Federální shromáždění ČSFR 1990 – 1992

Federální shromáždění České a Slovenské Federativní republiky VI. v. o.

poslanců Federálního shromáždění ČSFR Z. Maliny, J. Suchánka, V. Minky, V. Novitzkého, M. Mušky, K. Ježka, J. Sokola, L. Kudláčka, S. Kučery

o informačních systémech a ochraně informací s kterými tyto informační systémy nakládají

926

Cílem tohoto zákona je stanovit:

- pravidla pro zakládání informačních systémů

- povinnosti provozovatelů informačních systémů

- pravidla pro řešení sporů vzniklých v důsledku provozu informačních systémů

- pravidla ochrany informací a soukromí občanů i zájmu podnikatelů při provozování inf. systémů.

Tento zákon by se měl vztahovat pouze na informační systémy. Jeho cílem není upravovat nesystematické nakládání s informacemi. Tuto úpravu dávají jiné právní předpisy (např. zákon o ochraně státního tajemství, občanský zákoník apod.).

Návrh respektuje smysl ustanovení Listiny základních práv a svobod týkajících se práva na informaci, kde je zásadně stanovena volnost nakládání s informací, kterou je možno z určitých závažných důvodů omezit. Ustanovení tohoto zákona by se měla uplatnit v případě, že jiný zákon týkající se jednotlivých informačních systémů nestanoví něco jiného. Navrhovaná úprava vychází z obdobných západoevropských zákonů.

Informací se rozumí sdělení vypovídající o určité skutečnosti.

Informačním systémem se rozumí funkční celek uspořádaný s cílem zabezpečit cílevědomý a systematický sběr, uchovávání, ochranu a eventuální zpracování a třídění informací za účelem jejich zpřístupňování. Provozováním informačního systému se rozumí provádění cílevědomého a systematického sběru, uchovávání, ochrany a eventuálního zpracovávání a třídění informací za účelem jejich zpřístupňování příslušným funkčním celkem.

Provozovatelem informačního systému se rozumí subjekt, který vykonává alespoň část činností při provozu informačního systému. Je-li více subjektů provozujících jeden informační systém, jsou nositeli práv a povinností vyplývajících z tohoto zákona všechny tyto subjekty společně a nerozdílně.

Zveřejněnou informací se rozumí informace uvedená oprávněně na veřejnost prostřednictvím tisku, rozhlasu, televize a jiných prostředků hromadného sdělování pokud lze jednoznačně určit subjekt, který informaci na veřejnost uvedl.

Dotčenou osobou se rozumí subjekt, o němž příslušná informace pojednává. Likvidací informace se rozumí její rozložení nebo výmaz tak, aby tato informace nemohla být již znovu sestavena. Informaci uloženou v lidském vědomí nelze likvidovat ve smyslu tohoto zákona.

Zásada obsahuje definice nejdůležitějších termínů. Tyto definice mají platnost pouze ve vztahu k tomuto zákonu.

Provozovatelem informačního systému může být každý subjekt, který splňuje podmínky stanovené tímto zákonem.

Provozovatelem informačního systému, který nakládá s informacemi

a) které vypovídají o soukromí určitého občana, zejména o jeho osobnosti, jeho rasovém původu, národnosti, politických postojích a členství v politických stranách a hnutích, vztahu k náboženství, trestné činnosti, zdraví, sexuálním životě a majetkových poměrech,

b) jejichž zpřístupnění by mohlo vést k narušení hospodářské soutěže nebo s informacemi, u nichž lze důvodně předpokládat, že je stát nebo někdo jiný může zneužít k vážným neoprávněným zásahům do podnikatelské činnosti,

c) které jsou předmětem státního, služebního hospodářského nebo obchodního tajemství může být pouze subjekt určený zákonem.

Návrh označuje nakládání s některými druhy informací za natolik citlivé z hlediska zájmu státu, občanů a podnikatelských subjektů, že možnost provozovat příslušné informační systémy omezuje pouze na zákonem určené subjekty.

Při dalším zpracování tohoto zákona bude nutno zvážit konkrétní dopady tohoto ustanovení ve vztahu ke stávajícímu platnému právnímu řádu a eventuálně povolit v závěrečných ustanoveních některých výjimky (např. při okamžitém přijetí tohoto zákona by bylo problematické, zda politická strana může vést evidenci svých členů).

Ustanovení tohoto zákona se vztahují i na informační systémy nakládající s informacemi uvedenými pod písm. a), b) a c) Zásady 3 pokud ho zákon nevylučuje. Tyto informace však nesmí být běžně zpřístupněny a provozovatel informačního systému musí zajistit ochranu před jejich zneužitím. Informace, s nimiž je při provozu těchto informačních systémů nakládáno, nemohou být sdružovány s informacemi jiných informačních systémů.

