256/1992 Zb. v znení účinnom od 1. 6. 1992 do 28. 2. 1998

ZÁKON

z 29. apríla 1992

o ochrane osobných údajov v informačných systémoch

Federálne zhromaždenie Českej a Slovenskej Federatívnej Republiky sa uznieslo na tomto zákone:

PRVÁ ČASŤ

ROZSAH PÔSOBNOSTI (§ 1-2)

§ 1

Zákon upravuje ochranu osobných údajov, najmä povinnosti súvisiace s ochranou informácií pri prevádzkovaní informačného systému, ktorý nakladá s osobnými údajmi, a zodpovednosť prevádzkovateľa informačného systému a ďalších fyzických a právnických osôb, ktoré sa zúčastňujú na vykonávaní činností súvisiacich s prevádzkovaním takého informačného systému.

§ 2

Tento zákon sa vzťahuje aj na informačné systémy založené osobitným zákonom.¹)

DRUHÁ ČASŤ

VYMEDZENIE NIEKTORÝCH POJMOV NA ÚČELY TOHTO ZÁKONA (§ 3-15)

§ 3

Informácie

Informácie, ktoré sa vzťahujú na určitú osobu, sú osobnými údajmi.

§ 4

Informačný systém

Informačným systémom sa rozumie funkčný celok zabezpečujúci cieľavedomé a systematické zhromažďovanie, spracúvanie, uchovávanie a sprístupňovanie informácií. Každý informačný systém zahŕňa informačnú základňu, technické a programové prostriedky, technológie a procedúry a pracovníkov.

§ 5

Prevádzkovanie informačného systému

Prevádzkovaním informačného systému sa rozumie vykonávanie činností smerujúcich ku zhromažďovaniu (zberu) informácií, ich vstupnému spracovaniu, ukladaniu informácií do údajovej základne, spracovanie informácií pre vnútorné potreby systému alebo pre poskytovanie informačnej služby. Prevádzkovanie zahŕňa všetky alebo len niektoré z uvedených činností.

§ 6

Informačná služba

Informačnou službou sa rozumie vykonávanie činností smerujúcich k poskytovaniu informácií z informačného systému, obvykle spojené so spracovaním informácií uchovávaných v informačnom systéme.

§ 7

Spracovanie informácie

Spracovaním informácie sa rozumie

technická alebo obsahová úprava informácie,

automatizované spracovanie zahŕňajúce operácie vykonávané v úplnosti alebo čiastočne pomocou automatizačných prostriedkov, najmä uchovávanie informácií a dát, vykonávanie logických alebo aritmetických operácií s informáciami a dátami, ich úpravy a výmaz,

začlenenie informácie bez fyzickej alebo obsahovej zmeny do súboru informácií alebo iného oznámenia, ktoré možno určiť na iné účely, než je poskytnutie informačnej služby.

§ 8

Likvidácia informácie

Likvidáciou informácie sa rozumie jej výmaz alebo fyzické rozloženie takým spôsobom, aby sa informácia nemohla znova zostaviť, alebo fyzické zničenie hmotného nosiča, na ktorý je viazaná.

§ 9

Účastníci výmeny informácií

Účastníkmi výmeny informácií sa rozumejú prevádzkovateľ informačného systému (ďalej len „prevádzkovateľ“), užívateľ informačných služieb (ďalej len „užívateľ“) a sprostredkovateľ informácií (ďalej len „sprostredkovateľ“).

§ 10

Dotknutá osoba

Dotknutou osobou sa rozumie jednotlivá fyzická osoba, o ktorej informácia vypovedá.

§ 11

Prevádzkovateľ

(1)

Prevádzkovateľom sa rozumie fyzická alebo právnická osoba, ktorá zabezpečuje spracovanie informácií alebo poskytovanie informačných služieb a vystupuje voči ostatným fyzickým alebo právnickým osobám ako nositeľ práv a povinností spojených s prevádzkovaním informačného systému.

(2)

Za prevádzkovateľov sa nepovažujú

fyzické osoby, ktoré v rámci svojho pracovného alebo obdobného pomeru prichádzajú do styku s informáciami, s ktorými nakladá príslušný informačný systém,

právnické osoby, ktoré vykonávajú činnosti pri prevádzkovaní informačného systému na základe zmluvy uzavretej s prevádzkovateľom.

