|
DOKUMENTAČNÍ STŘEDISKO PRO LIDSKÁ PRÁVA
PRÁVNÍ NORMY
Zákon o ochraně osobních údajů v informačních systémech
256/1992 Sb.
ZÁKON ze dne 30. dubna 1992 o ochraně osobních údajů v informačních systémech
Federální shromáždění České a Slovenské
Federativní Republiky se usneslo na tomto zákoně:
Část první
Rozsah působnosti
§ 1
Zákon upravuje ochranu osobních údajů, zejména povinnosti související s ochranou
informací při provozování informačního systému, který nakládá s osobními údaji
a odpovědnost provozovatele informačního systému a dalších fyzických a
právnických osob, které se účastní provádění činností souvisejících s
provozováním takového informačního systému.
§ 2
Tento zákon se vztahuje i na informační systémy založené zvláštním zákonem1).
Část druhá
Vymezení některých pojmů pro účely tohoto zákona
§ 3
Informace
Informace, které se vztahují k určité osobě, jsou osobními údaji.
§ 4
Informační systém
Informačním systémem se rozumí funkční celek zabezpečující cílevědomé a
systematické shromažďování, zpracovávání, uchovávání a zpřístupňování
informací. Každý informační systém zahrnuje informační základnu, technické a
programové prostředky, technologie a procedury a pracovníky.
§ 5
Provozování informačního systému
Provozováním informačního systému se rozumí provádění činností
směřujících ke shromažďování (sběru) informací, jejich vstupnímu zpracování,
ukládání informací do údajové základny, zpracování informací pro vnitřní
potřeby systému nebo pro poskytování informační služby. Provozování zahrnuje
všechny nebo jen některé z uvedených činností.
§ 6
Informační služba
Informační službou se rozumí provádění činností směřujících k
poskytování informací z informačního systému, obvykle spojené se zpracováním
informací uchovávaných v informačním systému.
§ 7
Zpracování informace
Zpracováním informace se rozumí
a) technická nebo obsahová úprava informace,
b) automatizované zpracování, zahrnující operace prováděné v úplnosti nebo
částečně pomocí automatizačních prostředků, zejména uchovávání informací a
dat, provádění logických nebo aritmetických operací s informacemi a daty, jejich
úpravy a výmaz,
c) začlenění informace bez fyzické nebo obsahové změny do souboru informací nebo
jiného sdělení, které může být určeno k jiným účelům, než je poskytnutí
informační služby.
§ 8
Likvidace informace
Likvidací informace se rozumí její výmaz nebo fyzické rozložení takovým
způsobem, aby informace nemohla být znovu sestavena, nebo fyzické zničení hmotného
nosiče, na nějž je vázána.
§ 9
Účastníci výměny informací
Účastníky výměny informací se rozumí provozovatel informačního systému (dále
jen "provozovatel") , uživatel informačních služeb (dále jen
"uživatel") a zprostředkovatel informací (dále jen
"zprostředkovatel").
§ 10
Dotčená osoba
Dotčenou osobou se rozumí jednotlivá fyzická osoba, o které informace vypovídá.
§ 11
Provozovatel
(1) Provozovatelem se rozumí fyzická nebo právnická osoba, která zabezpečuje
zpracování informací nebo poskytování informačních služeb a vystupuje vůči
ostatním fyzickým nebo právnickým osobám jako nositel práv a povinností spojených
s provozováním informačního systému.
(2) Za provozovatele se nepovažují
a) fyzické osoby, které v rámci svého pracovního nebo obdobného poměru
přicházejí do styku s informacemi, s nimiž nakládá příslušný informační
systém,
b) právnické osoby, které vykonávají činnosti při provozování informačního
systému na základě smlouvy uzavřené s provozovatelem.
§ 12
Uživatel
Uživatelem se rozumí fyzická nebo právnická osoba, která využívá informace
získané z informačního systému nebo o tyto informace žádá v rámci informačních
služeb poskytovaných informačním systémem.
