Jak na to Zákony Odkazy

Zákony

Zákon o ochraně osobních údajů

Změna: 227/2000 Sb., 177/2001 Sb., 450/2001 Sb., 107/2002 Sb., 310/2002 Sb., 517/2002 Sb., 439/2004 Sb., 480/2004 Sb., 439/2004 Sb. (část), 626/2004 Sb., 413/2005 Sb., 444/2005 Sb., 342/2006 Sb., 109/2006 Sb.

Aktuální znění zákona najdete na Portálu veřejné správy

101/2000 Sb.
ZÁKON
ze dne 4. dubna 2000
o ochraně osobních údajů a o změně některých zákonů

Parlament se usnesl na tomto zákoně České republiky:

ČÁST PRVNÍ

OCHRANA OSOBNÍCH ÚDAJŮ

HLAVA I

ÚVODNÍ USTANOVENÍ

§ 1

Předmět úpravy

Zákon upravuje ochranu osobních údajů o fyzických osobách, práva a povinnosti při zpracování těchto údajů a stanoví podmínky, za nichž se uskutečňuje jejich předávání do jiných států.

§ 2

(1) Zřizuje se Úřad pro ochranu osobních údajů se sídlem v Praze (dále jen "Úřad").

(2) Úřadu jsou svěřeny kompetence ústředního správního úřadu pro oblast ochrany osobních údajů v rozsahu stanoveném tímto zákonem.

§ 3

Působnost zákona

(1) Zákon se vztahuje na osobní údaje, které zpracovávají státní orgány, orgány územní samosprávy, jiné orgány veřejné moci, jakož i fyzické a právnické osoby, pokud tento zákon nebo zvláštní zákon nestanoví jinak.

(2) Zákon se vztahuje na veškeré zpracovávání osobních údajů, ať k němu dochází automatizovaně nebo jinými prostředky.

(3) Zákon se nevztahuje na zpracování osobních údajů, které provádí fyzická osoba výlučně pro osobní potřebu.

(4) Zákon se nevztahuje na nahodilé shromažďování osobních údajů, pokud tyto údaje nejsou dále zpracovávány. Dále se zákon nevztahuje na nahodilé shromažďování osobních údajů v rozsahu nezbytném pro výkon nezávislého povolání, které není živností ani jiným podnikáním podle zvláštních zákonů,1a) které stanoví povinnost mlčenlivosti.

(5) Zpracování osobních údajů pro účely statistické a archivnictví stanoví zvláštní zákony.2), 3)

(6) Ustanovení § 5, 9, 11, 16 a 27 tohoto zákona se nepoužijí pro zpracování osobních údajů
a) zpravodajskými službami,4)
b) Policií České republiky, včetně její Národní ústředny Interpolu, při odhalování trestné činnosti,5)
c) Ministerstvem financí v rámci finančně-analytické činnosti podle zvláštního právního předpisu,6)
d) Národním bezpečnostním úřadem při provádění bezpečnostních prověrek a ověřování bezpečnostní způsobilosti fyzických osob podle zvláštního právního předpisu,7)
e) Ministerstvem vnitra při vydávání osvědčení podle zvláštního právního předpisu,8) při vydávání krycích dokladů9) a při činnosti útvaru inspekce ministra vnitra,10)
f) orgány příslušnými ke zpřístupňování svazků vzniklých činností bývalé Státní bezpečnosti podle zvláštního zákona,10a) pokud tento zvláštní zákon nestanoví jinak.
------------------------------------------------------------------
1a) Například zákon č. 85/1996 Sb., o advokacii, ve znění pozdějších předpisů, zákon č. 358/1992 Sb., o notářích a jejich činnosti, ve znění pozdějších předpisů, zákon č. 237/1991 Sb., o patentových zástupcích, ve znění zákona č. 14/1993 Sb., zákon č. 523/1992 Sb., o daňovém poradenství a Komoře daňových poradců České republiky, zákon č. 254/2000 Sb., o auditorech, zákon č. 36/1967 Sb., o znalcích a tlumočnících.
2) Zákon č. 89/1995 Sb., o státní statistické službě. Zákon č. 158/1999 Sb., o sčítání lidu, domů a bytů v roce 2001.
3) Zákon č. 97/1974 Sb., o archivnictví, ve znění zákona č. 343/1992 Sb.
4) Zákon č. 153/1994 Sb., o zpravodajských službách České republiky, ve znění zákona č. 118/1995 Sb.
5) Zákon č. 283/1991 Sb.Sb., o Policii České republiky, ve znění pozdějších předpisů.
6) Zákon č. 61/1996 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a o změně a doplnění souvisejících zákonů, ve znění zákona č. 15/1998 Sb.
7) Zákon č. 148/1998 Sb., o ochraně utajovaných skutečností a o změně některých zákonů, ve znění pozdějších předpisů.
8) Zákon č. 451/1991 Sb., kterým se stanoví některé další předpoklady pro výkon některých funkcí ve státních orgánech a organizacích České a Slovenské Federativní Republiky, České republiky a Slovenské republiky, ve znění pozdějších předpisů. Zákon č. 279/1992 Sb., o některých dalších předpokladech pro výkon některých funkcí obsazovaných ustanovením nebo jmenováním příslušníků Policie České republiky a příslušníků Sboru nápravné výchovy České republiky, ve znění pozdějších předpisů.
9) § 34a zákona č. 283/1991 Sb.
10) § 2 odst. 4 zákona č. 283/1991 Sb.
10a) Zákon č. 140/1996 Sb., o zpřístupnění svazků vzniklých činností bývalé Státní bezpečnosti, ve znění zákona č. 107/2002 Sb.

§ 4

Vymezení pojmů

Pro účely tohoto zákona se rozumí
a) osobním údajem jakýkoliv údaj týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze na základě jednoho či více osobních údajů přímo či nepřímo zjistit jeho identitu. O osobní údaj se nejedná, pokud je třeba ke zjištění identity subjektu údajů nepřiměřené množství času, úsilí či materiálních prostředků,
b) citlivým údajem osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, trestné činnosti, zdravotním stavu a sexuálním životě subjektu údajů,
c) anonymním údajem takový údaj, který buď v původním tvaru nebo po provedeném zpracování nelze vztáhnout k určenému nebo určitelnému subjektu údajů,
d) subjektem údajů fyzická osoba, k níž se osobní údaje vztahují,
e) zpracováním osobních údajů jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Zpracováním osobních údajů se rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace,
f) shromažďováním osobních údajů systematický postup nebo soubor postupů, jehož cílem je získání osobních údajů za účelem jejich dalšího uložení na nosič informací pro jejich okamžité nebo pozdější zpracování,
g) uchováváním osobních údajů udržování údajů v takové podobě, která je umožňuje dále zpracovávat,
h) blokováním osobních údajů vytvoření takového stavu, při kterém je osobní údaj určitou dobu nepřístupný a nelze jej jinak zpracovávat,
i) likvidací osobních údajů se rozumí fyzické zničení jejich nosiče, jejich fyzické vymazání nebo jejich trvalé vyloučení z dalších zpracování,
j) správcem každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. Zpracováním osobních údajů může správce zmocnit nebo pověřit zpracovatele, pokud zvláštní zákon nestanoví jinak,
k) zpracovatelem každý subjekt, který na základě zvláštního zákona nebo pověření správcem zpracovává osobní údaje podle tohoto zákona,
l) zveřejněným osobním údajem osobní údaj zpřístupněný zejména hromadnými sdělovacími prostředky, jiným veřejným sdělením nebo jako součást veřejného seznamu.

