(1) Tento zákon upravuje v návaznosti na přímo použitelný předpis Evropské unie upravující správu dat¹) (dále jen nařízení o evropské správě dat) pravidla řízeného přístupu k datům.

(2) Tento zákon dále upravuje pravidla správy dat.

(1) Tento zákon se vztahuje na data a provozní údaje vedené v informačních systémech veřejné správy.

(2) Tento zákon se nevztahuje na data a provozní údaje vedené v informačních systémech veřejné správy obsahujících utajované informace.

(3) Tento zákon se nevztahuje na data a provozní údaje vedené v informačních systémech veřejné správy spravovaných

a

pro potřeby zajišťování obrany státu,

b

pro potřeby zajišťování bezpečnosti státu, veřejného pořádku nebo vnitřní bezpečnosti,

c

pro potřeby krizového řízení nebo ochrany obyvatelstva,

d

pro potřeby trestního řízení, s výjimkou dat evidenčních a statistických,

e

pro potřeby výkonu dohledu nad finančním trhem nebo zabránění zneužívání finančního systému k legalizaci výnosů z trestné činnosti a k financování terorismu,

f

pro potřeby archivnictví podle zákona upravujícího archivnictví a spisovou službu,

g

pro potřeby zpracování osobních údajů příslušníků bezpečnostních sborů a příslušníků ozbrojených sil,

h

pro potřeby zařazení subjektu na sankční seznam podle předpisu Evropské unie nebo zápisu subjektu na vnitrostátní sankční seznam a jiných úkonů podle sankčního zákona,

i

obcemi, kraji a dobrovolnými svazky obcí, nebo

j

bezpečnostními sbory.

(4) Tento zákon se nevztahuje na data a provozní údaje vedené v elektronických systémech spisové služby atestovaných podle zákona upravujícího archivnictví a spisovou službu²), a to i v případě, změní-li se v průběhu platnosti atestu elektronický systém spisové služby nebo vykonává-li správce dat spisovou službu v elektronické podobě v elektronickém systému spisové služby, u kterého byl atest po revizi atestu zneplatněn. Tento zákon se dále nevztahuje na data a provozní údaje vedené v elektronických systémech spisové služby, na které se nevztahuje požadavek provedení atestace.

(5) Pokud je informační systém veřejné správy tvořen více funkčně oddělenými částmi, platí výluka podle odstavce 2 nebo 3 pouze pro části, které slouží pro potřeby vymezené v odstavci 2 nebo 3.

Pro účely tohoto zákona se rozumí

a

metadaty popis struktury a významu dat a datových rozhraní, jejich vlastností a vzájemných souvislostí,

b

datovým rozhraním souhrn technických opatření sloužících ke zpřístupnění a sdílení dat vedených v informačním systému veřejné správy,

c

datovým slovníkem popis struktury a významu dat vedených v informačních systémech veřejné správy v podobě pojmů, které reprezentují typy osob, věcí a dalších předmětů právních vztahů, jejich vlastnosti a vztahy mezi nimi.

Správcem dat podle tohoto zákona je správce informačního systému veřejné správy podle zákona o informačních systémech veřejné správy.

(1) Správce dat při vytváření, úpravě, pozměňování, uchovávání, zpřístupňování a využívání dat a provozních údajů chrání jejich důvěryhodnost, užitečnost a význam.

(2) Pokud správce dat využívá pro správu dat provozovatele informačního systému veřejné správy, zajistí si k datům a provozním údajům nepřetržitý a úplný přístup.

(3) Správce dat si stanoví vnitřní pravidla pro správu dat, provozních údajů a datových rozhraní, uplatňuje je v praxi a zajišťuje jejich dodržování. Správce dat vymezí ve vnitřních pravidlech pro správu dat, provozních údajů a datových rozhraní principy a opatření pro řádnou správu dat, provozních údajů a datových rozhraní.

(1) Správce dat popíše do datového slovníku data vedená v informačním systému veřejné správy metadaty podle otevřené formální normy zveřejněné Digitální a informační agenturou (dále jen Agentura) způsobem umožňujícím dálkový přístup.

