13. Ochrana osobních údajů

Právní úprava ochrany osobních údajů je založena mezinárodními konvencemi zavazujícími ČR a právem EU. Především je nutno jmenovat Úmluvu Rady Evropy o ochraně osob se zřetelem na automatizované zpracování osobních dat (úmluva č. 108 ze dne 28. ledna 1981, ve znění jejího protokolu CETS č. 223).

Na úrovni EU tuto úpravu, která fakticky přejímá a dále rozvíjí principy zakotvené posledně zmiňovanou Úmluvou, představuje nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), zkráceně známém jako GDPR. Tímto se ale právní úprava ochrany osobních údajů, a to ani na úrovni EU nevyčerpává. Je tomu tak už proto, že samo GDPR se nevztahuje na zpracování osobních údajů, které nespadají do působnosti práva EU a také které jsou zahrnuty do působnosti hlavy V kap. 2 Smlouvy o EU.

Speciální úprava, která představuje jistý doplněk GDPR je pak obsažena v množství dalších předpisů. Možno zmínit např. alespoň směrnici Evropského parlamentu a Rady (EU) 2016/680 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonů trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV (tzv. trestněprávní směrnice) nebo směrnici Evropského parlamentu a Rady (EU) 2016/681 o používání jmenné evidence cestujících (PNR) pro prevenci, odhalování, vyšetřování a stíhání teroristických trestných činů a závažné trestné činnosti.

Tato právní úprava pak představuje právní rámec ochrany osobních údajů platný na celém území EU, který hájí práva jejích občanů proti neoprávněnému zacházení s jejich osobními údaji. Stanovením povinností při zpracování osobních údajů, resp. určitých limitů tohoto zpracování zároveň zakotvuje práva fyzických osob dotčených zpracováním, a to především ve dvou složkách: mít (získávat) jednak informace o tom, které jejich údaje jsou zpracovávány a proč se tak děje včetně kontroly nad těmito procesy, a dále domáhat se dodržování pravidel, včetně nápravy nevyhovujícího stavu.

Nutno ovšem připomenout, že GDPR jakožto nařízení je sice v rámci ČR přímo aplikovatelné, určitá jeho ustanovení však přímo vyžadují anebo povolují určitou implementaci, resp. adaptaci do tuzemského právního řádu, přičemž ve vztahu ke směrnicím, samozřejmě včetně výše uvedených je provedení takovéto transpozice přímo povinností členského státu. Z těchto důvodů proto byl přijatý zákon č. 110/2019 Sb., o zpracování osobních údajů (dále jen „zákon č. 110/2019 Sb.“), a zákon č. 111/2019 Sb., kterým se mění některé zákony v souvislosti s přijetím zákona o zpracování osobních údajů.

Právě na posledně připomenutém zákoně je možno nejvýrazněji demonstrovat, že jak GDPR, tak právní řád ČR respektují speciální právní úpravu zpracování osobních údajů, která je roztroušena v dílčích ustanoveních právních předpisů prakticky všech odvětví (např. zákon č. 133/2000 Sb., o evidenci obyvatel a rodných číslech a o změně některých zákonů, zákoník práce apod.). Ve vztahu k jakémukoli, ať už reálně probíhajícímu anebo zamýšlenému zpracování osobních údajů je tudíž velmi důležité si nejprve ujasnit, jaká právní úprava na něj dopadá anebo jaká by na něj měla dopadat.

V dalším textu se pak budeme zabývat principy zakotvenými v GDPR, a to vzhledem k jejich komplexnosti a obecnosti, přičemž speciální úpravu pomineme.