2019年捷克个人数据处理新法

捷克转化法案对应欧洲GDPR条例第110/2019号，2019年4月24日起生效

自2019年4月24日起，新的第110/2019号转化法案《个人数据处理法》（“捷克个人数据处理法”）在捷克共和国正式生效。该法案在欧盟《通用数据保护条例》（“GDPR”）的基础上，进一步明确和规范了个人数据的处理。关于这项转化法案的讨论持续了超过一年，整个过程，包括解释性备忘录和各项修正案，可以在捷克众议院的网站上找到，标题为“众议院草案138：关于个人数据处理的政府提案——欧盟”。新的捷克个人数据处理法完全废除了现行的第101/2000号《个人数据保护法》，尽管该法的许多条款与GDPR相冲突，但仍然有效。原则上，新的捷克个人数据处理法并没有带来重大突破，主要是在GDPR未提供全面规定的领域明确了个人数据管理者的权利和义务，并在某些方面对捷克共和国的具体例外情况进行了简化和规范。以下是捷克个人数据处理法对捷克法律带来的主要变化摘要。

到2019年3月底为止，捷克个人数据保护办公室因违反GDPR规定而处以的罚款金额相对较低。根据捷克个人数据保护办公室的报告，仅有6笔罚款金额在3万捷克克朗以内，并且有一笔罚款为5万捷克克朗。因此，对捷克个人数据保护办公室可能施加的制裁带来根本性威胁的担忧并未实现。

未成年人同意处理个人数据的不同年龄限制

根据GDPR，儿童在16岁时可以合法地同意其个人数据在在线服务中的处理（通常在电子商店购买或其他在线服务中，无论是收费还是免费，例如在社交网络中）。但成员国可以将儿童的合法同意年龄降低至13岁。

捷克立法者在捷克个人数据处理法第7条中将儿童同意处理个人数据的法定年龄限制降低至15岁。这一同意授权数据管理员在提供此类在线服务的过程中，处理儿童的个人数据，使用GDPR相关类型处理的所有相关规定。这一年龄限制的降低与捷克共和国在民事和商业目的以及儿童刑事责任上规定的15岁年龄限制相一致。

公共实体的定义

GDPR在第37条第1款中一般规定了公共实体有义务任命数据保护管理员，但并未对公共实体本身做出定义。捷克个人数据处理法第14条规定，除了作为公共机构，公共实体还包括依法设立以履行公共利益法定任务的实体。因此，捷克个人数据处理法对自GDPR通过欧洲立法以来一直在讨论的这一术语进行了明确，并规定了GDPR在捷克共和国适用的相关条款。

个人数据保护办公室的权限

捷克个人数据处理法的整个第五章都致力于个人数据保护办公室（捷克语为Úřad pro ochranu osobních údajů，“ÚOOÚ”）的法律设立、其组织结构和权限，ÚOOÚ因此成为个人数据保护的中央行政机关。在此之前，办公室由于缺乏法律授权，无法根据GDPR对个人数据保护领域的轻微违法行为做出裁决，只能依据被废除的第101/2000号法案（2019年4月23日废止）中定义的有限范围内的轻微违法行为进行处理。

根据新规定，ÚOOÚ可以使用GDPR规定的所有工具来保护个人数据，这主要体现在有权根据GDPR对轻微违法行为进行制裁。然而，有必要提到的是，在处理轻微违法行为时，ÚOOÚ将完全按照捷克法律程序进行，特别是依据第250/2016号法案《轻微违法行为的责任及其程序》进行处理。所处罚款金额需与捷克个人数据处理法带来的变化相一致，与GDPR相比，这些罚款较低（见下文）。

新设轻微违法行为及罚款减免

        此外，新的捷克个人数据处理法限制了因违反某些个人数据保护义务而可能对法人实体处以的罚款金额。特别是在预防、侦查或揭露犯罪，起诉刑事犯罪，执行刑罚，建立保护措施，确保捷克共和国的安全，或维护公共秩序和内部安全的数据处理方面，罚款上限为1,000万捷克克朗，而GDPR中原本规定的罚款上限为2,000万欧元。当然，根据GDPR或捷克个人数据处理法处理轻微违法行为的程序，将依照捷克行政处罚原则进行，尤其需要考虑到比例性和个案化，特别是针对受处罚对象的性质及违法行为的严重程度。