(2) Správce dat popíše jím vytvářená datová rozhraní metadaty podle otevřené formální normy zveřejněné Agenturou způsobem umožňujícím dálkový přístup.

(1) Správce dat vytváří a spravuje lokální katalog dat. Správce dat do lokálního katalogu dat zapíše metadata podle § 6; to neplatí, vylučuje-li zápis omezení vyplývající z jiného právního předpisu, mezinárodní smlouvy, která je součástí právního řádu, nebo oprávněného zájmu České republiky nebo jiné osoby.

(2) Správce dat průběžně aktualizuje datový slovník a metadata datových rozhraní zapisované do lokálního katalogu dat; změnu rozsahu nebo podoby spravovaných dat nebo poskytovaných datových rozhraní správce dat zapíše nejpozději do 7 pracovních dnů od jejího zjištění.

(3) Správce dat zveřejňuje obsah lokálního katalogu dat prostřednictvím národního katalogu dat.

(1) Správce dat, který je ohlašovatelem agendy podle zákona o základních registrech, vytváří jako součást svého lokálního katalogu dat datový slovník agendy s popisem dat vedených v rámci agendy.

(2) Správce dat, který je ústředním správním úřadem, vytváří jako součást svého lokálního katalogu dat datový slovník správce dat, do kterého přebírá v rozsahu nezbytném pro výkon své agendy datové slovníky agend podle odstavce 1 a doplňuje je o popis dat vedených v jím spravovaném informačním systému veřejné správy, pokud v datových slovnících agend nejsou popsána.

(3) Správce dat, který není ústředním správním úřadem, přebírá do svého lokálního katalogu dat datové slovníky agend podle odstavce 1 v rozsahu potřebném pro popis dat vedených v jím spravovaném informačním systému veřejné správy.

(1) Zřizuje se národní katalog dat jako informační systém veřejné správy, který slouží k

a

zveřejňování obsahu lokálních katalogů dat,

b

integraci obsahu datových slovníků do datového slovníku veřejné správy a

c

zprostředkování podávání žádostí o povolení řízeného přístupu k datům.

(2) Správcem národního katalogu dat je Agentura.

(3) Součástí národního katalogu dat je datový slovník veřejné správy, který je tvořen základními pojmy, datovými slovníky agend a datovými slovníky správců dat.

(4) Národní katalog dat je veřejně přístupný způsobem umožňujícím dálkový přístup.

(1) Zřizuje se geoportál České republiky jako informační systém veřejné správy zajišťující přístup k národní infrastruktuře pro prostorové informace, který slouží zejména k

a

zpřístupňování prostorových dat vedených správci dat nebo poskytování služeb nad prostorovými daty,

b

sdílení prostorových dat a služeb nad prostorovými daty,

c

zobrazování prostorových dat a jejich užívání v rámci mapových úloh,

d

sledování dostupnosti a využívání prostorových dat a služeb nad prostorovými daty a

e

koordinaci činnosti správců dat, kteří jsou povinni na základě jiného právního předpisu vytvářet nebo poskytovat prostorová data anebo poskytovat služby nad prostorovými daty, a sledování plnění jejich povinností v oblasti evropské infrastruktury pro prostorové informace³).

(2) Národní infrastrukturou pro prostorové informace se pro účely tohoto zákona rozumí funkční celek zajišťující prostřednictvím technologií, technických specifikací a opatření tvorbu, správu, aktualizaci, využívání a zveřejňování prostorových dat a sdílení služeb nad prostorovými daty pro účely výkonu veřejné správy nebo plnění jiných funkcí státu.

(3) Správci dat zpřístupňují jimi vedená metadata o prostorových datech prostřednictvím geoportálu České republiky.

(4) Správcem geoportálu České republiky je Ministerstvo životního prostředí.

(5) Geoportál České republiky je veřejně přístupný způsobem umožňujícím dálkový přístup.

(1) Řízeným přístupem k datům se rozumí umožnění zabezpečeného opakovaného užití dat za podmínek stanovených tímto zákonem.