§ 13
Zprostředkovatel
Zprostředkovatelem se rozumí fyzická nebo právnická osoba zjišťující,
shromažďující, zpracovávající nebo poskytující informace pro provozovatele nebo
uživatele.
§ 14
Náležitý způsob sběru informací
Náležitým způsobem sběru informací se rozumí jejich zjišťování, které není
maskováno jiným účelem, kryto jinou činností a nenarušuje práva a svobody
občanů.
§ 15
Zveřejněná informace
Za zveřejněnou informaci se považuje informace uvedená na veřejnost
prostřednictvím hromadných sdělovacích prostředků nebo prostřednictvím
elektronických veřejně přístupných informačních služeb.
Část třetí
Povinnosti související s provozováním informačního systému
§ 16
Provozovat informační systém, který nakládá s informacemi, které vypovídají o
osobnosti a soukromí dotčené osoby, jejím rasovém původu, národnosti, politických
postojích a členství v politických stranách a hnutích, vztahu k náboženství, o
její trestné činnosti, zdraví, sexuálním životě a majetkových poměrech, lze
pouze, stanoví-li tak zvláštní zákon, nebo se souhlasem žijící dotčené osoby,
pokud je možné, aby tento projev vůle učinila. Jestliže nelze podmínku souhlasu
splnit, lze s informacemi nakládat jen za předpokladu, že bude zachována lidská
důstojnost, osobní čest, dobrá pověst a chráněno dobré jméno dotčené osoby.
§ 17
Povinností provozovatele je
a) provozovat informační systém v souladu s účelem, pro který je systém
zřízen,
b) získávat informace rozsahem přiměřené účelu, pro který je systém zřízen,
zejména vystříhat se shromažďování nadbytečných údajů,
c) ověřovat, zda informace, s nimiž informační systém nakládá, jsou přesné, a
podle potřeby je aktualizovat,
d) označit náležitým způsobem v informačním systému nepřesné nebo neověřené
informace,
e) neuchovávat v informačním systému nepravdivé informace,
f) zamezit sdružování informací a informačních systémů sloužících k rozdílným
účelům, pokud zvláštní zákon nestanoví jinak,
g) získávat informace pro informační systémy náležitým způsobem; získávat
informace pod krytím jiným účelem nebo jinou činností lze pouze, pokud tak stanoví
zvláštní zákon,
h) uchovávat informace, umožňující identifikaci dotčené osoby pouze po dobu
přiměřenou účelům informačního systému, pokud zvláštní zákon nestanoví
jinak,
i) zajistit ochranu informací i celého systému před náhodným nebo neoprávněným
zničením, náhodným poškozením, jakož i před neoprávněným přístupem nebo
zpracováním,
j) stanovit práva a povinnosti fyzických a právnických osob, které mají přístup k
informačnímu systému,
k) učinit opatření, aby po skončení pracovního nebo obdobného poměru mezi fyzickou
osobou a provozovatelem nemohly být informace, s nimiž nakládá příslušný
informační systém, touto osobou využity; obdobná opatření je povinen učinit i
vůči osobám, které při plnění svých úkolů u provozovatele přicházejí nebo
mohou přicházet do styku s informacemi, s nimiž nakládá příslušný informační
systém,
l) poskytnout jednou do roka bezplatně, nebo za přiměřenou úplatu kdykoli, každé
dotčené osobě na požádání zprávu o informacích o ní uchovávaných v
informačním systému, pokud zvláštní zákon nestanoví jinak.
§ 18
(1) Při ukončení provozu informačního systému je provozovatel povinen provést
taková opatření, aby informace, s nimiž informační systém nakládal, nemohly být
zneužity.
(2) V případě porušení povinnosti podle odstavce 1 má oprávněná osoba nárok na
zadostiučinění, odstranění závadného stavu, vydání bezdůvodného obohacení od
osoby, která jej získala, a dále nárok upravený v § 20 písm. d) a e).
