PŘESTUPKY

§ 64

Přestupky podle tohoto zákona projednává Úřad.

§ 65

Zvláštní ustanovení o odložení věci

Aniž řízení o přestupku podle tohoto zákona a porušení nařízení Evropského parlamentu a Rady (EU) 2016/679 zahájí, může Úřad věc usnesením odložit též, jestliže je vzhledem k významu a míře porušení nebo ohrožení chráněného zájmu, který byl činem dotčen, způsobu provedení činu, jeho následku, okolnostem, za nichž byl čin spáchán, nebo vzhledem k chování podezřelého po spáchání činu zřejmé, že účelu, jehož by bylo možno dosáhnout provedením řízení o přestupku, bylo dosaženo nebo jej lze dosáhnout jinak. Usnesení o odložení věci podle věty první se pouze poznamená do spisu; ustanovení zákona upravujícího odpovědnost za přestupky a řízení o nich týkající se vyrozumění o odložené věci se v takovém případě nepoužije.

(1) Fyzická osoba, právnická osoba nebo podnikající fyzická osoba se dopustí přestupku tím, že poruší zákaz zveřejnění osobních údajů stanovený jiným právním předpisem10).

(2) Za přestupek podle odstavce 1 lze uložit pokutu do

b) 5 000 000 Kč, jde-li o přestupek spáchaný tiskem, filmem, rozhlasem, televizí, veřejně přístupnou počítačovou sítí nebo jiným obdobně účinným způsobem.

a) 1 000 000 Kč, nebo

(3) Úřad upustí od uložení správního trestu také tehdy, jde-li o subjekty uvedené v čl. 83 odst. 7 nařízení Evropského parlamentu a Rady (EU) 2016/679.

(1) Správce nebo zpracovatel podle hlavy II se dopustí přestupku tím, že

b) poruší některou ze základních zásad pro zpracování osobních údajů podle čl. 5 až 7 nebo 9 nařízení Evropského parlamentu a Rady (EU) 2016/679,

c) poruší některé z práv subjektu údajů podle čl. 12 až 22 nařízení Evropského parlamentu a Rady (EU) 2016/679 nebo hlavy II,

a) poruší některou z povinností podle čl. 8, 11, 25 až 39, 42 až 49 nařízení Evropského parlamentu a Rady (EU) 2016/679 nebo hlavy II,

d) nesplní příkaz nebo poruší omezení zpracování osobních údajů nebo nedodrží přerušení toků údajů uložené Úřadem podle čl. 58 odst. 2 nařízení Evropského parlamentu a Rady (EU) 2016/679, nebo

e) neposkytne Úřadu přístup k údajům, informacím a prostorám podle čl. 58 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2016/679.

(2) Subjekt pro vydávání osvědčení se dopustí přestupku tím, že poruší některou z povinností podle čl. 42 a 43 nařízení Evropského parlamentu a Rady (EU) 2016/679 nebo hlavy II.

(3) Subjekt pro monitorování souladu se dopustí přestupku tím, že poruší některou z povinností podle čl. 41 odst. 4 nařízení Evropského parlamentu a Rady (EU) 2016/679.

(4) Úřad může upustit od uložení správního trestu také tehdy, pokud uloží opatření podle § 54 odst. 1 písm. e) nebo § 60.

(5) Úřad upustí od uložení správního trestu také tehdy, jde-li o správce a zpracovatele uvedené v čl. 83 odst. 7 nařízení Evropského parlamentu a Rady (EU) 2016/679.

c) v rozporu s § 25 odst. 1 písm. c) uchovává osobní údaje po dobu delší než nezbytnou k dosažení účelu jejich zpracování,

a) v rozporu s § 25 odst. 1 písm. a) nestanoví účel zpracování osobních údajů nebo stanoveným účelem zpracování osobních údajů poruší povinnost nebo překročí oprávnění vyplývající z jiného zákona,

(1) Právnická osoba se dopustí přestupku tím, že při zpracování osobních údajů

b) v rozporu s § 25 odst. 1 písm. b) nepřijme opatření zajišťující, aby osobní údaje byly přesné ve vztahu k povaze a účelu jejich zpracování,

u) poruší povinnost informovat o nesprávném předání nebo o předání nepřesných osobních údajů podle § 32 odst. 5 nebo podle jiného právního předpisu5),

d) v rozporu s § 27 neposkytne subjektu údajů informace v rozsahu nebo zákonem stanoveným způsobem,

e) v rozporu s § 28 odst. 2 nevyhoví žádosti subjektu údajů uvedené v § 28 odst. 1,

f) v rozporu s § 29 odst. 5 nevyhoví žádosti subjektu údajů uvedené v § 29 odst. 1 nebo 2,

