídla správce,
g) příjemce nebo kategorie příjemců, kterým uvedené osobní údaje mohou být zpřístupněny či sdělovány,
h) předpokládané přenosy osobních údajů do jiných států,
i) popis opatření k zajištění požadované ochrany osobních údajů podle § 13,
j) propojení na jiné správce nebo zpracovatele.
(3) Úřad je povinen do 30 dnů od doručení oznámení Úřadu oznamovateli sdělit, že jeho oznámení registruje, nebo vydat rozhodnutí podle § 17.
(4) Pokud Úřad oznámení zaregistroval, může dnem registrace oznamovatel zahájit zpracování osobních údajů.
(5) Jestliže Úřad ve lhůtě stanovené v odstavci 3 oznamovateli nesdělí, že oznámení zaregistroval, ani nevydá rozhodnutí, má se za to, že oznámení zaregistroval.
§ 17
(1) Zjistí-li Úřad, že oznamovatel nesplňuje podmínky stanovené tímto zákonem, zpracování osobních údajů nepovolí.
(2) Jestliže oznámení neobsahuje všechny požadované informace, vyzve Úřad oznamovatele, aby je ve stanovené lhůtě doplnil.
(3) Vznikne-li z oznámení důvodná obava, že při zpracování osobních údajů by mohlo dojít k porušení tohoto zákona, vyzve Úřad oznamovatele, aby oznámení ve stanovené lhůtě doplnil, popřípadě může sám provést šetření na místě samém.
(4) Po uplynutí lhůty stanovené podle odstavce 2 a 3 Úřad oznámení zaregistruje nebo vydá rozhodnutí, jímž zpracování osobních údajů nepovolí.
§ 18
Oznamovací povinnost podle § 16 se nevztahuje na zpracování osobních údajů,
a) které jsou součástí evidencí veřejně přístupných,
b) jejichž zpracování je správci uloženo zákonem.20)
§ 19
Jestliže správce hodlá ukončit svoji činnost, je povinen Úřadu neprodleně oznámit, jak naložil s osobními údaji, pokud se na jejich zpracování vztahuje oznamovací povinnost.
§ 20
Likvidace osobních údajů
(1) Správce nebo na základě jeho pokynu zpracovatel je povinen provést likvidaci osobních údajů, jakmile pomine účel, pro který byly osobní údaje zpracovány, nebo na základě žádosti subjektu údajů podle § 21.
(2) Zvláštní zákon stanoví výjimky týkající se uchovávání osobních údajů pro účely archivnictví a uplatňování práv v občanském soudním řízení, trestním řízení a správním řízení.
Ochrana práv subjektů údajů
§ 21
(1) Pokud subjekt údajů zjistí, že došlo k porušení povinností správcem nebo zpracovatelem, má právo obrátit se na Úřad s žádostí o zajištění opatření k nápravě.
(2) Došlo-li k porušení povinností správcem nebo zpracovatelem, má subjekt údajů právo požadovat
a) aby se správce či zpracovatel zdržel takového jednání, odstranil takto vzniklý stav či poskytl na svoje náklady omluvu nebo jiné zadostiučinění,
b) aby správce či zpracovatel provedl opravu nebo doplnění osobních údajů tak, aby byly pravdivé a přesné,
c) aby osobní údaje byly zablokovány nebo zlikvidovány,
d) zaplacení peněžité náhrady, jestliže tím bylo porušeno jeho právo na lidskou důstojnost, osobní čest, dobrou pověst či právo na ochranu jména.
(3) Odpovědnosti podle odstavce 2 se zprostí ten, kdo prokáže, že porušení povinnosti nebylo možno zabránit ani při vynaložení veškerého úsilí, které lze od něj požadovat. Přesto však může subjekt údajů požadovat, aby se správce nebo zpracovatel zdržel závadného jednání, odstranil závadný stav, provedl opravu, doplnění, blokování nebo likvidaci osobních údajů.
(4) Způsobil-li správce nebo zpracovatel subjektu údajů škodu, odpovídají za ni společně a nerozdílně podle zvláštních právních předpisů.21)
(5) Došlo-li k porušení povinností uložených tímto zákonem jak u správce, tak u zpracovatele, odpovídají za ně společně a nerozdílně. Subjekt údajů se může domáhat svých nároků u kteréhokoliv z nich.
(6) O opatřeních provedených podle odstavce 2 písm. a) až c) je správce povinen bez zbytečného odkladu zajistit informování každého subjektu, jemuž byly v rámci zpracování osobní údaje poskytnuty, s výjimkou informací o poskytnutí omluvy či jiného zadostiučinění.
§ 22
Právo na zablokování či likvidaci osobních údajů nemůže subjekt údajů požadovat, jestliže je správce povinen osobní údaje zpracovávat na základě zákona nebo pokud by tím mohla být způsobena újma na právech třetích osob.
§ 23
Náprava nemajetkové újmy
(1) Jestliže osoba, která vykonává pro správce či zpracovatele činnosti na základě smlouvy, poruší uložené povinnosti, má subjekt údajů právo požadovat,
a) aby se zdržela takového jednání, odstranila takto vzniklý stav či poskytla na svoje náklady omluvu nebo jiné zadostiučinění,
b) aby zlikvidovala osobní údaje, které neoprávněně zpracovává,
c) aby zaplatila peněžitou náhradu újmy, která vznikla porušením jeho práva na lidskou důstojnost, osobní čest, dobrou pověst či práva na ochranu jména.
(2) Neposkytne-li tato osoba na svoje náklady omluvu nebo jiné zadostiučinění nebo nezaplatí peněžitou náhradu, je povinen za ni tuto povinnost splnit správce nebo zpracovatel.
(3) Poruší-li uložené povinnosti osoba, která je ke správci nebo zpracovateli v pracovním poměru, řídí se její odpovědnost zákoníkem práce.
§ 24
Osoby uvedené v § 23 se odpovědnosti zprostí, pokud prokáží, že porušení předpisů nezavinily. Přesto však může subjekt údajů požadovat, aby se zdržely jednání porušujícího stanovené povinnosti, odstranily stav z takového jednání vzniklý a zlikvidovaly osobní údaje, které neoprávněně zpracovávají.
§ 25
Náhrada škody
V otázkách neupravených tímto zákonem se použije obecná úprava odpovědnosti za škodu.22),23)
§ 26
Povinnosti podle § 21 až 25 se obdobně vztahují i na osoby, které shromáždily osobní údaje neoprávněně.
ČLÁNKY DO MAILU