Český "informační zákon"

Vladimír Šmíd

 
 

V podmínkách našeho státu vznikla za posledních několik desítek let řádově stovka právních norem různé právní síly, které více či méně podrobně a komplexně upravovaly vznik, existenci a fungování nejrůznějších informačních systémů o občanech počínaje matrikami, přes evidenci motorových vozidel, rejstřík trestů, obchodní rejstřík až třeba po evidenci osob závislých na alkoholu a jiných návykových látkách. Velká část těchto předpisů však ochranu informací neupravuje vůbec (nanejvýš využívá obecných norem platících pro státní, služební či obchodní tajemství, ochranu osobnosti, ochranu průmyslových práv apod.) a těm zbývajícím zpravidla chybí jednotící linie.

Normou nejvyšší právní síly v této oblasti je v současné době Listina základních práv a svobod, která v kapitole základních práv přiznává občanům mimo jiné práva na :

Konkrétní ucelenou obecnou normou, která upravuje práva a povinnosti provozovatelů (resp. dalších zúčastněných osob) při provozování informačních systémů, které nakládají s osobními údaji, směřující k ochraně těchto informací (tedy českým "informačním zákonem"), je zákon č. 256/1992 Sb., o ochraně osobních dat v informačních systémech. Ten jednak v našem zákonodárství poprvé právně definuje některé zásadní pojmy z informatiky, jednak stanovuje pravidla nakládání s informacemi. Tato pravidla jsou pochopitelně chápána obecně jako minimální program pro veškeré informační systémy bez ohledu na to, kdo je jejich provozovatelem, Zejména se však týká i těch informačních systémů, které vznikly již dříve na základě jiných zákonů.

Zdůrazněme, že zákon se týká osobních údajů, které charakterizuje pouze jako informace vztahující se k určité osobě. V této podobě je to formulace natolik široká, že bez problémů zahrne v podstatě cokoliv, co se konkrétního člověka osobně týká. Rovněž pojem informačního systému je definován tak obecně, že by bylo možné si při troše fantazie pod ním představit papírovou kartotéku nebo snad i diář za předpokladu, že slouží k "cílevědomému a systematickému shromažďování, zpracování, uchovávání a zpřístupňování informací".

Zákon zdůrazňuje i zvláštní ochranu informacím, které vypovídají o osobnosti a soukromí dotčené osoby, jejím rasovém původu, národnosti, politických postojích a členství v politických stranách a hnutích, vztahu k náboženství, o její trestné činnosti, zdraví, sexuálním životě a majetkových poměrech. Tyto "citlivé" informace lze shromažďovat pouze, stanoví-li tak zvláštní zákon nebo se souhlasem dotčené osoby. Poněkud problematický se zde zdá termín "osobnost a soukromí", který není nijak blíže definován a může být tedy pojímán v podstatě v jakékoliv šíři. Jistě by si proto zasloužil bližší konkretizaci (nejlépe v rámci případné novely tohoto zákona nebo alespoň v soudní praxi). Podle tohoto zákona však navíc vznik a existence informačního systému obsahujícího taková speciální data podléhá registraci u zvláštního státního orgánu, za tímto účelem zřízeného.

Jádrem tohoto zákona je stanovení povinností provozovatele informačních systémů, mezi něž patří dost zásadní omezení případné libovůle těchto subjektů, byť třeba dobře a racionálně míněné. Ve stručnosti odpovídající účelu tohoto textu se jedná o povinnosti :

  1. provozovat informační systém v souladu s účelem, pro který je zřízen
  2. získávat informace rozsahem přiměřené účelu, pro který je informační systém zřízen (zejména se vystříhat shromažďování nadbytečných údajů)
  3. ověřovat přesnost používaných informací a podle potřeby je aktualizovat
  4. náležitým způsobem v informačním systému označovat nepřesné a neověřené informace
  5. neuchovávat v informačním systému nepravdivé informace
  6. zamezit sdružování informací a informačních systémů sloužících k rozdílným účelům, pokud zvláštní zákon nestanoví jinak
  7. získávat informace náležitým způsobem; získávat informace pod krytím jiným účelem nebo jinou činností lze pouze, stanoví-li to zvláštní zákon
  8. uchovávat informace umožňující identifikaci konkrétní osoby pouze po dobu přiměřenou účelu informačního systému, pokud zvláštní zákon nestanoví jinak
  9. zajistit ochranu informací i celého systému před náhodným nebo neoprávněným zničením, náhodným poškozením a neoprávněným přístupem nebo zpracováním
  10. stanovit práva a povinnosti všech, kdo mají k informačnímu systému přístup
  11. učinit opatření, aby po skončení pracovního nebo obdobného poměru mezi fyzickou osobou a provozovatelem nemohly být informace, s nimiž nakládá příslušný informační systém, touto osobou využity (obdobně se to týká i všech ostatních, kdo mohou s těmito informacemi přijít do styku)
  12. poskytnout jednou do roka bezplatně, nebo za přiměřenou úhradu kdykoliv, dotčené osobě na požádání zprávu o informacích o ní uchovávaných, pokud to zvláštní zákon explicitně nevylučuje.
Poměrně důsledně je v tomto zákoně stanoveno, co se stane, když příslušné subjekty nesplní své povinnosti, resp. čeho se může občan domáhat, když s informacemi o něm se nenakládá odpovídajícím způsobem. Zpravidla se tyto nároky pohybují (podle charakteru porušené povinnosti) v kategoriích zdržení se takového jednání, odstranění závadného stavu, vydání bezdůvodného obohacení, poskytnutí zadostiučinění (omluvy, opravy), likvidace či doplnění informace a zaplacení přiměřené peněžní náhrady. A aby mozaika nepříjemných následků byla úplná, doplňme, že i v jiném zákoně, a to v zákoně trestním se v posledních letech objevil § 178 upravující skutkovou podstatu trestného činu "Neoprávněné nakládání s osobními údaji", za jehož spáchání lze uložit i nepodmíněný trest odnětí svobody.

Závěrem konstatujme, že zmíněná právní úprava není ideální a řada nejasností, které vznikají při aplikaci jejích ustanovení, je právě toho důsledkem. Dokonce se dá říci, že ignorování těchto pravidel je dost rozšířeným jevem. Nicméně právě znalost a běžné užívání zmíněných norem všemi potenciálně zúčastněnými (včetně domáhání se svých práv soudní cestou) může jedině pomoci "vyladění" podmínek pro ochranu dat a zamezit problémům, se kterými se každý z nás jistě každodenně prakticky setkává.
 
 
 

RNDr. Mgr. Vladimír Šmíd, CSc., 1960, matematik, informatik a právník;
matematik-analytik Ústavu výpočetní techniky MU (1984-1995), vedoucí Útvaru systémového řízení a organizace MU (od 1995), odborný asistent Katedry informačních technologií Fakulty informatiky MU (od 1995);
Masarykova univerzita v Brně, rektorát, Žerotínovo nám. 9, 601 77 Brno, Česká republika
smid@rect.muni.cz