(2) Řízený přístup k datům může být povolen k datům vymezeným v čl. 3 nařízení o evropské správě dat.

O povolení řízeného přístupu k datům rozhoduje povolující správní orgán, kterým je

a

správce dat, pokud je žádáno o povolení řízeného přístupu pouze k datům vedeným v jím spravovaném informačním systému veřejné správy,

b

Agentura, pokud je žádáno o povolení řízeného přístupu k datům vedeným v informačních systémech veřejné správy různých správců dat, nebo

c

příslušný subjekt, pokud je žádáno o povolení řízeného přístupu pouze k datům z některé z oblastí podle § 29 odst. 1.

(1) Povolující správní orgán rozhoduje o povolení řízeného přístupu k datům na žádost. Žadatel musí v žádosti uvést účel požadovaného řízeného přístupu k datům, kterým může být

a

vědecký výzkum,

b

kontrola veřejné správy, nebo

c

výuka a vzdělávání.

(2) Řízený přístup k datům lze povolit způsoby podle čl. 5 odst. 3 nařízení o evropské správě dat nebo jiným vhodným způsobem. Řízený přístup k datům lze povolit jen v rozsahu a způsobem, který je nezbytný pro naplnění účelu žádosti o povolení řízeného přístupu k datům a který zajišťuje nezbytnou míru ochrany poskytovaných dat s přihlédnutím k jejich povaze.

(3) Řízený přístup k datům lze povolit pouze k datům v anonymizované podobě.

(4) Pokud má řízený přístup k datům sloužit pro účel podle odstavce 1 písm. a) a není vzhledem k účelu žádosti možné poskytnout pouze data v anonymizované podobě, lze řízený přístup k datům pro tento účel povolit také k datům, která umožňují pouze nepřímou identifikaci osob.

(1) Řízený přístup k datům nelze povolit, pokud by jím došlo k nepřiměřenému zásahu do práv nebo právem chráněných zájmů týkajících se

a

obrany státu,

b

bezpečnosti státu, veřejného pořádku nebo vnitřní bezpečnosti,

c

krizového řízení nebo ochrany obyvatelstva,

d

ochrany zájmů České republiky nebo jejích občanů v zahraničí,

e

bankovního tajemství nebo mlčenlivosti podle daňového řádu,

f

probíhající kontroly nebo probíhajícího soudního, rozhodčího nebo správního řízení nebo informací, které byly vytvořeny nebo získány v souvislosti s jejich zahájením, pokud by poskytnutí dat ohrozilo nebo zmařilo jejich účel, nebo

g

plnění úkolů zpravodajských služeb České republiky.

(2) Řízený přístup k datům nelze dále povolit k

a

biometrickým údajům,

b

datům umožňujícím lokalizaci pohybu konkrétní osoby nebo konkrétního dopravního prostředku,

c

datům, která se vztahují k řízení o udělení mezinárodní ochrany, k osobám s udělenou mezinárodní ochranou a k řízení ve věci oprávnění k pobytu na území České republiky,

d

datům, která se vztahují k probíhajícímu trestnímu řízení, nebo se týkají trestního řízení, pokud by poskytnutí dat ohrozilo nebo zmařilo jeho účel, zejména zajištění práva na spravedlivý proces, nebo

e

datům, která se vztahují k činnosti orgánů činných v trestním řízení nebo bezpečnostních sborů, která se týká předcházení, vyhledávání, odhalování nebo stíhání trestné činnosti anebo ochrany bezpečnosti osob, majetku a veřejného pořádku, pokud by zajištění řízeného přístupu k těmto datům ohrozilo práva třetích osob nebo schopnost orgánů veřejné moci předcházet trestné činnosti, vyhledávat anebo odhalovat trestnou činnost, stíhat trestné činy nebo zajišťovat veřejný pořádek a bezpečnost České republiky.

(1) Žádost o předběžnou informaci se podává Agentuře prostřednictvím národního katalogu dat.