§ 12

Užívateľ

Užívateľom sa rozumie fyzická alebo právnická osoba, ktorá využíva informácie získané z informačného systému alebo o tieto informácie žiada v rámci informačných služieb poskytovaných informačným systémom.

§ 13

Sprostredkovateľ

Sprostredkovateľom sa rozumie fyzická alebo právnická osoba zisťujúca, zhromažďujúca, spracúvajúca alebo poskytujúca informácie pre prevádzkovateľa alebo užívateľa.

§ 14

Náležitý spôsob zberu informácií

Náležitým spôsobom zberu informácií sa rozumie ich zisťovanie, ktoré nie je maskované iným účelom, kryté inou činnosťou a nenarušuje práva a slobody občanov.

§ 15

Zverejnená informácia

Za zverejnenú informáciu sa považuje informácia uvedená na verejnosť prostredníctvom hromadných oznamovacích prostriedkov alebo prostredníctvom elektronických verejne prístupných informačných služieb.

TRETIA ČASŤ

POVINNOSTI SÚVISIACE S PREVÁDZKOVANÍM INFORMAČNÉHO SYSTÉMU (§ 16-23)

§ 16

Prevádzkovať informačný systém, ktorý nakladá s informáciami, ktoré vypovedajú o osobnosti a súkromí dotknutej osoby, jej rasovom pôvode, národnosti, politických postojoch a členstve v politických stranách a hnutiach, vzťahu k náboženstvu, o jej trestnej činnosti, zdraví, sexuálnom živote a majetkových pomeroch, možno iba, ak tak ustanovuje osobitný zákon, alebo so súhlasom žijúcej dotknutej osoby, pokiaľ je možné, aby tento prejav vôle urobila. Ak nemožno podmienku súhlasu splniť, možno s informáciami nakladať len za predpokladu, že sa zachová ľudská dôstojnosť, osobná česť, dobrá povesť a bude chrániť dobré meno dotknutej osoby.

§ 17

Povinnosťou prevádzkovateľa je

prevádzkovať informačný systém v súlade s účelom, na ktorý je systém zriadený,

získavať informácie rozsahom primerané účelu, na ktorý je systém zriadený, najmä vystríhať sa zhromažďovania nadbytočných údajov,

overovať, či informácie, s ktorými informačný systém nakladá, sú presné, a podľa potreby ich aktualizovať,

označiť náležitým spôsobom v informačnom systéme nepresné alebo neoverené informácie,

neuchovávať v informačnom systéme nepravdivé informácie,

zamedziť združovaniu informácií a informačných systémov slúžiacich na rozdielne účely, pokiaľ osobitný zákon neustanovuje inak,

získavať informácie pre informačné systémy náležitým spôsobom; získavať informácie pod krytím iným účelom alebo inou činnosťou možno iba, pokiaľ tak ustanovuje osobitný zákon,

uchovávať informácie umožňujúce identifikáciu dotknutej osoby iba po dobu primeranú účelom informačného systému, pokiaľ osobitný zákon neustanovuje inak,

zabezpečiť ochranu informácií aj celého systému pred náhodným alebo neoprávneným zničením, náhodným poškodením, ako aj pred neoprávneným prístupom alebo spracovaním,

určiť práva a povinnosti fyzických a právnických osôb, ktoré majú prístup k informačnému systému,

urobiť opatrenia, aby po skončení pracovného alebo obdobného pomeru medzi fyzickou osobou a prevádzkovateľom nemohla informácie, s ktorými nakladá príslušný informačný systém, táto osoba využiť; obdobné opatrenia je povinný urobiť aj voči osobám, ktoré pri plnení svojich úloh u prevádzkovateľa prichádzajú alebo môžu prichádzať do styku s informáciami, s ktorými nakladá príslušný informačný systém,

poskytnúť raz do roka bezplatne, alebo za primeranú odplatu kedykoľvek, každej dotknutej osobe na požiadanie správu o informáciách o nej uchovávaných v informačnom systéme, pokiaľ osobitný zákon neustanovuje inak.

§ 18

(1)

Pri ukončení prevádzky informačného systému je prevádzkovateľ povinný vykonať také opatrenia, aby informácie, s ktorými informačný systém nakladal, nemohli byť zneužité.

(2)

V prípade porušenia povinnosti podľa odseku 1 má oprávnená osoba nárok na zadosťučinenie, odstránenie závadného stavu, vydanie bezdôvodného obohatenia od osoby, ktorá ho získala, a ďalej nárok upravený v § 20 písm. d) a e).

