Zákon upravuje ochranu osobných údajov, najmä povinnosti súvisiace s ochranou informácií pri prevádzkovaní informačného systému, ktorý nakladá s osobnými údajmi, a zodpovednosť prevádzkovateľa informačného systému a ďalších fyzických a právnických osôb, ktoré sa zúčastňujú na vykonávaní činností súvisiacich s prevádzkovaním takého informačného systému.
Tento zákon sa vzťahuje aj na informačné systémy založené osobitným zákonom. 1)
Informácie, ktoré sa vzťahujú na určitú osobu, sú osobnými údajmi.
Informačným systémom sa rozumie funkčný celok zabezpečujúci cieľavedomé a systematické zhromažďovanie, spracúvanie, uchovávanie a sprístupňovanie informácií. Každý informačný systém zahŕňa informačnú základňu, technické a programové prostriedky, technológie a procedúry a pracovníkov.
Prevádzkovaním informačného systému sa rozumie vykonávanie činností smerujúcich ku zhromažďovaniu (zberu) informácií, ich vstupnému spracovaniu, ukladaniu informácií do údajovej základne, spracovanie informácií pre vnútorné potreby systému alebo pre poskytovanie informačnej služby. Prevádzkovanie zahŕňa všetky alebo len niektoré z uvedených činností.
Informačnou službou sa rozumie vykonávanie činností smerujúcich k poskytovaniu informácií z informačného systému, obvykle spojené so spracovaním informácií uchovávaných v informačnom systéme.
Likvidáciou informácie sa rozumie jej výmaz alebo fyzické rozloženie takým spôsobom, aby sa informácia nemohla znova zostaviť, alebo fyzické zničenie hmotného nosiča, na ktorý je viazaná.
Účastníkmi výmeny informácií sa rozumejú prevádzkovateľ informačného systému (ďalej len „prevádzkovateľ“), užívateľ informačných služieb (ďalej len „užívateľ“) a sprostredkovateľ informácií (ďalej len „sprostredkovateľ“).
Dotknutou osobou sa rozumie jednotlivá fyzická osoba, o ktorej informácia vypovedá.
(1) Prevádzkovateľom sa rozumie fyzická alebo právnická osoba, ktorá zabezpečuje spracovanie informácií alebo poskytovanie informačných služieb a vystupuje voči ostatným fyzickým alebo právnickým osobám ako nositeľ práv a povinností spojených s prevádzkovaním informačného systému.
(2) Za prevádzkovateľov sa nepovažujú
a) fyzické osoby, ktoré v rámci svojho pracovného alebo obdobného pomeru prichádzajú do styku s informáciami, s ktorými nakladá príslušný informačný systém,
b) právnické osoby, ktoré vykonávajú činnosti pri prevádzkovaní informačného systému na základe zmluvy uzavretej s prevádzkovateľom.
Užívateľom sa rozumie fyzická alebo právnická osoba, ktorá využíva informácie získané z informačného systému alebo o tieto informácie žiada v rámci informačných služieb poskytovaných informačným systémom.
Sprostredkovateľom sa rozumie fyzická alebo právnická osoba zisťujúca, zhromažďujúca, spracúvajúca alebo poskytujúca informácie pre prevádzkovateľa alebo užívateľa.
Náležitým spôsobom zberu informácií sa rozumie ich zisťovanie, ktoré nie je maskované iným účelom, kryté inou činnosťou a nenarušuje práva a slobody občanov.
Za zverejnenú informáciu sa považuje informácia uvedená na verejnosť prostredníctvom hromadných oznamovacích prostriedkov alebo prostredníctvom elektronických verejne prístupných informačných služieb.
Prevádzkovať informačný systém, ktorý nakladá s informáciami, ktoré vypovedajú o osobnosti a súkromí dotknutej osoby, jej rasovom pôvode, národnosti, politických postojoch a členstve v politických stranách a hnutiach, vzťahu k náboženstvu, o jej trestnej činnosti, zdraví, sexuálnom živote a majetkových pomeroch, možno iba, ak tak ustanovuje osobitný zákon, alebo so súhlasom žijúcej dotknutej osoby, pokiaľ je možné, aby tento prejav vôle urobila. Ak nemožno podmienku súhlasu splniť, možno s informáciami nakladať len za predpokladu, že sa zachová ľudská dôstojnosť, osobná česť, dobrá povesť a bude chrániť dobré meno dotknutej osoby.
(1) Pri ukončení prevádzky informačného systému je prevádzkovateľ povinný vykonať také opatrenia, aby informácie, s ktorými informačný systém nakladal, nemohli byť zneužité.
(2) V prípade porušenia povinnosti podľa odseku 1 má oprávnená osoba nárok na zadosťučinenie, odstránenie závadného stavu, vydanie bezdôvodného obohatenia od osoby, ktorá ho získala, a ďalej nárok upravený v [§ 20 písm. d) a e)] .
(1) Sprostredkovateľ je povinný
a) overovať, či informácie, ktoré sprostredkúva, sú presné,
b) nepresné alebo neoverené informácie náležite označiť, prípadne, ak je to možné, túto nepresnosť odstrániť,
c) získavať informácie pre informačné systémy náležitým spôsobom; získavať informácie pod krytím iným účelom alebo inou činnosťou možno, iba ak tak ustanovuje osobitný zákon,
d) zabezpečiť ochranu sprostredkúvaných informácií pred náhodným alebo neoprávneným zničením, náhodným poškodením, ako aj pred neoprávneným prístupom alebo spracovaním.