(2) Pokud je povolujícím správním orgánem Agentura, poskytne žadateli předběžnou informaci do 30 dnů ode dne, kdy žádost obdržela. Není-li Agentura povolujícím správním orgánem, předá žádost příslušnému správci dat nebo příslušnému subjektu, který žadateli poskytne předběžnou informaci do 30 dnů ode dne, kdy žádost obdržel.

(3) Předběžná informace obsahuje informace o

a

možnostech a podmínkách povolení řízeného přístupu k datům,

b

hlediscích, podle kterých bude žádost posuzována, a předpokladech, za nichž lze žádosti o povolení řízeného přístupu k datům vyhovět, nebo

c

správcích dat, jejichž závazným stanoviskem bude rozhodnutí podmíněno.

(4) Žadatel v žádosti o předběžnou informaci podle odstavce 1 kromě obecných náležitostí podání podle správního řádu uvede konkrétní požadavky na předběžnou informaci a konkrétní údaje o datech, k nimž má být řízený přístup k datům zajištěn.

(1) Žádost o povolení řízeného přístupu k datům se podává Agentuře prostřednictvím národního katalogu dat.

(2) Součástí žádosti o povolení řízeného přístupu k datům je projekt využití dat, který obsahuje

a

vymezení požadovaných dat,

b

podrobný popis účelu zamýšleného využití dat,

c

formu a způsob, jakým má být řízený přístup k datům zajištěn, včetně popisu vhodné míry anonymizace nebo agregace požadovaných dat s ohledem na účel jejich zpracování,

d

dobu, po kterou má být řízený přístup k datům zajišťován,

e

popis plánovaného životního cyklu získaných dat,

f

popis zabezpečení požadovaných dat a

g

seznam fyzických osob, které budou mít k datům přístup v průběhu zajištění řízeného přístupu.

(3) V žádosti o povolení řízeného přístupu k datům za účelem vědeckého výzkumu žadatel uvede informace dokládající jeho odbornou způsobilost pro provedení zamýšleného výzkumu, zejména informace o nezbytných vědeckých znalostech a zkušenostech s prováděním výzkumu, označení instituce provádějící vědecký výzkum, u níž je žadatel zaměstnán nebo která s ním na vědeckém výzkumu spolupracuje, popis zamýšleného vědeckého výzkumu, a popřípadě doloží další dokumenty související se zamýšleným vědeckým výzkumem nebo vyjádření etické komise instituce provádějící vědecký výzkum nebo jiného obdobného orgánu, je-li zřízen.

(1) Pokud je povolujícím správním orgánem Agentura, vyžádá si k rozhodnutí o žádosti závazné stanovisko dotčeného správce dat nebo příslušného subjektu. V případě, že dotčený správce dat není správním orgánem, vyžádá si Agentura k rozhodnutí o žádosti pouze jeho vyjádření.

Dotčený správce dat nebo příslušný subjekt vydá závazné stanovisko nebo vyjádření na základě zhodnocení možnosti zajištění řízeného přístupu a uvede podmínky, za kterých je požadovaná data z právního a technického hlediska možné zpřístupnit.

(2) Pokud zajištění řízeného přístupu k datům nevyžaduje propojování dat z informačních systémů veřejné správy různých správců dat nebo různých příslušných subjektů, vyhoví Agentura žádosti o povolení řízeného přístupu k datům ve vztahu k datům dotčených správců dat nebo příslušných subjektů, kteří vydali k žádosti souhlasné závazné stanovisko nebo vyjádření.

(3) Pokud zajištění řízeného přístupu k datům vyžaduje propojování dat z informačních systémů veřejné správy různých správců dat nebo různých příslušných subjektů, Agentura vyhoví žádosti o povolení řízeného přístupu k datům pouze tehdy, jestliže všichni dotčení správci dat a dotčené příslušné subjekty vydali k žádosti souhlasné závazné stanovisko nebo vyjádření.

Agentura může v rozhodnutí o povolení řízeného přístupu k datům se souhlasem dotčeného správce dat nebo příslušného subjektu stanovit, že tento správce dat nebo příslušný subjekt provede zajištění řízeného přístupu k datům.