§ 19

(1)

Sprostredkovateľ je povinný

overovať, či informácie, ktoré sprostredkúva, sú presné,

nepresné alebo neoverené informácie náležite označiť, prípadne, ak je to možné, túto nepresnosť odstrániť,

získavať informácie pre informačné systémy náležitým spôsobom; získavať informácie pod krytím iným účelom alebo inou činnosťou možno, iba ak tak ustanovuje osobitný zákon,

zabezpečiť ochranu sprostredkúvaných informácií pred náhodným alebo neoprávneným zničením, náhodným poškodením, ako aj pred neoprávneným prístupom alebo spracovaním.

(2)

Pri sprostredkovaní informácií pre užívateľa i prevádzkovateľa je sprostredkovateľ povinný uchovávať informácie získané v súvislosti s výkonom sprostredkovateľskej činnosti iba po dobu nevyhnutne potrebnú a v rozsahu oprávnenia prevádzkovateľa.

§ 20

V prípade porušenia povinností prevádzkovateľa uvedených v § 17 vzniká oprávnenej fyzickej osobe voči prevádzkovateľovi nárok na

zdržanie sa takého konania, odstránenie závadného stavu, vydanie bezdôvodného obohatenia tomu subjektu, na ktorého úkor sa toto obohatenie získalo, a poskytnutie zadosťučinenia (ospravedlnenia, opravy) tomu, koho porušenie povinností poškodilo, na náklady prevádzkovateľa. Nárok poskytnúť zadosťučinenie nevzniká, ak ide o porušenie povinnosti podľa § 17 písm. d) a e), pokiaľ prevádzkovateľ neporušil svoju povinnosť podľa § 17 písm. c) alebo pokiaľ preukáže, že s informáciou sa nakladalo v medziach súhlasu dotknutej osoby, alebo ak ide o zverejnenú informáciu,

likvidáciu informácie; tento nárok vzniká, ak prevádzkovateľ porušil povinnosti uvedené v § 17 písm. a), b), d), e), g), h). Tento nárok tiež vzniká, ak ide o informačný systém nakladajúci so zverejnenými informáciami, pokiaľ sa ukáže, že tieto informácie boli zverejnené neoprávnene, alebo pokiaľ tieto informácie boli opravené,

doplnenie informácie, ak ide o informáciu, ktorá bola do informačného systému vložená so súhlasom dotknutej osoby, alebo ak ide o zverejnenú informáciu,

zaplatenie primeranej peňažnej úhrady, ak bolo porušené jej právo na zachovanie ľudskej dôstojnosti, osobnej cti, dobrej povesti a na ochranu jej mena, pokiaľ nie je postihnuteľná jestvujúcimi občianskoprávnymi a obchodnoprávnymi inštitútmi,

zamedzenie prístupu k informáciám v priebehu sporu, pokiaľ orgán príslušný rozhodnúť spor výnimočne neustanoví inak; nárok sa týka iba sporom dotknutých informácií.

§ 21

Sprostredkovateľ zodpovedá za činnosti, ktoré vykonáva pre prevádzkovateľa alebo užívateľa v rozsahu zodpovednosti prevádzkovateľa.

§ 22

(1)

Fyzické osoby v rámci svojho pracovného alebo obdobného pomeru alebo v rámci svojej verejnej alebo inej funkcie (napr. funkcie súdneho znalca, audítora) alebo ďalšie osoby, ktoré pri plnení svojich úloh u prevádzkovateľa prichádzajú do styku s informáciami, s ktorými nakladá príslušný informačný systém (ďalej len „povinné osoby“), majú povinnosť mlčanlivosti o týchto informáciách a nesmú ich bez súhlasu prevádzkovateľa sprístupniť iným subjektom alebo ich využiť pre seba, pokiaľ osobitný zákon neustanovuje inak.

(2)

Povinnosti uvedené v odseku 1 pretrvávajú aj po skončení pracovného alebo obdobného pomeru medzi povinnou osobou a prevádzkovateľom alebo po skončení výkonu funkcie povinnej osoby.

