122/2013 Z.z.
ZÁKON
z 30. apríla 2013
o ochrane osobných údajov a o zmene a doplnení niektorých zákonov
Zmena: 84/2014 Z.z.
Zmena: 55/2017 Z.z. (nepriama novela)
Národná rada Slovenskej republiky sa uzniesla na tomto zákone:
Čl.I
PRVÁ ČASŤ
ZÁKLADNÉ USTANOVENIA
§ 1
Predmet úpravy
Tento zákon upravuje
a) ochranu práv fyzických osôb pred neoprávneným
zasahovaním do ich súkromného života pri spracúvaní ich osobných údajov,
b) práva, povinnosti a zodpovednosť pri spracúvaní osobných údajov fyzických osôb,
c) postavenie, pôsobnosť a organizáciu Úradu na ochranu osobných údajov Slovenskej
republiky (ďalej len "úrad").
Pôsobnosť zákona
§ 2
(1) Tento zákon sa vzťahuje na každého, kto spracúva osobné údaje, určuje
účel a prostriedky spracúvania alebo poskytuje osobné údaje na spracúvanie.
(2) Tento zákon sa vzťahuje aj na prevádzkovateľov, ktorí nemajú sídlo,
organizačnú zložku, prevádzkareň alebo trvalý pobyt na území
a) Slovenskej republiky,
ale sú umiestnení v zahraničí na mieste, kde sa uplatňuje právny poriadok Slovenskej
republiky prednostne na základe medzinárodného práva verejného,
b) členského štátu, ak na účely spracúvania osobných údajov využívajú úplne alebo
čiastočne automatizované alebo iné ako automatizované prostriedky spracúvania umiestnené
na území Slovenskej republiky, pričom tieto prostriedky spracúvania nie sú využívané
výlučne len na prenos osobných údajov cez územie členských štátov; v takom prípade
prevádzkovateľ postupuje podľa § 7.
(3) Tento zákon sa vzťahuje na osobné údaje systematicky spracúvané úplne
alebo čiastočne automatizovanými prostriedkami spracúvania alebo inými ako automatizovanými
prostriedkami spracúvania, ktoré sú súčasťou informačného systému alebo sú určené
na spracúvanie v informačnom systéme.
§ 3
(1) Ustanovenia § 6 ods. 2 až 5, § 8 ods. 5, § 15 ods. 1, 2 a 8, §
28 ods. 1 a § 44 sa nevzťahujú na spracúvanie osobných údajov nevyhnutných na zabezpečenie
verejného záujmu, ak prevádzkovateľ plní povinnosti výslovne ustanovené osobitným
zákonom určené na zaistenie
a) bezpečnosti Slovenskej republiky,1)
b) obrany Slovenskej republiky,2)
c) verejného poriadku a bezpečnosti,3)
d) predchádzania, zamedzovania, odhaľovania a dokumentovania trestnej činnosti, zisťovania
jej páchateľov, vyšetrovania a stíhania páchateľov trestných činov,4)
e) odhaľovania porušení etického kódexu v regulovaných povolaniach a regulovaných
odborných činnostiach,5)
f) významného ekonomického alebo finančného záujmu Slovenskej republiky alebo Európskej
únie vrátane menových, rozpočtových a daňových záležitostí,6)
g) výkonu kontroly, dohľadu, dozoru alebo uplatňovania regulácie v súvislosti s výkonom
verejnej moci vo veciach uvedených v písmenách c) až f), alebo
h) ochrany dotknutej osoby alebo práv a slobôd iných osôb.
(2) Tento zákon sa nevzťahuje na osobné údaje, ktoré
a) fyzická osoba
spracúva pre vlastnú potrebu v rámci výlučne osobných alebo domácich činností, najmä
vedenie osobného adresára alebo korešpondencie,
b) boli získané náhodne bez predchádzajúceho určenia účelu a prostriedkov spracúvania,
bez zámeru ich ďalšieho spracúvania v usporiadanom systéme podľa osobitných kritérií
a nie sú ďalej systematicky spracúvané.
(3) Týmto zákonom nie je dotknuté právo na ochranu osobnosti.7)
§ 4
Vymedzenie základných pojmov
(1) Osobnými údajmi sú údaje týkajúce sa určenej alebo určiteľnej fyzickej
osoby, pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä
na základe všeobecne použiteľného identifikátora alebo na základe jednej či viacerých
charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu,
ekonomickú, kultúrnu alebo sociálnu identitu.
(2) Na účely tohto zákona sa rozumie
a) dotknutou osobou každá fyzická
osoba, ktorej sa osobné údaje týkajú,
b) prevádzkovateľom každý, kto sám alebo spoločne s inými vymedzí účel spracúvania
osobných údajov, určí podmienky ich spracúvania a spracúva osobné údaje vo vlastnom
mene; ak účel, prípadne aj podmienky spracúvania osobných údajov ustanovuje zákon,
priamo vykonateľný právne záväzný akt Európskej únie alebo medzinárodná zmluva, ktorou
je Slovenská republika viazaná, prevádzkovateľom je ten, kto je na plnenie účelu
spracúvania za prevádzkovateľa ustanovený alebo kto spĺňa zákonom, priamo vykonateľným
právne záväzným aktom Európskej únie alebo medzinárodnou zmluvou, ktorou je Slovenská
republika viazaná, ustanovené podmienky,
c) zástupcom prevádzkovateľa každý, kto na území Slovenskej republiky zastupuje prevádzkovateľa
so sídlom, organizačnou zložkou, prevádzkarňou alebo trvalým pobytom v tretej krajine,
d) sprostredkovateľom každý, kto spracúva osobné údaje v mene prevádzkovateľa, v
rozsahu a za podmienok dojednaných s prevádzkovateľom v písomnej zmluve podľa § 8
a v súlade s týmto zákonom,
e) oprávnenou osobou každá fyzická osoba, ktorá prichádza do styku s osobnými údajmi
v rámci svojho pracovnoprávneho vzťahu, štátnozamestnaneckého pomeru, služobného
pomeru, členského vzťahu, na základe poverenia, zvolenia alebo vymenovania, alebo
v rámci výkonu verejnej funkcie, a ktorá spracúva osobné údaje v rozsahu a spôsobom
určeným v poučení podľa § 21,
f) treťou stranou každý, kto nie je dotknutou osobou, prevádzkovateľom poskytujúcim
osobné údaje, jeho zástupcom, sprostredkovateľom alebo oprávnenou osobou,
g) príjemcom každý, komu sú osobné údaje poskytnuté alebo sprístupnené, pričom príjemcom
môže byť aj tretia strana; prevádzkovateľ, ktorý spracúva osobné údaje na základe
§ 3 ods. 1 písm. g), a úrad, ktorý plní úlohy ustanovené týmto zákonom, sa nepovažujú
za príjemcu.
(3) Na účely tohto zákona sa ďalej rozumie
a) spracúvaním osobných
údajov vykonávanie operácií alebo súboru operácií s osobnými údajmi, najmä ich získavanie,
zhromažďovanie, šírenie, zaznamenávanie, usporadúvanie, prepracúvanie alebo zmena,
vyhľadávanie, prehliadanie, preskupovanie, kombinovanie, premiestňovanie, využívanie,
uchovávanie, blokovanie, likvidácia, ich cezhraničný prenos, poskytovanie, sprístupňovanie
alebo zverejňovanie; niektorými operáciami s osobnými údajmi sa podľa prvej vety
rozumie
1. poskytovaním osobných údajov odovzdávanie osobných údajov tretej strane,
ktorá ich ďalej spracúva,
2. sprístupňovaním osobných údajov oznámenie osobných údajov
alebo umožnenie prístupu k nim príjemcovi, ktorý ich ďalej nespracúva,
3. zverejňovaním
osobných údajov publikovanie, uverejnenie alebo vystavenie osobných údajov na verejnosti
prostredníctvom masovokomunikačných prostriedkov, verejne prístupných počítačových
sietí, verejným vykonaním alebo vystavením diela,8) verejným vyhlásením, uvedením
vo verejnom zozname, v registri alebo v operáte,9) ich umiestnením na úradnej tabuli
alebo na inom verejne prístupnom mieste,
4. cezhraničným prenosom osobných údajov
prenos osobných údajov mimo územia Slovenskej republiky a na územie Slovenskej republiky,
5.
likvidáciou osobných údajov zrušenie osobných údajov rozložením, vymazaním alebo
fyzickým zničením hmotných nosičov tak, aby sa z nich osobné údaje nedali reprodukovať,
6.
blokovaním osobných údajov dočasné alebo trvalé pozastavenie spracúvania osobných
údajov, počas ktorého možno vykonávať len tie operácie s osobnými údajmi, ktoré sú
nevyhnutné na splnenie povinnosti uloženej týmto zákonom,
b) informačným systémom osobných údajov informačný systém, v ktorom sa na vopred
vymedzený alebo ustanovený účel systematicky spracúva alebo má spracúvať akýkoľvek
usporiadaný súbor osobných údajov prístupných podľa určených kritérií, bez ohľadu
na to, či ide o informačný systém centralizovaný, decentralizovaný alebo distribuovaný
na funkčnom alebo geografickom základe (ďalej len "informačný systém"); informačným
systémom sa na účely tohto zákona rozumie aj súbor osobných údajov, ktoré sú spracúvané
alebo pripravené na spracúvanie čiastočne automatizovanými alebo inými ako automatizovanými
prostriedkami spracúvania,
c) účelom spracúvania osobných údajov vopred jednoznačne vymedzený alebo ustanovený
zámer spracúvania osobných údajov, ktorý sa viaže na určitú činnosť,
d) súhlasom dotknutej osoby akýkoľvek slobodne daný výslovný a zrozumiteľný prejav
vôle, ktorým dotknutá osoba na základe poskytnutých informácií vyjadruje súhlas so
spracúvaním svojich osobných údajov,
e) podmienkami spracúvania osobných údajov prostriedky a spôsob spracúvania osobných
údajov, ako aj ďalšie požiadavky, kritériá alebo pokyny súvisiace so spracúvaním
osobných údajov alebo vykonanie úkonov, ktoré slúžia na dosiahnutie účelu spracúvania
či už pred začatím spracúvania osobných údajov, alebo v priebehu ich spracúvania,
f) biometrickým údajom osobný údaj fyzickej osoby označujúci jej biologickú alebo
fyziologickú vlastnosť alebo charakteristiku, na základe ktorej je jednoznačne a
nezameniteľne určiteľná; biometrickým údajom je najmä odtlačok prsta, odtlačok dlane,
analýza deoxyribonukleovej kyseliny,
g) všeobecne použiteľným identifikátorom trvalý identifikačný osobný údaj dotknutej
osoby, ktorý zabezpečuje jej jednoznačnosť v informačných systémoch,
h) adresou súbor údajov o pobyte fyzickej osoby, do ktorého patria názov ulice, orientačné,
prípadne súpisné číslo domu, názov obce, prípadne názov časti obce, poštové smerovacie
číslo, názov okresu, názov štátu,
i) anonymizovaným údajom osobný údaj upravený do takej podoby, v ktorej ho nemožno
priradiť dotknutej osobe, ktorej sa týka,
j) priestorom prístupným verejnosti priestor, do ktorého možno voľne vstupovať a
v ktorom sa možno voľne zdržiavať bez časového obmedzenia alebo vo vymedzenom čase,
pričom iné obmedzenia, ak existujú a sú osobou splnené, nemajú vplyv na vstup a voľný
pohyb osoby v tomto priestore, alebo je to priestor, ktorý tak označuje osobitný
zákon,
k) členským štátom štát, ktorý je členským štátom Európskej únie alebo zmluvnou stranou
Dohody o Európskom hospodárskom priestore,
l) treťou krajinou krajina, ktorá nie je členským štátom Európskej únie alebo zmluvnou
stranou Dohody o Európskom hospodárskom priestore,
m) verejným záujmom dôležitý záujem štátu realizovaný pri výkone verejnej moci, ktorý
prevažuje nad oprávneným záujmom fyzickej osoby alebo viacerých fyzických osôb a
bez jeho realizácie by mohli vzniknúť rozsiahle alebo nenahraditeľné škody.
DRUHÁ ČASŤ
PRÁVA, POVINNOSTI A ZODPOVEDNOSŤ PRI SPRACÚVANÍ OSOBNÝCH ÚDAJOV
PRVÁ HLAVA
ZÁSADY SPRACÚVANIA OSOBNÝCH ÚDAJOV
§ 5
(1) Osobné údaje možno spracúvať len spôsobom ustanoveným týmto zákonom
a v jeho medziach tak, aby nedošlo k porušeniu základných práv a slobôd dotknutých
osôb, najmä k porušeniu ich práva na zachovanie ľudskej dôstojnosti alebo k iným
neoprávneným zásahom do ich práva na ochranu súkromia.