(4) Není-li Agentura povolujícím správním orgánem, předá žádost o povolení řízeného přístupu k datům věcně příslušnému správci dat nebo příslušnému subjektu.

(1) Pokud je povolujícím správním orgánem správce dat nebo příslušný subjekt a požadovaná data jsou osobními údaji, povolující správní orgán po předání žádosti o povolení řízeného přístupu k datům Agenturou posoudí vliv řízeného přístupu k datům na ochranu osobních údajů.

(2) Správce dat si vyžádá součinnost ve smyslu čl. 7 nařízení o evropské správě dat nebo vyjádření Agentury nebo příslušného subjektu, je-li to potřebné k rozhodnutí o žádosti o povolení řízeného přístupu k datům nebo k zajištění řízeného přístupu k datům. Příslušný subjekt si vyžádá součinnost ve smyslu čl. 7 nařízení o evropské správě dat nebo vyjádření Agentury, je-li to potřebné k rozhodnutí o žádosti o povolení řízeného přístupu k datům nebo k zajištění řízeného přístupu k datům.

Povolující správní orgán projedná s dotčenými správci dat a příslušnými subjekty jimi vydaná vyjádření a závazná stanoviska a podmínky, které mají být stanoveny v rozhodnutí o povolení řízeného přístupu k datům. Povolující správní orgán může za tímto účelem svolat společné jednání.

Společné jednání je neveřejné a povolující správní orgán o jeho průběhu a závěrech sepíše protokol.

Je-li to účelné, nařídí povolující správní orgán k projednání vyjádření a závazných stanovisek ústní jednání a přizve k němu i žadatele.

(1) Povolující správní orgán může vyzvat žadatele, aby v přiměřené lhůtě předložil změnu projektu využití dat, pokud lze očekávat, že žádosti o povolení řízeného přístupu k datům bude možné po změně projektu využití dat vyhovět. Pokud proběhlo jednání podle § 19, povolující správní orgán ve výzvě zohlední jeho závěry.

(2) Změnu projektu využití dat povolující správní orgán projedná s dotčenými správci dat a příslušnými subjekty. Pro projednání změny projektu využití dat se použijí ustanovení § 17 až 19 obdobně.

Pokud nelze rozhodnutí o povolení řízeného přístupu k datům vydat bezodkladně, vydá jej povolující správní orgán ve lhůtě podle čl. 9 odst. 1 nařízení o evropské správě dat, která běží ode dne, kdy žádost o povolení řízeného přístupu k datům obdržel.

(1) Povolující správní orgán vyhoví žádosti o povolení řízeného přístupu k datům, pokud žadatel splnil podmínky stanovené tímto zákonem. Povolující správní orgán při rozhodování o žádosti zohlední vyjádření Agentury a příslušných subjektů podle § 18 odst. 2.

(2) Povolující správní orgán v rozhodnutí o povolení řízeného přístupu k datům stanoví podmínky poskytnutí dat, zejména formu a způsob, jakým budou data žadateli zpřístupněna, a zohlední při tom obsah projektu využití dat. Povolující správní orgán může v rozhodnutí stanovit další podmínky nezbytné k zajištění ochrany poskytovaných dat, pokud s nimi žadatele seznámil před vydáním rozhodnutí a umožnil mu vyjádřit se k nim.

(3) Povolující správní orgán žádost o povolení řízeného přístupu k datům zamítne, jestliže

a

žadatel nesplnil podmínky stanovené tímto zákonem, nebo

b

žádost směřuje na data, jejichž poskytnutím by došlo k nepřiměřenému zásahu do práv nebo právem chráněných zájmů podle § 14.

(1) Žadatel uhradí povolujícímu správnímu orgánu náklady spojené se zajištěním řízeného přístupu k datům v rozsahu podle čl. 6 odst. 5 nařízení o evropské správě dat. Náklady spojenými se zajištěním řízeného přístupu k datům se rozumí náklady související s rozmnožováním, poskytováním a šířením dat, vypořádáním práv, anonymizací nebo pseudonymizací dat, údržbou bezpečného zpracovatelského prostředí, získáním práva povolit opakované použití dat od třetích stran nebo získáváním souhlasu od subjektu údajů a svolení držitelů dat, jejichž práva a zájmy mohou být opakovaným použitím dat dotčeny.