HLAVA II

PRÁVA A POVINNOSTI PŘI ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

§ 5

(1) Správce je povinen
a) stanovit účel, k němuž mají být osobní údaje zpracovány,
b) stanovit prostředky a způsob zpracování osobních údajů,
c) zpracovávat pouze pravdivé a přesné osobní údaje, které získal v souladu s tímto zákonem. Je povinen ověřovat, zda jsou osobní údaje pravdivé a přesné. Zjistí-li správce, že jím zpracovávané údaje nejsou s ohledem na stanovený účel pravdivé a přesné, zejména k námitce subjektu údajů, je povinen je blokovat a bez zbytečného odkladu opravit nebo doplnit. Nelze-li je opravit nebo doplnit, musí je bez zbytečného odkladu zlikvidovat. Nepravdivé, nepřesné nebo neověřené osobní údaje lze zpracovávat pouze v případě, stanoví-li tak zvláštní zákon.11) Tyto údaje se musí náležitě označit a vést odděleně od ostatních osobních údajů,
d) shromažďovat osobní údaje odpovídající pouze stanovenému účelu a v rozsahu nezbytném pro naplnění stanového účelu,
e) uchovávat osobní údaje pouze po dobu, která je nezbytná k účelu jejich zpracování. Po uplynutí této doby mohou být osobní údaje uchovávány pouze pro účely statistické, vědecké a pro účely archivnictví. Při použití pro tyto účely je třeba dbát práva na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů,
f) zpracovávat osobní údaje pouze v souladu s účelem, k němuž byly shromážděny, pokud zvláštní zákon nestanoví jinak. Zpracovávat k jinému účelu lze osobní údaj, jen pokud k tomu dal subjekt údajů souhlas,
g) shromažďovat osobní údaje pouze otevřeně; je vyloučeno shromažďovat údaje pod záminkou jiného účelu nebo jiné činnosti, pokud zvláštní zákon nestanoví jinak,
h) nesdružovat osobní údaje, které byly získány k rozdílným účelům, pokud zvláštní zákon nestanoví jinak.

(2) Správce může zpracovávat osobní údaje pouze se souhlasem subjektu údajů. Bez tohoto souhlasu je může zpracovávat,
a) jestliže provádí zpracování stanovené zvláštním zákonem nebo nutné pro plnění povinností stanovených zvláštním zákonem,12)
b) jestliže je nezbytné, aby subjekt údajů mohl vstoupit do jednání o smluvním vztahu nebo aby plnil ujednání smlouvy uzavřené se správcem,
c) pokud je to nezbytně třeba k ochraně důležitých zájmů subjektu údajů. V tomto případě je třeba bez zbytečného odkladu získat jeho souhlas. Pokud souhlas není dán, musí správce ukončit zpracování a údaje zlikvidovat,
d) jedná-li se o oprávněně zveřejněné osobní údaje v souladu se zvláštním právním předpisem.13) Tím však není dotčeno právo na ochranu soukromého a osobního života subjektu údajů,
e) pokud je to nezbytné pro ochranu práv správce; takové zpracování osobních údajů však nesmí být v rozporu s právem subjektu údajů na ochranu jeho soukromého a osobního života, nebo
f) pokud je to nezbytné pro výkon oprávněné činnosti politických stran, politických hnutí, občanských sdružení, odborových organizací, církví nebo náboženských společností.

(3) Provádí-li správce zpracování osobních údajů na základě zvláštního zákona,12) je povinen dbát práva na ochranu soukromého a osobního života subjektu údajů.

(4) Bez souhlasu subjektu údajů lze osobní údaje zpracovávat pro účely statistické nebo vědecké. Pro tyto účely zpracování je nutno osobní údaje anonymizovat, jakmile je to možné. Při zpracování osobních údajů pro tyto účely je však nutno zajistit požadovanou úroveň jejich zabezpečení podle § 13.

(5) Souhlasem podle odstavce 2 však nemohou být dotčeny povinnosti uvedené v odstavci 1 písm. c) a g). Ze souhlasu musí být patrné, v jakém rozsahu je poskytován, komu a k jakému účelu, na jaké období a kdo jej poskytuje. Souhlas může být kdykoliv odvolán, pokud se subjekt údajů se správcem výslovně nedohodne jinak. Tento souhlas musí správce prokázat po dobu zpracování osobních údajů, k jejichž zpracování byl dán souhlas.

(6) Provádí-li správce nebo zpracovatel zpracování osobních údajů za účelem nabízení obchodu nebo služeb subjektu údajů, lze pro tento účel použít jméno, příjmení a adresu subjektu údajů, pokud tyto údaje byly získány z veřejného seznamu nebo v souvislosti se svojí činností jakožto správce nebo zpracovatele. Správce nebo zpracovatel však nesmí uvedené údaje dále zpracovávat, pokud s tím subjekt údajů vyslovil nesouhlas. Nesouhlas se zpracováním je nutné vyjádřit písemně. Bez souhlasu subjektu údajů nelze k uvedeným údajům přiřazovat další osobní údaje.

(7) Správce, který zpracovává osobní údaje podle odstavce 6, může tyto údaje předat jinému správci pouze za splnění těchto podmínek:
a) údaje subjektu údajů byly získány v souvislosti s činností správce nebo se jedná o zveřejněné osobní údaje,
b) údaje budou využívány pouze za účelem nabízení obchodu a služeb,
c) subjekt údajů byl o tomto postupu správce předem informován a nevyslovil s tímto postupem nesouhlas.

(8) Jiný správce, kterému byly předány údaje podle odstavce 7, nesmí tyto údaje předávat jiné osobě.

(9) Nesouhlas se zpracováním podle odstavce 7 písm. c) musí subjekt údajů učinit písemně. Správce je povinen informovat každého správce, kterému předal jméno, příjmení a adresu subjektu údajů, o tom, že subjekt údajů vyslovil nesouhlas se zpracováním.

(10) Za účelem vyloučení možnosti, že jméno, příjmení a adresa subjektu údajů budou opakovaně použity k nabídce obchodu a služeb, je správce oprávněn dále zpracovávat pro svoji vlastní potřebu jméno, příjmení a adresu subjektu údajů přesto, že subjekt údajů vyslovil nesouhlas podle odstavce 6.
------------------------------------------------------------------
11) Například zákon č. 89/1995 Sb., zákon č. 153/1994 Sb., ve znění zákona č. 118/1995 Sb., a zákon č. 283/1991 Sb., ve znění pozdějších předpisů.
12) Například zákon č. 111/1998 Sb., o vysokých školách a o změně a doplnění dalších zákonů (zákon o vysokých školách), zákon č. 564/1990 Sb., o státní správě a samosprávě ve školství, ve znění pozdějších předpisů, zákon č. 153/1994 Sb., ve znění zákona č. 118/1995 Sb., a zákon č. 61/1996 Sb., ve znění zákona č. 15/1998 Sb.
13) Zákon č. 81/1966 Sb., o periodickém tisku a o ostatních hromadných informačních prostředcích, ve znění pozdějších předpisů.