Zásada navrhuje základní pravidla pro provoz informačních systémů, které nakládají s informacemi uvedenými pod písm. a), b) a c) Zásady 3. Při dalším zpracovávání těchto zásad bude nutné dále upřesnit, na které informační systémy výše uvedeného druhu se tento zákon nevztahuje (je např. zřejmé, že tento zákon nelze plně vztáhnout na některé policejní registry, zdravotnické registry apod.).

Informační systém je možno provozovat, pouze je-li tento informační systém registrován příslušným orgánem pro provoz informačních systémů. Toto se však nevztahuje na:

- informační systémy, jejichž zpracování je uloženo zákonem s výjimkou informačních systémů nakládajících s informacemi uvedenými pod písm. a), b) a c) Zásady 3, na které se vztahuje tento zákon,

- informační systémy nakládající s informacemi, které slouží pouze pro potřeby subjektu, který informační systém provozuje, s výjimkou informačních systémů nakládajících s informacemi uvedenými pod písm. a), b) a c) Zásady 3, na které se vztahuje tento zákon.

Žádost o registraci informačního systému obsahuje údaje o:

- názvu (jménu) a sídlu provozovatele. Je-li provozovatelů více. Žádost podává ten provozovatel, jehož pověřili ostatní provozovatelé

- druhu informací, s nimiž by měl informační systém nakládat,

- formě a četnosti sběru informací,

- způsobu zpracování, uchovávání a přenosu informací,

- spolupráci s jinými informačními systémy,

- způsobu zpřístupňování a pravděpodobného využití informací, druhu poskytovaných služeb a zásad stanovení úplaty za jejich poskytnutí.

Provozovatel informačního systému je povinen bez zbytečného odkladu informovat příslušný orgán pro provoz informačních systémů o ukončení provozu informačního systému s uvedením data, ke kterému se provoz informačního systému ukončuje. Toto se netýká Informačních systémů, na něž se nevztahuje povinnost registrace.

Povinnost registrace některých informačních systémů je nezbytná z hlediska zvýšení možností získat informace o tom, jaké informační systémy jsou provozovány. To ve svém důsledku přispěje k většímu stupni praktické účinnosti tohoto zákona.

Tato povinnost se však netýká řady informačních systémů založených zákonem a tzv. interních informačních systémů. Stanovení povinnosti registrace v těchto případech by totiž evidentně bylo administrativní komplikací bez praktického významu.

V závěrečných ustanoveních tohoto zákona pak bude nutno stanovit zvláštní lhůtu pro registraci již provozovaných informačních systémů tak, aby se nepřerušila kontinuita těch informačních systémů, jejichž provoz je v souladu s tímto zákonem.

Provozovateli informačního systému z tohoto zákona vyplývají tyto povinnosti:

a) zamezit, aby zpřístupňoval informace jiné než určuje zákon nebo zahrnuje registrace,

b) s maximálním úsilím ověřovat, zda informace sbírané pro provoz informačního systému odrážejí skutečný tav,

c) zamezit, aby zpřístupňoval informace, které jsou v rozporu se skutečným stavem.

d) zamezit, aby zpřístupňoval neúplné informace, které nejsou jako takové označeny,

e) zamezit sdružování informací různých informačních systémů nad rámec zákona nebo registrace,

f) vystříhat se zastřených forem sběru informací pro provoz informačního systému,

g) poskytnout, na požádání jednou do roka bezplatně, a za přiměřenou úplatu kdykoliv, každému subjektu na požádání zprávu o informacích uchovávaných příslušným informačním systémem, které se tohoto subjektu týkají a o tom, komu byly tyto informace zpřístupněny,

h) zajistit, aby informace byly zpřístupňovány pouze způsoby, které stanoví zákon nebo které zahrnuje registrace,

i) zajistit ochranu informačního systému před neoprávněným vstupem, využitím a poškozením a stanovit práva, povinnosti i odpovědnost pracovníků a jiných osob s právem přístupu.

Povinností provozovatelů informačních systémů jsou odrazem specifik nakládání s informacemi. Plněním těchto povinností by měl být vytvořen soulad mezi zájmem veřejnosti o informace a zájmem jednotlivých subjektů o ochranu jejich vlastních zájmů.

