Zákon o správě dat v otázkách a odpovědích
Rychlé odpovědi na klíčové otázky kolem zákona o správě dat a řízeném přístupu. Zjistěte na jednom místě, jaké povinnosti a příležitosti legislativa přináší.
Působnost zákona a definice
Zákon se věcně vztahuje na data a provozní údaje vedené v ISVS. Správcem dat je pro účely tohoto zákona definován správce ISVS podle zákona o informačních systémech veřejné správy. Povinnými subjekty jsou tedy všichni tito správci ISVS, pokud jejich systém nespadá pod zákonné výluky.
ZoSD v § 4 stanoví že „správcem dat“ je výhradně „správce ISVS“ podle zákona č. 365/2000 Sb., o informačních systémech veřejné správy.
Zákon č. 365/2000 Sb., o ISVS nezná a nepoužívá pojem „technický správce“. Namísto toho definuje pojem „provozovatel“ informačního systému, kterým je subjekt zajišťující funkčnost ISVS po technické, programové a organizační stránce.
Z hlediska odpovědnosti dopadají veškeré povinnosti podle tohoto zákona (včetně popisu dat metadaty, vedení lokálního katalogu dat a rozhodování o povolení řízeného přístupu) ex lege primárně na správce dat – tedy na tzv. věcného správce (resort či orgán veřejné moci, který poskytuje služby ISVS a za systém právně odpovídá). Technický správce (provozovatel) či externí technologický dodavatel zajišťuje pouze technologickou realizaci. Pokud správce dat k provozu ISVS využívá služeb provozovatele, je povinen si k datům a provozním údajům smluvně a technicky zajistit nepřetržitý a úplný přístup.
Zákon se vůbec nevztahuje na data a provozní údaje, které obsahují utajované informace. Dále jsou z působnosti zákona kompletně vyjmuty:
- Systémy samospráv: Všechny systémy spravované obcemi, kraji a dobrovolnými svazky obcí.
- Bezpečnost a obrana: Systémy spravované bezpečnostními sbory a systémy pro zajištění obrany, vnitřní bezpečnosti, krizového řízení a ochrany obyvatelstva.
- Soudy a kriminalita: Systémy pro trestní řízení (pozor: statistická a evidenční data pod zákon stále spadají) a systémy zpracovávající osobní údaje vojáků a policistů.
- Finanční sektor: Systémy pro dohled nad finančním trhem a agendu proti praní špinavých peněz (AML).
- Ostatní specifické agendy: Archivnictví a sankční seznamy.
Pozor u vícedílných ISVS:
- Pokud se váš systém skládá z několika propojených částí, výjimka se vztahuje pouze na ty konkrétní části, které plní výše uvedené úkoly. Zbytek systému může zákonu normálně podléhat.
Pokud je ISVS tvořen více funkčně oddělenými částmi, zákon konstruuje pravidlo parciální výluky. Výluka z působnosti zákona (ať už z důvodu obsahu utajovaných informací, nebo z důvodu specifického účelu systému, jako je obrana či bezpečnost) se uplatňuje výhradně a pouze pro ty konkrétní části systému, které reálně slouží těmto zákonem vymezeným účelům. Ostatní funkčně oddělené části téhož ISVS podléhají plnému režimu zákona.
Pro účely zákona jsou tyto pojmy definovány striktně legálními definicemi:
- Metadata: Popis struktury a významu dat a datových rozhraní, jejich vlastností a vzájemných souvislostí.
- Datové rozhraní: Souhrn technických opatření sloužících ke zpřístupnění a sdílení dat vedených v ISVS.
- Datový slovník: Popis struktury a významu dat vedených v ISVS v podobě pojmů, které reprezentují typy osob, věcí a dalších předmětů právních vztahů, jejich vlastnosti a vztahy mezi nimi.
Zákon se nevztahuje na data a provozní údaje vedené v elektronických systémech spisové služby, které jsou atestovány podle zákona upravujícího archivnictví a spisovou službu. Tato výluka trvá i v případě, že se v průběhu platnosti atestu systém změní, nebo pokud byl atest po revizi zneplatněn. Výluka se rovněž vztahuje na systémy spisové služby, na které se požadavek atestace vůbec nevztahuje.
Zákon v souladu s čl. 7 nařízení o evropské správě dat (DGA) taxativně určuje čtyři příslušné subjekty pro specifické oblasti dat:
- Ministerstvo práce a sociálních věcí: Pro oblast dat o sociálním zabezpečení, zaměstnanosti a sociální politice.