g) v rozporu s § 32 odst. 1 až 3 nepřijme technická a organizační opatření nebo nevede jejich dokumentaci,

h) v rozporu s § 32 odst. 4 nevede písemné přehledy o všech typových činnostech zpracování osobních údajů,

i) v rozporu s § 36 odst. 1 nepořizuje záznamy,

j) v rozporu s § 36 odst. 3 využije záznamy k jinému účelu,

k) v rozporu s § 37 neprovede posouzení vlivu na ochranu osobních údajů,

l) v rozporu s § 38 odst. 1 nepožádá Úřad o projednání připravovaného zpracování osobních údajů,

m) v rozporu s § 39 zasáhne do práv a právem chráněných zájmů subjektu údajů nebo způsobí jiný obdobně závažný následek pro subjekt údajů,

n) v rozporu s § 40 odst. 1 nepřijme organizační a technická opatření k zajištění odpovídající úrovně zabezpečení osobních údajů,

o) v rozporu s § 40 odst. 2 nepřijme nezbytná opatření,

p) v rozporu s § 41 odst. 1 neohlásí porušení zabezpečení osobních údajů Úřadu,

q) v rozporu s § 42 odst. 1 neoznámí porušení zabezpečení osobních údajů subjektu údajů,

r) neprovede uložené opatření k nápravě ve lhůtě stanovené Úřadem,

s) poruší omezení zpracování zvláštních kategorií osobních údajů podle jiného právního předpisu5),

t) poruší povinnost jmenovat pověřence podle jiného právního předpisu5),

v) poruší některou z podmínek podle jiného právního předpisu5) pro předání osobních údajů do mezinárodní organizace nebo státu, který neuplatňuje právní předpisy k provedení směrnice Evropského parlamentu a Rady (EU) 2016/680, nebo

w) poruší povinnost prověřovat potřebnost dalšího zpracování nebo vymazat osobní údaje podle jiného právního předpisu5).

(2) Právnická osoba se dále dopustí přestupku tím, že

a) v rozporu s § 39a odst. 4 nepředloží zprávu o použití izolovaného systému,

b) v rozporu s rozhodnutím o povolení používání izolovaného systému podle § 39b odst. 6 nedodrží při použití izolovaného systému jeho územní vymezení, časové období použití nebo kategorie fyzických osob,

c) v rozporu s § 39b odst. 9 neoznámí zařazení konkrétní osoby do referenční databáze nebo takovou osobu z referenční databáze nevyřadí,

d) v rozporu s § 39c odst. 2 nepožádá o povolení do 24 hodin nebo neukončí použití izolovaného systému nebo dotčené údaje a záznamy nezničí, nebo

e) v rozporu s rozhodnutím o povolení k použití izolovaného systému podle § 39c odst. 6 nedodrží časové období použití nebo omezení na konkrétní fyzickou osobu.

a) v rozporu s § 34 odst. 4 nevede přehledy o všech typových činnostech zpracování osobních údajů,

(3) Přestupku se dopustí ten, kdo při zpracování osobních údajů

c) v rozporu s § 35 nezpracovává osobní údaje pouze podle pokynů spravujícího orgánu nebo podle zákona,

b) v rozporu s § 34 odst. 5 neoznámí spravujícímu orgánu porušení zabezpečení osobních údajů,

i) poruší omezení zpracování zvláštních kategorií osobních údajů podle jiného právního předpisu5),

k) poruší povinnost informovat o nesprávném předání nebo o předání nepřesných osobních údajů podle § 32 odst. 5 nebo podle jiného právního předpisu5),

l) poruší některou z podmínek podle jiného právního předpisu5) pro předání osobních údajů do mezinárodní organizace nebo státu, který neuplatňuje právní předpisy k provedení směrnice Evropského parlamentu a Rady (EU) 2016/680, nebo

m) poruší povinnost prověřovat potřebnost dalšího zpracování nebo vymazat osobní údaje podle jiného právního předpisu5).

g) v rozporu s § 40 odst. 2 nepřijme nezbytná opatření,

h) neprovede uložené opatření k nápravě ve lhůtě stanovené Úřadem,

j) poruší povinnost jmenovat pověřence podle jiného právního předpisu5),

d) v rozporu s § 36 odst. 1 nepořizuje záznamy,

e) v rozporu s § 36 odst. 3 využije záznamy k jinému účelu,

f) v rozporu s § 40 odst. 1 nepřijme organizační a technická opatření k zajištění odpovídající úrovně zabezpečení osobních údajů,

(4) Za přestupek podle odstavců 1 až 3 lze uložit pokutu do 10 000 000 Kč.