(3)

V prípade porušenia povinností uvedených v odseku 1 vzniká oprávnenej osobe voči povinnej osobe nárok na:

zdržanie sa takých konaní, odstránenie závadného stavu, vydanie bezdôvodného obohatenia a poskytnutie zadosťučinenia (ospravedlnenia, opravy) na náklady povinnej osoby,

likvidáciu informácií, ktoré boli neoprávnene sprístupnené alebo využité,

zaplatenie primeranej peňažnej úhrady, ak povinná osoba nesplnením týchto povinností spôsobila ujmu, predovšetkým nemateriálnej povahy, ktorá je nepostihnuteľná jestvujúcimi občianskoprávnymi a obchodnoprávnymi inštitútmi a ktorá nie je spojená s plnením ostatných nárokov podľa tohto odseku,

zamedzenie sprístupnenia informácií v priebehu sporu, pokiaľ orgán príslušný rozhodnúť výnimočne neustanovil inak; tento nárok sa týka iba sporom dotknutých informácií.

(4)

Ak tieto povinnosti poruší povinná osoba, ktorá je v pracovnom alebo obdobnom pomere k prevádzkovateľovi, zodpovedá prevádzkovateľ za poskytnutie peňažného plnenia podľa odseku 3 písm. c) a za poskytnutie zadosťučinenia podľa odseku 3 písm. a).

(5)

Ak niekto získa informácie z informačného systému protiprávnym konaním, vzťahujú sa naňho obdobne odseky 1 a 3.

§ 23

Spory vyplývajúce z uplatňovania práv a povinností podľa tohto zákona rieši súd.

ŠTVRTÁ ČASŤ

REGISTRÁCIA INFORMAČNÉHO SYSTÉMU A DOZOR NAD PREVÁDZKOVANÍM INFORMAČNÉHO SYSTÉMU (§ 24-26)

§ 24

Vykonať registráciu a vykonávať dozor nad prevádzkou informačných systémov sú príslušné orgány zriadené osobitnými zákonmi.

§ 25

Žiadosť o registráciu

(1)

Orgán uvedený v § 24 eviduje registrované informačné systémy po dobu ich prevádzky. Evidencia je verejne prístupná a tento orgán ju úradne zverejňuje vždy k 31. decembru.

(2)

Prevádzkovateľ je povinný bez zbytočného odkladu informovať orgán uvedený v § 24 o ukončení prevádzky informačného systému s uvedením dátumu, ku ktorému sa prevádzka informačného systému ukončuje. Toto sa netýka informačných systémov, na ktoré sa nevzťahuje povinnosť registrácie.

§ 26

Povinnosti registrovať sa podliehajú iba informačné systémy nakladajúce s informáciami uvedenými v § 16, pokiaľ neslúžia výhradne pre vnútornú potrebu prevádzkovateľa; výnimky z povinnosti registrácie ustanovuje osobitný zákon. Registrácii nepodliehajú informačné systémy nakladajúce výhradne so zverejnenými informáciami.

PIATA ČASŤ

PRECHODNÉ A ZÁVEREČNÉ USTANOVENIA (§ 27-28)

§ 27

Prevádzkovať informačný systém zriadený po dni účinnosti tohto zákona možno iba pri splnení podmienok uvedených v tomto zákone; jeho prevádzkovateľ je povinný požiadať o registráciu do troch mesiacov po nadobudnutí účinnosti zákona, ktorým sa zriaďuje orgán uvedený v § 24.

§ 28

Vláda Českej a Slovenskej Federatívnej Republiky môže výnimočne ustanoviť podmienky prevádzkovania už fungujúceho informačného systému, ktorý nie je v súlade s týmto zákonom, na obdobie nie dlhšie ako tri roky od nadobudnutia účinnosti tohto zákona. Týmto nie je dotknutá povinnosť prevádzkovateľa požiadať orgán podľa § 24 o registráciu v období do troch mesiacov po nadobudnutí účinnosti zákona, ktorým sa tento orgán zriaďuje.

§ 29

Tento zákon nadobúda účinnosť dňom vyhlásenia.

Havel v. r.

Dubček v. r.

Čalfa v. r.

Poznámky

Napr. zákon č. 244/1991 Zb. o Federálnej bezpečnostnej informačnej službe, zákon č. 455/1991 Zb. o živnostenskom podnikaní (živnostenský zákon), zákon č. 563/1991 Zb. o účtovníctve, zákon č. 47/1990 Zb. o voľbách do Federálneho zhromaždenia v znení neskorších predpisov.