V případě porušení povinností určených v zásadě 6 oprávněnému subjektu vzniká vůči provozovateli informačního systému nárok na:

a) Zdržení se takových jednání, odstranění závadného stavu, vydání bezdůvodného obohacení tomu subjektu, na jehož úkol bylo toto obohacení získáno, a poskytnutí zadostiučinění (omluvy, opravy) tomu, jehož porušení povinností poškodilo na náklady provozovatele informačního systému. Nárok poskytnout zadostiučinění nevzniká, jedná-li se o porušení povinností sub c) a d) Zásady 6. pokud provozovatel prokáže, že neporušil svoji povinnost sub b) Zásady 6 a současně prokáže, že s informací bylo nakládáno na základě a v mezích souhlasu dotčené osoby nebo že tato informace byla oprávněně zveřejněna a nepodléhá povinnosti likvidace nebo doplnění.

b) Likvidace informací. Tento nárok vzniká, porušil-li provozovatel povinnosti sub a), c), f) Zásady 6 a případně i sub d) Zásady 6. nelze-li uplatnit, nárok sub C. této Zásady. Tento nárok též vzniká, jedná-li se o informační systém nakládající se zveřejněnými informacemi, pokud se ukáže, že tyto informace byly zveřejněny neoprávněně nebo pokud tyto informace byly opraveny.

c) Doplnění informací. Tento nárok vzniká porušením povinnosti sub d) Zásady 6. Nepovažuje-li však provozovatel informačního systému za možné nebo účelné tomuto nároku vyhovět, vzniká nárok sub. b. této Zásady.

d) Zaplacení přiměřené peněžní úpravy subjektu, kterému provozovatel informačního systému neplněním svých povinností podle Zásady 6 způsobil újmu, především nemateriální povahy, která není postižitelná stávajícími občanskoprávními a obchodněprávními instituty a která není zhojená splněním ostatních nároků podle této Zásady. Byla-li újma způsobena zpřístupňováním informací, tento nárok nevzniká pokud provozovatel prokáže, že neporušil svoji povinnost, sub b) Zásady 6 a současně prokáže, že s informací bylo nakládáno na základě a v mezích souhlasu dotčené osoby nebo že tato informace byla oprávněně zveřejněna a nepodléhá nároku likvidace nebo doplnění.

e) Zamezení zpřístupnění informací v průběhu sporu pokud orgán příslušný pro rozhodnutí sporu výjimečně nestanoví jinak.

Tento nárok se týká pouze sporem dotčených informací.

Těmito nároky nejsou dotčena ustanovení o odpovědnosti podle jiných předpisů.

Nároky oprávněných osob vyjadřují specifičnost, újmy, která může vzniknout v důsledku nakládání s informacemi. Tyto nároky lze chápat jako určitý doplněk stávajícím odpovědnostním institutům.

Fyzické osoby, v rámci svého služebního nebo pracovního poměru nebo v rámci své veřejné či jiné funkce (např. funkce soudního znalce, auditora apod.) anebo další oprávněné osoby, které při plnění svých úkolů u provozovatele informačního systému přicházejí do styku s informacemi, s nimiž nakládá příslušný informační systém, mají povinnost mlčenlivosti o těchto informacích a nesmí je bez právoplatného souhlasu provozovatele informačního systému ani zpřístupnit jiným subjektům ani je využít pro sebe pokud zákon nestanoví jinak.

Tato povinnost přetrvává i po skončení pracovního nebo

jiného obdobného poměru mezi povinnou fyzickou osobou a provozovatelem nebo po skončení výkonu funkce.

V případě porušení této povinnosti vzniká oprávněnému subjektu vůči fyzické osobě nárok na:

a) Zdržení se takových jednání, odstranění závadného stavu, vydání bezdůvodného obohacení tomu subjektu, na jehož úkor bylo toto obohacení získáno a poskytnutí zadostiučinění (omluvy, opravy) tomu, jehož porušení této povinnosti poškodilo na náklady fyzické osoby.

b) Likvidací informací, které byly neoprávněně zpřístupněny nebo využity.

c) Zaplacení přiměřené peněžní úhrady subjektu, kterému fyzická osoba nesplněním své povinnosti podle této Zásady způsobila újmu především nemateriální povahy, která není postižitelná stávajícími občanskoprávními a obchodněprávními instituty a která není zhojená splněním ostatních nároků podle této Zásady.

d) Zamezení zpřístupnění informací v průběhu sporu pokud orgán příslušný pro rozhodnutí sporu výjimečně nestanovil jinak. Tento nárok se týká pouze sporem dotčených informací.

Těmito nároky nejsou dotčena ustanovení o odpovědnosti podle jiných předpisů.

