Zákon o ochraně osobních údajů v informačních systémech

ČÁST PRVNÍ

Rozsah působnosti

§ 1

Zákon upravuje ochranu osobních údajů, zejména povinnosti související s ochranou informací při provozování informačního systému, který nakládá s osobními údaji a odpovědnost provozovatele informačního systému a dalších fyzických a právnických osob, které se účastní provádění činností souvisejících s provozováním takového informačního systému.

§ 2

Tento zákon se vztahuje i na informační systémy založené zvláštním zákonem.^1)

ČÁST DRUHÁ

VYMEZENÍ NĚKTERÝCH POJMŮ PRO ÚČELY TOHOTO ZÁKONA

§ 3

Informace

Informace, které se vztahují k určité osobě, jsou osobními údaji.

§ 4

Informační systém

Informačním systémem se rozumí funkční celek zabezpečující cílevědomé a systematické shromažďování, zpracovávání, uchovávání a zpřístupňování informací. Každý informační systém zahrnuje informační základnu, technické a programové prostředky, technologie a procedury a pracovníky.

§ 5

Provozování informačního systému

Provozováním informačního systému se rozumí provádění činností směřujících ke shromažďování (sběru) informací, jejich vstupnímu zpracování, ukládání informací do údajové základny, zpracování informací pro vnitřní potřeby systému nebo pro poskytování informační služby. Provozování zahrnuje všechny nebo jen některé z uvedených činností.

§ 6

Informační služba

Informační službou se rozumí provádění činností směřujících k poskytování informací z informačního systému, obvykle spojené se zpracováním informací uchovávaných v informačním systému.

§ 7

Zpracování informace

Zpracováním informace se rozumí

• a) technická nebo obsahová úprava informace,

• b) automatizované zpracování, zahrnující operace prováděné v úplnosti nebo částečně pomocí automatizačních prostředků, zejména uchovávání informací a dat, provádění logických nebo aritmetických operací s informacemi a daty, jejich úpravy a výmaz,

• c) začlenění informace bez fyzické nebo obsahové změny do souboru informací nebo jiného sdělení, které může být určeno k jiným účelům, než je poskytnutí informační služby.

§ 8

Likvidace informace

Likvidací informace se rozumí její výmaz nebo fyzické rozložení takovým způsobem, aby informace nemohla být znovu sestavena, nebo fyzické zničení hmotného nosiče, na nějž je vázána.

§ 9

Účastníci výměny informací

Účastníky výměny informací se rozumí provozovatel informačního systému (dále jen „provozovatel“), uživatel informačních služeb (dále jen „uživatel“) a zprostředkovatel informací (dále jen „zprostředkovatel“).

§ 10

Dotčená osoba

Dotčenou osobou se rozumí jednotlivá fyzická osoba, o které informace vypovídá.

§ 11

Provozovatel

(1) Provozovatelem se rozumí fyzická nebo právnická osoba, která zabezpečuje zpracování informací nebo poskytování informačních služeb a vystupuje vůči ostatním fyzickým nebo právnickým osobám jako nositel práv a povinností spojených s provozováním informačního systému.

(2) Za provozovatele se nepovažují

• a) fyzické osoby, které v rámci svého pracovního nebo obdobného poměru přicházejí do styku s informacemi, s nimiž nakládá příslušný informační systém,

• b) právnické osoby, které vykonávají činnosti při provozování informačního systému na základě smlouvy uzavřené s provozovatelem.

§ 12

Uživatel

Uživatelem se rozumí fyzická nebo právnická osoba, která využívá informace získané z informačního systému nebo o tyto informace žádá v rámci informačních služeb poskytovaných informačním systémem.

§ 13

Zprostředkovatel

Zprostředkovatelem se rozumí fyzická nebo právnická osoba zjišťující, shromažďující, zpracovávající nebo poskytující informace pro provozovatele nebo uživatele.

§ 14

Náležitý způsob sběru informací

Náležitým způsobem sběru informací se rozumí jejich zjišťování, které není maskováno jiným účelem, kryto jinou činností a nenarušuje práva a svobody občanů.

§ 15

Zveřejněná informace

Za zveřejněnou informaci se považuje informace uvedená na veřejnost prostřednictvím hromadných sdělovacích prostředků nebo prostřednictvím elektronických veřejně přístupných informačních služeb.

ČÁST TŘETÍ

POVINNOSTI SOUVISEJÍCÍ S PROVOZOVÁNÍM INFORMAČNÍHO SYSTÉMU

§ 16

Provozovat informační systém, který nakládá s informacemi, které vypovídají o osobnosti a soukromí dotčené osoby, jejím rasovém původu, národnosti, politických postojích a členství v politických stranách a hnutích, vztahu k náboženství, o její trestné činnosti, zdraví, sexuálním životě a majetkových poměrech, lze pouze, stanoví-li tak zvláštní zákon, nebo se souhlasem žijící dotčetné osoby, pokud je možné, aby tento projev vůle učinila. Jestliže nelze podmínku souhlasu splnit, lze s informacemi nakládat jen za předpokladu, že bude zachována lidská důstojnost, osobní čest, dobrá pověst a chráněno dobré jméno dotčené osoby.