(2) Osobné údaje môže spracúvať iba prevádzkovateľ a sprostredkovateľ.
(3) Prevádzkovateľom na účely spracúvania osobných údajov v registri
trestov podľa osobitného zákona,10) môže byť len štátny orgán ustanovený zákonom.11)
§ 6
Prevádzkovateľ
(1) Spracúvať osobné údaje vo vlastnom mene môže len prevádzkovateľ.
Prevádzkovateľ spracúva osobné údaje v súlade s § 9, spôsobom, ktorý je v súlade
s dobrými mravmi, a to len na vymedzený alebo ustanovený účel.
(2) Prevádzkovateľ je povinný
a) pred začatím spracúvania osobných
údajov vymedziť účel spracúvania osobných údajov; účel spracúvania osobných údajov
musí byť jasný, vymedzený jednoznačne a konkrétne a musí byť v súlade s Ústavou Slovenskej
republiky, ústavnými zákonmi, zákonmi a medzinárodnými zmluvami, ktorými je Slovenská
republika viazaná,
b) určiť podmienky spracúvania osobných údajov tak, aby neobmedzil právo dotknutej
osoby ustanovené zákonom,
c) získavať osobné údaje výlučne na vymedzený alebo ustanovený účel; je neprípustné
získavať osobné údaje pod zámienkou iného účelu spracúvania alebo inej činnosti,
d) zabezpečiť, aby sa spracúvali len také osobné údaje, ktoré svojím rozsahom a obsahom
zodpovedajú účelu ich spracúvania a sú nevyhnutné na jeho dosiahnutie,
e) zabezpečiť, aby sa osobné údaje spracúvali a využívali výlučne spôsobom, ktorý
zodpovedá účelu, na ktorý boli zhromaždené; je neprípustné združovať osobné údaje,
ktoré boli získané osobitne na rozdielne účely,
f) spracúvať len správne, úplné a podľa potreby aktualizované osobné údaje vo vzťahu
k účelu spracúvania; nesprávne a neúplné osobné údaje je prevádzkovateľ povinný blokovať
a bez zbytočného odkladu opraviť alebo doplniť; nesprávne a neúplné osobné údaje,
ktoré nemožno opraviť alebo doplniť tak, aby boli správne a úplné, prevádzkovateľ
zreteľne označí a bez zbytočného odkladu zlikviduje,
g) zabezpečiť, aby zhromaždené osobné údaje boli spracúvané vo forme umožňujúcej
identifikáciu dotknutých osôb počas doby nie dlhšej, ako je nevyhnutné na dosiahnutie
účelu spracúvania,
h) zlikvidovať tie osobné údaje, ktorých účel spracúvania sa skončil; po skončení
účelu spracúvania možno osobné údaje ďalej spracúvať len za podmienok ustanovených
v odseku 5,
i) spracúvať osobné údaje v súlade s dobrými mravmi a konať spôsobom, ktorý neodporuje
zákonu.
(3) Prevádzkovateľ nemá povinnosť podľa odseku 2 písm. a) len vtedy,
ak účel spracúvania osobných údajov ustanovuje osobitný zákon v súlade s podmienkami
uvedenými v odseku 2 písm. a). Prevádzkovateľ nemá povinnosť určiť podmienky spracúvania
osobných údajov podľa odseku 2 písm. b) len vtedy, ak ich ustanovuje všeobecne záväzný
právny predpis. Ostatné povinnosti podľa odseku 2 písm. c) až i) je prevádzkovateľ
povinný dodržiavať aj počas spracúvania osobných údajov na základe osobitného zákona;
tým nie je dotknuté ustanovenie § 10 ods. 4 prvej vety.
(4) Zhromaždené osobné údaje na pôvodne určený účel prevádzkovateľ nemôže
spracúvať na iný účel, ktorý je nezlučiteľný s pôvodným účelom spracúvania.
(5) Počas trvania pôvodne určeného účelu spracúvania osobných údajov,
ako aj po jeho skončení je prípustné zhromaždené osobné údaje spracúvať v nevyhnutnom
rozsahu na historický výskum, vedecký výskum a vývoj alebo na účely štatistiky, čo
sa nepovažuje za nezlučiteľné s pôvodným účelom spracúvania. Takto spracúvané osobné
údaje prevádzkovateľ nemôže použiť na podporu opatrení alebo rozhodnutí prijatých
proti dotknutej osobe a nemôže ich využiť proti záujmom dotknutej osoby na obmedzenie
jej základných práv a slobôd. Počas spracúvania osobných údajov na účely podľa prvej
vety je prevádzkovateľ povinný ich označiť, anonymizovať ich, ak tým možno dosiahnuť
účel spracúvania, a zlikvidovať ich ihneď, ako sa stanú nepotrebnými.
§ 7
Zástupca prevádzkovateľa
(1) Prevádzkovateľ, ktorý pripravuje spracúvanie osobných údajov podľa
§ 2 ods. 2 písm. b) je povinný pred začatím spracúvania vymenovať svojho zástupcu
so sídlom, miestom podnikania alebo trvalým pobytom na území Slovenskej republiky.
(2) Zástupca prevádzkovateľa je povinný disponovať originálom dokladu
svojho vymenovania za zástupcu prevádzkovateľa a ten preukázať úradu kedykoľvek na
jeho žiadosť. Pravosť podpisov a odtlačku pečiatky prevádzkovateľa na origináli dokladu
musí byť úradne osvedčená.
(3) Ustanovenia tohto zákona o prevádzkovateľovi sa v rovnakom rozsahu
vzťahujú aj na zástupcu prevádzkovateľa.
§ 8
Sprostredkovateľ
(1) Prevádzkovateľ je oprávnený na základe písomnej zmluvy poveriť spracúvaním
osobných údajov sprostredkovateľa. Na účely poverenia sprostredkovateľa spracúvaním
osobných údajov podľa prvej vety sa súhlas dotknutej osoby nevyžaduje.
(2) Prevádzkovateľ je pri výbere sprostredkovateľa povinný dbať na jeho
odbornú, technickú, organizačnú a personálnu spôsobilosť a jeho schopnosť zaručiť
bezpečnosť spracúvaných osobných údajov opatreniami podľa § 19 ods. 1. Prevádzkovateľ
nesmie zveriť spracúvanie osobných údajov sprostredkovateľovi, ak by tým mohli byť
ohrozené práva a právom chránené záujmy dotknutých osôb.
(3) Prevádzkovateľ je povinný uzatvoriť so sprostredkovateľom zmluvu
podľa odseku 1 pred začatím spracúvania osobných údajov, najneskôr v deň začatia
spracúvania osobných údajov. Sprostredkovateľ je oprávnený spracúvať osobné údaje
len v rozsahu, za podmienok a na účel dojednaný s prevádzkovateľom v zmluve a spôsobom
podľa tohto zákona.
(4) Zmluva podľa odseku 3 musí obsahovať
a) údaje o zmluvných stranách
(ďalej len "identifikačné údaje")
1. titul, meno, priezvisko, dátum narodenia a adresu
trvalého pobytu, ak ide o fyzickú osobu,
2. názov, právnu formu, adresu sídla a identifikačné
číslo, ak ide o právnickú osobu,
3. obchodné meno, adresu miesta podnikania a identifikačné
číslo, ak ide o fyzickú osobu - podnikateľa,
b) deň, od ktorého je sprostredkovateľ oprávnený začať so spracúvaním osobných údajov
v mene prevádzkovateľa,
c) účel spracúvania osobných údajov,
d) názov informačného systému,
e) zoznam osobných údajov, ktoré sa budú spracúvať; zoznam osobných údajov možno
nahradiť rozsahom osobných údajov podľa § 10 ods. 4,
f) okruh dotknutých osôb,
g) podmienky spracúvania osobných údajov vrátane zoznamu povolených operácií s osobnými
údajmi,
h) vyhlásenie prevádzkovateľa, že pri výbere sprostredkovateľa postupoval podľa odseku
2 prvej vety,
i) súhlas prevádzkovateľa na spracúvanie osobných údajov sprostredkovateľom prostredníctvom
inej osoby, ak postupujú podľa odseku 5,
j) dobu, na ktorú sa zmluva uzatvára,
k) dátum uzatvorenia zmluvy a podpisy zmluvných strán.
(5) Sprostredkovateľ vykonáva spracúvanie osobných údajov osobne, pokiaľ
si s prevádzkovateľom písomne v zmluve nedohodne, že spracúvanie osobných údajov
vykoná prostredníctvom inej osoby (ďalej len "subdodávateľ"). Subdodávateľ spracúva
osobné údaje a zabezpečuje ich ochranu na zodpovednosť sprostredkovateľa. Ustanovenia
tohto zákona o sprostredkovateľovi sa vzťahujú aj na subdodávateľa. Na subdodávateľa
úrad nahliada ako na sprostredkovateľa.
(6) Ak prevádzkovateľ poveril spracúvaním osobných údajov sprostredkovateľa
až po získaní osobných údajov, je povinný zabezpečiť oznámenie tejto skutočnosti
dotknutým osobám pri prvom kontakte s nimi, najneskôr však do troch mesiacov odo
dňa poverenia sprostredkovateľa. To platí aj vtedy, ak spracúvanie osobných údajov
prevezme právny nástupca prevádzkovateľa.12) Prevádzkovateľ nemusí dotknutej osobe
informáciu podľa prvej vety oznamovať, ak sa v rovnakej lehote postupovalo podľa
odseku 7.
(7) Sprostredkovateľ je vždy povinný pri prvom kontakte s dotknutou osobou
oznámiť, že spracúva jej osobné údaje v mene prevádzkovateľa na vymedzený alebo ustanovený
účel, ak tento zákon neustanovuje inak.
(8) Sprostredkovateľ je povinný dodržiavať povinnosti ustanovené prevádzkovateľovi
v § 5 ods. 1, § 6 ods. 2 písm. c) až i), § 6 ods. 4, § 19 až 26, ak tento zákon neustanovuje
inak.
(9) Povinnosti prevádzkovateľa ustanovené v § 8 ods. 6, § 15 až 18 a
§ 28 až 32 môže vykonať sprostredkovateľ, ak sa tak výslovne dohodne v zmluve uzatvorenej
s prevádzkovateľom podľa odseku 1.
(10) Sprostredkovateľ zodpovedá za plnenie povinností podľa odseku 9
v rozsahu zmluvy uzatvorenej s prevádzkovateľom podľa odseku 1.
Právny základ spracúvania osobných údajov
§ 9
(1) Prevádzkovateľ môže spracúvať osobné údaje len na základe priamo
vykonateľného právne záväzného aktu Európskej únie, medzinárodnej zmluvy, ktorou
je Slovenská republika viazaná, ustanovení tohto zákona alebo osobitného zákona,
alebo na základe súhlasu dotknutej osoby.
(2) Sprostredkovateľ môže spracúvať osobné údaje na základe priamo
vykonateľného právne záväzného aktu Európskej únie, medzinárodnej zmluvy, ktorou
je Slovenská republika viazaná, ustanovení tohto zákona alebo osobitného zákona,
alebo na základe súhlasu dotknutej osoby, len v rozsahu a za podmienok dojednaných
v zmluve uzatvorenej s prevádzkovateľom podľa § 8 ods. 1.
§ 10
Spracúvanie osobných údajov bez súhlasu dotknutej osoby
(1) Prevádzkovateľ spracúva osobné údaje bez súhlasu dotknutej osoby,
ak účel spracúvania osobných údajov, okruh dotknutých osôb a zoznam osobných údajov
alebo ich rozsah podľa odseku 4 ustanovuje priamo vykonateľný právne záväzný akt
Európskej únie, medzinárodná zmluva, ktorou je Slovenská republika viazaná, alebo
tento zákon. Ak zoznam alebo rozsah osobných údajov nie je ustanovený, prevádzkovateľ
môže spracúvať osobné údaje len v rozsahu a spôsobom, ktorý je nevyhnutný na dosiahnutie
ustanoveného účelu spracúvania pri dodržaní povinností podľa § 6 ods. 2 písm. c)
až f) a i).