Je-li tato povinnost porušena za trvání pracovního nebo jiného obdobného poměru mezi povinnou fyzickou osobou a provozovatelem a je-li předmětem nároku peněžité plnění, je společně a nerozdílně s fyzickou osobou zavázán i provozovatel informačního systému.

Tyto povinnosti fyzických osob a nároky oprávněných subjektů vzniklé porušením těchto povinností platí obdobně i v případě, získá-li někdo informace z informačního systému vlastním jednáním příčícím se právnímu řádu (např. průmyslová špionáž).

Povinnost mlčenlivosti pro fyzické osoby, které přijdou jakoukoli formou do styku s informacemi s nimiž nakládá informační systém je nutná, jak z hlediska praktické účinnosti tak i z hlediska ochrany zájmů provozovatele. Tato povinnost se nevztahuje na případy, kdy je ze zákona (a to i tohoto) výslovně přípustné zpřístupňovat informace. V případě porušení této povinnosti vznikají oprávněnému subjektu nároky obdobné nárokům vůči provozovateli informačního systému, a to vzhledem k obdobnému charakteru možné újmy. Ustanovení o možném přesunu některých následků porušení této povinnosti na provozovatele by mělo provozovatele motivovat k uvážlivému výběru svých pracovníků, což by mělo působit jako prevence možných porušení povinností.

Spory vyplývající z uplatňování práv a povinností řeší soud.

Návrh na zahájení řízení může dát dotčená osoba, příslušný orgán pro provoz informačních systémů, subjekt, který vzhledem ke svému postavení musí nakládání s příslušnými informace pokládat za téměř totožné nakládání s informacemi vlastními a ten, jemuž toto právo dává jiný právní předpis.

Z hlediska závažnosti možných sporů se soud jakožto nezávislá instituce jeví jako nejvhodnější orgán pro rozhodování v této oblasti. Okruh subjektů k podání návrhu na zahájení řízení je oproti stávající úpravě poněkud rozšířen, a to vzhledem ke specifice problematiky.

Působnost orgánu pro provoz informačních systémů vykonávají Komise pro provoz informačních systémů (dále "KPIS") ČSFR na úrovni federace a KPIS ČR a KPIS SR na úrovni republik.

KPIS jsou ústředním orgánem státní správy pro registraci informačních systémů a dozor nad nimi.

KPIS ČSFR je příslušná ve věcech informačních systémů, které výslovně náleží do působnosti federace.

KPIS ČR a SR jsou příslušné ve věcech informačních systémů, které se váží k území příslušné republiky a které nenáleží do působnosti federace.

Do působnosti KPIS ČSFR náleží i ty informační systémy, které by náležely do společné působnosti federace i republik. Informační systémy, které by náležely do společné působnosti obou republik, náleží do působnosti republikové KPIS, na jejímž území má sídlo provozovatel. V těchto případech však příslušná KPIS je povinna příslušnou záležitost projednat se zúčastněnými KPIS. KPIS ustanovuje příslušná vláda a této vládě KPIS odpovídají.

K výkonu správní agendy je nutno zřídit nový orgán. Navrhovaná varianta respektuje federativní uspořádání státu. Tento orgán nebude vyžadovat velký počet pracovníků, lze proto očekávat, že náklady na jeho zřízení nebudou vysoké.

KPIS může žádost o registraci informačního systému odmítnout pouze v případě, pokud by provozování Informačního systému bylo v rozporu se zákonem nebo pokud by pro registraci nebyl žádný právní důvod.

KPIS je povinna o žádosti o registraci rozhodnout nejpozději do 30 dnů od jejího doručení.

KPIS uchovává všechny kladně vyřízené žádosti o registraci

informačního systému a tyto žádosti zpřístupňuje veřejnosti, dokud není provoz příslušného informačního systému ukončen.

Význam registrace byl vyložen již v odůvodnění Zásady 5. Toto plně koresponduje s povinností KPIS zpřístupnit veřejnosti kladně vyřízené aktuální žádosti o registraci informačního systému.

Stanovení lhůty pro rozhodnutí a navržená fikce právní skutečnosti není-li v této lhůtě rozhodnuto má sloužit k rychlému vyřízení podání nebo má umožnit žadateli pokračovat v řízení před vyšší instancí. Při vyřizování těchto žádostí bude postupováno zásadně podle správního řádu. Lze předpokládat, že KPIS bude účastníky o zahájení řízení uvědomovat veřejnou vyhláškou.

KPIS dozírá z hlediska dodržování právního řádu na provoz zásadně všech informačních systémů s výjimkou těch informačních systémů, u nichž toto výslovně stanoví zákon.

