Stručně: Paragraf 38 zákona o zpracování osobních údajů stanoví povinnost pro spravující orgán projednat s Úřadem pro ochranu osobních údajů (Úřad) nově připravované zpracování osobních údajů, pokud z něj vyplývá vysoké riziko pro práva a svobody subjektů údajů.
§ 38 Projednání s Úřadem
(1) Má-li připravovaným zpracováním osobních údajů vzniknout nová evidence, spravující orgán podá Úřadu žádost o projednání takového zpracování, pokud
a) z posouzení podle § 37 vyplývá vysoké riziko neoprávněného zásahu do práv a svobod subjektů údajů, nebo
b) druh zpracování osobních údajů, s přihlédnutím k využití nových technologií nebo postupů, vede k vysokému riziku zásahu do práv a svobod subjektů údajů.
(2) Součástí žádosti podle odstavce 1 je posouzení vlivu podle § 37; na vyžádání Úřadu spravující orgán poskytne i jiné související informace.
(3) Úřad může vydat seznam zpracování osobních údajů, která je spravující orgán povinen projednat s Úřadem. O takových zpracováních Úřad spravující orgán informuje.
(4) Má-li Úřad za to, že by připravované zpracování osobních údajů porušilo ustanovení této hlavy nebo ustanovení jiného právního předpisu upravujícího zpracování osobních údajů, upozorní na to spravující orgán do 6 týdnů ode dne podání žádosti podle odstavce 1, popřípadě uplatní další své pravomoci. Tuto lhůtu může Úřad s ohledem na složitost věci prodloužit o 1 měsíc; o prodloužení lhůty Úřad informuje spravující orgán do 1 měsíce ode dne podání žádosti.
Výklad
Stručně
Paragraf 38 zákona o zpracování osobních údajů stanoví povinnost pro spravující orgán projednat s Úřadem pro ochranu osobních údajů (Úřad) nově připravované zpracování osobních údajů, pokud z něj vyplývá vysoké riziko pro práva a svobody subjektů údajů.
Co to znamená v praxi
Pokud spravující orgán plánuje zavést nové zpracování osobních údajů, které představuje vysoké riziko pro jednotlivce (buď na základě posouzení podle § 37, nebo vzhledem k povaze zpracování a použitým technologiím), musí o tom informovat Úřad.
Součástí této žádosti o projednání musí být i posouzení vlivu na ochranu osobních údajů, které je popsáno v § 37. Úřad si může vyžádat i další informace.
Úřad má možnost vydat seznam typů zpracování, která musí být s ním projednána, a o těchto zpracováních spravující orgán informuje.
Pokud Úřad zjistí, že připravované zpracování porušuje zákon, upozorní na to spravující orgán do 6 týdnů (s možností prodloužení o 1 měsíc) a může uplatnit i další své pravomoci.
Na co si dát pozor
Spravující orgán musí aktivně vyhodnocovat rizika spojená s novými zpracováními osobních údajů a v případě vysokého rizika včas kontaktovat Úřad.
Je klíčové mít řádně vypracované posouzení vlivu na ochranu osobních údajů (§ 37), neboť je nedílnou součástí žádosti o projednání.
Spravující orgán by měl sledovat případné seznamy zpracování vydané Úřadem, které podléhají povinnému projednání.
Zdroj: e-Sbírka / justice.cz (oficiální data). Výklady generovány AI z textu zákona, orientační — nenahrazují radu advokáta.