FEDERÁLNÍ SHROMÁŽDĚNÍ ČESKÉ A SLOVENSKÉ FEDERATIVNÍ REPUBLIKY
1992
VI. volební období
1319
Návrh
poslanců Federálního shromáždění
Z. Maliny, J. Suchánka, K. Ježka, J. Sokola, M. Mušky, P. Hrivíka, I. Ryndy, J. Minky, V. Novitzkého, J. Moroviče, L. Kudláčka, S. Kučery,
zákona
o informačních systémech a ochraně informací, se kterými tyto systémy nakládají
Návrh
Zákon
ze dne ......... 1992
o informačních systémech a ochraně informací, se kterými tyto systémy nakládají
Federální shromáždění České a Slovenské Federativní Republiky se usneslo na tomto zákoně:
Část první
Rozsah působnosti
§ 1
Zákon upravuje:
a) povinnosti související s provozováním informačního systému,
b) odpovědnost provozovatele informačního systému a dalších fyzických a právnických osob, které se účastní provádění činností souvisejících s provozováním informačního systému,
c) některé další náležitosti vztahující se k provozování informačního systému.
§ 2
Tento zákon se vztahuje i na informační systém založený zvláštním zákonem.
Část druhá
Vymezení některých pojmů
§ 3
Informace
Informací se pro účely tohoto zákona rozumí údaje, které při neoprávněném využití jsou způsobilé ohrozit práva a svobody občanů, bezpečnost státu, veřejnou bezpečnost, ochranu veřejného zdraví a mravnost, jestliže mají smysl pro alespoň jednoho z účastníků výměny informací a jsou vázány na hmotný nosič.
§ 4
Informační systém
Informačním systémem se pro účely tohoto zákona rozumí funkční celek zabezpečující cílevědomé a systematické shromažďování, zpracovávání, uchovávání a zpřístupňování informací. Každý informační systém zahrnuje informační základnu, technické a programové prostředky, technologie a procedury a pracovníky.
§ 5
Provozování informačního systému
Provozováním informačního systému se pro účely tohoto zákona rozumí provádění činností směřujících ke shromažďování (sběru) informací, jejich vstupnímu zpracování, ukládání informací do údajové základny, zpracování informací pro vnitřní potřeby systému nebo pro poskytnutí informační služby. Provozování zahrnuje všechny nebo jen některé z uvedených činností.
§ 6
Informační služba
Informační službou se rozumí provádění činností směřujících k poskytování informací z informačního systému, obvykle spojené se zpracováním informací uchovávaných v informačním systému.
§ 7
Zpracování informace
Zpracováním informace se pro účely tohoto zákona rozumí technická nebo obsahová úprava informace. Automatizované zpracování zahrnuje operace prováděné v úplnosti nebo částečně pomocí automatizačních prostředků, zejména uchovávání informací a dat, provádění logických nebo aritmetických operací s informacemi a daty, jejich úpravy a výmaz. Za zpracování informace se považuje i začlenění informace bez fyzické nebo obsahové změny do souboru informací nebo jiného sdělení, které může být určeno k jiným účelům než je poskytnutí informační služby.
§ 8
Likvidace informace
Likvidací informace se rozumí její rozložení nebo výmaz takovým způsobem, aby informace nemohla být znovu sestavena, nebo fyzické zničení hmotného nosiče, na nějž je vázána.
§ 9
Účastníci výměny informací
Účastníky výměny informací se pro účely tohoto zákona rozumí provozovatel informačního systému (dále jen "provozovatel"), uživatel informačních služeb a zprostředkovatel informací (dále jen "zprostředkovatel").
§ 10
Dotčená osoba
Dotčenou osobou se rozumí fyzická nebo právnická osoba, o které informace vypovídá.
§ 11
Provozovatel
/1/ Provozovatelem se pro účely tohoto zákona rozumí fyzická nebo právnická osoba, která zabezpečuje zpracování informací nebo poskytování informačních služeb a vystupuje vůči ostatním fyzickým nebo právnickým osobám jako nositel práv a povinností spojených s provozováním informačního systému.