§ 19
(1) Zprostředkovatel je povinen
a) ověřovat, zda informace, které zprostředkovává, jsou přesné,
b) nepřesné nebo neověřené informace náležitě označit, popřípadě, je-li to
možné, tuto nepřesnost odstranit,
c) získávat informace pro informační systémy náležitým způsobem; získávat
informace pod krytím jiným účelem nebo jinou činností lze pouze, pokud tak stanoví
zvláštní zákon,
d) zajistit ochranu zprostředkovávaných informací před náhodným nebo
neoprávněným zničením, náhodným poškozením, jakož i před neoprávněným
přístupem nebo zpracováním.
(2) Při zprostředkování informací pro uživatele i provozovatele je zprostředkovatel
povinen uchovávat informace získané v souvislosti s výkonem zprostředkovatelské
činnosti pouze po dobu nezbytně nutnou a v rozsahu oprávnění provozovatele.
§ 20
V případě porušení povinností provozovatele uvedených v § 17 vzniká
oprávněné fyzické osobě vůči provozovateli nárok na
a) zdržení se takového jednání, odstranění závadného stavu, vydání
bezdůvodného obohacení tomu subjektu, na jehož úkor bylo toto obohacení získáno, a
poskytnutí zadostiučinění (omluvy, opravy) tomu, jehož porušení povinností
poškodilo, na náklady provozovatele. Nárok poskytnout zadostiučinění nevzniká,
jedná-li se o porušení povinnosti podle § 17 písm. d) a e), pokud provozovatel
neporušil svoji povinnost podle § 17 písm. c) nebo pokud prokáže, že s informací
bylo nakládáno v mezích souhlasu dotčené osoby nebo jedná-li se o zveřejněnou
informaci,
b) likvidaci informace; tento nárok vzniká, porušil-li provozovatel povinnosti uvedené
v § 17 písm. a), b), d), e), g), h). Tento nárok též vzniká, jedná-li se o
informační systém nakládající se zveřejněnými informacemi, pokud se ukáže, že
tyto informace byly zveřejněny neoprávněně nebo pokud tyto informace byly opraveny,
c) doplnění informace, jedná-li se o informaci, která byla do informačního systému
vložena se souhlasem dotčené osoby, nebo jestliže se jedná o zveřejněnou informaci,
d) zaplacení přiměřené peněžní úhrady, jestliže bylo porušeno její právo na
zachování lidské důstojnosti, osobní cti, dobré pověsti a na ochranu jejího
jména, pokud není postižitelná stávajícími občanskoprávními a
obchodněprávními instituty,
e) zamezení přístupu k informacím v průběhu sporu, pokud orgán příslušný pro
rozhodnutí sporu výjimečně nestanoví jinak; nárok se týká pouze sporem dotčených
informací.
§ 21
Zprostředkovatel odpovídá za činnosti, které vykonává pro provozovatele nebo
uživatele v rozsahu odpovědnosti provozovatele.
§ 22
(1) Fyzické osoby v rámci svého pracovního nebo obdobného poměru nebo v rámci
své veřejné či jiné funkce (např. funkce soudního znalce, auditora) anebo další
osoby, které při plnění svých úkolů u provozovatele přicházejí do styku s
informacemi, s nimiž nakládá příslušný informační systém (dále jen
"povinné osoby") mají povinnost mlčenlivosti o těchto informacích a nesmí
je bez souhlasu provozovatele zpřístupnit jiným subjektům nebo je využít pro sebe,
pokud zvláštní zákon nestanoví jinak.
(2) Povinnosti uvedené v odstavci 1 přetrvávají i po skončení pracovního nebo
obdobného poměru mezi povinnou osobou a provozovatelem nebo po skončení výkonu funkce
povinné osoby.