(2) Povolující správní orgán písemně oznámí vyčíslení nákladů a výši úhrady žadateli před vydáním rozhodnutí o povolení řízeného přístupu a vyzve jej k zaplacení úhrady. Z oznámení musí být zřejmé, na základě jakých skutečností a jakým způsobem byla výše úhrady správcem dat vyčíslena. Úhrada nákladů nesmí přesáhnout skutečné náklady zajištění řízeného přístupu k datům. V případě, že v souvislosti se zajištěním řízeného přístupu k datům nevzniknou žádné náklady, povolující správní orgán oznámí tuto skutečnost žadateli.

(3) Podrobná kritéria pro výpočet výše úhrady nákladů podle odstavce 1 stanoví prováděcí právní předpis. Správci dat zveřejní na svých internetových stránkách popis hlavních kategorií nákladů a pravidel použitých k rozvržení nákladů.

(4) Pokud žadatel neuhradí náklady nejpozději do 30 dnů ode dne doručení výzvy k zaplacení, povolující správní orgán žádost zamítne.

(5) Úhrada nákladů je příjmem povolujícího správního orgánu. V případě, že je do zajištění řízeného přístupu k datům zapojeno více správců dat, povolující správní orgán rozdělí úhradu nákladů poměrně podle míry vynaložených nákladů.

Povolující správní orgán, příslušný subjekt nebo Agentura zajistí řízený přístup k datům na základě rozhodnutí o povolení řízeného přístupu.

(1) Povolující správní orgán zruší rozhodnutí o povolení řízeného přístupu k datům, jestliže o to osoba, které byl řízený přístup k datům povolen, požádá.

(2) Povolující správní orgán zruší rozhodnutí o povolení řízeného přístupu k datům, jestliže

a

osoba, které byl řízený přístup k datům zajištěn, opakovaně nebo závažným způsobem porušila některou z povinností vyplývajících z tohoto zákona, z nařízení o evropské správě dat nebo z rozhodnutí o povolení řízeného přístupu k datům,

b

bezpečnost poskytnutých dat byla ohrožena nebo poskytnutá data byla použita k jinému účelu, než ke kterému byla poskytnuta, nebo

c

osoba, které byl řízený přístup k datům zajištěn, nesplní opatření k nápravě podle § 31 odst. 2.

(3) Povolující správní orgán na žádost nebo z moci úřední změní rozhodnutí o povolení řízeného přístupu k datům, jestliže je vzhledem k účelu žádosti nebo ochraně poskytovaných dat nezbytné upravit podmínky v rozhodnutí.

(1) Osobě, které byl řízený přístup k datům povolen, je zakázáno

a

provést opětovnou identifikaci dotčeného subjektu údajů,

b

provést neoprávněné propojení dat,

c

použít data k jinému účelu, než pro který byla poskytnuta, nebo

d

porušit technické zabezpečení řízeného přístupu k datům.

(2) Povinnosti podle odstavce 1 se vztahují i na fyzickou osobu, která má k poskytnutým datům přístup na základě prohlášení o důvěrnosti podle odstavce 3 písm. b).

(3) Osoba, které byl řízený přístup k datům povolen, je povinna

a

přijmout technická a provozní opatření s cílem zabránit opětovné identifikaci dotčených subjektů údajů,

b

seznámit fyzické osoby, které budou mít přístup k datům, s povinnostmi využití řízeného přístupu k datům a předložit před zajištěním řízeného přístupu povolujícímu správnímu orgánu písemné prohlášení těchto osob o důvěrnosti dat,

c

dodržovat podmínky stanovené v rozhodnutí o povolení řízeného přístupu k datům a

d

oznámit Agentuře a správci dat porušení ochrany dat, které vedlo nebo může vést k opětovné identifikaci dotčených subjektů údajů.