- Český statistický úřad: Pro oblast statistických dat.
- Generální finanční ředitelství: Pro oblast dat o daních.
- Ústav zdravotnických informací a statistiky ČR (ÚZIS): Pro oblast zdravotnických dat a statistik.
Technické a organizační povinnosti úřadů
Správce dat je povinen při jakékoliv operaci s daty a provozními údaji chránit jejich důvěryhodnost, užitečnost a význam. Pokud k provozu ISVS využívá externího provozovatele, musí mít smluvně a technicky zajištěn nepřetržitý a úplný přístup k těmto datům. Klíčovou povinností je povinnost stanovit, uplatňovat v praxi a zajišťovat dodržování "vnitřních pravidel pro správu dat, provozních údajů a datových rozhraní", která definují principy a opatření pro řádnou správu.
Právní základ: [§ 5 ZoSD]
Správce dat má povinnost popsat data vedená v ISVS do datového slovníku a jím vytvářená datová rozhraní metadaty. Tento popis musí splňovat dvě hlavní podmínky:
- Striktní standard: Musí přesně odpovídat konkrétní otevřené formální normě (OFN) určené pro tento účel.
- Dálkový přístup: Popis musí být dostupný online (způsobem umožňujícím dálkový přístup).
Tuto konkrétní OFN momentálně DIA připravuje. Zveřejněna bude v srpnu 2026 na webu data.gov.cz/ofn. Jakmile vyjde, bude pro vás závazná.
Právní základ: [§ 6 odst. 1 a 2 ZoSD]
Lokální katalog dat je technický nástroj, který správce dat povinně vytváří a spravuje. Do LKD zapisuje vygenerovaná metadata podle § 6, ledaže by tomu bránily zákonné překážky (utajované skutečnosti, oprávněný zájem státu/třetích osob). Správce dat je povinen LKD průběžně aktualizovat; změnu rozsahu nebo podoby spravovaných dat či poskytovaných rozhraní musí zapsat nejpozději do 7 pracovních dnů od jejího zjištění. Obsah LKD se povinně zveřejňuje prostřednictvím národního katalogu dat.
Právní základ: [§ 7 ZoSD]
Zákon rozlišuje tři úrovně povinností:
- Ohlašovatel agendy (podle zákona o základních registrech): Vytváří jako součást svého LKD "datový slovník agendy" s popisem dat vedených v rámci dané agendy.
- Ústřední správní úřad: Vytváří "datový slovník správce dat", do něhož přebírá datové slovníky agend v nezbytném rozsahu a doplňuje je o popis dat v jím spravovaných ISVS, pokud v agendových slovnících chybí.
- Ostatní správci dat (ne-ústřední): Nepopisují nový slovník autonomně, ale přebírají do svého LKD datové slovníky agend v rozsahu potřebném pro popis dat vedených v jejich ISVS.
Právní základ: [§ 8 odst. 1, 2 a 3 ZoSD]
- Národní katalog dat (správce DIA): Slouží k centrálnímu zveřejňování obsahu lokálních katalogů dat, integraci datových slovníků do "datového slovníku veřejné správy" a zprostředkování podávání žádostí o přístup. Je veřejně přístupný dálkovým přístupem.
- Geoportál České republiky (správce Ministerstvo životního prostředí): Zajišťuje přístup k národní infrastruktuře pro prostorové informace. Slouží ke zpřístupňování, sdílení a zobrazování prostorových dat. Správci dat jsou povinni zpřístupňovat metadata o prostorových datech jeho prostřednictvím.
Právní základ: [§ 9] a [§ 10 ZoSD]
Procesní postup při řízeném přístupu k datům
Řízený přístup k datům je zákonný režim umožňující zabezpečené opakované užití chráněných dat vedených v ISVS. Neslouží k běžnému zveřejnění dat ani k nahrazení otevřených dat, ale k tomu, aby bylo možné bezpečně využít data, která nelze volně zveřejnit například kvůli ochraně osobních údajů, obchodního tajemství, statistické důvěrnosti nebo práv třetích osob.
Právní základ: [§ 11 odst 1 ZoSD]
Věcná příslušnost se odvíjí od rozsahu požadovaných dat:
- Správce dat (konkrétní úřad): Pokud žadatel žádá o povolení řízeného přístupu pouze k datům vedeným v jednom ISVS, který tento úřad spravuje.