§ 6

Pokud zmocnění nevyplývá z právního předpisu, může správce se zpracovatelem uzavřít smlouvu o zpracování osobních údajů. Smlouva musí mít písemnou formu, jinak je neplatná. Musí v ní být zejména výslovně uvedeno, v jakém rozsahu, za jakým účelem a na jakou dobu se uzavírá. Jestliže zpracovatel ve smlouvě neposkytne dostatečné záruky o technickém a organizačním zabezpečení ochrany osobních údajů, je taková smlouva neplatná.

§ 7

Povinnosti stanovené v § 5 platí obdobně také pro zpracovatele.

§ 8

Jestliže zpracovatel zjistí, že správce porušuje povinnosti stanovené tímto zákonem, je povinen jej na to neprodleně upozornit a ukončit zpracování osobních údajů. Pokud tak neučiní, odpovídá za škodu, která subjektu údajů vznikla, společně a nerozdílně se správcem údajů. Tím není dotčena jeho odpovědnost podle tohoto zákona.

§ 9

Citlivé údaje

Citlivé údaje je možné zpracovávat, jen jestliže
a) subjekt údajů dal ke zpracování výslovný souhlas. Souhlas musí být dán písemně, podepsán subjektem údajů a musí z něho být zřejmé, k jakým údajům je dáván, jakému správci údajů, k jakému účelu, na jaké období a kdo jej poskytuje. Souhlas může subjekt údajů kdykoliv odvolat. Správce je povinen předem subjekt údajů o jeho právech poučit. Tento souhlas musí správce uschovat po dobu zpracování osobních údajů, k jejichž zpracování byl souhlas dán,
b) je to nezbytné v zájmu zachování života nebo zdraví subjektu údajů nebo jiné osoby nebo odvrácení bezprostředního závažného nebezpečí hrozícího jejich majetku, pokud není možno jeho souhlas získat zejména z důvodů fyzické, duševní či právní nezpůsobilosti, v případě, že je nezvěstný nebo z jiných podobných důvodů. Správce musí ukončit zpracování údajů, jakmile pominou uvedené důvody, a údaje musí zlikvidovat, ledaže by subjekt údajů dal k dalšímu zpracování souhlas,
c) se jedná o poskytování zdravotní péče,14) jakož i jiné posuzování zdravotního stavu podle zvláštního právního předpisu, zejména pro účely sociálního zabezpečení,15) nebo d) je tak stanoveno zvláštním zákonem.16)
------------------------------------------------------------------
14) Zákon č. 20/1966 Sb., o péči o zdraví lidu, ve znění pozdějších předpisů.
15) Například zákon č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení, ve znění pozdějších předpisů.
16) Například zákon č. 48/1997 Sb., o veřejném zdravotním pojištění a o změně a doplnění některých souvisejících zákonů, ve znění pozdějších předpisů, zákon č. 280/1992 Sb., o resortních, oborových, podnikových a dalších zdravotních pojišťovnách, ve znění pozdějších předpisů, zákon č. 551/1991 Sb., o Všeobecné zdravotní pojišťovně České republiky, ve znění pozdějších předpisů, a zákon č. 158/1999 Sb.

§ 10

Při zpracování osobních údajů správce a zpracovatel dbá, aby subjekt údajů neutrpěl újmu na svých právech, zejména na právu na zachování lidské důstojnosti, a také dbá na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů.

§ 11

(1) Správce je před zahájením zpracování osobních údajů povinen subjekt údajů řádně a včas písemně informovat o tom, v jakém rozsahu a pro jaký účel budou osobní údaje zpracovávány, kdo a jakým způsobem bude osobní údaje zpracovávat a komu mohou být osobní údaje zpřístupněny či komu jsou určeny, nejsou-li subjektu údajů tyto informace již známy.

(2) Správce musí dále subjekt údajů poučit o tom, zda je podle zákona povinen pro zpracování osobní údaje poskytnout, jaké důsledky budou vyvozeny, pokud tak neučiní, a kdy je oprávněn odmítnout poskytnutí osobních údajů nebo zda poskytnutí osobních údajů je dobrovolné.

(3) Správce musí subjekt údajů informovat o jeho právu k přístupu k osobním údajům, jakož i o dalších právech stanovených v § 21 tohoto zákona.

(4) Jestliže správce nezískal osobní údaje od subjektu údajů, je povinen bezodkladně poskytnout subjektu údajů na základě písemné žádosti informace o tom, kdo správci osobní údaje poskytl (zdroj osobních údajů).

(5) Informace podle odstavců 1 až 4 není povinen správce poskytovat, pokud
a) zpracovává osobní údaje výlučně pro účely statistické, vědecké nebo archivnictví,
b) zpracování osobních údajů mu ukládá zákon nebo je takových údajů třeba k uplatnění práv a povinností vyplývajících ze zvláštních zákonů,
c) zvláštní zákon17) stanoví, že není povinen osobní údaje poskytovat,
d) zpracovává výlučně zveřejněné osobní údaje, nebo
e) zpracovává osobní údaje se souhlasem subjektu údajů podle § 5 odst. 5 a § 9 písm. a).

(6) Rozhodnutí orgánu veřejné moci ani jiný úkon nelze bez ověření vydat nebo učinit na základě výlučně automatizovaného zpracování osobních údajů. To neplatí v případě, že takové rozhodnutí nebo úkon byly učiněny ve prospěch subjektu údajů.

(7) Předchozími ustanoveními nejsou dotčena práva subjektu údajů požadovat informace podle zvláštních zákonů.18)

(8) Při zpracování osobních údajů podle § 5 odst. 2 písm. e) je správce povinen bez zbytečného odkladu subjekt údajů informovat o tomto postupu.
------------------------------------------------------------------
17) Například zákon č. 153/1994 Sb., ve znění zákona č. 118/1995 Sb., zákon č. 61/1996 Sb., ve znění zákona č. 15/1998 Sb., a zákon č. 283/1991 Sb., ve znění pozdějších předpisů.
18) Například zákon č. 123/1998 Sb., o právu na informace o životním prostředí, zákon č. 367/1990 Sb., o obcích (obecní zřízení), ve znění pozdějších předpisů, zákon č. 106/1999 Sb., o svobodném přístupu k informacím.

§ 12

(1) Správce nemusí splnit informační povinnost podle § 11 odst. 1 v případě, že tyto informace jsou součástí poučení podle právního předpisu.

(2) Správce je povinen jednou za kalendářní rok bezplatně, jinak kdykoli za přiměřenou úhradu nepřevyšující náklady nezbytné na poskytnutí informace, subjektu údajů na základě písemné žádosti poskytnout informace o osobních údajích o něm zpracovávaných, pokud zákon nestanoví jinak.