(2) Prevádzkovateľ ďalej spracúva osobné údaje bez súhlasu dotknutej
osoby, ak účel spracúvania osobných údajov, okruh dotknutých osôb a zoznam osobných
údajov ustanovuje osobitný zákon.13) Prevádzkovateľ spracúva osobné údaje len v rozsahu
a spôsobom, ktorý ustanovuje osobitný zákon. Spracúvané osobné údaje možno z informačného
systému poskytnúť, sprístupniť alebo zverejniť len vtedy, ak osobitný zákon ustanovuje
účel poskytovania, sprístupňovania alebo zverejňovania, zoznam osobných údajov, ktoré
možno poskytnúť, sprístupniť alebo zverejniť, ako aj tretie strany, ktorým sa osobné
údaje poskytujú, prípadne okruh príjemcov, ktorým sa osobné údaje sprístupňujú, ak
tento zákon neustanovuje inak.
(3) Prevádzkovateľ spracúva osobné údaje bez súhlasu dotknutej osoby
aj vtedy, ak
a) spracúvanie osobných údajov je nevyhnutné na účely tvorby umeleckých
alebo literárnych diel, pre potreby informovania verejnosti masovokomunikačnými prostriedkami
a ak osobné údaje spracúva prevádzkovateľ, ktorému to vyplýva z predmetu jeho činnosti;
to neplatí, ak spracúvaním osobných údajov na takýto účel prevádzkovateľ porušuje
právo dotknutej osoby na ochranu jej osobnosti a súkromia alebo takéto spracúvanie
osobných údajov bez súhlasu dotknutej osoby vylučuje osobitný zákon alebo medzinárodná
zmluva, ktorou je Slovenská republika viazaná,
b) spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy, v ktorej vystupuje
dotknutá osoba ako jedna zo zmluvných strán, alebo v predzmluvných vzťahoch s dotknutou
osobou alebo pri rokovaní o zmene zmluvy, ktoré sa uskutočňujú na žiadosť dotknutej
osoby,
c) spracúvanie osobných údajov je nevyhnutné na ochranu života, zdravia alebo majetku
dotknutej osoby,
d) predmetom spracúvania sú výlučne titul, meno, priezvisko a adresa dotknutej osoby
bez možnosti priradiť k nim ďalšie jej osobné údaje a ich využitie je určené výhradne
pre potreby prevádzkovateľa v poštovom styku s dotknutou osobou a evidencie týchto
údajov; ak je predmetom činnosti prevádzkovateľa priamy marketing, uvedené osobné
údaje môže poskytovať, bez možnosti ich sprístupňovania a zverejňovania, len vtedy,
ak sú poskytované inému prevádzkovateľovi, ktorý má rovnaký predmet činnosti, výhradne
na účely priameho marketingu, a dotknutá osoba písomne neuplatnila námietku podľa
§ 28 ods. 3 písm. c),
e) sa spracúvajú osobné údaje, ktoré už boli zverejnené v súlade so zákonom a prevádzkovateľ
ich náležite označil ako zverejnené; ten, kto tvrdí, že spracúva zverejnené osobné
údaje, na požiadanie preukáže úradu, že spracúvané osobné údaje boli už zákonne zverejnené,
f) spracúvanie osobných údajov je nevyhnutné na splnenie dôležitej úlohy realizovanej
vo verejnom záujme, alebo
g) spracúvanie osobných údajov je nevyhnutné na ochranu práv a právom chránených
záujmov prevádzkovateľa alebo tretej strany, najmä osobné údaje spracúvané v rámci
ochrany majetku, finančných alebo iných záujmov prevádzkovateľa a osobné údaje spracúvané
na zabezpečenie bezpečnosti prevádzkovateľa prostredníctvom kamier alebo obdobných
systémov; to neplatí, ak pri takomto spracúvaní osobných údajov prevažujú základné
práva a slobody dotknutej osoby, ktoré podliehajú ochrane podľa tohto zákona.
(4) Ak sa vzhľadom na účel spracúvania osobných údajov ustanovený v
priamo vykonateľnom právne záväznom akte Európskej únie, medzinárodnej zmluve, ktorou
je Slovenská republika viazaná, v tomto zákone a osobitnom zákone nedajú vopred konkrétne
určiť jednotlivé osobné údaje, ktoré majú byť predmetom spracúvania, zoznam osobných
údajov podľa odsekov 1 a 2 možno nahradiť rozsahom osobných údajov; prevádzkovateľ
je povinný pri takomto spracúvaní osobných údajov postupovať podľa § 6 ods. 2 písm.
d) okrem tých prevádzkovateľov, ktorí spracúvajú osobné údaje na účely súdneho konania
a v súvislosti s ním. Zoznam tretích strán podľa odseku 2 možno nahradiť určením
okruhu tretích strán len vtedy, ak vzhľadom na povahu veci nemožno vopred určiť jednotlivé
tretie strany, ktorým sa osobné údaje poskytujú, alebo ak tretie strany tvoria skupinu
subjektov s rovnakým predmetom činnosti a vykonávajú spracúvanie osobných údajov
na rovnaký účel, prípadne ak zloženie takejto skupiny podlieha neustálej zmene.
§ 11
Súhlas dotknutej osoby
(1) Ak sa na spracúvanie osobných údajov neuplatňuje § 10, prevádzkovateľ
je oprávnený spracúvať osobné údaje len so súhlasom dotknutej osoby.
(2) Ak prevádzkovateľ spracúva osobné údaje podľa odseku 1 a vzniknú
pochybnosti o udelení súhlasu dotknutej osoby, prevádzkovateľ je povinný úradu hodnoverne
preukázať, že mu dotknutá osoba súhlas poskytla.
(3) Súhlas dotknutej osoby si prevádzkovateľ nesmie vynucovať a ani
podmieňovať hrozbou odmietnutia zmluvného vzťahu, služby, tovaru alebo povinnosti
ustanovenej prevádzkovateľovi právne záväzným aktom Európskej únie, medzinárodnou
zmluvou, ktorou je Slovenská republika viazaná, alebo zákonom.
(4) Súhlas sa preukazuje zvukovým alebo zvukovo-obrazovým záznamom
alebo čestným vyhlásením toho, kto poskytol osobné údaje do informačného systému,
alebo iným hodnoverným spôsobom. Písomný súhlas sa preukazuje dokladom, ktorý potvrdzuje
poskytnutie súhlasu. Dôkaz o súhlase obsahuje najmä údaj o tom, kto súhlas poskytol,
komu sa tento súhlas dáva, na aký účel, zoznam alebo rozsah osobných údajov a čas
platnosti súhlasu. Súhlas daný v písomnej podobe je bez vlastnoručného podpisu toho,
kto súhlas dáva, neplatný. Za súhlas v písomnej podobe sa považuje aj súhlas podpísaný
zaručeným elektronickým podpisom.14)
§ 12
(1) Osobné údaje o dotknutej osobe možno získať od inej fyzickej osoby
a spracúvať v informačnom systéme len s predchádzajúcim písomným súhlasom dotknutej
osoby. To neplatí, ak poskytnutím osobných údajov o dotknutej osobe do informačného
systému iná fyzická osoba chráni svoje práva alebo právom chránené záujmy alebo oznamuje
skutočnosti, ktoré odôvodňujú uplatnenie právnej zodpovednosti dotknutej osoby, alebo
sa osobné údaje spracúvajú na základe osobitného zákona podľa § 10 ods. 2. Ten, kto
takto osobné údaje spracúva, musí vedieť preukázať úradu kedykoľvek na jeho žiadosť,
že ich získal v súlade s týmto zákonom.
(2) Osobné údaje dotknutej osoby možno poskytnúť z informačného systému
inej právnickej osobe alebo fyzickej osobe len spolu s písomným dokladom o danom
súhlase, ak tento zákon takýto súhlas vyžaduje; ten, kto osobné údaje takto poskytuje,
môže písomný doklad o danom súhlase nahradiť písomným vyhlásením prevádzkovateľa
o udelení súhlasu dotknutou osobou, ak prevádzkovateľ vie preukázať, že písomný súhlas
dotknutej osoby bol daný.
(3) Prevádzkovateľ, ktorý je zamestnávateľom dotknutej osoby, je oprávnený
sprístupniť, poskytovať alebo zverejniť jej osobné údaje v rozsahu titul, meno, priezvisko,
pracovné, služobné alebo funkčné zaradenie, odborný útvar, miesto výkonu práce, telefónne
číslo, faxové číslo alebo elektronická pošta na pracovisko a identifikačné údaje
zamestnávateľa, ak je to potrebné v súvislosti s plnením pracovných, služobných alebo
funkčných povinností dotknutej osoby. Sprístupnenie, poskytovanie alebo zverejnenie
osobných údajov nemôže narušiť vážnosť, dôstojnosť a bezpečnosť dotknutej osoby.
(4) Osobné údaje podľa § 10 ods. 3 písm. c) a podľa § 14 písm. c) možno
spracúvať bez súhlasu dotknutej osoby len po dobu, kým nezaniknú dôvody, ktoré neumožňovali
získať súhlas dotknutej osoby. Ak dôvody zanikli, ten, kto osobné údaje spracúva,
zabezpečí súhlas dotknutej osoby.
(5) Ten, kto má v úmysle zverejniť osobné údaje dotknutej osoby, nesmie
svojím konaním neoprávnene zasahovať do práva na ochranu jej osobnosti a súkromia;
zverejnenie osobných údajov nesmie byť v rozpore s oprávnenými záujmami dotknutej
osoby.7)
(6) Ak dotknutá osoba nemá spôsobilosť na právne úkony v plnom rozsahu,15)
súhlas vyžadovaný podľa tohto zákona môže poskytnúť jej zákonný zástupca.16)
(7) Ak dotknutá osoba nežije, súhlas vyžadovaný podľa tohto zákona
môže poskytnúť jej blízka osoba.17) Súhlas nie je platný, ak čo len jedna blízka
osoba písomne vyslovila nesúhlas.
§ 13
Osobitné kategórie osobných údajov
(1) Spracúvať osobné údaje, ktoré odhaľujú rasový alebo etnický pôvod,
politické názory, náboženskú vieru alebo svetonázor, členstvo v politických stranách
alebo politických hnutiach, členstvo v odborových organizáciách a údaje týkajúce
sa zdravia alebo pohlavného života, sa zakazuje.
(2) Pri spracúvaní osobných údajov možno využiť na účely určenia fyzickej
osoby všeobecne použiteľný identifikátor ustanovený osobitným zákonom18) len vtedy,
ak jeho použitie je nevyhnutné na dosiahnutie daného účelu spracúvania. Spracúvať
iný identifikátor, ktorý v sebe skrýva charakteristiky dotknutej osoby, alebo zverejňovať
všeobecne použiteľný identifikátor sa zakazuje.
(3) Spracúvanie osobných údajov o psychickej identite fyzickej osoby
alebo o jej psychickej pracovnej spôsobilosti môže vykonávať len psychológ alebo
ten, komu to umožňuje osobitný zákon.19)
(4) Spracúvanie osobných údajov o porušení ustanovení zakladajúcich
trestnú zodpovednosť alebo administratívnoprávnu zodpovednosť, môže vykonávať len
ten, komu to umožňuje osobitný zákon.20)
(5) Prevádzkovateľ je oprávnený spracúvať biometrické údaje len vtedy,
ak je to primerané účelu spracúvania a nevyhnutné na jeho dosiahnutie a ak
a) to
prevádzkovateľovi vyplýva výslovne zo zákona,
b) dotknutá osoba dala na spracúvanie písomný alebo inak hodnoverne preukázateľný
súhlas,
c) spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy podľa § 10 ods. 3
písm. b), alebo
d) spracúvanie osobných údajov je nevyhnutné na účely podľa § 10 ods. 3 písm. g).
(6) Primeranosť, nevyhnutnosť a právny základ spracúvania biometrických
údajov podľa odseku 5 písm. b) až d) posudzuje úrad v konaní podľa § 37 až 39.