- DIA: Pokud žádost směřuje k datům vedeným v ISVS různých správců dat (křížové propojení).
- Příslušný subjekt (§ 29 odst. 1): Pokud se žádá o data ze specifických oblastí (sociální zabezpečení, statistika, daně, zdravotnictví).
Právní základ: [§ 12 písm. a), b) a c) ZoSD]
Řízený přístup k datům lze povolit výhradně pro tři zákonem uznané účely: a) vědecký výzkum, b) kontrola veřejné správy, c) výuka a vzdělávání. Žádost se podává obligatorně DIA prostřednictvím národního katalogu dat, a to formou elektronického formuláře. Pokud DIA není povolujícím orgánem, postoupí žádost věcně příslušnému správci či subjektu. Zvláštní režim platí pro organizační složky státu, kde se řízený přístup zajišťuje na vyžádání pro tvorbu a vyhodnocování veřejných politik, RIA nebo analýzu výkonu veřejné správy.
Právní základ: [§ 13 odst. 1] [§ 27] a [§ 16 odst. 1 ZoSD]
Projekt využití dat musí obsahovat: vymezení požadovaných dat, podrobný popis účelu, formu a způsob zajištění přístupu (včetně míry anonymizace či agregace), dobu trvání přístupu, popis plánovaného životního cyklu získaných dat, popis their technického zabezpečení a jmenný seznam fyzických osob, které budou mít k datům reálný přístup.
U žádosti za účelem vědeckého výzkumu musí žadatel navíc uvést informace dokládající odbornou způsobilost, zejména znalosti a zkušenosti s prováděním výzkumu, označení výzkumné instituce, popis zamýšleného výzkumu a případně další dokumenty nebo vyjádření etické komise.
Právní základ: [§ 16 odst. 2] [§ 16 odst. 3 ZoSD]
Žadatel může před podáním samotné žádosti požádat o předběžnou informaci prostřednictvím národního katalogu dat. Příslušný správní orgán (DIA, správce dat či příslušný subjekt) má povinnost ji poskytnout do 30 dnů od obdržení. Obsahem předběžné informace jsou údaje o možnostech a podmínkách povolení přístupu, hlediscích posuzování, předpokladech vyhovění a určení správců dat, jejichž závazným stanoviskem bude rozhodnutí podmíněno.
Právní základ: [§ 15 ZoSD]
Pokud je povolujícím orgánem DIA a dochází k propojování dat různých správců, DIA si musí vyžádat závazné stanovisko dotčených správců (nebo vyjádření, pokud správce není správním orgánem). Pokud byť jediný dotčený správce dat nebo příslušný subjekt nevydá souhlasné závazné stanovisko či vyjádření, DIA musí žádost zamítnout. Platí zde princip absolutního konsensu všech dotčených poskytovatelů.
Právní základ: [§ 17 odst. 3 ZoSD], [§ 19], [§ 20] a [§ 21 ZoSD] v návaznosti na [čl. 9 odst. 1 Nařízení Evropského parlamentu a Rady (EU) 2022/868]
Obecným a striktním pravidlem je, že řízený přístup k datům lze povolit pouze k datům v plně anonymizované podobě. Výjimka je přípustná exkluzivně pro účel vědeckého výzkumu: pokud vzhledem k vědeckému účelu žádosti není objektivně možné poskytnout data plně anonymizovaná, lze přístup povolit k datům, která umožňují pouze nepřímou identifikaci osob (pseudonymizovaná data).
Právní základ: [§ 13 odst. 3 a 4 ZoSD]
Přístup nelze povolit, pokud by došlo k nepřiměřenému zásahu do zájmů obrany a bezpečnosti státu, krizového řízení, ochrany zájmů ČR v zahraničí, bankovního tajemství, mlčenlivosti dle daňového řádu, probíhající kontroly/řízení nebo plnění úkolů zpravodajských služeb. Zcela absolutně je pak zakázáno povolit přístup k: biometrickým údajům, lokalizačním datům pohybu osob či vozidel, datům o mezinárodní ochraně a pobytovém řízení cizinců, datům z probíhajícího trestního řízení a datům o činnosti orgánů činných v trestním řízení či bezpečnostních sborů, pokud by to ohrozilo práva třetích osob nebo výkon veřejné moci.
Právní základ: [§ 14 odst. 1 a 2 ZoSD]
Povolující orgán může uložit opatření k nápravě, změnit nebo zrušit rozhodnutí a v případě přestupku může být uložena pokuta. Zvlášť závažné je opětovné ztotožnění osob, neoprávněné propojení dat, použití dat k jinému účelu nebo porušení technického zabezpečení.