(3) V případě porušení povinností uvedených v odstavci 1 vzniká oprávněné
osobě vůči povinné osobě nárok na
a) zdržení se takových jednání, odstranění závadného stavu, vydání
bezdůvodného obohacení a poskytnutí zadostiučinění (omluvy, opravy) na náklady
povinné osoby,
b) likvidaci informací, které byly neoprávněně zpřístupněny nebo využity,
c) zaplacení přiměřené peněžní úhrady, jestliže povinná osoba nesplněním
těchto povinností způsobila újmu, především nemateriální povahy, která není
postižitelná stávajícími občanskoprávními a obchodněprávními instituty a která
není spojena s plněním ostatních nároků podle tohoto odstavce,
d) zamezení zpřístupnění informací v průběhu sporu, pokud orgán příslušný pro
rozhodnutí výjimečně nestanovil jinak; tento nárok se týká pouze sporem dotčených
informací.
(4) Jestliže jsou tyto povinnosti porušeny povinnou osobou, která je v pracovním nebo
obdobném poměru k provozovateli, odpovídá provozovatel za poskytnutí peněžitého
plnění podle odstavce 3 písm. c) a za poskytnutí zadostiučinění podle odstavce 3
písm. a).
(5) Získá-li někdo informace z informačního systému protiprávním jednáním,
vztahují se na něj obdobně odstavce 1 a 3.
§ 23
Spory vyplývající z uplatňování práv a povinností podle tohoto zákona řeší
soud.
Část čtvrtá
Registrace informačního systému a dozor nad provozováním informačního systému
§ 24
K provedení registrace a provádění dozoru nad provozem informačních systémů
jsou příslušné orgány, zřízené zvláštními zákony.
§ 25
Žádost o registraci
(1) Orgán uvedený v § 24 eviduje registrované informační systémy po dobu jejich
provozu. Evidence je veřejně přístupná a úředně zveřejňována tímto orgánem
vždy k 31. prosinci.
(2) Provozovatel je povinen bez zbytečného odkladu informovat orgán uvedený v § 24 o
ukončení provozu informačního systému s uvedením data, ke kterému se provoz
informačního systému ukončuje. Toto se netýká informačních systémů, na něž se
nevztahuje povinnost registrace.
§ 26
Povinnosti registrovat se podléhají pouze informační systémy nakládající s
informacemi uvedenými v § 16, pokud neslouží výhradně pro vnitřní potřebu
provozovatele; výjimky z povinnosti registrace stanoví zvláštní zákon. Registraci
nepodléhají informační systémy nakládající výhradně se zveřejněnými
informacemi.
Část pátá
Přechodná a závěrečná ustanovení
§ 27
Provozovat informační systém zřízený po dni účinnosti tohoto zákona lze pouze
při splnění podmínek uvedených v tomto zákoně; jeho provozovatel je povinen
požádat o registraci do tří měsíců po nabytí účinnosti zákona, kterým se
zřizuje orgán uvedený v § 24.
§ 28
Vláda České a Slovenské Federativní Republiky může výjimečně stanovit
podmínky provozování již fungujícího informačního systému, který není v souladu
s tímto zákonem, na období ne delší tří let od nabytí účinnosti tohoto zákona.
Tímto není dotčena povinnost provozovatele požádat orgán podle § 24 o registraci v
období do tří měsíců po nabytí účinnosti zákona, kterým se tento orgán
zřizuje.
§ 29
Tento zákon nabývá účinnosti dnem vyhlášení.
Havel v. r.
Dubček v. r.
Čalfa v. r.
1) Např. zákon č. 244/1991 Sb., o Federální bezpečnostní informační službě, zákon č. 455/1991 Sb., o živnostenském podnikání (živnostenský zákon), zákon č. 563/1991 Sb., o účetnictví, zákon č. 47/1990 Sb., o volbách do Federálního shromáždění, ve znění pozdějších předpisů.
Dokumentační středisko pro lidská práva
Poštovní schránka 70, 149 01 Praha 415
Tel./fax/zázn.: +420 2 22522083
E-mail: info@lidska-prava.cz
6. 2. 2000
|