§ 14
Výnimky z obmedzenia pri spracúvaní osobitných kategórií osobných údajov
Zákaz spracúvania osobných údajov podľa § 13 ods. 1 neplatí, ak
a)
dotknutá osoba dala písomný alebo inak hodnoverne preukázateľný súhlas na ich spracúvanie;
súhlas je neplatný, ak jeho poskytnutie vylučuje osobitný zákon,
b) právnym základom pre spracúvanie osobných údajov je osobitný zákon, právne záväzný
akt Európskej únie alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná,
c) spracúvanie je nevyhnutné na ochranu životne dôležitých záujmov dotknutej osoby
alebo inej fyzickej osoby, ak dotknutá osoba nemá spôsobilosť na právne úkony alebo
fyzicky nie je spôsobilá na vydanie písomného súhlasu a ak nemožno získať písomný
súhlas jej zákonného zástupcu,
d) spracúvanie vykonáva v rámci oprávnenej činnosti občianske združenie, nadácia
alebo nezisková organizácia poskytujúca všeobecne prospešné služby, politická strana
alebo politické hnutie, odborová organizácia, štátom uznaná cirkev alebo náboženská
spoločnosť a toto spracúvanie sa týka iba ich členov alebo tých fyzických osôb, ktoré
sú s nimi vzhľadom na ich ciele v pravidelnom styku, osobné údaje slúžia výlučne
pre ich vnútornú potrebu a nebudú poskytnuté tretej strane bez písomného alebo inak
hodnoverne preukázateľného súhlasu dotknutej osoby,
e) spracúvanie sa týka osobných údajov, ktoré dotknutá osoba sama zverejnila alebo
sú nevyhnutné pri uplatňovaní jej právneho nároku,
f) ide o spracúvanie na účely poskytovania zdravotnej starostlivosti a na účely vykonávania
verejného zdravotného poistenia, ak tieto údaje spracúva poskytovateľ zdravotnej
starostlivosti, zdravotná poisťovňa, osoba vykonávajúca služby súvisiace s poskytovaním
zdravotnej starostlivosti alebo osoba vykonávajúca dohľad nad zdravotnou starostlivosťou
a v jej mene odborne spôsobilá oprávnená osoba, ktorá je viazaná povinnosťou mlčanlivosti
o skutočnostiach tvoriacich profesijné tajomstvo a povinnosťou dodržiavať zásady
profesijnej etiky, alebo
g) ide o spracúvanie v sociálnom poistení, v sociálnom zabezpečení policajtov a vojakov,
na účely poskytovania štátnych sociálnych dávok, podporu sociálneho začlenenia fyzickej
osoby s ťažkým zdravotným postihnutím do spoločnosti,21) poskytovania sociálnych
služieb, vykonávania opatrení sociálnoprávnej ochrany detí a sociálnej kurately alebo
poskytovania pomoci v hmotnej núdzi, alebo je spracúvanie nevyhnutné na účely plnenia
povinností alebo uplatnenie zákonných práv prevádzkovateľa zodpovedného za spracúvanie
v oblasti pracovného práva a v službách zamestnanosti a ak to prevádzkovateľovi vyplýva
z osobitného predpisu.22)
§ 15
Získavanie osobných údajov
(1) Prevádzkovateľ, ktorý pripravuje spracúvanie osobných údajov
dotknutej osoby, je povinný pred ich získavaním dotknutej osobe vopred oznámiť tieto
informácie:
a) identifikačné údaje prevádzkovateľa a zástupcu prevádzkovateľa, ak
bol vymenovaný,
b) identifikačné údaje sprostredkovateľa; to neplatí, ak prevádzkovateľ pri získavaní
osobných údajov nepostupuje podľa § 8,
c) účel spracúvania osobných údajov,
d) zoznam osobných údajov alebo rozsah osobných údajov podľa § 10 ods. 4 prvej vety
a
e) doplňujúce informácie, ktoré sú s ohľadom na všetky okolnosti a podmienky spracúvania
osobných údajov potrebné pre dotknutú osobu na zaručenie jej práv a právom chránených
záujmov v rozsahu najmä
1. preukázanie totožnosti oprávnenej osoby, ktorá získava
osobné údaje, alebo preukázanie príslušnosti oprávnenej osoby hodnoverným dokladom
k tomu subjektu, v mene ktorého koná; oprávnená osoba je povinná takejto žiadosti
dotknutej osoby bez zbytočného odkladu vyhovieť,
2. poučenie o dobrovoľnosti alebo
povinnosti poskytnúť požadované osobné údaje; ak prevádzkovateľ získava osobné údaje
dotknutej osoby na základe súhlasu dotknutej osoby podľa § 11, oznámi jej aj čas
platnosti súhlasu, a ak dotknutej osobe povinnosť poskytnúť osobné údaje vyplýva
z priamo vykonateľného právne záväzného aktu Európskej únie, medzinárodnej zmluvy,
ktorou je Slovenská republika viazaná, alebo zákona, prevádzkovateľ oznámi dotknutej
osobe právny základ, ktorý jej túto povinnosť ukladá, a upovedomí ju o následkoch
odmietnutia poskytnúť osobné údaje,
3. tretie strany, ak sa predpokladá alebo je zrejmé,
že im budú osobné údaje poskytnuté,
4. okruh príjemcov, ak sa predpokladá alebo je
zrejmé, že im budú osobné údaje sprístupnené,
5. formu zverejnenia, ak majú byť osobné
údaje zverejnené,
6. tretie krajiny, ak sa predpokladá alebo je zrejmé, že sa do týchto
krajín uskutoční prenos osobných údajov,
7. poučenie o právach dotknutej osoby.
(2) Ak osobné údaje o dotknutej osobe nezískal prevádzkovateľ priamo
od tejto dotknutej osoby, je povinný bez zbytočného odkladu, najneskôr však v čase
pred ich prvým poskytnutím tretej strane, ak sa takéto poskytovanie predpokladá,
oznámiť dotknutej osobe informácie podľa odseku 1 písm. a) až c) a ďalšie doplňujúce
informácie, pokiaľ sú potrebné s ohľadom na špecifické okolnosti, za ktorých sú osobné
údaje získavané na zabezpečenie zákonného spracúvania, najmä
a) poučenie o možnosti
rozhodnúť o spracúvaní získaných osobných údajov,
b) zoznam osobných údajov,
c) tretie strany, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje poskytnuté,
d) okruh príjemcov, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje sprístupnené,
e) formu zverejnenia, ak majú byť osobné údaje zverejnené,
f) tretie krajiny, ak sa predpokladá alebo je zrejmé, že sa do týchto krajín uskutoční
prenos osobných údajov,
g) poučenie o právach dotknutej osoby.
(3) Informácie podľa odseku 1 netreba dotknutej osobe oznamovať,
ak prevádzkovateľ vie úradu kedykoľvek na jeho žiadosť preukázať, že jej boli už
predtým poskytnuté alebo ak prevádzkovateľ spracúva osobné údaje podľa § 10 ods.
1 a 2. Informácie podľa odseku 2 netreba dotknutej osobe oznamovať, ak prevádzkovateľ
a) vie úradu kedykoľvek na jeho žiadosť preukázať, že jej boli už
predtým poskytnuté,
b) spracúva osobné údaje podľa § 10 ods. 1 a 2,
c) spracúva osobné údaje na účel ustanovený v § 10 ods. 3 písm. a),
d) spracúva osobné údaje na historický výskum alebo vedecký výskum
a vývoj, alebo na účely štatistiky a poskytnutie takýchto informácií je objektívne
nemožné alebo by bolo možné len s vyvinutím neprimeraného úsilia, alebo
e) spracúva osobné údaje podľa § 10 ods. 3 písm. e).
(4) Prevádzkovateľ, ktorý získava osobné údaje na účely identifikácie
fyzickej osoby pri jej jednorazovom vstupe do jeho priestorov, je oprávnený od nej
požadovať titul, meno, priezvisko a číslo občianskeho preukazu,23) číslo služobného
preukazu alebo číslo cestovného dokladu,24) štátnu príslušnosť a preukázanie pravdivosti
poskytnutých osobných údajov predkladaným dokladom. Ak sa fyzická osoba preukáže
podľa osobitného zákona,25) je prevádzkovateľ oprávnený od nej požadovať len evidenčné
číslo služobného preukazu a názov orgánu, ktorý služobný preukaz vydal. V oboch prípadoch
sa odsek 1 nepoužije.
(5) Prevádzkovateľ, ktorý v priestoroch prístupných verejnosti získava,
poskytuje alebo sprístupňuje osobné údaje, zabezpečí ich primeranú ochranu podľa
§ 19.
(6) Získavať osobné údaje nevyhnutné na dosiahnutie účelu spracúvania
kopírovaním, skenovaním alebo iným zaznamenávaním úradných dokladov na nosič informácií
možno len vtedy, ak s tým dotknutá osoba písomne súhlasí alebo ak to osobitný zákon
výslovne umožňuje bez súhlasu dotknutej osoby.26) To neplatí, ak ide o získavanie
osobných údajov na účely a v rozsahu údajov podľa odseku 4 ich zaznamenávaním z úradného
dokladu automatizovanými prostriedkami spracúvania a o získavanie osobných údajov
na účely uzatvorenia pracovnoprávneho alebo obdobného vzťahu.
(7) Priestor prístupný verejnosti možno monitorovať len na účely ochrany
verejného poriadku a bezpečnosti, odhaľovania kriminality, narušenia bezpečnosti
štátu, ochrany majetku alebo zdravia, a to len vtedy, ak je priestor zreteľne označený
ako monitorovaný; monitorovaný priestor je prevádzkovateľ povinný zreteľne označiť
bez ohľadu na to, či sa snímaný obraz alebo zvuk zaznamenáva na nosič informácií.
Označenie monitorovaného priestoru sa nevyžaduje, ak tak ustanovuje osobitný zákon.
Vyhotovený záznam možno využiť len na účely trestného konania alebo konania o priestupkoch,
ak osobitný zákon neustanovuje inak.
(8) Prevádzkovateľ, ktorý získa osobné údaje uvedené v § 10 ods. 3
písm. d) bez vedomia dotknutej osoby alebo priamo od nej, poskytne jej pri prvom
kontakte informácie podľa odseku 1, a ak sú spracúvané na účely priameho marketingu,
oboznámi ju výslovne aj s právom písomne namietať proti ich poskytovaniu a využívaniu
v poštovom styku.
(9) Prevádzkovateľ, ktorého predmetom činnosti je priamy marketing,
vedie zoznam poskytnutých osobných údajov podľa § 10 ods. 3 písm. d) v rozsahu titul,
meno, priezvisko a adresa dotknutej osoby, dátum ich poskytnutia, prípadne dátum,
od ktorého platí zákaz ich ďalšieho poskytovania podľa § 17 ods. 6, a názov právnickej
osoby alebo fyzickej osoby, ktorej boli uvedené osobné údaje poskytnuté. Zoznam v
rovnakom rozsahu vedie aj právnická osoba a fyzická osoba, ktorej boli tieto osobné
údaje poskytnuté.
§ 16
Pravdivosť, správnosť a aktuálnosť osobných údajov
(1) Do informačného systému možno poskytnúť len pravdivé osobné údaje.
Za nepravdivosť osobných údajov zodpovedá ten, kto ich do informačného systému poskytol.
(2) Správnosť a aktuálnosť osobných údajov zabezpečuje prevádzkovateľ.
(3) Osobný údaj sa považuje za správny, kým sa nepreukáže opak.
§ 17
Likvidácia osobných údajov
(1) Prevádzkovateľ je po splnení účelu spracúvania povinný bez zbytočného
odkladu zabezpečiť likvidáciu osobných údajov.
(2) Odsek 1 sa nepoužije, ak osobné údaje sú súčasťou registratúrneho
záznamu.27) Prevádzkovateľ zabezpečuje likvidáciu registratúrneho záznamu podľa osobitného
predpisu.28)
(3) Prevádzkovateľ zabezpečí bez zbytočného odkladu likvidáciu osobných
údajov okrem osobných údajov uvedených v § 10 ods. 3 písm. d) aj vtedy, ak zanikli
dôvody, ktoré neumožňovali získať súhlas dotknutej osoby podľa § 11 ods. 4, a súhlas
nebol daný.
(4) Ak dotknutá osoba uplatní námietku podľa § 28 ods. 3 písm. a),
prevádzkovateľ je povinný spracúvané osobné údaje bez zbytočného odkladu zlikvidovať
okrem osobných údajov uvedených v § 10 ods. 3 písm. d).
(5) Ak dotknutá osoba uplatní námietku podľa § 28 ods. 3 písm. b),
prevádzkovateľ je povinný bez zbytočného odkladu skončiť využívanie osobných údajov
uvedených v § 10 ods. 3 písm. d) v poštovom styku.
(6) Ak dotknutá osoba uplatní námietku podľa § 28 ods. 3 písm. c),
prevádzkovateľ je povinný to bez zbytočného odkladu, najneskôr do troch pracovných
dní, písomne oznámiť každému, komu osobné údaje uvedené v § 10 ods. 3 písm. d) poskytol;
zákaz ďalšieho poskytovania tu uvedených osobných údajov platí pre prevádzkovateľa
a každého, komu ich prevádzkovateľ poskytol odo dňa nasledujúceho po dni doručenia
námietky dotknutej osoby, prípadne doručenia písomného oznámenia prevádzkovateľa.