§ 17

Povinností provozovatele je

• a) provozovat informační systém v souladu s účelem, pro který je systém zřízen,

• b) získávat informace rozsahem přiměřené účelu, pro který je systém zřízen, zejména vystříhat se shromažďování nadbytečných údajů,

• c) ověřovat, zda informace, s nimiž informační systém nakládá, jsou přesné, a podle potřeby je aktualizovat,

• d) označit náležitým způsobem v informačním systému nepřesné nebo neověřené informace,

• e) neuchovávat v informačním systému nepravdivé informace,

• f) zamezit sdružování informací a informačních systémů sloužících k rozdílným účelům, pokud zvláštní zákon nestanoví jinak,

• g) získávat informace pro informační systémy náležitým způsobem; získávat informace pod krytím jiným účelem nebo jinou činností lze pouze, pokud tak stanoví zvláštní zákon,

• h) uchovávat informace, umožňující identifikaci dotčené osoby pouze po dobu přiměřenou účelům informačního systému, pokud zvláštní zákon nestanoví jinak,

• i) zajistit ochranu informací i celého systému před náhodným nebo neoprávněným zničením, náhodným poškozením, jakož i před neoprávněným přístupem nebo zpracováním,

• j) stanovit práva a povinnosti fyzických a právnických osob, které mají přístup k informačnímu systému,

• k) učinit opatření, aby po skončení pracovního nebo obdobného poměru mezi fyzickou osobou a provozovatelem nemohly být informace, s nimiž nakládá příslušný informační systém, touto osobou využity; obdobná opatření je povinen učinit i vůči osobám, které při plnění svých úkolů u provozovatele přicházejí nebo mohou přicházet do styku s informacemi, s nimiž nakládá příslušný informační systém,

• l) poskytnout jednou do roka bezplatně, nebo za přiměřenou úplatu kdykoli, každé dotčené osobě na požádání zprávu o informacích o ní uchovávaných v informačním systému, pokud zvláštní zákon nestanoví jinak.

§ 18

(1) Při ukončení provozu informačního systému je provozovatel povinen provést taková opatření, aby informace, s nimiž informační systém nakládal, nemohly být zneužity.

(2) V případě porušení povinnosti podle odstavce 1 má oprávněná osoba nárok na zadostiučinění, odstranění závadného stavu, vydání bezdůvodného obohacení od osoby, která jej získala, a dále nárok upravený v § 20 písm. d) a e).

§ 19

(1) Zprostředkovatel je povinen

• a) ověřovat, zda informace, které zprostředkovává, jsou přesné,

• b) nepřesné nebo neověřené informace náležitě označit, popřípadě, je-li to možné, tuto nepřesnost odstranit,

• c) získávat informace pro informační systémy náležitým způsobem; získávat informace pod krytím jiným účelem nebo jinou činností lze pouze, pokud tak stanoví zvláštní zákon,

• d) zajistit ochranu zprostředkovávaných informací před náhodným nebo neoprávněným zničením, náhodným poškozením, jakož i před neoprávněným přístupem nebo zpracováním.

(2) Při zprostředkování informací pro uživatele i provozovatele je zprostředkovatel povinen uchovávat informace získané v souvislosti s výkonem zprostředkovatelské činnosti pouze po dobu nezbytně nutnou a v rozsahu oprávnění provozovatele.

§ 20

V případě porušení povinností provozovatele uvedených v § 17 vzniká oprávněné fyzické osobě vůči provozovateli nárok na

• a) zdržení se takového jednání, odstranění závadného stavu, vydání bezdůvodného obohacení tomu subjektu, na jehož úkor bylo toto obohacení získáno, a poskytnutí zadostiučinění (omluvy, opravy) tomu, jehož porušení povinností poškodilo, na náklady provozovatele. Nárok poskytnout zadostiučinění nevzniká, jedná-li s o porušení povinnosti podle § 17 písm. d) a e), pokud provozovatel neporušil svoji povinnost podle § 17 písm. c) nebo pokud prokáže, že s informací bylo nakládáno v mezích souhlasu dotčené osoby nebo jedná-li se o zveřejněnou informaci,

• b) likvidaci informace; tento nárok vzniká, porušil-li provozovatel povinnosti uvedené v § 17 písm. a), b), d), e), g), h). Tento nárok též vzniká, jedná-li se o informační systém nakládající se zveřejněnými informacemi, pokud se ukáže, že tyto informace byly zveřejněny neoprávněně nebo pokud tyto informace byly opraveny,

• c) doplnění informace, jedná-li se o informaci, která byla do informačního systému vložena se souhlasem dotčené osoby, nebo jestliže se jedná o zveřejněnou informaci,

• d) zaplacení přiměřené peněžní úhrady, jestliže bylo porušeno její právo na zachování lidské důstojnosti, osobní cti, dobré pověsti a na ochranu jejího jména, pokud není postižitelná stávajícími občanskoprávními a obchodněprávními instituty,

• e) zamezení přístupu k informacím v průběhu sporu, pokud orgán příslušný pro rozhodnutí sporu výjimečně nestanoví jinak; nárok se týká pouze sporem dotčených informací.