/2/ Za provozovatele se nepovažují
a) fyzické osoby, které v rámci svého pracovního nebo obdobného poměru přicházejí do styku s informacemi, s nimiž nakládá příslušný informační systém,
b) právnické osoby, které vykonávají činnosti při provozování informačního systému na základě smlouvy uzavřené s provozovatelem.
§ 12
Uživatel
Uživatelem se pro účely tohoto zákona rozumí fyzická nebo právnická osoba, která využívá informace získané z informačního systému nebo o tyto informace žádá v rámci informačních služeb poskytovaných informačním systémem.
§ 13
Zprostředkovatel
Zprostředkovatelem se pro účely tohoto zákona rozumí fyzická nebo právnická osoba zjišťující, shromažďující, zpracovávající nebo poskytující informace pro provozovatele nebo uživatele.
§ 14
Zastřená forma sběru informací
Zastřenou formou sběru informací se rozumí zjišťování nebo shromažďování informací, které je maskováno jiným účelem nebo kryto jinou činností.
§ 15
Zveřejněná informace
Za zveřejněnou informaci se pro účely tohoto zákona považuje informace uvedená na veřejnost prostřednictvím hromadných sdělovacích prostředků, jakož i prostřednictvím elektronických veřejně přístupných informačních služeb.
Část třetí
Povinnosti související s provozováním informačního systému
§ 16
Provozovat informační systém, který nakládá s informacemi:
a) které vypovídají o osobnosti a soukromí dotčené osoby, jejím rasovém původu, národnosti, politických postojích a členství v politických stranách a hnutích, vztahu k náboženství, trestné činnosti, zdraví, sexuálním životě a majetkových poměrech,
b) jejichž zpřístupnění by mohlo vést k narušení hospodářské soutěže nebo s informacemi, u nichž lze důvodně předpokládat, že je kdokoli může zneužít k neoprávněným zásahům do podnikatelské činnosti,
c) které jsou předmětem státního, služebního, hospodářského nebo obchodního tajemství, lze pouze, stanoví-li tak zvláštní zákon, nebo se souhlasem žijící dotčené osoby, pokud je možné, aby tento projev vůle učinila. Jestliže nelze podmínku souhlasu splnit, lze s informacemi nakládat jen za předpokladu, že bude zachována lidská důstojnost, osobní čest, dobrá pověst a chráněno dobré jméno dotčené osoby.
§ 17
Povinností provozovatele je
a) provozovat informační systém v souladu s účelem, pro který je systém zřízen,
b) ověřovat, zda informace, s nimiž informační systém nakládá, jsou přesné a podle potřeby je aktualizovat,
c) nepřesné nebo neověřené informace náležitým způsobem v informačním systému označit,
d) neuchovávat v informačním systému nepravdivé informace,
e) zamezit sdružování informací a informačních systémů sloužících k rozdílným účelům, pokud zvláštní zákon nestanoví jinak,
f) vystříhat se zastřených forem sběru informací pro informační systém, pokud zvláštní zákon nestanoví jinak,
g) uchovávat informace, umožňující identifikaci dotčené osoby pouze po dobu přiměřenou účelům informačního systému, pokud zvláštní zákon nestanoví jinak,
h) zajistit ochranu informací i celého systému před náhodným nebo neoprávněným zničením, náhodným poškozením, jakož i před neoprávněným přístupem nebo zpracováním,
i) stanovit práva a povinnosti fyzických a právnických osob, které mají přístup k informačnímu systému,
j) učinit opatření, aby po skončení pracovního nebo obdobného poměru mezi fyzickou osobou a provozovatelem nemohly být informace, s nimiž nakládá příslušný informační systém, touto osobou využity; obdobná opatření je povinen učinit i vůči osobám, které při plnění svých úkolů u provozovatele přicházejí nebo mohou přicházet do styku s informacemi, s nimiž nakládá příslušný informační systém,
k) poskytnout jednou do roka bezplatně a za přiměřenou úplatu kdykoli každé dotčené osobě na požádání zprávu o informacích uchovávaných v informačním systému, pokud zvláštní zákon nestanoví jinak.