(7) Ak záznam vyhotovený podľa § 15 ods. 7 nie je využitý na účely
trestného konania alebo konania o priestupkoch, je ten, kto ho vyhotovil, povinný
ho zlikvidovať najneskôr v lehote 15 dní odo dňa nasledujúceho po dni, v ktorom bol
záznam vyhotovený, ak osobitný zákon neustanovuje inak.
§ 18
Oznamovanie zmien tretím stranám
(1) Ak prevádzkovateľa upozorní dotknutá osoba alebo ak si dotknutá
osoba uplatní u prevádzkovateľa svoje právo, alebo ak prevádzkovateľ sám zistí, že
poskytol tretej strane nesprávne, neúplné alebo neaktuálne osobné údaje, alebo že
ich poskytol bez právneho základu, je povinný bez zbytočného odkladu písomne oznámiť
to každému, komu ich poskytol. Prevádzkovateľ v oznámení uvedie, aké opatrenia na
nápravu vykonal, najmä či osobné údaje blokoval, doplnil, opravil, aktualizoval alebo
zlikvidoval, a aké opatrenia žiada prijať od tretej strany.
(2) Tretia strana je povinná na základe oznámenia podľa odseku 1 vykonať
požadované opatrenia, najmä zablokovať osobné údaje v informačnom systéme a bez zbytočného
odkladu ich doplniť, opraviť, aktualizovať alebo zlikvidovať.
(3) Od oznámenia podľa odseku 1 možno upustiť len vtedy, ak oznámenie
je objektívne nemožné alebo je možné len s vyvinutím neprimeraného úsilia.
(4) Prevádzkovateľ, ktorý upustí od oznámenia podľa odseku 1 z dôvodu
podľa odseku 3, je povinný na vyzvanie úradu preukázať, že upustenie od oznámenia
je dôvodné.
DRUHÁ HLAVA
BEZPEČNOSŤ OSOBNÝCH ÚDAJOV
§ 19
Zodpovednosť za bezpečnosť osobných údajov
(1) Za bezpečnosť osobných údajov zodpovedá prevádzkovateľ. Prevádzkovateľ
je povinný chrániť spracúvané osobné údaje pred ich poškodením, zničením, stratou,
zmenou, neoprávneným prístupom a sprístupnením, poskytnutím alebo zverejnením, ako
aj pred akýmikoľvek inými neprípustnými spôsobmi spracúvania. Na tento účel prijme
primerané technické, organizačné a personálne opatrenia (ďalej len "bezpečnostné
opatrenia") zodpovedajúce spôsobu spracúvania osobných údajov, pričom berie do úvahy
najmä použiteľné technické prostriedky, dôvernosť a dôležitosť spracúvaných osobných
údajov, ako aj rozsah možných rizík, ktoré sú spôsobilé narušiť bezpečnosť alebo
funkčnosť informačného systému.
(2) Bezpečnostné opatrenia podľa odseku 1 prevádzkovateľ zdokumentuje
v bezpečnostnom projekte informačného systému (ďalej len "bezpečnostný projekt"),
ak
a) v informačnom systéme prepojenom s verejne prístupnou počítačovou sieťou spracúva
osobitné kategórie osobných údajov podľa § 13, alebo
b) informačný systém slúži na zabezpečenie verejného záujmu podľa § 3 ods. 1; ustanovenie
§ 20 sa pri vypracúvaní bezpečnostného projektu nepoužije len vtedy, ak pre konkrétny
prípad je tu súčasne povinnosť vypracovať bezpečnostný projekt podľa osobitného predpisu.29)
(3) Prevádzkovateľ je povinný bez zbytočného odkladu zabezpečovať aktualizáciu
bezpečnostných opatrení prijatých podľa odsekov 1 a 2 tak, aby zodpovedala prijatým
zmenám pri spracúvaní osobných údajov, a to až do ukončenia spracúvania osobných
údajov v informačnom systéme.
(4) Na požiadanie úradu prevádzkovateľ preukáže rozsah a obsah bezpečnostných
opatrení podľa odsekov 1 a 2.
§ 20
Bezpečnostný projekt
(1) Bezpečnostný projekt vymedzuje rozsah a spôsob bezpečnostných opatrení
potrebných na eliminovanie a minimalizovanie hrozieb a rizík pôsobiacich na informačný
systém z hľadiska narušenia jeho bezpečnosti, spoľahlivosti a funkčnosti.
(2) Bezpečnostný projekt vypracúva prevádzkovateľ v súlade s bezpečnostnými
štandardmi, právnymi predpismi a medzinárodnými zmluvami, ktorými je Slovenská republika
viazaná.
(3) Rozsah a dokumentáciu bezpečnostných opatrení ustanoví všeobecne
záväzný právny predpis, ktorý vydá úrad.
§ 21
Poučenie oprávnenej osoby
(1) Fyzická osoba sa stáva oprávnenou osobou dňom jej poučenia.
(2) Prevádzkovateľ je povinný poučiť osobu podľa odseku 1 o jej právach
a povinnostiach pri spracúvaní osobných údajov; poučenie obsahuje najmä vymedzenie
rozsahu jej oprávnení, povolených činností a podmienok spracúvania osobných údajov.
Prevádzkovateľ vykoná poučenie pred uskutočnením prvej operácie s osobnými údajmi
oprávnenou osobou.
(3) Prevádzkovateľ je povinný o poučení oprávnenej osoby vyhotoviť záznam,
ktorý je povinný na požiadanie úradu hodnoverne preukázať.
(4) Prevádzkovateľ je povinný opätovne poučiť oprávnenú osobu, ak došlo
k podstatnej zmene jej pracovného, služobného alebo funkčného zaradenia, a tým sa
významne zmenil obsah náplne jej pracovných činností, alebo sa podstatne zmenili
podmienky spracúvania osobných údajov alebo rozsah spracúvaných osobných údajov v
rámci jej pracovného, služobného alebo funkčného zaradenia.
§ 22
Povinnosť mlčanlivosti
(1) Prevádzkovateľ je povinný zachovávať mlčanlivosť o osobných údajoch,
ktoré spracúva. Povinnosť mlčanlivosti trvá aj po ukončení spracúvania osobných údajov.
(2) Oprávnená osoba je povinná zachovávať mlčanlivosť o osobných údajoch,
s ktorými príde do styku; tie nesmie využiť ani pre osobnú potrebu a bez súhlasu
prevádzkovateľa ich nesmie zverejniť a nikomu poskytnúť ani sprístupniť.
(3) Povinnosť mlčanlivosti podľa odseku 2 platí aj pre iné fyzické osoby,
ktoré prídu do styku s osobnými údajmi u prevádzkovateľa alebo sprostredkovateľa.
(4) Povinnosť mlčanlivosti podľa odseku 2 trvá aj po zániku funkcie oprávnenej
osoby alebo po skončení jej pracovného pomeru, štátnozamestnaneckého pomeru, služobného
pomeru alebo obdobného pracovného vzťahu. Povinnosť mlčanlivosti podľa prvej vety
sa vzťahuje aj na fyzické osoby podľa odseku 3.
(5) Povinnosť mlčanlivosti podľa odsekov 1 až 4 neplatí, ak je to nevyhnutné
na plnenie úloh súdu a orgánov činných v trestnom konaní podľa osobitného zákona;
tým nie sú dotknuté ustanovenia o mlčanlivosti podľa osobitných predpisov.30)
(6) Odseky 1 až 4 sa nepoužijú vo vzťahu k úradu pri plnení jeho úloh
podľa tohto zákona.
TRETIA HLAVA
DOHĽAD NAD OCHRANOU OSOBNÝCH ÚDAJOV
Zodpovedná osoba
§ 23
Podmienky poverenia zodpovednej osoby
(1) Za výkon dohľadu nad ochranou osobných údajov spracúvaných podľa
tohto zákona zodpovedá prevádzkovateľ.
(2) Prevádzkovateľ, ktorý spracúva osobné údaje prostredníctvom oprávnených
osôb môže výkonom dohľadu písomne poveriť zodpovednú osobu alebo viaceré zodpovedné
osoby, ktoré dozerajú na dodržiavanie zákonných ustanovení pri spracúvaní osobných
údajov. Tým nie je dotknutá zodpovednosť prevádzkovateľa podľa odseku 1.
(3) Ak prevádzkovateľ nepoverí zodpovednú osobu podľa odseku 2, je
povinný oznámiť úradu tie informačné systémy, ktoré podľa tohto zákona podliehajú
oznamovacej povinnosti podľa § 34. Povinnosť ustanovená prevádzkovateľovi podľa prvej
vety sa nevzťahuje na sprostredkovateľa.
(4) Zodpovedná osoba má postavenie oprávnenej osoby prevádzkovateľa
s právom prístupu do informačných systémov prevádzkovateľa v rozsahu potrebnom na
plnenie úloh podľa § 27.
(5) Zodpovednou osobou môže byť len fyzická osoba, ktorá má spôsobilosť
na právne úkony v plnom rozsahu, je bezúhonná a má platné potvrdenie úradu o absolvovaní
skúšky podľa § 24.
(6) Za bezúhonného sa na účely tohto zákona považuje ten, kto nebol
právoplatne odsúdený za úmyselný trestný čin alebo za trestný čin, pri ktorom mu
výkon trestu odňatia slobody nebol podmienečne odložený, ak sa podľa rozhodnutia
súdu alebo na základe zákona nehľadí na neho, ako keby nebol odsúdený alebo odsúdenie
mu nebolo zahladené. Bezúhonnosť sa preukazuje doloženým výpisom z registra trestov
nie starším ako tri mesiace. Výpis z registra trestov fyzická osoba doloží prevádzkovateľovi
najneskôr v deň poverenia podľa odseku 2. Prevádzkovateľ je povinný ho uchovávať
spolu s poverením podľa odseku 8 počas celej doby výkonu funkcie zodpovednej osoby.
(7) Povinnosť preukazovania bezúhonnosti podľa odseku 6 neplatí, ak
fyzická osoba je povinná preukázať svoju bezúhonnosť na účely pracovného pomeru,
štátnozamestnaneckého pomeru, služobného pomeru alebo obdobného pracovného vzťahu
k prevádzkovateľovi podľa osobitného zákona.
(8) Poverenie podľa odseku 2 obsahuje
a) identifikačné údaje prevádzkovateľa,
b) titul, meno, priezvisko a dátum narodenia poverenej zodpovednej osoby,
c) dátum začiatku platnosti poverenia zodpovednej osoby,
d) vyhlásenie prevádzkovateľa o tom, že poverená osoba spĺňa predpoklady podľa tohto
zákona,
e) číslo potvrdenia o absolvovaní skúšky podľa § 24 ods. 5 písm. c) a dátum vydania
potvrdenia,
f) výslovný súhlas s poverením a podpis poverenej zodpovednej osoby,
g) odtlačok pečiatky prevádzkovateľa,
h) dátum vyhotovenia poverenia a
i) podpis štatutárneho orgánu prevádzkovateľa alebo inej osoby oprávnenej konať v
mene prevádzkovateľa.
§ 24
Skúška na výkon funkcie zodpovednej osoby
(1) Fyzická osoba môže byť poverená výkonom dohľadu nad ochranou osobných
údajov po úspešnom absolvovaní skúšky.
(2) Skúšku fyzickej osoby na účely výkonu funkcie zodpovednej osoby
podľa tohto zákona zabezpečuje úrad.
(3) Žiadosť o absolvovanie skúšky obsahuje
a) údaje o žiadateľovi
v rozsahu titul, meno, priezvisko, dátum narodenia, adresu trvalého pobytu a adresu
na doručovanie písomností, elektronickú poštu a telefónne číslo,
b) identifikačné údaje prevádzkovateľa alebo sprostredkovateľa, ak zasielajú žiadosť
o absolvovanie skúšky za žiadateľa,
c) dátum a podpis žiadateľa.
(4) Vzor žiadosti o absolvovanie skúšky podľa odseku 3 zverejní úrad
na svojom webovom sídle.
(5) Potvrdenie o absolvovaní skúšky obsahuje
a) identifikačné údaje
úradu,
b) identifikačné údaje žiadateľa v rozsahu titul, meno, priezvisko a dátum narodenia,
c) číslo potvrdenia,
d) dátum vydania potvrdenia,
e) titul, meno, priezvisko a podpis predsedu úradu a
f) odtlačok úradnej pečiatky úradu.
(6) Fyzická osoba, ktorá úspešne absolvovala skúšku a nevykonáva funkciu
zodpovednej osoby počas doby dlhšej ako dva roky, je povinná vykonať skúšku opakovane.