(2) Pri sprostredkovaní informácií pre užívateľa i prevádzkovateľa je sprostredkovateľ povinný uchovávať informácie získané v súvislosti s výkonom sprostredkovateľskej činnosti iba po dobu nevyhnutne potrebnú a v rozsahu oprávnenia prevádzkovateľa.
Sprostredkovateľ zodpovedá za činnosti, ktoré vykonáva pre prevádzkovateľa alebo užívateľa v rozsahu zodpovednosti prevádzkovateľa.
(1) Fyzické osoby v rámci svojho pracovného alebo obdobného pomeru alebo v rámci svojej verejnej alebo inej funkcie (napr. funkcie súdneho znalca, audítora) alebo ďalšie osoby, ktoré pri plnení svojich úloh u prevádzkovateľa prichádzajú do styku s informáciami, s ktorými nakladá príslušný informačný systém (ďalej len „povinné osoby“), majú povinnosť mlčanlivosti o týchto informáciách a nesmú ich bez súhlasu prevádzkovateľa sprístupniť iným subjektom alebo ich využiť pre seba, pokiaľ osobitný zákon neustanovuje inak.
(2) Povinnosti uvedené v odseku 1 pretrvávajú aj po skončení pracovného alebo obdobného pomeru medzi povinnou osobou a prevádzkovateľom alebo po skončení výkonu funkcie povinnej osoby.
(3) V prípade porušenia povinností uvedených v odseku 1 vzniká oprávnenej osobe voči povinnej osobe nárok na:
a) zdržanie sa takých konaní, odstránenie závadného stavu, vydanie bezdôvodného obohatenia a poskytnutie zadosťučinenia (ospravedlnenia, opravy) na náklady povinnej osoby,
b) likvidáciu informácií, ktoré boli neoprávnene sprístupnené alebo využité,
c) zaplatenie primeranej peňažnej úhrady, ak povinná osoba nesplnením týchto povinností spôsobila ujmu, predovšetkým nemateriálnej povahy, ktorá je nepostihnuteľná jestvujúcimi občianskoprávnymi a obchodnoprávnymi inštitútmi a ktorá nie je spojená s plnením ostatných nárokov podľa tohto odseku,
d) zamedzenie sprístupnenia informácií v priebehu sporu, pokiaľ orgán príslušný rozhodnúť výnimočne neustanovil inak; tento nárok sa týka iba sporom dotknutých informácií.
(4) Ak tieto povinnosti poruší povinná osoba, ktorá je v pracovnom alebo obdobnom pomere k prevádzkovateľovi, zodpovedá prevádzkovateľ za poskytnutie peňažného plnenia podľa odseku 3 písm. c) a za poskytnutie zadosťučinenia podľa odseku 3 písm. a).
(5) Ak niekto získa informácie z informačného systému protiprávnym konaním, vzťahujú sa naňho obdobne odseky 1 a 3.
Spory vyplývajúce z uplatňovania práv a povinností podľa tohto zákona rieši súd.
Vykonať registráciu a vykonávať dozor nad prevádzkou informačných systémov sú príslušné orgány zriadené osobitnými zákonmi.
(1) Orgán uvedený v [§ 24] eviduje registrované informačné systémy po dobu ich prevádzky. Evidencia je verejne prístupná a tento orgán ju úradne zverejňuje vždy k 31. decembru.
(2) Prevádzkovateľ je povinný bez zbytočného odkladu informovať orgán uvedený v [§ 24] o ukončení prevádzky informačného systému s uvedením dátumu, ku ktorému sa prevádzka informačného systému ukončuje. Toto sa netýka informačných systémov, na ktoré sa nevzťahuje povinnosť registrácie.
Povinnosti registrovať sa podliehajú iba informačné systémy nakladajúce s informáciami uvedenými v [§ 16] , pokiaľ neslúžia výhradne pre vnútornú potrebu prevádzkovateľa; výnimky z povinnosti registrácie ustanovuje osobitný zákon. Registrácii nepodliehajú informačné systémy nakladajúce výhradne so zverejnenými informáciami.
Prevádzkovať informačný systém zriadený po dni účinnosti tohto zákona možno iba pri splnení podmienok uvedených v tomto zákone; jeho prevádzkovateľ je povinný požiadať o registráciu do troch mesiacov po nadobudnutí účinnosti zákona, ktorým sa zriaďuje orgán uvedený v [§ 24] .
Vláda Českej a Slovenskej Federatívnej Republiky môže výnimočne ustanoviť podmienky prevádzkovania už fungujúceho informačného systému, ktorý nie je v súlade s týmto zákonom, na obdobie nie dlhšie ako tri roky od nadobudnutia účinnosti tohto zákona. Týmto nie je dotknutá povinnosť prevádzkovateľa požiadať orgán podľa [§ 24] o registráciu v období do troch mesiacov po nadobudnutí účinnosti zákona, ktorým sa tento orgán zriaďuje.
Tento zákon nadobúda účinnosť dňom vyhlásenia.