§ 18
Při ukončení provozu informačního systému je provozovatel povinen provést opatření, aby informace, s nimiž informační systém nakládal, nemohly být zneužity..
V případě porušení této povinnosti má oprávněná osoba nárok na zadostiučinění, odstranění závadného stavu, vydání bezdůvodného obohacení od osoby, která jej získala a dále nárok upravený v § 20 písm. d) a e).
§ 19
/1/ Povinností zprostředkovatele je při zprostředkování informací pro provozovatele:
a) ověřovat, zda informace, které zprostředková, jsou přesné,
b) nepřesné nebo neověřené informace náležitě označit, popřípadě je-li to možné, tuto nepřesnost odstranit,
c) vystříhat se zastřených forem sběru informací, pokud zvláštní zákon nestanoví jinak,
d) zajistit ochranu zprostředkovávaných informací před náhodným nebo neoprávněným zničením, náhodným poškozením, jakož i před neoprávněným přístupem nebo zpracováním.
/2/ Při zprostředkování informací pro uživatele i provozovatele uchovávat informace získané v souvislosti s výkonem zprostředkovatelské činnosti pouze po dobu nezbytně nutnou a v rozsahu oprávnění provozovatele.
§ 20
V případě porušení povinností provozovatele uvedených v § 17 vzniká oprávněné fyzické nebo právnické osobě vůči provozovateli nárok na:
a) zdržení se takového jednání, odstranění závadného stavu, vydání bezdůvodného obohacení tomu subjektu, na jehož úkor bylo toto obohacení získáno a poskytnutí zadostiučinění (omluvy, opravy) tomu, jehož porušení povinností poškodilo na náklady provozovatele. Nárok poskytnout zadostiučinění nevzniká, jedná-li se o porušení povinnosti podle § 17 písm. c a d, pokud neporušil svoji povinnost podle § 17 písm. b a pokud současně prokáže, že s informací bylo nakládáno v mezích souhlasu dotčené osoby nebo jedná-li se o zveřejněnou informaci,
b) likvidaci informace; tento nárok vzniká, porušil-li provozovatel povinnosti uvedené v § 17 písm. a, c, d, e, f, g. Tento nárok též vzniká, jedná-li se o informační systém nakládající se zveřejněnými informacemi, pokud se ukáže, že tyto informace byly zveřejněny neoprávněně nebo pokud tyto informace byly opraveny,
c) doplnění informace, jedná-li se o informaci, která byla do informačního systému vložena se souhlasem dotčené osoby nebo jestliže se jedná o zveřejněnou informaci,
d) zaplacení přiměřené peněžní úhrady, jestliže bylo porušeno její právo na zachování lidské důstojnosti, osobní cti, dobré pověsti a na ochranu jejího jména, pokud není postižitelná stávajícími občanskoprávními a obchodněprávními instituty,
e) zamezení přístupu k informacím v průběhu sporu, pokud orgán příslušný pro rozhodnutí sporu výjimečně nestanoví jinak; nárok se týká pouze sporem dotčených informací.
§ 21
Zprostředkovatel odpovídá za činnosti, které vykonává pro provozovatele nebo uživatele v rozsahu odpovědnosti provozovatele.
§ 22
/1/ Fyzické osoby v rámci svého pracovního nebo obdobného poměru nebo v rámci své veřejné či jiné funkce (např. funkce soudního znalce, auditora apod.) anebo další osoby, které při plnění svých úkolů u provozovatele přicházejí do styku s informacemi, s nimiž nakládá příslušný informační systém (dále jen "povinné osoby") mají povinnost mlčenlivosti o těchto informacích a nesmí je bez právoplatného souhlasu provozovatele ani zpřístupnit jiným subjektům ani je využít pro sebe, pokud zvláštní zákon nestanoví jinak.