Povinnosti osob při zabezpečení osobních údajů

§ 13

Správce a zpracovatel jsou povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů.

§ 14

Zaměstnanci správce nebo zpracovatele a jiné osoby, které zpracovávají osobní údaje na základě smlouvy se správcem nebo zpracovatelem, mohou zpracovávat osobní údaje pouze za podmínek a v rozsahu správcem nebo zpracovatelem stanoveném.

§ 15

(1) Zaměstnanci správce nebo zpracovatele, jiné fyzické osoby, které zpracovávají osobní údaje na základě smlouvy se správcem nebo zpracovatelem, a další osoby, které v rámci plnění zákonem stanovených oprávnění a povinností přicházejí do styku s osobními údaji u správce nebo zpracovatele, jsou povinni zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů. Povinnost mlčenlivosti trvá i po skončení zaměstnání nebo příslušných prací.

(2) Ustanovením předchozího odstavce není dotčena povinnost zachovávat mlčenlivost podle zvláštních zákonů.19)

(3) Povinnost zachovávat mlčenlivost se nevztahuje na informační povinnost podle zvláštních zákonů.20)
------------------------------------------------------------------
19) Například zákon č. 148/1998 Sb., ve znění pozdějších předpisů, zákon č. 89/1995 Sb., zákon č. 20/1966 Sb., ve znění pozdějších předpisů, zákon č. 15/1998 Sb., o Komisi pro cenné papíry a o změně a doplnění dalších zákonů.
20) Například § 167 a 168 zákona č. 140/1961 Sb., trestní zákon, ve znění pozdějších předpisů, zákon č. 21/1992 Sb., o bankách, ve znění pozdějších předpisů, zákon č. 20/1966 Sb., ve znění pozdějších předpisů.

§ 16

Oznamovací povinnost

(1) Ten, kdo hodlá zpracovávat osobní údaje, je povinen tuto skutečnost oznámit Úřadu před započetím zpracovávání osobních údajů. Oznámení je povinen učinit i správce, jestliže hodlá změnit zpracování osobních údajů. Oznámení musí být učiněno písemně.

(2) Oznámení musí obsahovat následující informace:
a) název správce, adresu jeho sídla a identifikační číslo, pokud bylo přiděleno,
b) účel nebo účely zpracování,
c) kategorie subjektů údajů a osobních údajů, které se těchto subjektů týkají,
d) zdroje osobních údajů,
e) popis způsobu zpracování osobních údajů,
f) místo nebo místa zpracování osobních údajů, jsou-li odlišná od adresy sídla správce,
g) příjemce nebo kategorie příjemců, kterým uvedené osobní údaje mohou být zpřístupněny či sdělovány,
h) předpokládané přenosy osobních údajů do jiných států,
i) popis opatření k zajištění požadované ochrany osobních údajů podle § 13,
j) propojení na jiné správce nebo zpracovatele.

(3) Úřad je povinen do 30 dnů od doručení oznámení Úřadu oznamovateli sdělit, že jeho oznámení registruje, nebo vydat rozhodnutí podle § 17.

(4) Pokud Úřad oznámení zaregistroval, může dnem registrace oznamovatel zahájit zpracování osobních údajů.

(5) Jestliže Úřad ve lhůtě stanovené v odstavci 3 oznamovateli nesdělí, že oznámení zaregistroval, ani nevydá rozhodnutí, má se za to, že oznámení zaregistroval.

§ 17

(1) Zjistí-li Úřad, že oznamovatel nesplňuje podmínky stanovené tímto zákonem, zpracování osobních údajů nepovolí.

(2) Jestliže oznámení neobsahuje všechny požadované informace, vyzve Úřad oznamovatele, aby je ve stanovené lhůtě doplnil.

(3) Vznikne-li z oznámení důvodná obava, že při zpracování osobních údajů by mohlo dojít k porušení tohoto zákona, vyzve Úřad oznamovatele, aby oznámení ve stanovené lhůtě doplnil, popřípadě může sám provést šetření na místě samém.

(4) Po uplynutí lhůty stanovené podle odstavce 2 a 3 Úřad oznámení zaregistruje nebo vydá rozhodnutí, jímž zpracování osobních údajů nepovolí.

§ 17a

(1) Zjistí-li Úřad, že správce zpracovává osobní údaje na základě zaregistrovaného oznámení podle § 16 a v rozporu s podmínkami stanovenými tímto zákonem, rozhodne o zrušení registrace.

(2) Zjistí-li Úřad, že správce, jehož oznámení bylo zaregistrováno postupem podle § 16 odst. 3 nebo § 17 odst. 4, porušuje podmínky stanovené tímto zákonem, registraci zruší.

(3) Pomine-li účel, pro který bylo zpracování zaregistrováno, Úřad z vlastního podnětu nebo na žádost správce registraci zruší.

§ 18

Oznamovací povinnost podle § 16 se nevztahuje na zpracování osobních údajů,
a) které jsou součástí evidencí veřejně přístupných,
b) jejichž zpracování je správci uloženo zákonem,21) nebo kterých je třeba k uplatnění práv vyplývajících ze zvláštních zákonů, nebo
c) prováděné politickými stranami, politickými hnutími, odborovými organizacemi, církvemi, náboženskými společnostmi, občanskými sdruženími, popřípadě jinými právnickými osobami nevýdělečné povahy, které sledují politické, filozofické, náboženské nebo odborové cíle, pokud zpracovávají osobní údaje o svých členech a tyto údaje slouží pro jejich vnitřní potřebu.
------------------------------------------------------------------
21) Například zákon č. 153/1994 Sb., zákon č. 61/1996 Sb., ve znění zákona č. 15/1998 Sb., zákon č. 283/1991 Sb., ve znění pozdějších předpisů, a zákon č. 158/1999 Sb.

§ 19

Jestliže správce hodlá ukončit svoji činnost, je povinen Úřadu neprodleně oznámit, jak naložil s osobními údaji, pokud se na jejich zpracování vztahuje oznamovací povinnost.

§ 20

Likvidace osobních údajů

(1) Správce nebo na základě jeho pokynu zpracovatel je povinen provést likvidaci osobních údajů, jakmile pomine účel, pro který byly osobní údaje zpracovány, nebo na základě žádosti subjektu údajů podle § 21.

(2) Zvláštní zákon stanoví výjimky týkající se uchovávání osobních údajů pro účely archivnictví a uplatňování práv v občanském soudním řízení, trestním řízení a správním řízení.

Ochrana práv subjektů údajů

§ 21

(1) Pokud subjekt údajů zjistí, že došlo k porušení povinností správcem nebo zpracovatelem, má právo obrátit se na Úřad s žádostí o zajištění opatření k nápravě.

(2) Došlo-li k porušení povinností správcem nebo zpracovatelem, má subjekt údajů právo požadovat
a) aby se správce či zpracovatel zdržel takového jednání, odstranil takto vzniklý stav či poskytl na svoje náklady omluvu nebo jiné zadostiučinění,
b) aby správce či zpracovatel provedl opravu nebo doplnění osobních údajů tak, aby byly pravdivé a přesné,
c) aby osobní údaje byly zablokovány nebo zlikvidovány,
d) zaplacení peněžité náhrady, jestliže tím bylo porušeno jeho právo na lidskou důstojnost, osobní čest, dobrou pověst či právo na ochranu jména.