(7) Podrobnosti o skúške fyzickej osoby na výkon funkcie zodpovednej
osoby ustanoví všeobecne záväzný právny predpis, ktorý vydá úrad.
§ 25
Povinnosti prevádzkovateľa pri poverení zodpovednej osoby
(1) Prevádzkovateľ je povinný umožniť zodpovednej osobe nezávislý výkon
dohľadu nad ochranou osobných údajov a prijať jej oprávnené návrhy; upozornenie na
nedostatky alebo vyslovenie požiadavky zodpovednou osobou v súvislosti s plnením
jej povinností podľa § 27 ods. 2 sa nesmie stať podnetom ani dôvodom na konanie zo
strany prevádzkovateľa, ktoré by zodpovednej osobe spôsobilo ujmu.
(2) Prevádzkovateľ, ktorý písomne poveril výkonom dohľadu nad ochranou
osobných údajov zodpovednú osobu, je povinný o tom písomne informovať úrad bez zbytočného
odkladu, najneskôr do 30 dní odo dňa poverenia zodpovednej osoby doporučenou zásielkou
alebo v podobe elektronického dokumentu podpísaného zaručeným elektronickým podpisom.14)
Prevádzkovateľ oznámi úradu tieto údaje:
a) identifikačné údaje prevádzkovateľa,
b) titul, meno, priezvisko a dátum narodenia zodpovednej osoby,
c) deň, keď sa fyzická osoba stala zodpovednou osobou,
d) vyhlásenie prevádzkovateľa o tom, že zodpovedná osoba spĺňa predpoklady podľa
tohto zákona,
e) číslo potvrdenia o absolvovaní skúšky podľa § 24 ods. 5 písm. c) a dátum vydania
potvrdenia,
f) odtlačok pečiatky prevádzkovateľa,
g) dátum vyhotovenia oznámenia a
h) podpis štatutárneho orgánu prevádzkovateľa alebo inej osoby oprávnenej konať v
mene prevádzkovateľa.
(3) Ak prevádzkovateľ výkonom dohľadu nad ochranou osobných údajov
súčasne poveril viac zodpovedných osôb, je povinný podľa odseku 2 oznámiť úradu poverenie
všetkých zodpovedných osôb.
(4) Ak počas výkonu funkcie zodpovednej osoby dôjde k zmene údajov
oznamovaných podľa odseku 2, prevádzkovateľ je povinný bez zbytočného odkladu nahlásiť
úradu zmenu týchto údajov.
(5) Vzor oznámenia podľa odseku 2 zverejní úrad na svojom webovom sídle.
§ 26
Ukončenie poverenia zodpovednej osoby
(1) Prevádzkovateľ je oprávnený kedykoľvek bez udania dôvodu poverenie
zodpovednej osoby písomne odvolať.
(2) Poverenie zodpovednej osoby zaniká
a) smrťou zodpovednej osoby,
b) dňom zániku prevádzkovateľa,
c) dňom, keď zodpovedná osoba prestala spĺňať podmienky podľa § 23 ods. 5,
d) uplynutím lehoty podľa § 24 ods. 6,
e) dňom skončenia pracovného pomeru, štátnozamestnaneckého pomeru, služobného pomeru
alebo obdobného pracovného vzťahu zodpovednej osoby, ak je zamestnancom prevádzkovateľa
a písomne sa nedohodnú na pokračovaní výkonu funkcie zodpovednej osoby podľa tohto
zákona, alebo
f) dňom, keď prevádzkovateľ prevzal písomnú žiadosť zodpovednej osoby o zrušenie
jej poverenia na výkon funkcie zodpovednej osoby, ak nedošlo k inej dohode o lehote
zániku.
(3) Ak prevádzkovateľ odvolá poverenie zodpovednej osoby podľa odseku
1, môže postupovať podľa § 23 ods. 2 a § 25 ods. 2. Ak dôjde k zániku poverenia zodpovednej
osoby podľa odseku 2 písm. a), c) až f), prevádzkovateľ môže postupovať podľa § 23
ods. 2 a § 25 ods. 2.
(4) Ak dôjde k zániku poverenia zodpovednej osoby podľa odseku 2 písm.
b), prevádzkovateľ je povinný o tom bez zbytočného odkladu informovať úrad.
(5) Ak prevádzkovateľ nepostupuje podľa odseku 3, je povinný bez zbytočného
odkladu oznámiť úradu odvolanie poverenia alebo zánik poverenia zodpovednej osoby.
(6) Úrad je oprávnený uložiť prevádzkovateľovi povinnosť písomne poveriť
výkonom dohľadu nad ochranou osobných údajov inú fyzickú osobu, ak sa preukáže, že
písomne poverená zodpovedná osoba nepostupovala pri zabezpečovaní úloh podľa § 27
ods. 1 a 2 v súlade s týmto zákonom. Prevádzkovateľ je povinný bez zbytočného odkladu
úradu vyhovieť a výkonom dohľadu nad ochranou osobných údajov písomne poveriť inú
fyzickú osobu.
§ 27
Povinnosti zodpovednej osoby
(1) Zodpovedná osoba je povinná pred začatím spracúvania osobných údajov
v informačnom systéme posúdiť, či ich spracúvaním nevzniká nebezpečenstvo narušenia
práv a slobôd dotknutých osôb. Zistenie narušenia práv a slobôd dotknutých osôb pred
začatím spracúvania alebo porušenia zákonných ustanovení v priebehu spracúvania osobných
údajov je zodpovedná osoba povinná bez zbytočného odkladu písomne oznámiť prevádzkovateľovi.
(2) Zodpovedná osoba je povinná zabezpečovať
a) potrebnú súčinnosť
s úradom pri plnení úloh patriacich do jeho pôsobnosti; na požiadanie je zodpovedná
osoba povinná úradu kedykoľvek predložiť svoje písomné poverenie a písomné oznámenia
podľa odseku 1,
b) povinnosti podľa odseku 1,
c) dohľad nad plnením základných povinností prevádzkovateľa podľa § 6,
d) poučenie oprávnených osôb podľa § 21,
e) vybavovanie žiadostí dotknutých osôb podľa § 28 až 30,
f) prijatie bezpečnostných opatrení podľa § 19 ods. 1 a 2, dohliadať na ich aplikáciu
v praxi a zabezpečovať ich aktualizáciu podľa § 19 ods. 3,
g) dohľad nad výberom sprostredkovateľa, prípravu písomnej zmluvy so sprostredkovateľom
a počas trvania zmluvného vzťahu preverovať dodržiavanie dohodnutých podmienok podľa
§ 8,
h) dohľad nad cezhraničným prenosom osobných údajov podľa § 31 a 32,
i) prihlásenie informačných systémov na osobitnú registráciu, ich odhlásenie alebo
nahlasovanie zmien alebo zabezpečovať vedenie evidencie informačných systémov podľa
§ 34 až 44.
(3) Zodpovedná osoba, ktorá prestane spĺňať podmienky podľa § 23 ods.
5, je povinná bez zbytočného odkladu oznámiť túto skutočnosť prevádzkovateľovi.
ŠTVRTÁ HLAVA
OCHRANA PRÁV DOTKNUTÝCH OSÔB
§ 28
Práva dotknutej osoby
(1) Dotknutá osoba má právo na základe písomnej žiadosti od prevádzkovateľa
vyžadovať
a) potvrdenie, či sú alebo nie sú osobné údaje o nej spracúvané,
b) vo všeobecne zrozumiteľnej forme informácie o spracúvaní osobných údajov v informačnom
systéme v rozsahu podľa § 15 ods. 1 písm. a) až e) druhý až šiesty bod; pri vydaní
rozhodnutia podľa odseku 5 je dotknutá osoba oprávnená oboznámiť sa s postupom spracúvania
a vyhodnocovania operácií,
c) vo všeobecne zrozumiteľnej forme presné informácie o zdroji, z ktorého získal
jej osobné údaje na spracúvanie,
d) vo všeobecne zrozumiteľnej forme zoznam jej osobných údajov, ktoré sú predmetom
spracúvania,
e) opravu alebo likvidáciu svojich nesprávnych, neúplných alebo neaktuálnych osobných
údajov, ktoré sú predmetom spracúvania,
f) likvidáciu jej osobných údajov, ktorých účel spracúvania sa skončil; ak sú predmetom
spracúvania úradné doklady obsahujúce osobné údaje, môže požiadať o ich vrátenie,
g) likvidáciu jej osobných údajov, ktoré sú predmetom spracúvania, ak došlo k porušeniu
zákona,
h) blokovanie jej osobných údajov z dôvodu odvolania súhlasu pred uplynutím času
jeho platnosti, ak prevádzkovateľ spracúva osobné údaje na základe súhlasu dotknutej
osoby.
(2) Právo dotknutej osoby podľa odseku 1 písm. e) a f) možno obmedziť,
len ak takéto obmedzenie vyplýva z osobitného zákona alebo jeho uplatnením by bola
porušená ochrana dotknutej osoby, alebo by boli porušené práva a slobody iných osôb.
(3) Dotknutá osoba na základe písomnej žiadosti má právo u prevádzkovateľa
namietať voči
a) spracúvaniu jej osobných údajov, o ktorých predpokladá, že sú alebo
budú spracúvané na účely priameho marketingu bez jej súhlasu, a žiadať ich likvidáciu,
b) využívaniu osobných údajov uvedených v § 10 ods. 3 písm. d) na účely priameho
marketingu v poštovom styku, alebo
c) poskytovaniu osobných údajov uvedených v § 10 ods. 3 písm. d) na účely priameho
marketingu.
(4) Dotknutá osoba na základe písomnej žiadosti alebo osobne, ak vec
neznesie odklad, má právo u prevádzkovateľa kedykoľvek namietať voči spracúvaniu
osobných údajov v prípadoch podľa § 10 ods. 3 písm. a), e), f) alebo g) vyslovením
oprávnených dôvodov alebo predložením dôkazov o neoprávnenom zasahovaní do jej práv
a právom chránených záujmov, ktoré sú alebo môžu byť v konkrétnom prípade takýmto
spracúvaním osobných údajov poškodené; ak tomu nebránia zákonné dôvody a preukáže
sa, že námietka dotknutej osoby je oprávnená, prevádzkovateľ je povinný osobné údaje,
ktorých spracúvanie dotknutá osoba namietala, bez zbytočného odkladu blokovať a zlikvidovať
ihneď, ako to okolnosti dovolia.
(5) Dotknutá osoba na základe písomnej žiadosti alebo osobne, ak vec
neznesie odklad, ďalej má právo u prevádzkovateľa kedykoľvek namietať a nepodrobiť
sa rozhodnutiu prevádzkovateľa, ktoré by malo pre ňu právne účinky alebo významný
dosah, ak sa také rozhodnutie vydá výlučne na základe úkonov automatizovaného spracúvania
jej osobných údajov. Dotknutá osoba má právo žiadať prevádzkovateľa o preskúmanie
vydaného rozhodnutia metódou odlišnou od automatizovanej formy spracúvania, pričom
prevádzkovateľ je povinný žiadosti dotknutej osoby vyhovieť, a to tak, že rozhodujúcu
úlohu pri preskúmaní rozhodnutia bude mať oprávnená osoba; o spôsobe preskúmania
a výsledku zistenia prevádzkovateľ informuje dotknutú osobu v lehote podľa § 29 ods.
3. Dotknutá osoba nemá toto právo iba v prípade, ak to ustanovuje osobitný zákon,
v ktorom sú upravené opatrenia na zabezpečenie oprávnených záujmov dotknutej osoby,
alebo ak v rámci predzmluvných vzťahov alebo počas existencie zmluvných vzťahov prevádzkovateľ
vydal rozhodnutie, ktorým vyhovel požiadavke dotknutej osoby, alebo ak prevádzkovateľ
na základe zmluvy prijal iné primerané opatrenia na zabezpečenie oprávnených záujmov
dotknutej osoby.
(6) Ak dotknutá osoba uplatní svoje právo
a) písomne a z obsahu jej
žiadosti vyplýva, že uplatňuje svoje právo, žiadosť sa považuje za podanú podľa tohto
zákona; žiadosť podanú elektronickou poštou alebo faxom dotknutá osoba doručí písomne
najneskôr do troch dní odo dňa jej odoslania,
b) osobne ústnou formou do zápisnice, z ktorej musí byť zrejmé, kto právo uplatnil,
čoho sa domáha a kedy a kto vyhotovil zápisnicu, jeho podpis a podpis dotknutej osoby;
kópiu zápisnice je prevádzkovateľ povinný odovzdať dotknutej osobe,
c) u sprostredkovateľa podľa písmena a) alebo písmena b), je ten povinný túto žiadosť
alebo zápisnicu odovzdať prevádzkovateľovi bez zbytočného odkladu.