Právní základ: [§ 26 odst. 1, 2 a 3] [§ 31 odst. 2] [§ 33 odst. 1,2 a 3 ZoSD]
Pokud lze data zveřejnit jako otevřená data nebo poskytnout běžným informačním režimem, nemá být řízený přístup prvním nástrojem. Řízený přístup je vhodný tam, kde existuje legitimní účel opakovaného užití, ale zároveň je nutné chránit práva a zájmy třetích osob nebo veřejné zájmy a data proto nelze volně zveřejnit.
Vztah k jiným právním předpisům
Pro zajištění řízeného přístupu k datům podle tohoto zákona není vyžadován souhlas subjektu údajů. Zpracování dat (která v režimu nepřímé identifikace pro vědecké účely naplňují definici pseudonymizovaných osobních údajů) je plně legitimováno zákonným rámcem. Relevantním právním titulem pro toto zpracování je splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce dat (povinný úřad) pověřen.
Rizikovost tohoto zpracování pro práva a svobody fyzických osob je minimalizována ex lege, a to povinným uplatněním silné anonymizace, případně pseudonymizace (zajišťující pouze nepřímou identifikaci). Vzhledem k tomu, že data jsou poskytována v bezpečně modifikované podobě a pro specifické zákonné účely (vědecký výzkum, kontrola veřejné správy, výuka), spadá tento proces pod obecné výjimky z informační povinnosti správce vůči subjektům údajů podle GDPR, neboť plnění této povinnosti by v daném kontextu bylo pro úřad nemožné nebo by vyžadovalo nepřiměřené úsilí.
Právní základ: [§ 13 odst. 1, 3 a 4 zákona o správě dat a o řízeném přístupu k datům] v návaznosti na [čl. 6 odst. 1 písm. e)] a [čl. 14 odst. 5 písm. b) Nařízení Evropského parlamentu a Rady (EU) 2016/679 (GDPR)]
GDPR se plně aplikuje. Pokud v průběhu zajištění řízeného přístupu dochází ke zpracování osobních údajů, je nezbytné postupovat tak, aby byla zajištěna jejich ochrana. K tomu náleží zejména povinnost, aby během přípravy finálního výstupu došlo k precizní anonymizaci. Pokud požadovaná data mají zůstat osobními údaji (což je přípustné pouze v případě velmi silně pseudonymizovaných dat pro vědecké účely nebo pro analýzy organizačních složek státu, pokud nejsou anonymizovaná data pro dané účely dostatečná), má povolující správní orgán (správce dat nebo příslušný subjekt) po předání žádosti DIA obligatorní povinnost provést posouzení vlivu řízeného přístupu k datům na ochranu osobních údajů (odpovídající mechanismu DPIA). Správce si za tímto účelem vyžaduje součinnost podle čl. 7 nařízení o evropské správě dat (DGA) nebo vyjádření DIA.
Právní základ: [§ 18 odst. 1] a [§ 27 odst. 4 ZoSD] v návaznosti na [Nařízení (EU) 2016/679 (GDPR)]
Řízený přístup k datům představuje specifický právní režim směřující k bezpečnému, opakovanému užití chráněných dat (data spadající pod DGA), nikoliv k prostému poskytování informací podle zákona č. 106/1999 Sb. Tento zákon se aplikuje na data vedená v ISVS, u kterých standardní režim volného poskytnutí informací naráží na limity ochrany práv třetích osob (např. obchodní tajemství, ochrana osobních údajů). Procesní postupy, lhůty, zpoplatnění i formy zpřístupnění (bezpečné zpracovatelské prostředí) jsou plně autonomní a odlišné od režimu zákona č. 106/1999 Sb.
Právní základ: [§ 11 odst. 1] v návaznosti na [Nařízení Evropského parlamentu a Rady (EU) 2022/868]
Zákon zavádí dvousložkový finanční model:
- 1) Správní poplatek: Za samotné přijetí žádosti o povolení řízeného přístupu k datům se novelou zákona o správních poplatcích zavádí poplatek ve výši 3 000 Kč.