/2/ Tato povinnost přetrvává i po skončení pracovního nebo obdobného poměru mezi povinnou osobou a provozovatelem nebo po skončení výkonu funkce této povinné osoby.
/3/ V případě porušení povinností uvedených v odstavci 1 vzniká oprávněné osobě vůči povinné osobě nárok na:
a) zdržení se takových jednání, odstranění závadného stavu, vydání bezdůvodného obohacení a poskytnutí zadostiučinění (omluvy, opravy) na náklady povinné osoby,
b) likvidaci informací, které byly neoprávněně zpřístupněny nebo využity,
c) zaplacení přiměřené peněžní úhrady, jestliže povinná osoba nesplněním těchto povinností způsobila újmu, především nemateriální povahy, která není postižitelná stávajícími občanskoprávními a obchodněprávními instituty a která není spojena s plněním ostatních nároků podle tohoto odstavce,
d) zamezení zpřístupnění informací v průběhu sporu, pokud orgán příslušný pro rozhodnutí výjimečně nestanovil jinak; tento nárok se týká pouze sporem dotčených informací.
/4/ Jestliže jsou tyto povinnosti porušeny povinnou osobou, která je v pracovním nebo obdobném poměru k provozovateli, odpovídá provozovatel za poskytnutí peněžitého plnění podle odstavce 3 písm. c) a za poskytnutí zadostiučinění podle odstavce 3 písm. a).
/5/ Získá-li někdo informace z informačního systému jednáním příčícím se právnímu řádu, vztahují se na něj obdobně odstavce 1 a 3.
§ 23
Spory vyplývající z uplatňování práv a povinností podle tohoto zákona řeší soud.
Část čtvrtá
Registrace informačního systému a dozor nad provozováním informačního systému
§ 24
K provedení registrace a provádění dozoru nad provozem informačních systémů je příslušný orgán, zřízený zvláštním zákonem.
§ 25
Žádost o registraci
/1/ Žádost o registraci informačního systému obsahuje:
a) název (jméno) a sídlo provozovatele,
b) účel, pro který je informační systém zřízen,
c) způsob shromažďování informací,
d) způsob zpracování, uchovávání a přenosu informací,
e) údaje o spolupráci s jinými informačními systémy,
f) způsob zpřístupňování a využití informací.
/2/ Orgán uvedený v § 23 eviduje registrované informační systémy po dobu jejich provozu. Evidence je veřejně přístupná a úředně zveřejňována tímto orgánem vždy k 31. prosinci.
/3/ Provozovatel je povinen bez zbytečného odkladu informovat orgán uvedený v § 23 o ukončení provozu informačního systému s uvedením data, ke kterému se provoz informačního systému ukončuje. Toto se netýká informačních systémů, na něž se nevztahuje povinnost registrace.
§ 26
Povinnosti registrovat se nepodléhají informační systémy, které slouží výhradně pro vnitřní potřebu provozovatele. Registraci dále nepodléhají informační systémy nakládající výhradně se zveřejněnými informacemi. Další výjimky může stanovit zvláštní zákon.
Část pátá
Přechodná a závěrečná ustanovení
§ 27
Provozovat informační systém zřízený po dni účinnosti tohoto zákona lze pouze při splnění podmínek uvedených v tomto zákoně a provozovatel je povinen požádat o registraci do tří měsíců po nabytí účinnosti zákona, kterým se zřizuje orgán uvedený v § 23.
§ 28
Vláda České a Slovenské Federativní Republiky může výjimečně povolit provozování již fungujícího informačního systému, který je v rozporu s tímto zákonem na období ne delší tří let od nabytí účinnosti tohoto zákona. Tímto není dotčena povinnost provozovatele požádat orgán podle § 23 o registraci v období do tří měsíců po nabytí účinnosti zákona, kterým se tento orgán zřizuje.
§ 29
Tento zákon nabývá účinnosti dnem ....
Důvodová zpráva
Obecná část
Ve společnosti, která aspiruje na to, státi se moderní a demokratickou, patří k základním povinnostem ochrana práv občana, tedy i ochrana informací, zejména pak informací, vztahujících se k osobnosti a soukromí občana, ale i k právnickým osobám.