(3) Odpovědnosti podle odstavce 2 se zprostí ten, kdo prokáže, že porušení povinnosti nebylo možno zabránit ani při vynaložení veškerého úsilí, které lze od něj požadovat. Přesto však může subjekt údajů požadovat, aby se správce nebo zpracovatel zdržel závadného jednání, odstranil závadný stav, provedl opravu, doplnění, blokování nebo likvidaci osobních údajů.

(4) Způsobil-li správce nebo zpracovatel subjektu údajů škodu, odpovídají za ni společně a nerozdílně podle zvláštních právních předpisů.22)

(5) Došlo-li k porušení povinností uložených tímto zákonem jak u správce, tak u zpracovatele, odpovídají za ně společně a nerozdílně. Subjekt údajů se může domáhat svých nároků u kteréhokoliv z nich.

(6) O opatřeních provedených podle odstavce 2 písm. a) až c) je správce povinen bez zbytečného odkladu zajistit informování každého subjektu, jemuž byly v rámci zpracování osobní údaje poskytnuty, s výjimkou informací o poskytnutí omluvy či jiného zadostiučinění.
------------------------------------------------------------------
22) Například zákon č. 40/1964 Sb., občanský zákoník, ve znění pozdějších předpisů, zákon č. 82/1998 Sb., o odpovědnosti za škodu způsobenou při výkonu veřejné moci rozhodnutím nebo nesprávným úředním postupem, zákon č. 358/1992 Sb., o notářích a jejich činnosti (notářský řád), ve znění pozdějších předpisů.

§ 22

Právo na zablokování či likvidaci osobních údajů nemůže subjekt údajů požadovat, jestliže je správce povinen osobní údaje zpracovávat na základě zákona nebo pokud by tím mohla být způsobena újma na právech třetích osob.

§ 23

Náprava nemajetkové újmy

(1) Jestliže osoba, která vykonává pro správce či zpracovatele činnosti na základě smlouvy, poruší uložené povinnosti, má subjekt údajů právo požadovat,
a) aby se zdržela takového jednání, odstranila takto vzniklý stav či poskytla na svoje náklady omluvu nebo jiné zadostiučinění,
b) aby zlikvidovala osobní údaje, které neoprávněně zpracovává,
c) aby zaplatila peněžitou náhradu újmy, která vznikla porušením jeho práva na lidskou důstojnost, osobní čest, dobrou pověst či práva na ochranu jména.

(2) Neposkytne-li tato osoba na svoje náklady omluvu nebo jiné zadostiučinění nebo nezaplatí peněžitou náhradu, je povinen za ni tuto povinnost splnit správce nebo zpracovatel.

(3) Poruší-li uložené povinnosti osoba, která je ke správci nebo zpracovateli v pracovním poměru, řídí se její odpovědnost zákoníkem práce.

§ 24

Osoby uvedené v § 23 se odpovědnosti zprostí, pokud prokáží, že porušení předpisů nezavinily. Přesto však může subjekt údajů požadovat, aby se zdržely jednání porušujícího stanovené povinnosti, odstranily stav z takového jednání vzniklý a zlikvidovaly osobní údaje, které neoprávněně zpracovávají.

§ 25

Náhrada škody

V otázkách neupravených tímto zákonem se použije obecná úprava odpovědnosti za škodu.23), 24)
------------------------------------------------------------------
23) Zákon č. 40/1964 Sb., ve znění pozdějších předpisů.
24) Zákon č. 513/1991 Sb., obchodní zákoník, ve znění pozdějších předpisů.

§ 26

Povinnosti podle § 21 až 25 se obdobně vztahují i na osoby, které shromáždily osobní údaje neoprávněně.

HLAVA III

PŘEDÁVÁNÍ OSOBNÍCH ÚDAJŮ DO JINÝCH STÁTŮ

§ 27

(1) Do jiných států mohou být osobní údaje předány za podmínky, že právní úprava státu, kde mají být zpracovány, odpovídá požadavkům stanoveným v tomto zákoně.

(2) Není-li podmínka podle odstavce 1 splněna, může být předávání osobních údajů uskutečněno, jestliže
a) předávání údajů se děje se souhlasem nebo na základě pokynu subjektu údajů, který je oprávněn jej učinit,
b) je to nezbytné k ochraně práv nebo uplatňování nároků subjektu údajů,
c) jde o osobní údaje, které jsou součástí evidencí veřejně přístupných nebo přístupných těm, kdo prokáží právní zájem, avšak jen pokud se týče individuálně určeného údaje nebo údajů,
d) předávání vyplývá z mezinárodní smlouvy, jíž je Česká republika vázána,
e) předávání je nutné pro uzavření nebo plnění smlouvy mezi subjektem údajů a správcem nebo smlouvy, která je uzavírána v zájmu subjektu údajů, nebo
f) je to nezbytné pro záchranu života nebo pro poskytnutí zdravotní péče subjektu údajů,
g) tak stanoví zvláštní zákon.24a)

(3) Předávání osobních údajů může být uskutečněno v jiných případech, je-li tak činěno ve prospěch subjektu údajů a pokud z dvoustranné smlouvy mezi správcem a přijímacím subjektem vyplývá, že přijímací strana zajistí požadovanou ochranu osobních údajů.

(4) Správce je povinen požádat Úřad o povolení k předání nebo předávání osobních údajů do jiných států. O žádosti Úřad rozhodne bezodkladně, nejpozději do 7 kalendářních dnů. Pokud v této lhůtě Úřad nerozhodne, má se za to, že s předáním osobních údajů souhlasí, a to na dobu, která je uvedena v žádosti. Hrozí-li nebezpečí z prodlení, vydá Úřad rozhodnutí neprodleně. Odvolání proti rozhodnutí nemá odkladný účinek.

(5) Vydá-li Úřad rozhodnutí o předávání osobních údajů, stanoví také dobu, po kterou může správce předávání provádět. Pokud správce poruší povinnosti stanovené tímto zákonem, Úřad toto povolení odejme. Odvolání proti rozhodnutí nemá odkladný účinek.

(6) Povinnosti podle odstavců 4 a 5 nemá správce v případě, že tak stanoví zvláštní zákon25) nebo předávání vyplývá z mezinárodní smlouvy, kterou je Česká republika vázána.
------------------------------------------------------------------
24a) Zákon č. 227/2000 Sb.
25) Například zákon č. 153/1994 Sb., ve znění zákona č. 118/1995 Sb., zákon č. 61/1996 Sb., ve znění zákona č. 15/1998 Sb., a zákon č. 283/1991 Sb., ve znění pozdějších předpisů.

HLAVA IV

POSTAVENÍ A PŮSOBNOST ÚŘADU

§ 28

(1) Úřad je nezávislý orgán. Ve své činnosti postupuje nezávisle a řídí se pouze zákony a jinými právními předpisy.

(2) Do činnosti Úřadu lze zasahovat jen na základě zákona.