(7) Dotknutá osoba pri podozrení, že jej osobné údaje sa neoprávnene
spracúvajú, môže podať úradu návrh na začatie konania o ochrane osobných údajov.
(8) Ak dotknutá osoba nemá spôsobilosť na právne úkony v plnom rozsahu,15)
jej práva môže uplatniť zákonný zástupca.16)
(9) Ak dotknutá osoba nežije, jej práva, ktoré mala podľa tohto zákona,
môže uplatniť blízka osoba.17)
§ 29
Poskytnutie informácií dotknutej osobe
(1) Žiadosť dotknutej osoby podľa § 28 ods. 1 písm. a) až c), e) až h)
a ods. 3 až 5 vybaví prevádzkovateľ bezplatne.
(2) Žiadosť dotknutej osoby podľa § 28 ods. 1 písm. d) vybaví prevádzkovateľ
bezplatne okrem úhrady vo výške, ktorá nemôže prekročiť výšku účelne vynaložených
vecných nákladov spojených so zhotovením kópií, so zadovážením technických nosičov
a s odoslaním informácie dotknutej osobe, ak osobitný zákon neustanovuje inak.31)
(3) Prevádzkovateľ je povinný písomne vybaviť žiadosť dotknutej osoby
podľa odsekov 1 a 2 najneskôr do 30 dní odo dňa doručenia žiadosti.
PIATA HLAVA
CEZHRANIČNÝ PRENOS OSOBNÝCH ÚDAJOV
§ 31
Prenos osobných údajov do tretích krajín
(1) Prenos osobných údajov do tretej krajiny, ktorá podľa rozhodnutia
Európskej komisie32) zaručuje primeranú úroveň ochrany osobných údajov, možno uskutočniť,
ak prevádzkovateľ dotknutej osobe predtým poskytol informácie podľa § 15 ods. 1 alebo
ods. 2, alebo bola splnená niektorá z podmienok uvedených v § 15 ods. 3.
(2) Prenos osobných údajov do tretej krajiny, ktorá nezaručuje primeranú
úroveň ochrany osobných údajov, možno uskutočniť, ak prevádzkovateľ prijme primerané
záruky ochrany súkromia a základných práv a slobôd jednotlivcov a výkonu príslušných
práv; takéto záruky vyplývajú zo štandardných zmluvných doložiek podľa osobitného
predpisu33) alebo záväzných vnútropodnikových pravidiel prevádzkovateľa, ktoré boli
schválené orgánom dozoru v oblasti ochrany osobných údajov so sídlom v členskom štáte.
(3) Ak prevádzkovateľ nepostupuje podľa odseku 2, prenos osobných údajov
do tretej krajiny, ktorá nezaručuje primeranú úroveň ochrany osobných údajov možno
uskutočniť, iba ak
a) dotknutá osoba pred jeho uskutočnením poskytla písomný alebo
inak hodnoverne preukázateľný súhlas s vedomím, že tretia krajina nezaručuje primeranú
úroveň ochrany,
b) je prenos nevyhnutný na plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom
alebo v predzmluvných vzťahoch s dotknutou osobou, alebo pri rokovaní o zmene zmluvy,
ktoré sa uskutočňujú na žiadosť dotknutej osoby,
c) je prenos nevyhnutný na uzavretie zmluvy alebo na plnenie zmluvy, ktorú prevádzkovateľ
uzavrel v záujme dotknutej osoby s treťou stranou,
d) je prenos nevyhnutný alebo požadovaný na základe zákona z dôvodu zabezpečenia
dôležitého verejného záujmu alebo pri preukazovaní, uplatňovaní, alebo obhajovaní
právnych nárokov vyplývajúcich zo zákona alebo z medzinárodnej zmluvy, ktorou je
Slovenská republika viazaná,
e) je prenos nevyhnutný na ochranu životne dôležitých záujmov dotknutej osoby, alebo
f) sa týka osobných údajov, ktoré sú súčasťou zoznamov, registrov alebo operátov
vedených podľa osobitných zákonov verejne prístupných alebo sprístupnených tým, ktorí
preukážu právny základ na ich sprístupnenie pri splnení zákonom ustanovených podmienok.
(4) Ak ide o prenos osobných údajov o osobách v pracovnom pomere, štátnozamestnaneckom
pomere, služobnom pomere alebo v obdobnom pracovnom vzťahu, prevádzkovateľ je povinný
prijať primerané záruky ochrany súkromia a ochrany osobných údajov podľa odseku 2.
(5) Ak prevádzkovateľ alebo sprostredkovateľ so sídlom, miestom podnikania
alebo trvalým pobytom v Spojených štátoch amerických pristúpil k zásadám bezpečného
prístavu,34) zmluva o prenose osobných údajov musí obsahovať
a) identifikačné údaje
zmluvných strán,
b) účel prenosu osobných údajov,
c) predpokladané spracovateľské operácie v tretej krajine,
d) zoznam prenášaných osobných údajov,
e) okruh dotknutých osôb a
f) dobu uchovávania osobných údajov.
(6) Ak prevádzkovateľ použije v zmluve o prenose osobných údajov do tretej
krajiny bez primeranej úrovne ochrany osobných údajov zmluvné doložky, ktoré sú odlišné
od štandardných zmluvných doložiek podľa odseku 2 určených na prenos prevádzkovateľom
alebo sprostredkovateľom alebo s nimi vykazujú zjavný nesúlad, je povinný pred začatím
prenosu požiadať úrad o súhlas.
(7) Žiadosť podľa odseku 6 obsahuje
a) identifikačné údaje zmluvných
strán,
b) účel prenosu osobných údajov,
c) predpokladané spracovateľské operácie v tretej krajine,
d) zoznam prenášaných osobných údajov,
e) okruh dotknutých osôb a
f) dobu uchovávania osobných údajov.
(8) Prílohou žiadosti podľa odseku 7 je zmluva o prenose osobných údajov
v štátnom jazyku alebo jej úradne overený preklad do štátneho jazyka.
(9) Na prenos osobných údajov podľa odsekov 2, 3 a 5 sa súhlas úradu
nevyžaduje.
(10) Prevádzkovateľ je oprávnený uskutočniť prenos osobitnej kategórie
osobných údajov tretej strane so sídlom v tretej krajine iba s predchádzajúcim písomným
súhlasom dotknutej osoby, ak osobitný zákon neustanovuje inak.
(11) Ten, kto uskutočňuje prenos osobných údajov, musí zabezpečiť ich
bezpečnosť aj počas tohto prenosu.
(12) Ochrana osobných údajov, ktoré prenáša prevádzkovateľ alebo sprostredkovateľ
so sídlom, miestom podnikania alebo s trvalým pobytom v tretej krajine na územie
Slovenskej republiky, sa vykonáva v súlade s týmto zákonom.
§ 32
Prenos osobných údajov v rámci členských štátov
(1) Voľný pohyb osobných údajov medzi Slovenskou republikou a členskými
štátmi sa zaručuje; Slovenská republika neobmedzí ani nezakáže prenos osobných údajov
z dôvodov ochrany základných práv a slobôd fyzických osôb, najmä ich práva na súkromie
v súvislosti so spracúvaním ich osobných údajov.
(2) Prevádzkovateľ so sídlom, miestom podnikania alebo s trvalým pobytom
na území Slovenskej republiky, ktorý zároveň spracúva osobné údaje prostredníctvom
sprostredkovateľa na území jedného alebo viacerých členských štátov, je povinný zabezpečiť,
aby konali podľa jeho pokynov a v súlade s týmto zákonom; to neplatí pri prijatí
technických, organizačných a personálnych bezpečnostných opatrení.
(3) Prevádzkovateľ so sídlom, miestom podnikania alebo s trvalým pobytom
na území Slovenskej republiky pri prenose osobných údajov prevádzkovateľovi v inom
členskom štáte je povinný prijať primerané záruky zachovania práv a právom chránených
záujmov dotknutých osôb.
(4) Prevádzkovateľ je povinný získať písomný alebo iným hodnoverným spôsobom
preukázateľný súhlas dotknutých osôb pred poskytnutím osobných údajov prevádzkovateľovi
so sídlom v inom členskom štáte, ak tento zákon alebo osobitný zákon takýto súhlas
vyžaduje.
ŠIESTA HLAVA
OZNAMOVACIA POVINNOSŤ, OSOBITNÁ REGISTRÁCIA A EVIDENCIA INFORMAČNÝCH SYSTÉMOV
§ 33
Prevádzkovateľ je povinný oznámiť úradu informačné systémy, požiadať
úrad o osobitnú registráciu informačných systémov alebo viesť o informačných systémoch
evidenciu v rozsahu a za podmienok ustanovených týmto zákonom.
Oznamovacia povinnosť
§ 34
Nadpis zrušený od 15.4.2014
(1) Oznamovacia povinnosť sa vzťahuje na všetky informačné systémy,
v ktorých sa spracúvajú osobné údaje úplne alebo čiastočne automatizovanými prostriedkami
spracúvania.
(2) Oznamovacia povinnosť podľa odseku 1 sa nevzťahuje na informačné
systémy, ktoré
a) podliehajú osobitnej registrácii podľa § 37,
b) podliehajú dohľadu zodpovednej osoby, ktorú písomne poveril prevádzkovateľ
podľa § 23 a ktorá vykonáva dohľad nad ochranou osobných údajov podľa tohto zákona,
okrem informačného systému, v ktorom sa spracúvajú osobné údaje na základe § 10 ods.
3 písm. g), ktorý vždy podlieha oznamovacej povinnosti; úrad môže rozhodnúť, že informačný
systém, v ktorom sa spracúvajú osobné údaje na základe § 10 ods. 3 písm. g), podlieha
osobitnej registrácii,
c) obsahujú osobné údaje o členstve osôb v občianskom združení alebo
odborovej organizácii, a ak tieto osobné údaje spracúvajú a využívajú výlučne pre
svoju vnútornú potrebu, alebo obsahujú osobné údaje o náboženskej viere osôb združených
v štátom uznanej cirkvi alebo náboženskej spoločnosti, a ak tieto osobné údaje spracúva
cirkev alebo náboženská spoločnosť a využíva ich výlučne pre svoju vnútornú potrebu,
alebo obsahujú osobné údaje o členstve osôb v politickej strane alebo v politickom
hnutí, ktoré sú ich členmi, a ak tieto osobné údaje spracúva politická strana alebo
politické hnutie a využíva ich výlučne pre svoju vnútornú potrebu, alebo
d) obsahujú osobné údaje, ktoré sú spracúvané na základe zákona,
priamo vykonateľného právne záväzného aktu Európskej únie alebo medzinárodnej zmluvy,
ktorou je Slovenská republika viazaná.
§ 35
Nadpis zrušený od 15.4.2014
(1) Prevádzkovateľ je povinný oznámiť informačný systém podľa § 34
pred začatím spracúvania osobných údajov; oznámenie možno vykonať aj prostredníctvom
elektronického formulára. Oznámenie musí obsahovať
a) identifikačné údaje prevádzkovateľa,
b) meno a priezvisko štatutárneho orgánu prevádzkovateľa alebo inej
osoby oprávnenej konať v mene prevádzkovateľa,
c) identifikačné údaje zástupcu prevádzkovateľa, ak je vymenovaný;
ak prevádzkovateľ vymenoval svojho zástupcu, uvedie aj meno a priezvisko štatutárneho
orgánu zástupcu prevádzkovateľa alebo inej osoby oprávnenej konať v mene zástupcu
prevádzkovateľa,
d) počet oprávnených osôb prevádzkovateľa,
e) názov informačného systému,
f) účel spracúvania osobných údajov,
g) právny základ spracúvania osobných údajov,
h) okruh dotknutých osôb,
i) zoznam osobných údajov, alebo rozsah osobných údajov podľa § 10
ods. 4 prvej vety,
j) tretie strany, prípadne okruh tretích strán, ak sa predpokladá
alebo je zrejmé, že im budú osobné údaje poskytnuté a právny základ ich poskytovania,
k) okruh príjemcov, ak sa predpokladá alebo je zrejmé, že im budú
osobné údaje sprístupnené a právny základ ich sprístupnenia,
l) spôsob zverejnenia, ak prevádzkovateľ osobné údaje zverejňuje
a právny základ ich zverejnenia,
m) tretie krajiny, ak sa predpokladá alebo je zrejmé, že sa do týchto
krajín uskutoční prenos osobných údajov a právny základ ich prenosu,
n) označenie bezpečnostných opatrení prijatých na zabezpečenie ochrany
osobných údajov podľa § 19 ods. 1 a 2,
o) deň, keď sa začnú spracúvať osobné údaje v informačnom systéme.