Tato povinnost státu je vymezena i Listinou základních práv a svobod, která ve svém čl. 17 odst. 1 a 2 stanovuj e právo na informace a z druhé strany ve svém čl. 17 odst. 4 a čl. 10 odst. 3 dává možnosti omezit tato práva pouze zákonem.
Stávající právní úprava fakticky není schopna výše uvedený požadavek Listiny základních práv a svobod naplnit, proto se v souladu s Konvencí Rady Evropy o Ochraně osob s přihlédnutím k automatizovanému zpracování personálních dat přistoupeno k vypracování návrhu zákona Federálního shromáždění, který stanoví legislativní rámec pro oblast systematického zpracování informací.
Přijetí tohoto zákona přispěje k dosažení integrity právního řádu České a Slovenské Federativní Republiky s právními řády členských států Evropských společenství a napomůže tak ke vstupu České a Slovenské Federativní Republiky do řad těchto států.
Lze konstatovat, že předkládaný návrh zákona doplní stávající právní řád České a Slovenské Federativní Republiky tím, že stanoví:
a) základní povinnosti při systematickém nakládání s informacemi,
b) kategorii tzv. citlivých informací, s nimiž lze systematicky nakládat jen stanoví -li tak zvláštní zákon nebo je k dispozici souhlas dotčené osoby,
c) možnost dotčené osobě vynutit si korekci informace, která neoprávněně zasahuje do jejich práv a svobod,
d) nové odpovědnostní instituty při porušení povinností upravených tímto zákonem.
Zákon se však nezabývá otázkou orgánu příslušného k provedení registrace a k provádění dozoru nad provozem informačního systému, pouze stanoví, že tento orgán bude zřízen zvláštním zákonem.
Realizace tohoto zákona neklade žádné nároky na státní rozpočet.
Zvláštní část
K § 1
Tento zákon upravuje pouze systematické nakládání s informacemi a je plně v souladu s Listinou základních práv a svobod, která umožňuje ze závažných důvodů právo na informace omezit a současně zaručuje ochranu před neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním údajů o osobě.
K § 2
Tím není dotčeno specifické postavení některých informačních systémů, na které tento zákon pamatuje v dalších ustanoveních, např. § 17 a § 19, když umožňuje provedení rozdílné úpravy zvláštním zákonem.
K § 15
Část obsahuje definice nejdůležitějších pojmů. Tyto definice mají platnost zejména ve vztahu k tomuto zákonu. Vzhledem k tomu, že daná oblast je nově upravena, nelze vyloučit jejich využití v dalších obecně závazných právních předpisech vztahujících se k této oblasti.
Při stanovení těchto pojmů se vycházelo z obdobných právních předpisů platných ve státech Evropského společenství.
K § 16
Zákon pokládá nakládání s některými druhy informací za natolik závažné z hlediska zájmu občanů, podnikatelských subjektů a státu, že omezuje možnost provozovat příslušné informační systémy na podmínku, že buď tak stanoví zvláštní zákon, nebo je vyžadován souhlas dotčené osoby. Dále se v tomto ustanovení pamatuje i na ochranu těch osob, které z objektivních příčin nemohou požadovaný souhlas učinit, např. z důvodu omezenosti jejich způsobilosti k právním úkonům, či úmrtí. Nebyla stanovena časová hranice, po jejímž uplynutí je možno volně nakládat s informacemi uvedenými v § 16 a traktované nakládání je možné jen za předpokladu, že bude zachována lidská důstojnost, osobní čest, dobrá pověst a chráněno dobré jméno těchto osob.
Vláda ČSFR může výjimečně povolit provozování již fungujícího informačního systému, který je v rozporu s tímto zákonem na období ne delší 3 let od nabytí účinnosti tohoto zákona.