(3) Činnost Úřadu je hrazena ze samostatné kapitoly státního rozpočtu České republiky.

§ 29

(1) Úřad
a) provádí dozor nad dodržováním povinností stanovených tímto zákonem při zpracování osobních údajů,
b) vede evidenci oznámení učiněných podle § 16 a registr povolených zpracování osobních údajů (dále jen "registr"),
c) přijímá podněty a stížnosti občanů na porušení tohoto zákona,
d) zpracovává a veřejnosti zpřístupňuje výroční zprávu o své činnosti,
e) vykonává další působnosti stanovené mu zákonem,
f) projednává přestupky a jiné správní delikty a uděluje pokuty podle tohoto zákona,
g) zajišťuje plnění požadavků vyplývajících z mezinárodních smluv, jimiž je Česká republika vázána,
h) poskytuje konzultace v oblasti ochrany osobních údajů,
i) spolupracuje s obdobnými úřady jiných států.

(2) Při výkonu dozoru ve formě kontroly se postupuje podle zvláštního právního předpisu.26)

(3) Dozor nad zpracováním osobních údajů, které provádějí zpravodajské služby, stanoví zvláštní právní předpis.27)
------------------------------------------------------------------
26) Zákon č. 552/1991 Sb., o státní kontrole, ve znění pozdějších předpisů.
27) § 12 zákona č. 153/1994 Sb.

HLAVA V

ORGANIZACE ÚŘADU

§ 30

(1) Zaměstnanci Úřadu jsou předseda, inspektoři a další zaměstnanci.

(2) Kontrolní činnost Úřadu provádějí inspektoři a pověření zaměstnanci (dále jen "kontrolující").

(3) Na zaměstnance Úřadu se vztahují ustanovení zákoníku práce, pokud tento zákon nestanoví jinak.

(4) Předseda Úřadu má nárok na plat, další plat, náhradu výdajů a naturální plnění jako prezident Nejvyššího kontrolního úřadu podle zvláštního zákona.26a)

(5) Inspektoři Úřadu mají nárok na plat, další plat, náhradu výdajů a naturální plnění jako členové Nejvyššího kontrolního úřadu podle zvláštního zákona.26a)

(6) Platové poměry zaměstnanců Úřadu, s výjimkou předsedy a inspektorů se řídí právními předpisy upravujícími platové poměry zaměstnanců orgánů státní správy.28)

(7) Zaměstnancům Úřadu, s výjimkou předsedy a inspektorů přísluší náhrada cestovních výdajů podle zvláštního právního předpisu.29)
------------------------------------------------------------------
26a) Zákon č. 236/1995 Sb., o platu a dalších náležitostech spojených s výkonem funkce představitelů státní moci a některých státních orgánů a soudců, ve znění pozdějších předpisů.
28) Zákon č. 143/1992 Sb., o platu a odměně za pracovní pohotovost v rozpočtových a některých dalších organizacích a orgánech, ve znění pozdějších předpisů. Nařízení vlády č. 253/1992 Sb., o platových poměrech zaměstnanců orgánů státní správy, některých dalších orgánů a obcí, ve znění pozdějších předpisů.
29) Zákon č. 119/1992 Sb., o cestovních náhradách, ve znění pozdějších předpisů.

§ 31

Kontrolní činnost Úřadu se provádí na základě kontrolního plánu nebo na základě podnětů a stížností občanů.

§ 32

Předseda Úřadu

(1) Úřad řídí předseda, kterého jmenuje a odvolává prezident republiky na návrh Senátu Parlamentu České republiky.

(2) Předseda Úřadu je jmenován na dobu 5 let. Může být jmenován maximálně na 2 po sobě jdoucí období.

(3) Předsedou Úřadu může být jmenován pouze občan České republiky, který
a) je způsobilý k právním úkonům,
b) je bezúhonný, splňuje podmínky stanovené zvláštním právním předpisem30) a jeho znalosti, zkušenosti a morální vlastnosti jsou předpokladem, že bude svoji funkci řádně zastávat,
c) má ukončené vysokoškolské vzdělání.

(4) Bezúhonnou je pro účel tohoto zákona fyzická osoba, která nebyla pravomocně odsouzena pro úmyslný trestný čin nebo i trestný čin spáchaný z nedbalosti v souvislosti se zpracováním osobních údajů.

(5) S výkonem funkce předsedy Úřadu je neslučitelná funkce poslance nebo senátora, soudce, státního zástupce, jakákoliv funkce ve veřejné správě, funkce člena orgánů územní samosprávy a členství v politických stranách a hnutích.

(6) Předseda Úřadu nesmí zastávat jinou placenou funkci, být v dalším pracovním poměru ani vykonávat výdělečnou činnost s výjimkou správy vlastního majetku a činnosti vědecké, pedagogické, literární, publicistické a umělecké, pokud tato činnost nenarušuje důstojnost nebo neohrožuje důvěru v nezávislost a nestrannost Úřadu.

(7) Z funkce je předseda Úřadu odvolán, přestal-li splňovat některou z podmínek pro jeho jmenování.

(8) Z funkce může být předseda odvolán také tehdy, jestliže nevykonává po dobu 6 měsíců svoji funkci.
------------------------------------------------------------------
30) Zákon č. 451/1991 Sb.

Inspektoři Úřadu

§ 33

(1) Inspektora jmenuje a odvolává prezident republiky na návrh Senátu Parlamentu České republiky.

(2) Inspektor je jmenován na období 10 let. Může být jmenován opakovaně.

(3) Inspektor vykonává kontrolu, řídí kontrolu, vypracovává kontrolní protokol a provádí další úkony, jež souvisejí s úkoly Úřadu.

(4) Činnosti podle odstavce 3 vykonává 7 inspektorů Úřadu.

§ 34

(1) Inspektorem může být jmenován občan České republiky, který je způsobilý k právním úkonům, bezúhonný, splňuje podmínky stanovené zvláštním právním předpisem30) a má ukončené odborné vysokoškolské vzdělání.

(2) S výkonem funkce inspektora je neslučitelná funkce poslance nebo senátora, soudce, státního zástupce, jakákoliv funkce ve veřejné správě, funkce člena orgánů územní samosprávy a členství v politických stranách a hnutích. Inspektor nesmí zastávat jinou placenou funkci, být v pracovním poměru ani vykonávat výdělečnou činnost s výjimkou správy vlastního majetku a činnosti vědecké, pedagogické, literární, publicistické a umělecké, pokud tato činnost nenarušuje důstojnost nebo neohrožuje důvěru v nezávislost a nestrannost Úřadu.

(3) Z funkce je inspektor odvolán, přestal-li splňovat některou z podmínek pro jeho jmenování.
------------------------------------------------------------------
30) Zákon č. 451/1991 Sb.

HLAVA VI

ČINNOST ÚŘADU

§ 35

Registrace

(1) Do registru povolených zpracování osobních údajů se zapisují údaje z oznámení podle § 16 odst. 2.