§ 21

Zprostředkovatel odpovídá za činnosti, které vykonává pro provozovatele nebo uživatele v rozsahu odpovědnosti provozovatele.

§ 22

(1) Fyzické osoby v rámci svého pracovního nebo obdobného poměru nebo v rámci své veřejné či jiné funkce (např. funkce soudního znalce, auditora) anebo další osoby, které při plnění svých úkolů u provozovatele přicházejí do styku s informacemi, s nimiž nakládá příslušný informační systém (dále jen „povinné osoby“) mají povinnost mlčenlivosti o těchto informacích a nesmí je bez souhlasu provozovatele zpřístupnit jiným subjektům nebo je využít pro sebe, pokud zvláštní zákon nestanoví jinak.

(2) Povinnosti uvedné v odstavci 1 přetrvávají i po skončení pracovního nebo obdobného poměru mezi povinnou osobou a provozovatelem nebo po skončení výkonu funkce povinné osoby.

(3) V případě porušení povinností uvedených v odstavci 1 vzniká oprávněné osobě vůči povinné osobě nárok na

• a) zdržení se takových jednání, odstranění závadného stavu, vydání bezdůvodného obohacení a poskytnutí zadostiučinění (omluvy, opravy) na náklady povinné osoby,

• b) likvidaci informací, které byly neoprávněně zpřístupněny nebo využity,

• c) zaplacení přiměřené peněžní úhrady, jestliže povinná osoba nesplněním těchto povinností způsobila újmu, především nemateriální povahy, která není postižitelná stávajícími občanskoprávními a obchodněprávními instituty a která není spojena s plněním ostatních nároků podle tohoto odstavce,

• d) zamezení zpřístupnění informací v průběhu sporu, pokud orgán příslušný pro rozhodnutí výjimečně nestanovil jinak; tento nárok se týká pouze sporem dotčených informací.

(4) Jestliže jsou tyto povinnosti porušeny povinnou osobou, která je v pracovním nebo obdobném poměru k provozovateli, odpovídá provozovatel za poskytnutí peněžitého plnění podle odstavce 3 písm. c) a za poskytnutí zadostiučinění podle odstavce 3 písm. a).

(5) Získá-li někdo informace z informačního systému protiprávním jednáním, vztahují se na něj obdobně odstavce 1 a 3.

§ 23

Spory vyplývající z uplatňování práv a povinností podle tohoto zákona řeší soud.

ČÁST ČTVRTÁ

REGISTRACE INFORMAČNÍHO SYSTÉMU A DOZOR NAD PROVOZOVÁNÍM INFORMAČNÍHO SYSTÉMU

§ 24

K provedení registrace a provádění dozoru nad provozem informačních systémů jsou příslušné orgány, zřízené zvláštními zákony.

§ 25

Žádost o registraci

(1) Orgán uvedený v § 24 eviduje registrované informační systémy po dobu jejich provozu. Evidence je veřejně přístupná a úředně zveřejňována tímto orgánem vždy k 31. prosinci.

(2) Provozovatel je povinen bez zbytečného odkladu informovat orgán uvedený v § 24 o ukončení provozu informačního systému s uvedením data, ke kterému se provoz informačního systému ukončuje. Toto se netýká informačních systémů, na něž se nevztahuje povinnost registrace.

§ 26

Povinnosti registrovat se podléhají pouze informační systémy nakládající s informacemi uvedenými v § 16, pokud neslouží výhradně pro vnitřní potřebu provozovatele; výjimky z povinnosti registrace stanoví zvláštní zákon. Registraci nepodléhají informační systémy nakládající výhradně se zveřejněnými informacemi.

ČÁST PÁTÁ

PŘECHODNÁ A ZÁVĚREČNÁ USTANOVENÍ

§ 27

Provozovat informační systém zřízený po dni účinnosti tohoto zákona lze pouze při splnění podmínek uvedených v tomto zákoně; jeho provozovatel je povinen požádat o registraci do tří měsíců po nabytí účinnosti zákona, kterým se zřizuje orgán uvedený v § 24.

§ 28

Vláda České a Slovenské Federativní Republiky může výjimečně stanovit podmínky provozování již fungujícího informačního systému, který není v souladu s tímto zákonem, na období ne delší tří let od nabytí účinnosti tohoto zákona. Tímto není dotčena povinnost provozovatele požádat orgán podle § 24 o registraci v období do tří měsíců po nabytí účinnosti zákona, kterým se tento orgán zřizuje.

§ 29

Tento zákon nabývá účinnosti dnem vyhlášení.

Havel. v. r.

Dubček v. r.

Čalfa v. r.

^1) Např. zákon č. 244/1991 Sb., o Federální bezpečnostní informační službě, zákon č. 455/1991 Sb., o živnostenském podnikání (živnostenský zákon), zákon č. 563/1991 Sb., o účetnictví, zákon č. 47/1990 Sb., o volbách do Federálního shromáždění, ve znění pozdějších předpisů.