K § 17
Povinnosti provozovatelů jsou odrazem specifik nakládání s informacemi. Jejich plněním se vytváří soulad mezi zájmem dotčených osob o ochranu svých zájmů a právem veřejnosti na informace. Dále toto ustanovení pamatuje na případy, kdy je potřebné některé povinnosti provozovatele upravit odlišně od tohoto zákona, např. u provozovatelů jako jsou Federální bezpečnostní informační služba, Československá armáda, zdravotnictví.
K § 18
Úprava je nutná v zájmu posílení právní jistoty fyzických a právnických osob.
K § 19
Zprostředkovatel jako účastník výměny informací musí mít rovněž zákonem stanovené povinnosti, jejichž dodržování je nezbytnou podmínkou zachování základních práv osob. Opětovně je zde umožněno upravit zvláštním zákonem některé povinnosti odlišně.
K § 20
Nároky oprávněných osob vyjadřují specifičnost újmy, která může vzniknout v důsledku nakládání s informacemi. Tyto nároky lze chápat jako rozšíření stávajících odpovědnostních institutů.
K § 21
Toto ustanovení umožňuje stanovit hranice mezi odpovědností zprostředkovatele a odpovědností provozovatele.
K § 22
Ustanovení v souladu s platnou právní úpravou rozlišuje dvě varianty: případy, kdy se fyzická osoba dopustí určitého jednání po dobu, kdy je v pracovním nebo obdobném poměru a případy, kdy k porušení povinností uvedených v odstavci 1 fyzickou osobou dojde po skončení takového poměru. Povinnost mlčenlivosti pro fyzické osoby, které přijdou jakoukoliv formou do styku s informacemi, s nimiž nakládá informační systém, je nutná jak z hlediska praktické účinnosti tohoto zákona, tak i z hlediska ochrany zájmů provozovatele. Tato povinnost se nevztahuje na případy, kdy je ze zákona (a to i tohoto) výslovně umožněno zpřístupňovat informace.
S tímto ustanovením úzce souvisí § 17, který stanoví povinnosti provozovatele mající vztah k povinnostem vyplývajícím z 20.
Ustanovení o možném přesunu některých následků porušení této povinnosti na provozovatele by mělo provozovatele motivovat k uvážlivému výběru svých pracovníků, což by mělo působit jako prevence možných porušení povinností.
K § 23
Soud jako nezávislý státní orgán se jeví jako nejvhodnější pro rozhodování sporů i v této oblasti.
K § 24
Zvláštní zákon upraví působnost a pravomoc orgánu, který bude provádět registrace informačních systémů a provádět dozor nad jejich provozem. Do doby, než bude tento zřejmě ústřední orgán státní správy konstituován, lze provozovat informační systém jen při splnění podmínek stanovených tímto zákonem. Není omezeno právo na zřízení nových informačních systémů. U již fungujícího informačního systému, který je v rozporu s tímto zákonem, může jeho provozování výjimečně povolit vláda ČSFR.
K § 25
Žádost o registraci je vymezena již v tomto zákoně, vzhledem ke skutečnosti, že ji lze pokládat za jednu z povinností uložených tímto zákonem provozovateli informačního systému a má souvislost též z hlediska naplnění práva fyzických a právnických osob podle § 18 písm. k). Realizací tohoto práva vznikne zpětná vazba mezi provozovatelem a dotčenou osobou, což umožní důslednou realizaci ustanovení tohoto zákona.
K § 26
Toto ustanovení vymezuje, které informační systémy není potřeba registrovat, vzhledem jak k účelu, pro který jsou založeny, tak vzhledem k charakteru informací, s nimiž nakládají.
K § 27
Lze zakládat informační systém v období mezi dnem účinnosti tohoto zákona a dnem účinnosti zákona, kterým bude zřízen orgán oprávněný k provádění registrace a k provádění dozoru nad informačním systémem. Provozovatel takového informačního systému je ale povinen respektovat ustanovení tohoto zákona.
K § 28
Vládě ČSFR se svěřuje možnost zmírnit případnou tvrdost zákona v případě informačních systémů, jejichž fungování je nezbytné ze závažných důvodů.