(2) Registraci nebo její zrušení zveřejňuje Úřad nejdéle do 2 měsíců ve Věstníku Úřadu, nestanoví-li zvláštní zákon, že se registrace nebo její zrušení nezveřejňuje. Oznámení o registraci nebo oznámení o zrušení registrace může Úřad zveřejnit i jiným vhodným způsobem.

(3) Registr je veřejně přístupný s výjimkou údajů uvedených v § 16 odst. 2 písm. e) a i).

§ 36

Výroční zpráva

(1) Výroční zpráva Úřadu obsahuje zejména informace o provedené kontrolní činnosti a její zhodnocení, informace a zhodnocení stavu v oblasti zpracovávání a ochrany osobních údajů v České republice a zhodnocení ostatní činnosti Úřadu.

(2) Výroční zprávu předkládá předseda Úřadu pro informaci Poslanecké sněmovně a Senátu Parlamentu České republiky a vládě České republiky do 2 měsíců po skončení rozpočtového roku a zveřejňuje ji ve Věstníku Úřadu.

§ 37

Oprávnění kontrolujících

Kontrolující jsou při provádění kontroly oprávněni
a) vstupovat do objektů, zařízení a provozů, na pozemky a do jiných prostor kontrolovaných správců a zpracovatelů nebo každého, kdo zpracovává osobní údaje, (dále jen "kontrolovaný"), pokud to souvisí s předmětem kontroly; do obydlí mohou vstupovat pouze v případě, že tato slouží také k provozování podnikatelské činnosti,
b) požadovat na kontrolovaných a na jiných osobách, aby ve stanovených lhůtách předložily originální doklady a další písemnosti, záznamy dat na paměťových médiích, výpisy a zdrojové kódy programů, pokud je vlastní, výpisy a opisy dat (dále jen "doklady"), pokud to souvisí s předmětem kontroly, a provádět vlastní dokumentaci,
c) seznamovat se s utajovanými skutečnostmi za podmínek stanovených zvláštním právním předpisem,31) jakož i dalšími skutečnostmi, které jsou chráněny povinností mlčenlivosti,
d) požadovat na fyzických i právnických osobách poskytnutí pravdivých a úplných informací o zjišťovaných a souvisejících skutečnostech,
e) zajišťovat v odůvodněných případech doklady; jejich převzetí musí kontrolovanému písemně potvrdit a na jeho žádost mu ponechat kopie převzatých dokladů,
f) pořídit kopie obsahu paměťových médií, obsahujících osobní údaje, nacházejících se u kontrolovaného,
g) požadovat, aby kontrolovaní podali ve stanovené lhůtě písemnou zprávu o odstranění zjištěných nedostatků,
h) používat telekomunikační zařízení kontrolovaných v případech, kdy je jejich použití nezbytné pro zabezpečení kontroly.
------------------------------------------------------------------
31) Zákon č. 148/1998 Sb., ve znění pozdějších předpisů.

§ 38

Povinnosti kontrolujících

(1) Kontrolu nesmějí provádět ti kontrolující, u nichž se zřetelem na jejich vztah ke kontrolovaným nebo k předmětu kontroly jsou důvodné pochybnosti o jejich nepodjatosti.

(2) Kontrolující je povinen bezprostředně po tom, co se dozví o skutečnostech nasvědčujících jeho podjatosti, oznámit to předsedovi Úřadu.

(3) O námitce podjatosti kontrolujícího rozhodne předseda Úřadu bez zbytečného odkladu. Do rozhodnutí o námitce podjatosti činí kontrolující pouze úkony, které nesnesou odkladu.

(4) Proti rozhodnutí o námitce podjatosti se nelze odvolat.

(5) Kontrolující jsou povinni
a) prokázat se kontrolovanému průkazem kontrolora,
b) oznámit kontrolovanému zahájení kontroly,
c) šetřit práva a právem chráněné zájmy kontrolovaných,
d) předat neprodleně převzaté doklady, jakož i kopie paměťových médií kontrolovanému, pominou-li důvody jejich převzetí,
e) řádně ochraňovat zajištěné doklady proti jejich ztrátě, zničení, poškození nebo zneužití,
f) pořizovat o výsledcích kontroly kontrolní protokol,
g) zachovávat mlčenlivost o skutečnostech zjištěných při výkonu kontroly a nezneužít znalosti těchto skutečností. Povinností mlčenlivosti není dotčena oznamovací povinnost podle zvláštních zákonů. Povinnost mlčenlivosti přetrvává i po skončení pracovněprávního vztahu k Úřadu. Povinnosti mlčenlivosti může kontrolujícího zbavit předseda Úřadu. Povinnost mlčenlivosti se nevztahuje na anonymizované a zobecněné informace.

(6) Kontrolní protokol obsahuje zejména popis zjištěných skutečností s uvedením nedostatků a označení ustanovení právních předpisů, které byly porušeny, a opatření, která byla uložena k nápravě, a stanovení lhůt, do kdy je třeba je učinit. V kontrolním protokolu se uvádí označení Úřadu a jména kontrolujících na kontrole zúčastněných, označení kontrolovaného, místo a čas provedení kontroly, předmět kontroly, skutečný stav, označení dokladů a ostatních dokumentů a zjištění, o které se protokol opírá. Kontrolní protokol podepisují kontrolující, kteří se kontroly zúčastnili.

(7) Povinností kontrolujících je seznámit kontrolované s obsahem kontrolního protokolu a předat jim jeho stejnopis. Seznámení s kontrolním protokolem a jeho převzetí potvrzují kontrolovaní podpisem kontrolního protokolu. Odmítne-li kontrolovaný seznámit se s kontrolním protokolem nebo toto seznámení potvrdit, vyznačí se tyto skutečnosti v kontrolním protokolu.

§ 39

Každý je povinen v souvislosti s výkonem kontroly poskytnout kontrolujícím při výkonu jejich činnosti potřebnou součinnost.

Opatření k nápravě

§ 40

(1) Zjistí-li kontrolující, že došlo k porušení povinností uložených tímto zákonem, uloží inspektor, jaká opatření je třeba učinit, aby byly zjištěné nedostatky odstraněny, a stanoví lhůtu pro jejich odstranění.

(2) Byla-li uložena likvidace osobních údajů, jsou osobní údaje do likvidace blokovány. Proti uložení likvidace může správce podat námitku k předsedovi Úřadu. Do doby, než bude o námitce rozhodnuto, musí být osobní údaje blokovány. Proti rozhodnutí předsedy lze podat žalobu podle předpisů o správním soudnictví. Do doby, než bude soudem rozhodnuto, jsou údaje blokovány.

(3) Kontrolovaný je povinen ve stanovené lhůtě podat zprávu o přijatých opatřeních.

§ 41

V řízení ve věcech upravených tímto zákonem se postupuje podle správního řádu,32) pokud ustanovení tohoto zákona nestanoví jinak.
------------------------------------------------------------------
32) Zákon č. 71/1967 Sb., o správním řízení (správní řád), ve znění zákona č. 29/2000 Sb.

§ 42

Provozováním informačních systémů nakládajících s osobními údaji podle dosavadních předpisů se rozumí zpracování osobních údajů.