(1) Povolující správní orgán zajistí řízený přístup k datům na vyžádání organizačním složkám státu, je-li takový přístup nezbytný za účelem tvorby politik veřejné správy a jejich vyhodnocování, hodnocení dopadů regulace nebo analýzy výkonu veřejné správy.

(2) Podrobnosti řízeného přístupu k datům podle odstavce 1 upraví povolující správní orgán a organizační složka státu, která si zajištění řízeného přístupu k datům vyžádala, vzájemnou dohodou.

(3) Řízeným přístupem k datům zajištěným organizační složce státu lze poskytnout pouze anonymizovaná data nebo data poskytnutá ve formě, která umožňuje pouze nepřímou identifikaci osoby, které se poskytovaná data týkají.

(4) Pokud jsou data požadovaná podle odstavce 1 osobními údaji, povolující správní orgán posoudí vliv řízeného přístupu k datům na ochranu osobních údajů.

Agentura

a

koordinuje a vytváří podmínky pro rozvoj oblasti správy dat,

b

vydává vyjádření podle § 18 odst. 2 a zajišťuje podporu v oblasti řízeného přístupu k datům,

c

zveřejňuje otevřené formální normy a jejich návrhy způsobem umožňujícím dálkový přístup,

d

rozhoduje o žádostech o povolení řízeného přístupu k datům podle § 12 písm. b),

e

rozhoduje o odvolání proti rozhodnutí o žádosti o povolení řízeného přístupu k datům,

f

je jednotným informačním místem podle čl. 8 odst. 1 nařízení o evropské správě dat,

g

zveřejňuje na svých internetových stránkách informace podle čl. 5 odst. 1 a čl. 8 odst. 1 nařízení o evropské správě dat,

h

zajišťuje napojení na evropské jednotné přístupové místo podle čl. 8 odst. 4 nařízení o evropské správě dat,

i

zveřejňuje prostřednictvím národního katalogu dat elektronický formulář pro podání žádosti o povolení řízeného přístupu k datům podle čl. 8 odst. 2 nařízení o evropské správě dat a

j

oznamuje Evropské komisi příslušné subjekty podle čl. 7 nařízení o evropské správě dat a změny těchto subjektů.

(1) Příslušným subjektem podle čl. 7 nařízení o evropské správě dat je

a

Ministerstvo práce a sociálních věcí pro oblast dat o sociálním zabezpečení, zaměstnanosti a sociální politice,

b

Český statistický úřad pro oblast statistických dat,

c

Generální finanční ředitelství pro oblast dat o daních a

d

Ústav zdravotnických informací a statistiky České republiky pro oblast zdravotnických dat a statistik.

(2) Ústav zdravotnických informací a statistiky České republiky zajišťuje přístup k datům podle § 12 písm. c) prostřednictvím Národního zdravotnického informačního systému.

Dotčený správce dat nebo příslušný subjekt je příslušný k vydání závazného stanoviska, ve kterém posoudí možnosti a podmínky zajištění řízeného přístupu k datům a které je podkladem pro rozhodnutí povolujícího správního orgánu podle § 17. Dotčený správce dat nebo příslušný subjekt poskytuje povolujícímu správnímu orgánu všechny informace důležité pro řízení.

(1) Agentura kontroluje, zda správci dat dodržují povinnosti stanovené tímto zákonem a nařízením o evropské správě dat. Zjistí-li Agentura při kontrole u správce dat nedostatky v dodržování těchto povinností, může uložit správci dat, aby přijal opatření k nápravě. Správce dat přijme opatření k nápravě ve lhůtě stanovené Agenturou, která nesmí být delší než 6 měsíců.

(2) Povolující správní orgán kontroluje, zda osoba, které byl řízený přístup k datům zajištěn, dodržuje povinnosti vyplývající z tohoto zákona, nařízení o evropské správě dat a z rozhodnutí o povolení řízeného přístupu k datům. Zjistí-li povolující správní orgán při kontrole nedostatky v dodržování těchto povinností, může uložit osobě, které byl řízený přístup k datům zajištěn, aby přijala opatření k nápravě. Pokud vyjde v průběhu kontroly najevo, že osoba, které byl řízený přístup k datům zajištěn, neoprávněně využívá poskytnuté osobní údaje, povolující správní orgán neprodleně informuje Úřad pro ochranu osobních údajů.