        此外，捷克个人数据处理法引入了新的轻微违法行为法律定义，这些违法行为包括违反捷克个人数据处理法规定的义务，并为其设定了制裁。该法还反映了违反捷克法律体系中其他法律法规规定的个人数据披露禁令的情况。对于此类违规行为，个人数据处理法规定可处以最高1,000,000捷克克朗的罚款；如果此类违法行为是由报纸、电影、电台、电视、计算机网络或其他类似实体以非常有效的方式实施的，罚款可高达5,000,000捷克克朗。

        根据新规定，ÚOOÚ可以充分利用GDPR在个人数据保护领域建立的工具，特别是有权根据GDPR规定处以最高1,000万捷克克朗的制裁。当然，所有根据GDPR或捷克个人数据处理法处罚违法行为的案件，都必须遵守捷克行政处罚的原则，尤其要考虑到比例性和个案化，特别是针对受处罚对象的性质及违法行为的严重程度。

公共机构和公共实体的制裁豁免

此外，捷克个人数据处理法充分利用了GDPR第83条第7款规定的可能性，即可以对不遵守GDPR数据保护规则或适用国家法规的公共机构和公共实体免除行政制裁。这些实体现在可以因轻微违法行为被处以最高1,000万捷克克朗的罚款，然而，如果该实体是一个不在市政权力范围内行使委托权力的市政当局、此类市政当局的自愿联合体（此类市政当局的附属机构或由市政当局或自愿联合体设立的法人实体），罚款不得超过5,000捷克克朗。

然而，除了对某些实体的罚款减免外，捷克个人数据处理法还允许对违反个人数据保护领域法律规定的实体施加改正工具。根据捷克法律术语，这些工具包括所谓的警告和适当措施的实施，此外还可以免除行政罚款。

为科学和历史研究目的或统计目的处理个人数据以及为新闻、学术、艺术或文学表达目的处理个人数据

在这些情况下，捷克个人数据处理法新反映了此类个人数据处理的特殊性。它限制了管理员或处理者的职责，同时限制了个人数据主体的权利，特别是数据主体根据GDPR的访问权，目的是保护信息的来源和内容。因此，捷克个人数据处理法在一定程度上解释了记者、艺术家等有义务向数据主体披露其个人数据处理信息的情况。

捷克个人数据处理法规定了这些类别的管理员处理个人数据时应遵守的基本标准，并要求他们在处理信息时尽可能将其存储为匿名形式，即信息无法被分配给特定的数据主体。特别是这一条款旨在处理统计或研究目的的信息。

新法律作为捷克法律体系适应GDPR的第一波高潮

        新的捷克个人数据处理法标志着捷克法律体系适应GDPR的第一波高潮的完成。未来可能会有更多法律变更，尤其是与某些IT服务、在线广告（商业信息、cookies、大数据……）和劳动法相关的领域。

        捷克个人数据处理法为ÚOOÚ在个人数据保护领域履行其监督和控制职能创造了法律框架，之前由于缺乏GDPR实施立法，这些职能受到限制。

        特别是个人数据保护法的前23条规定了普通管理员（即法人或自然人、雇主、商人等）处理个人数据的程序，这对普通企业家很有用，而法律的其余部分主要集中在公共和国家实体上。捷克个人数据处理法的一个重要部分还集中在为预防、侦查或揭露犯罪、起诉刑事犯罪、执行刑罚和保护措施、确保捷克共和国的安全、维护公共秩序、内部安全以及个人数据保护，或确保捷克共和国的防御和安全利益而处理个人数据方面。

有关更多信息，请联系我们:

JUDr. Mojmír Ježek, Ph.D.

ECOVIS ježek, advokátní kancelář s.r.o.

Betlémské nám. 6

110 00 Praha 1

e-mail: mojmir.jezek@ecovislegal.cz

www.ecovislegal.cz

关于 ECOVIS ježek, law firm s.r.o .:

捷克律师事务所ECOVISježek主要关注公司法, 房地产法, 争议管理, 金融和銀行法 , 并在所有领域提供专业建议，使其成为国际办事处客户的替代方案。所提供服务的国际层面是通过过去的经验和与大多数欧洲国家的领先律师事务所，美国和世界上75个国家的 ECOVIS 网络内的其他司法管辖区的合作来确保的。 ECOVISježek团队的成员拥有领先的国际律师和税务公司的长期经验，为跨国公司，大型捷克公司以及中型公司和个人客户提供法律咨询。更多资讯请访问 www.ecovislegal.cz/zh