V rámci výkonu této funkce má KPIS oprávnění:

- uložit opatření k nápravě a shledá-li to za nezbytné po dobu do realizace tohoto opatření pozastavit zcela nebo zčásti provoz informačního systému,

- uložit pokutu od 10 000 do 500 000 Kčs, je-li plnění některých povinností provozovatelem zaviněně porušováno, obcházeno nebo oddalováno,

- zrušit registraci informačního systému nebo provoz informačního systému zakázat, nedodržuje-li provozovatel soustavně anebo zvlášť závažně své povinnosti vyplývající z právního řádu. Toto oprávnění však nelze uplatnit vůči informačnímu systému, jehož provozování je uloženo obecně závazným právním předpisem.

- vydat v případech zvláštního zřetele hodných, zejména v případě není-li možno zabezpečit splnění povinností provozovatelem informačního systému osvědčení o provozu příslušného informačního systému.

Provozovatel informačního systému je povinen KPIS při výkonu její dozorové funkce poskytnout potřebnou součinnost, zejména jí poskytnout potřebné informace a umožnit mu přístup do objektu pozorovatele. KPIS má oprávnění vstupu do objektu provozovatele informačního systému i bez jeho vědomí má-li důvodné podezření na porušování tohoto zákona. Tímto však KPIS není zbavena odpovědnosti za škody, které tím způsobí, pokud by se toto podezření ukázalo být neodůvodněné nebo pokud by rozsah škod způsobených vstupem byl zřejmě nepřiměřený zjištěnému porušení povinnosti.

Pravomoci navrhované KPIS při výkonu její dozorové funkce jsou nezbytnou zárukou pro praktickou účinnost tohoto zákona.

KPIS se při rozhodování o příslušných záležitostech řídí správním řádem, pokud tento zákon nestanoví něco jiného.

Tato zásada je samozřejmým důsledkem pojetí KPIS jako správního orgánu.

Na období nejdéle do tří let od nabytí účinnosti tohoto zákona může KPIS výjimečně povolit provoz ji fungujícího veřejně prospěšného informačního systému, který by byl v rozporu s tímto zákonem.

Navrhovaná úprava vychází ze skutečnosti, že změna některých předpisů si vyžádá určitý čas a že není vhodné mechanicky přerušit kontinuity každého informačního systému, který by byl v rozporu s tímto zákonem.

Ve společnosti, která aspiruje na to, stát se moderní, demokratickou společností, patří k základním povinnostem ochrana práv občana, tedy i ochrana informací, zejména pak informací, vztahujících se k osobnosti občana. Jediná možnost, jak tuto ochranu v prostředí překotně se rozšiřujícího využívání automatizační techniky zajistit, je jednoznačné stanovení pravidel pro zakládání informačních systémů, určení povinností jejich provozovatelů a stanovení pravidel pro řešení sporů vzniklých v důsledku provozu informačních systémů.

Návrh zásad zákona o informačních systémech a ochraně informací, s kterými tyto informační systémy nakládají, respektuje smysl ustanovení Listiny základních práv a svobod, zejména ustanovení článků 10, 13, 17. Jedná se i o zaručení práva na informaci, kde je zásadně stanovena volnost nakládání s informací, kterou je možno omezit pouze ze závažných důvodů. Návrh vychází z obdobných západoevropských zákonů a odpovídá Konvenci Rady Evropy o Ochraně občanů při automatickém zpracování osobních dat.

Informace, které vypovídají o osobnosti určitého občana, jeho rasovém původu, národnosti, politických postojích a členství v politických stranách a hnutích, vztahu k náboženství, trestné činnosti, zdraví, sexuálním životě a majetkových poměrech, dále informace, jejichž zpřístupnění by mohlo vést k narušení hospodářské soutěže nebo informace, u nichž lze důvodně předpokládat, že je stát nebo někdo jiný zneužije k vážným neoprávněným zásahům do podnikatelské činnosti, jsou informacemi z hlediska občana nejvíce citlivými.

Mezi důležité myšlenky, převzaté z již zmíněné Konvence Rady Evropy, patří právo občana na informaci o existenci, účelu a obsahu libovolných informačních systémů, ve kterých jsou uchovávány jeho osobní údaje. Tato konstrukce vede k nutnosti registrace informačních systémů a tedy také k potřebě existence Komise pro provoz informačních systémů. Vědomost o informačních systémech s osobními daty je nutnou podmínkou pro možnost nápravy, ať již opravou či likvidací, případně předáním rozhodnutí soudu.

ze dne .......... 1991

o informačních systémech a ochraně informací s kterými tyto informační systémy nakládají