(1) Správce dat se dopustí přestupku tím, že

a

v rozporu s § 7 odst. 2 neudržuje lokální katalog dat v aktuálním stavu,

b

v rozporu s § 8 odst. 1 nebo 2 nevytvoří datový slovník, nebo

c

nesplní opatření k nápravě uložené Agenturou podle § 31 odst. 1.

(2) Za přestupek podle odstavce 1 lze uložit pokutu do

a

100 000 Kč, jde-li o přestupek podle odstavce 1 písm. c),

b

200 000 Kč, jde-li o přestupek podle odstavce 1 písm. a), nebo

c

500 000 Kč, jde-li o přestupek podle odstavce 1 písm. b).

(1) Osoba, které byl povolen řízený přístup k datům, se dopustí přestupku tím, že

a

v rozporu s § 26 odst. 1 písm. a) provede opětovnou identifikaci dotčeného subjektu údajů,

b

v rozporu s § 26 odst. 1 písm. b) provede neoprávněné propojení dat,

c

v rozporu s § 26 odst. 1 písm. c) použije data k jinému účelu, než pro který byla poskytnuta,

d

v rozporu s § 26 odst. 1 písm. d) poruší technické zabezpečení řízeného přístupu k datům,

e

v rozporu s § 26 odst. 3 písm. a) nepřijme technická nebo provozní opatření s cílem zabránit opětovné identifikaci dotčených subjektů údajů,

f

v rozporu s § 26 odst. 3 písm. b) neseznámí fyzické osoby, které budou mít přístup k datům, s povinnostmi využití řízeného přístupu k datům nebo nepředloží jejich písemné prohlášení o důvěrnosti dat povolujícímu správnímu orgánu,

g

v rozporu s § 26 odst. 3 písm. c) nedodrží některou z podmínek stanovených v rozhodnutí o povolení řízeného přístupu k datům,

h

v rozporu s § 26 odst. 3 písm. d) neoznámí Agentuře nebo správci dat porušení ochrany dat, které vedlo nebo může vést k opětovné identifikaci dotčeného subjektu údajů, nebo

i

poruší povinnost týkající se předávání neosobních údajů do třetích zemí podle čl. 5 odst. 14 a čl. 31 nařízení o evropské správě dat.

(2) Fyzická osoba, která má přístup k datům na základě prohlášení o důvěrnosti podle § 26 odst. 3 písm. b), se dopustí přestupku tím, že

a

v rozporu s § 26 odst. 1 písm. a) provede opětovnou identifikaci dotčeného subjektu údajů,

b

v rozporu s § 26 odst. 1 písm. b) provede neoprávněné propojení dat,

c

v rozporu s § 26 odst. 1 písm. c) použije data k jinému účelu, než pro který byla poskytnuta,

d

v rozporu s § 26 odst. 1 písm. d) poruší technické zabezpečení řízeného přístupu k datům, nebo

e

poruší povinnost týkající se předávání neosobních údajů do třetích zemí podle čl. 5 odst. 14 a čl. 31 nařízení o evropské správě dat.

(3) Za přestupek lze uložit pokutu do

a

5 000 000 Kč, jde-li o přestupek podle odstavce 1 písm. g) nebo h), nebo

b

10 000 000 Kč, jde-li o přestupek podle odstavce 1 písm. a) až f) nebo i) nebo odstavce 2.

(1) Přestupky podle tohoto zákona projednává Agentura.

(2) Pokuty vybírá a vymáhá Agentura.

Agentura vydá vyhlášku podle § 23 odst. 3.

Agentura nejpozději do 3 měsíců ode dne nabytí účinnosti tohoto zákona zveřejní na svých internetových stránkách otevřenou formální normu pro stanovení

a

struktury a podrobností podoby lokálního katalogu dat a

b

struktury a náležitostí datových slovníků.