Právní předpisy
V této sekci naleznete výčet normativních právních aktů, které stanoví základ činnosti Úřadu pro ochranu osobních údajů, ať již jde o mezinárodní úmluvy, právní předpisy EU nebo zákony ČR.
Ústavní základ ochrany osobních údajů
- úmluva Rady Evropy č. 108 z roku 1981
- článek 8 Charty základních práv EU
- článek 16 Smlouvy o fungování Evropské unie
- článek 7, 10 odst. 3 a 13 Listiny základních práv a svobod
Obecné předpisy ochrany osobních údajů
- zákon č. 89/2012 Sb., občanský zákoník
- nařízení Evropského parlamentu a Rady 2016/679 (GDPR)
- zákon č. 110/2019 Sb., o zpracování osobních údajů
Procesní předpisy
- zákon č. 500/2004 Sb., správní řád
- zákon č. 150/2002 Sb., soudní řád správní
- zákon č. 255/2012 Sb., kontrolní řád
- zákon č. 99/1963 Sb., občanský soudní řád
Digitální agenda
Život občanů i cizinců v Evropské unii je stále více ovlivňován digitálním světem. Proto Evropská unie i její člen, Česká republika, přistoupily k sektorové regulaci digitální agendy.
Z unijního pohledu lze regulace rozdělit do 3 oblastí
- základem veřejnosprávní je Evropská strategie pro data (European Data Strategy) z 19. února 2020
- soukromoprávní představuje balíček digitálních služeb (Digital Service Act Package) z 15. prosince 2020
- ostatní předpisy
Jedná se celkem o návrhy nařízení EU, z nichž některé jsou již schváleny, přičemž u jednotlivých právních aktů bude postupně blíže popsán jejich vztah k obecnému nařízení o ochraně osobních údajů (GDPR):
1. V působnosti Ministerstva průmyslu a obchodu je akt o správě dat (angl. European Data Governance Act, DGA) vydaný pod číslem 2022/868, platný od 3. června 2022, který má převážně veřejnoprávní povahu. Jeho cílem je usnadnit sdílení dat veřejného sektoru.
2. V působnosti Úřadu pro ochranu hospodářské soutěže je akt o digitálních trzích (angl. Digital Markets Act, DMA) vydaný pod číslem 2022/1925, platný od 12. října 2022, který má převážně soukromoprávní povahu. Jeho cílem je nastavení pravidel pro přístup ke konkrétní oblasti digitálního trhu.
3. V působnosti Ministerstva průmyslu a obchodu je akt o digitálních službách (angl. Digital Services Act, DSA) vydaný pod číslem 2022/2065, platný od 27. října 2022, který má převážně soukromoprávní povahu. Je novou regulací elektronického obchodu.
4. V působnosti Ministerstva průmyslu a obchodu je nařízení o datech (angl. Data Act, DA), vydané pod číslem 2023/2854, platné od 22. prosince 2023, které má převážně veřejnoprávní povahu. Jeho cílem je usnadnit sdílení dat soukromého sektoru, zejména pomocí interoperability jednotlivých zařízení.
5. Zásadním prvkem digitální agendy je nařízení Evropského parlamentu a Rady (EU) 2024/1183, kterým se mění nařízení (EU) č. 910/2014 [eIDASR], pokud jde o zřízení evropského rámce pro digitální identitu (nařízení o evropské digitální identitě, EUDI), které nabylo platnosti 30. dubna 2024.
Zatímco eIDAS funguje jen ve veřejném sektoru, podle recitálu 42 eIDASR je evropskou peněženkou digitální identity dále definovaná v článku 5a eIDASR prostředek pro elektronickou identifikaci, tedy rovněž v soukromém sektoru. Členské státy budou moci nabízet digitální peněženky, které mohou propojit národní digitální identitu s důkazem dalších osobních atributů, jako jsou řidičské průkazy, diplomy a bankovní účty. Poskytovatelé služeb, kteří jsou ze zákona povinni jednoznačně identifikovat své zákazníky, budou povinni přijmout peněženku k autentizaci.
Dopady na osobní údaje
Recitál 9 EUDI uvádí: „Na všechny činnosti zpracování osobních údajů podle nařízení (EU) č. 910/2014 se vztahuje nařízení Evropského parlamentu a Rady (EU) 2016/679“. To samé opakuje recitál 12 EUDI: „Zpracovávání osobních údajů při provádění tohoto nařízení se řídí nařízením (EU) 2016/679“. Recitál 13 EUDI odkazuje na „příslušný vnitrostátní úřad pro ochranu osobních údajů,“ čímž se rozumí ÚOOÚ. Ten bude mít za úkol operativně řešit zneužití digitální identity nahlášení prostřednictvím aplikace podle článku 5a odst. 4 písm. d) bodu iii) eIDASR. Na to bude jednotný protokol podle článku 5a odst. 5 písm. a) bodu x) eIDASR
Aktuální situace s adaptací
Gestorem adaptace českého právního řádu na EUDI je DIA. Stojí před ní velký úkol sladit EUDI s českou bankovní identitou (SONIA).
6. V působnosti Úřadu vlády je akt o umělé inteligenci (angl. Artifical Intelligence Act, AIA), vydaný pod číslem 2024/1689, platný od 12. července 2024, který se má zabývá potenciálně nebezpečnými technologiemi.
7. V působnosti Ministerstva vnitra je nařízení o evropské digitální identitě (angl. European Identity Digital Regulation, EIDR), neformálně o „digitální peněžence“, vydaný pod číslem 2024/1183, platný od 30. dubna 2024, což je rozšíření nařízení o službách vytvářejících důvěru (angl. Electronic Identification, Authentication and Trust Services, eIDAS), na soukromý sektor.
Česká republika má pro digitální regulaci dva základní pilíře: zákon č. 12/2020 Sb., o právu na digitální služby, neformálně „digitální ústava“. Zakotvuje právo na informace ve vztahu k poskytování digitálních služeb a přístupu k osobním údajům. Od 1. července 2022 pak zavedl bezvýznamový směrový identifikátor fyzické osoby (BSI) jako náhradu rodného čísla. Zákon č. 111/2009 Sb., o základních registrech, zřídil v České republice eGovernment jako mechanismus pro sdílení dat uvnitř veřejného sektoru.