§ 63 Zákon o zpracování osobních údajů

§ 63 (1) Právnická osoba se dopustí přestupku tím, že při zpracování osobních údajů a) v rozporu s § 25 odst. 1 písm. a) nestanoví účel zpracování osobních údajů nebo stanoveným účelem zpracování osobních údajů poruší povinnost nebo překročí oprávnění vyplývající z jiného zákona, b) v rozporu s § 25 odst. 1 písm. b) nepřijme opatření zajišťující, aby osobní údaje byly přesné ve vztahu k povaze a účelu jejich zpracování, c) v rozporu s § 25 odst. 1 písm. c) uchovává osobní údaje po dobu delší než nezbytnou k dosažení účelu jejich zpracování, d) v rozporu s § 27 neposkytne subjektu údajů informace v rozsahu nebo zákonem stanoveným způsobem, e) v rozporu s § 28 odst. 2 nevyhoví žádosti subjektu údajů uvedené v § 28 odst. 1, f) v rozporu s § 29 odst. 5 nevyhoví žádosti subjektu údajů uvedené v § 29 odst. 1 nebo 2, g) v rozporu s § 32 odst. 1 až 3 nepřijme technická a organizační opatření nebo nevede jejich dokumentaci, h) v rozporu s § 32 odst. 4 nevede písemné přehledy o všech typových činnostech zpracování osobních údajů, i) v rozporu s § 36 odst. 1 nepořizuje záznamy, j) v rozporu s § 36 odst. 3 využije záznamy k jinému účelu, k) v rozporu s § 37 neprovede posouzení vlivu na ochranu osobních údajů, l) v rozporu s § 38 odst. 1 nepožádá Úřad o projednání připravovaného zpracování osobních údajů, m) v rozporu s § 39 zasáhne do práv a právem chráněných zájmů subjektu údajů nebo způsobí jiný obdobně závažný následek pro subjekt údajů, n) v rozporu s § 40 odst. 1 nepřijme organizační a technická opatření k zajištění odpovídající úrovně zabezpečení osobních údajů, o) v rozporu s § 40 odst. 2 nepřijme nezbytná opatření, p) v rozporu s § 41 odst. 1 neohlásí porušení zabezpečení osobních údajů Úřadu, q) v rozporu s § 42 odst. 1 neoznámí porušení zabezpečení osobních údajů subjektu údajů, r) neprovede uložené opatření k nápravě ve lhůtě stanovené Úřadem, s) poruší omezení zpracování zvláštních kategorií osobních údajů podle jiného právního předpisu5), t) poruší povinnost jmenovat pověřence podle jiného právního předpisu5), u) poruší povinnost informovat o nesprávném předání nebo o předání nepřesných osobních údajů podle § 32 odst. 5 nebo podle jiného právního předpisu5), v) poruší některou z podmínek podle jiného právního předpisu5) pro předání osobních údajů do mezinárodní organizace nebo státu, který neuplatňuje právní předpisy k provedení směrnice Evropského parlamentu a Rady (EU) 2016/680, nebo w) poruší povinnost prověřovat potřebnost dalšího zpracování nebo vymazat osobní údaje podle jiného právního předpisu5). (2) Právnická osoba se dále dopustí přestupku tím, že a) v rozporu s § 39a odst. 4 nepředloží zprávu o použití izolovaného systému, b) v rozporu s rozhodnutím o povolení používání izolovaného systému podle § 39b odst. 6 nedodrží při použití izolovaného systému jeho územní vymezení, časové období použití nebo kategorie fyzických osob, c) v rozporu s § 39b odst. 9 neoznámí zařazení konkrétní osoby do referenční databáze nebo takovou osobu z referenční databáze nevyřadí, d) v rozporu s § 39c odst. 2 nepožádá o povolení do 24 hodin nebo neukončí použití izolovaného systému nebo dotčené údaje a záznamy nezničí, nebo e) v rozporu s rozhodnutím o povolení k použití izolovaného systému podle § 39c odst. 6 nedodrží časové období použití nebo omezení na konkrétní fyzickou osobu. (3) Přestupku se dopustí ten, kdo při zpracování osobních údajů a) v rozporu s § 34 odst. 4 nevede přehledy o všech typových činnostech zpracování osobních údajů, b) v rozporu s § 34 odst. 5 neoznámí spravujícímu orgánu porušení zabezpečení osobních údajů, c) v rozporu s § 35 nezpracovává osobní údaje pouze podle pokynů spravujícího orgánu nebo podle zákona, d) v rozporu s § 36 odst. 1 nepořizuje záznamy, e) v rozporu s § 36 odst. 3 využije záznamy k jinému účelu, f) v rozporu s § 40 odst. 1 nepřijme organizační a technická opatření k zajištění odpovídající úrovně zabezpečení osobních údajů, g) v rozporu s § 40 odst. 2 nepřijme nezbytná opatření, h) neprovede uložené opatření k nápravě ve lhůtě stanovené Úřadem, i) poruší omezení zpracování zvláštních kategorií osobních údajů podle jiného právního předpisu5), j) poruší povinnost jmenovat pověřence podle jiného právního předpisu5), k) poruší povinnost informovat o nesprávném předání nebo o předání nepřesných osobních údajů podle § 32 odst. 5 nebo podle jiného právního předpisu5), l) poruší některou z podmínek podle jiného právního předpisu5) pro předání osobních údajů do mezinárodní organizace nebo státu, který neuplatňuje právní předpisy k provedení směrnice Evropského parlamentu a Rady (EU) 2016/680, nebo m) poruší povinnost prověřovat potřebnost dalšího zpracování nebo vymazat osobní údaje podle jiného právního předpisu5). (4) Za přestupek podle odstavců 1 až 3 lze uložit pokutu do 10 000 000 Kč.