Zákon, kterým se mění některé zákony v souvislosti se vstupem České republiky do schengenského prostoru - ČÁST TŘINÁCTÁ - Změna zákona o ochraně osobních údajů

ČÁST TŘINÁCTÁ

Změna zákona o ochraně osobních údajů

Čl. XVI

Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění zákona č. 227/2000 Sb., zákona č. 177/2001 Sb., zákona č. 450/2001 Sb., zákona č. 107/2002 Sb., zákona č. 309/2002 Sb., zákona č. 310/2002 Sb., zákona č. 517/2002 Sb., zákona č. 439/2004 Sb., zákona č. 480/2004 Sb., zákona č. 626/2004 Sb., zákona č. 413/2005 Sb., zákona č. 444/2005 Sb., zákona č. 109/2006 Sb., zákona č. 112/2006 Sb. a zákona č. 342/2006 Sb., se mění takto:

1. V § 2 se na konci textu odstavce 2 doplňují slova ", mezinárodními smlouvami, které jsou součástí právního řádu, a přímo použitelnými předpisy Evropských společenství".

2. V § 2 se doplňuje odstavec 3, který zní:

"(3) Úřad vykonává působnost dozorového úřadu pro oblast ochrany osobních údajů vyplývající z mezinárodních smluv, které jsou součástí právního řádu.".

3. V § 4 písm. b) se slova "jakýkoliv biometrický nebo" zrušují.

4. V § 4 se na konci textu písmene b) doplňují slova "; citlivým údajem je také biometrický údaj, který umožňuje přímou identifikaci nebo autentizaci subjektu údajů".

5. V § 9 písm. h) se slovo "nebo" zrušuje, na konci písmene ch) se tečka nahrazuje čárkou a doplňuje slovo "nebo" a doplňuje se písmeno i), které zní:

"i) se jedná o zpracování podle zvláštních zákonů při předcházení, vyhledávání, odhalování trestné činnosti, stíhání trestných činů a pátrání po osobách.".

6. V § 13 se doplňují odstavce 3 a 4, které znějí:

"(3) V rámci opatření podle odstavce 1 správce nebo zpracovatel posuzuje rizika týkající se

a) plnění pokynů pro zpracování osobních údajů osobami, které mají bezprostřední přístup k osobním údajům,

b) zabránění neoprávněným osobám přistupovat k osobním údajům a k prostředkům pro jejich zpracování,

c) zabránění neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě či vymazání záznamů obsahujících osobní údaje a

d) opatření, která umožní určit a ověřit, komu byly osobní údaje předány.

(4) V oblasti automatizovaného zpracování osobních údajů je správce nebo zpracovatel v rámci opatření podle odstavce 1 povinen také

a) zajistit, aby systémy pro automatizovaná zpracování osobních údajů používaly pouze oprávněné osoby,

b) zajistit, aby fyzické osoby oprávněné k používání systémů pro automatizovaná zpracování osobních údajů měly přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, a to na základě zvláštních uživatelských oprávnění zřízených výlučně pro tyto osoby,

c) pořizovat elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány, a

d) zabránit neoprávněnému přístupu k datovým nosičům.".

7. V § 29 odst. 1 písm. a) se slova "stanovených tímto zákonem" nahrazují slovy "stanovených zákonem při zpracování osobních údajů".

8. V § 29 odst. 1 písm. c) se slova "tohoto zákona" nahrazují slovy "povinností stanovených zákonem při zpracování osobních údajů".

9. V § 29 odst. 1 se na konci textu písmene g) doplňují slova " , a z přímo použitelných předpisů Evropských společenství".