§ 43

Oprávnění a povinnosti při dozoru

Oprávnění a povinnosti kontrolujících a kontrolovaných osob se řídí zvláštním právním předpisem,26) pokud tento zákon nestanoví jinak.
------------------------------------------------------------------
26) Zákon č. 552/1991 Sb., o státní kontrole, ve znění pozdějších předpisů.

HLAVA VII

SANKCE

§ 44

Přestupky

(1) Přestupku se dopustí a pokutou do výše 50 000 Kč bude potrestána osoba, která je ke správci nebo zpracovateli v pracovním nebo jiném obdobném poměru nebo pro něj vykonává činnosti na základě dohody, nebo osoba, která v rámci plnění zákonem uložených oprávnění a povinností přichází do styku s osobními údaji správce nebo zpracovatele, pokud poruší povinnost mlčenlivosti uloženou podle tohoto zákona.

(2) Přestupku se dopustí a pokutou do výše 25 000 Kč bude potrestána osoba uvedená v odstavci 1, pokud poruší jinou povinnost stanovenou tímto zákonem.

(3) Na přestupky a jejich projednávání se vztahuje zvláštní právní předpis.33)

(4) K projednávání přestupků je příslušný Úřad.
------------------------------------------------------------------
33) Zákon č. 200/1990 Sb., o přestupcích, ve znění pozdějších předpisů.

§ 45

Pořádková pokuta

Osobě, která neposkytne Úřadu při výkonu kontroly potřebnou součinnost, může být uložena pořádková pokuta do výše 25 000 Kč, a to i opakovaně.

§ 46

Pokuty správcům a zpracovatelům

(1) Pokutou do výše 10 000 000 Kč bude potrestán správce nebo zpracovatel, který poruší povinnost stanovenou tímto zákonem při zpracování osobních údajů.

(2) Pokud správce nebo zpracovatel do 1 roku ode dne, kdy nabylo rozhodnutí o uložení pokuty právní moci, porušil povinnosti stanovené tímto zákonem při zpracování osobních údajů opakovaně, může mu být uložena pokuta do výše 20 000 000 Kč.

(3) Správce nebo zpracovatel, který maří kontrolu prováděnou Úřadem, může být potrestán pořádkovou pokutou do výše 1 000 000 Kč, a to i opakovaně.

(4) Porušení povinností projednává Úřad.

(5) Při ukládání pokuty podle tohoto zákona vychází Úřad zejména z povahy, závažnosti, způsobu jednání, míře zavinění, doby trvání a následků protiprávního jednání.

(6) Pokutu lze uložit do 1 roku ode dne, kdy příslušný orgán porušení povinnosti zjistil, nejdéle však do 3 let ode dne, kdy k porušení povinnosti došlo.

(7) Pokutu vybírá Úřad. Pokutu vymáhá územní finanční orgán podle zvláštního právního předpisu.34)

(8) Výnos pokut je příjmem rozpočtu republiky.
------------------------------------------------------------------
34) Zákon č. 337/1992 Sb., o správě daní a poplatků, ve znění pozdějších předpisů.

HLAVA VIII

USTANOVENÍ SPOLEČNÁ, PŘECHODNÁ A ZÁVĚREČNÁ

§ 47

Opatření pro přechodné období

(1) Každý, kdo zpracovává ke dni nabytí účinnosti tohoto zákona osobní údaje a na něhož se vztahuje povinnost oznámení podle § 16, je povinen tak učinit nejpozději do 6 měsíců ode dne nabytí účinnosti tohoto zákona.

(2) Zpracování osobních údajů prováděné před účinností tohoto zákona je nutno uvést do souladu s tímto zákonem do 31. prosince 2001.

(3) V případě, že kontrolující zjistí porušení povinnosti podle odstavce 2, ustanovení § 46 odst. 1 a 2 se v takovém případě do 31. prosince 2002 nepoužijí.

§ 48

Zrušovací ustanovení

Zrušuje se zákon č. 256/1992 Sb., o ochraně osobních údajů v informačních systémech.

ČÁST DRUHÁ

§ 49

Novela trestního zákona

Zákon č. 140/1961 Sb., trestní zákon, ve znění zákona č. 120/1962 Sb., zákona č. 53/1963 Sb., zákona č. 56/1966 Sb., zákona č. 148/1969 Sb., zákona č. 45/1973 Sb., zákona č. 43/1980 Sb., zákona č. 10/1989 Sb., zákona č. 159/1989 Sb., zákona č. 47/1990 Sb., zákona č. 84/1990 Sb., zákona č. 175/1990 Sb., zákona č. 457/1990 Sb., zákona č. 545/1990 Sb., zákona č. 490/1991 Sb., zákona č. 557/1991 Sb., nálezu Ústavního soudu ČSFR ze 4. 9. 1992, zákona č. 290/1993 Sb., zákona č. 38/1994 Sb., zákona č. 91/1994 Sb., zákona č. 152/1995 Sb., zákona č. 19/1997 Sb., zákona č. 103/1997 Sb., zákona č. 253/1997 Sb., zákona č. 92/1998 Sb., zákona č. 112/1998 Sb., zákona č. 148/1998 Sb., zákona č. 167/1998 Sb., zákona č. 96/1999 Sb., zákona č. 191/1999 Sb., zákona č. 210/1999 Sb., zákona č. 223/1999 Sb., zákona č. 238/1999 Sb., zákona č. 305/1999 Sb., zákona č. 327/1999 Sb., zákona č. 360/1999 Sb. a zákona č. 29/2000 Sb., se mění takto:

1. V § 178 odstavec 1 zní:
"(1) Kdo, byť i z nedbalosti, neoprávněně sdělí, zpřístupní, jinak zpracovává nebo si přisvojí osobní údaje o jiném shromážděné v souvislosti s výkonem veřejné správy, bude potrestán odnětím svobody až na tři léta nebo zákazem činnosti nebo peněžitým trestem.".
2. V § 178 odst. 2 se za slovo "kdo" vkládá slovo "osobní".

ČÁST TŘETÍ

§ 50

Novela zákona o svobodném přístupu k informacím

Zákon č. 106/1999 Sb., o svobodném přístupu k informacím, se mění takto:

1. V § 2 odstavec 3 včetně poznámky pod čarou č. 1) zní:"(3) Zákon se nevztahuje na poskytování osobních údajů a informací podle zvláštního právního předpisu.1)
------------------------------------------------------------------
1) Například zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, a zákon č. 123/1998 Sb., o právu na informace o životním prostředí.".

2. V § 5 odst. 3 se věta druhá nahrazuje větou, která včetně poznámky pod čarou č. 3a) zní: "Na tyto subjekty se pro tento účel nevztahuje povinnost zamezit sdružování informací podle zvláštního právního předpisu.3a)
------------------------------------------------------------------
3a) § 5 odst. 1 písm. h) zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů.".

3. V § 8 se odstavce 1 a 2 včetně nadpisu a poznámky pod čarou č. 5) zrušují.

ČÁST ČTVRTÁ

ÚČINNOST

§ 51

Tento zákon nabývá účinnosti dnem 1. června 2000, s výjimkou ustanovení § 16, 17 a 35, která nabývají účinnosti dnem 1. prosince 2000.