- 2) Úhrada nákladů: Žadatel je povinen uhradit skutečné náklady spojené se zajištěním přístupu (rozmnožování, anonymizace, pseudonymizace, údržba bezpečného prostředí). Vyčíslení nákladů musí úřad žadateli písemně oznámit před vydáním rozhodnutí. Pokud žadatel náklady do 30 dnů od výzvy neuhradí, úřad žádost obligatorně zamítne. Podmínky pro stanovení úhrady nákladů budou upřesněny prováděcí vyhláškou, kterou vydává DIA.
Právní základ: [§ 23] a [§ 39 ZoSD] (Změna zákona o správních poplatcích)
Odpovědnost, dohled a sankce
Kontrolním a dohledovým orgánem nad správci dat (úřady) je z moci zákona DIA. Pokud DIA při kontrole zjistí nedostatky v plnění povinností stanovených tímto zákonem nebo nařízením o evropské správě dat, je oprávněna uložit správci dat opatření k nápravě. Pro splnění tohoto opatření stanoví lhůtu, která nesmí přesáhnout 6 měsíců.
Právní základ: [§ 31 odst. 1 ZoSD]
Kontrolu nad osobou, které byl přístup povolen, vykonává povolující správní orgán. Ten rozhodnutí o povolení přístupu zruší z moci úřední, pokud uživatel opakovaně či závažně porušil povinnosti, pokud byla ohrožena bezpečnost dat, data byla použita k jinému účelu, nebo pokud uživatel nesplnil uložené opatření k nápravě. Pokud v průběhu kontroly vyjde najevo, že uživatel neoprávněně využívá poskytnuté osobní údaje, má úřad zákonnou povinnost neprodleně informovat Úřad pro ochranu osobních údajů (ÚOOÚ).
Právní základ: [§ 25 odst. 2] a [§ 31 odst. 2 ZoSD]
Správce dat se dopustí přestupku, pokud:
- Neudržuje lokální katalog dat v aktuálním stavu (sankce do 200 000 Kč).
- Nevytvoří datový slovník agendy nebo datový slovník správce dat (sankce do 500 000 Kč).
- Nesplní opatření k nápravě uložené DIA ve stanovené lhůtě (sankce do 100 000 Kč).
Právní základ: [§ 32 odst. 1 a 2 ZoSD]
Uživatelům (osobám s povoleným přístupem) je přísně zakázáno provést opětovnou identifikaci subjektů údajů, provést neoprávněné propojení dat, použít data k jinému účelu nebo porušit technické zabezpečení. Jsou povinni přijmout technicko-provozní opatření proti reidentifikaci, zajistit písemná prohlášení o důvěrnosti od všech osob s přístupem a hlásit porušení ochrany dat. Za porušení podmínek rozhodnutí či neoznámení incidentu hrozí pokuta do 5 000 000 Kč. Za provedení reidentifikace, neoprávněné propojení dat, zneužití účelu či porušení technického zabezpečení hrozí pokuta až do výše 10 000 000 Kč.
Právní základ: [§ 26 odst. 1 a 3] a [§ 33 odst. 1 a 3 ZoSD]
Ano, zákon konstruuje samostatnou odpovědnost za přestupky pro fyzické osoby, které mají k datům přístup na základě prohlášení o důvěrnosti podle § 26 odst. 3 písm. b). Pokud tato fyzická osoba provede opětovnou identifikaci, neoprávněně propojí data, použije je k jinému účelu, poruší technické zabezpečení nebo poruší pravidla pro předávání neosobních údajů do třetích zemí podle DGA, dopouští se samostatného přestupku, za který jí lze uložit pokutu do výše 10 000 000 Kč.
Právní základ: [§ 33 odst. 2 a 3 písm. b) ZoSD]
Zákon vykazuje komplexní dělenou účinnost:
- Obecná účinnost: Nastává 15. dnem po vyhlášení zákona (základní ustanovení, správa dat obecně) konkrétně nastal 27.5.2026.
- Účinnost od 1. ledna 2028: Nabývají účinnosti ustanovení upravující samotné řízení o povolení řízeného přístupu k datům, podávání žádostí přes NKD, činnost příslušných subjektů, kontrola uživatelů, sankce vůči uživatelům a novely souvisejících zákonů (poplatky, zdravotní služby, statistika).
- Účinnost od 1. ledna 2029: Teprve k tomuto datu nabývají účinnosti povinnosti popsat data metadaty (§ 6), vést lokální katalogy dat (§ 7), vytvářet datové slovníky (§ 8) a s tím spojené sankce vůči správcům dat (§ 32). Správci dat tak mají rozsáhlé přechodné období na technickou přípravu.
Právní základ: [§ 41 ZoSD]