(2) Vzor oznámenia informačného systému a príkladmý zoznam informačných
systémov podľa odseku 1 zverejní úrad na svojom webovom sídle.
(3) zrušený od 15.4.2014.
§ 36
Nadpis zrušený od 15.4.2014
(1) Ak ide o informačný systém, ktorý podľa § 34 podlieha oznamovacej
povinnosti a oznámenie spĺňa náležitosti podľa § 35 ods. 1, úrad informačnému systému
pridelí identifikačné číslo. O splnení oznamovacej povinnosti vydá úrad na žiadosť
prevádzkovateľa potvrdenie, ktoré obsahuje
a) identifikačné údaje úradu,
b) identifikačné údaje prevádzkovateľa; titul, meno, priezvisko a
adresa trvalého pobytu, ak je prevádzkovateľom fyzická osoba,
c) názov informačného systému,
d) pridelené identifikačné číslo,
e) titul, meno, priezvisko, funkciu a podpis zamestnanca úradu,
f) dátum splnenia oznamovacej povinnosti a
g) odtlačok úradnej pečiatky úradu.
(2) Ak oznámenie nespĺňa náležitosti podľa § 35 ods. 1, úrad vyzve
prevádzkovateľa na odstránenie nedostatkov v lehote, ktorú určí a ktorá nemôže byť
kratšia ako sedem dní. Ak prevádzkovateľ neodstráni nedostatky v určenej lehote,
úrad identifikačné číslo nepridelí a na oznámenie sa neprihliada.
(3) Ak informačný systém podlieha oznamovacej povinnosti a prevádzkovateľ
si splnil oznamovaciu povinnosť podľa § 35 ods. 1, je oprávnený začať so spracúvaním
osobných údajov odo dňa oznámenia.
(4) Ak informačný systém prevádzkovateľa po jeho oznámení začne spĺňať
podmienky uvedené v § 34 ods. 2, prevádzkovateľ je povinný o tom bez zbytočného odkladu
informovať úrad; úrad odníme identifikačné číslo, o čom bez zbytočného odkladu informuje
prevádzkovateľa. Ak úrad zistí túto skutočnosť pri plnení úloh podľa tohto zákona
z vlastnej iniciatívy, odníme identifikačné číslo, o čom bez zbytočného odkladu informuje
prevádzkovateľa. Proti rozhodnutiu o odňatí identifikačného čísla nie je prípustný
opravný prostriedok.
Osobitná registrácia
§ 37
Podmienky osobitnej registrácie
Osobitná registrácia sa vzťahuje na informačné systémy, v ktorých
prevádzkovateľ spracúva
a) osobné údaje na základe § 10 ods. 3 písm. g), ak o tom rozhodne úrad podľa § 34
ods. 2 písm. b),
b) osobné údaje na základe § 13 ods. 5 písm. b), c) a d), alebo
c) aspoň jeden z osobných údajov uvedených v § 13 ods. 1 a zároveň sa predpokladá
prenos týchto osobných údajov do tretej krajiny, ktorá nezaručuje primeranú úroveň
ochrany osobných údajov; osobitná registrácia sa nevyžaduje v prípadoch podľa § 31
ods. 9.
§ 38
Prihlásenie na osobitnú registráciu
(1) Prevádzkovateľ je povinný prihlásiť informačný systém na osobitnú
registráciu na úrade pred začatím spracúvania osobných údajov. Žiadosť, ktorou prevádzkovateľ
prihlasuje informačný systém na osobitnú registráciu, musí okrem náležitostí podľa
§ 35 ods. 1 obsahovať aj dôvod prihlasovania informačného systému na osobitnú registráciu
podľa § 37.
(2) Vzor žiadosti, ktorou prevádzkovateľ prihlasuje informačný systém
na osobitnú registráciu, zverejní úrad na svojom webovom sídle.
(3) Prílohou k žiadosti podľa odseku 2 sú podklady nevyhnutné na posúdenie,
či spracúvaním osobných údajov nevzniká nebezpečenstvo porušenia práv a slobôd dotknutých
osôb.
§ 39
Postup pri osobitnej registrácii
(1) Ak žiadosť nespĺňa náležitosti podľa § 38 ods. 1 a 3 alebo ak pri
posudzovaní žiadosti vzniknú akékoľvek pochybnosti, úrad vyzve prevádzkovateľa na
odstránenie nedostatkov alebo doplnenie podkladov v lehote, ktorú určí a ktorá nemôže
byť kratšia ako desať dní; počas tejto doby lehota v konaní o osobitnej registrácii
neplynie.
(2) Mieru nebezpečenstva porušenia práv a slobôd dotknutej osoby pri
spracúvaní osobných údajov individuálne pre konkrétny prípad posudzuje úrad.
(3) Ak spracúvaním osobných údajov nevzniká nebezpečenstvo porušenia
práv a slobôd dotknutých osôb, úrad zaregistruje informačný systém a pridelí mu registračné
číslo. O osobitnej registrácii vydá úrad potvrdenie, ktoré obsahuje
a) identifikačné
údaje úradu,
b) identifikačné údaje prevádzkovateľa; titul, meno, priezvisko a adresa trvalého
pobytu, ak je prevádzkovateľom fyzická osoba,
c) názov informačného systému,
d) pridelené registračné číslo,
e) titul, meno, priezvisko, funkciu a podpis zamestnanca úradu,
f) dátum registrácie a
g) odtlačok úradnej pečiatky úradu.
(4) Vzor potvrdenia o osobitnej registrácii zverejní úrad na svojom
webovom sídle.
(5) Prevádzkovateľ je oprávnený začať spracúvať osobné údaje v informačnom
systéme prihlásenom na osobitnú registráciu až po doručení potvrdenia o osobitnej
registrácii.
(6) Ak úrad spracúvanie osobných údajov v informačnom systéme prihlásenom
na osobitnú registráciu posúdi ako rizikové, rozhodne o neudelení osobitnej registrácie
prevádzkovateľovi na spracúvanie osobných údajov na daný účel. Prevádzkovateľ je
povinný bez zbytočného odkladu vykonať opatrenia, aby sa spracúvanie osobných údajov
neuskutočnilo.
(7) Ak pri posudzovaní predložených údajov úrad zistí, že prihlásený
informačný systém nepodlieha osobitnej registrácii, konanie o osobitnej registrácii
zastaví a prevádzkovateľa o tom bez zbytočného odkladu informuje.
(8) O osobitnej registrácii sa nevyhotovuje písomné rozhodnutie; proti
osobitnej registrácii nie je prípustný opravný prostriedok.
(9) Ak sa preukáže, že prevádzkovateľ spracúva osobné údaje v rozpore
so zákonom alebo dobrými mravmi, úrad rozhodnutím zruší osobitnú registráciu informačného
systému a rozhodne o ukončení spracúvania osobných údajov.
§ 40
Oznámenie zmien a odhlásenie osobitnej registrácie
(1) Prevádzkovateľ je povinný do 15 dní písomne oznámiť úradu akékoľvek
zmeny oznámených údajov a údajov prihlásených na osobitnú registráciu, ktoré nastanú
v priebehu spracúvania; povinnosť oznámenia zmien sa nevzťahuje na počet oprávnených
osôb podľa § 35 ods. 1 písm. d). Vzor žiadosti o oznámení zmien zverejní úrad na
svojom webovom sídle.
(2) Prevádzkovateľ je povinný do 15 dní odo dňa skončenia spracúvania
osobných údajov písomne oznámiť ukončenie používania informačného systému podľa §
35 ods. 1 a písomne odhlásiť informačný systém z osobitnej registrácie. Pri písomnom
oznámení podľa prvej vety je prevádzkovateľ povinný uviesť najmä svoje identifikačné
údaje, názov odhlasovaného informačného systému, identifikačné alebo registračné
číslo a dátum skončenia spracúvania osobných údajov. Vzor písomného oznámenia podľa
prvej vety zverejní úrad na svojom webovom sídle.
(3) Zmenu oznámených údajov podľa odseku 1 a oznámenie ukončenia používania
informačného systému podľa odseku 2 možno vykonať aj prostredníctvom elektronického
formulára.
§ 41
Poplatok za osobitnú registráciu
Za osobitnú registráciu a za zmenu osobitnej registrácie sa vyberá
správny poplatok podľa osobitného predpisu. 35)
§ 42
Sprístupnenie a zverejnenie oznámení a osobitnej registrácie
(1) Údaje z oznámení v rozsahu podľa § 35 ods. 1 a osobitnej registrácie
v rozsahu podľa § 38 ods. 1 je úrad povinný sprístupniť bezplatne komukoľvek, kto
o to požiada.
(2) Úrad prostredníctvom svojho webového sídla zverejňuje zoznam
oznámení a osobitných registrácií v rozsahu
a) názov a identifikačné číslo prevádzkovateľa
informačného systému; titul, meno a priezvisko, ak je prevádzkovateľom fyzická osoba,
a
b) identifikačné alebo registračné číslo informačného systému.
Evidencia
§ 43
Podmienky evidencie
(1) O informačných systémoch, ktoré nepodliehajú oznamovacej povinnosti
alebo osobitnej registrácii, je prevádzkovateľ povinný viesť evidenciu, a to najneskôr
odo dňa začatia spracúvania údajov v týchto informačných systémoch. Evidencia obsahuje
údaje v rozsahu podľa § 35 ods. 1. Vzor evidencie zverejní úrad na svojom webovom
sídle.
(2) Prevádzkovateľ je povinný viesť a aktualizovať evidenciu podľa
odseku 1 až do dňa ukončenia spracúvania osobných údajov v informačnom systéme; povinnosť
aktualizácie sa nevzťahuje na počet oprávnených osôb podľa § 35 ods. 1 písm. d).
TRETIA ČASŤ
ÚRAD
PRVÁ HLAVA
POSTAVENIE, PÔSOBNOSŤ A ORGANIZÁCIA ÚRADU
§ 45
Postavenie úradu
(1) Úrad je orgánom štátnej správy s celoslovenskou pôsobnosťou, ktorý
vykonáva dozor nad ochranou osobných údajov a podieľa sa na ochrane základných práv
a slobôd fyzických osôb pri spracúvaní ich osobných údajov.
(2) Sídlom úradu je Bratislava.
(3) Úrad pri výkone svojej pôsobnosti postupuje nezávisle a riadi sa
ústavou, ústavnými zákonmi, zákonmi, ostatnými všeobecne záväznými právnymi predpismi
a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná.
(4) Úrad je rozpočtovou organizáciou.36) Návrh rozpočtu predkladá úrad
ako súčasť kapitoly Všeobecná pokladničná správa. Schválený rozpočet úradu môže znížiť
v priebehu kalendárneho roku iba Národná rada Slovenskej republiky.
(5) Podrobnosti o organizácii úradu upraví organizačný poriadok.
§ 46
Pôsobnosť úradu
(1) Úrad pri výkone dozoru nad ochranou osobných údajov plní tieto
úlohy:
a) vykonáva dozor nad dodržiavaním povinností ustanovených zákonom pri spracúvaní
osobných údajov,
b) priebežne sleduje stav ochrany osobných údajov, plnenie oznamovacej povinnosti,
osobitnú registráciu informačných systémov a vedenie evidencie o informačných systémoch,
c) prijíma návrhy a podnety týkajúce sa podozrenia z porušovania povinností ustanovených
zákonom pri spracúvaní osobných údajov alebo koná z vlastnej iniciatívy,
d) vykonáva kontrolu spracúvania osobných údajov v informačných systémoch,
e) pri podozrení z porušenia povinností uložených týmto zákonom môže predvolať prevádzkovateľa
alebo sprostredkovateľa,
f) na odstránenie zistených nedostatkov rozhodnutím ukladá opatrenia na nápravu,
g) ukladá sankcie pri zistení porušenia povinností uvedených v tomto zákone,
h) odporúča prevádzkovateľom opatrenia na zabezpečenie ochrany osobných údajov v
informačných systémoch; na tento účel v rozsahu svojej pôsobnosti vydáva odporúčania
pre prevádzkovateľov,
i) umožňuje splnenie oznamovacej povinnosti a vykonáva osobitnú registráciu informačných
systémov a zabezpečuje zverejnenie ich stavu,
j) vedie register zodpovedných osôb,
k) poskytuje konzultácie v oblasti ochrany osobných údajov,
l) v rozsahu svojej pôsobnosti vydáva záväzné stanoviská,
m) metodicky usmerňuje prevádzkovateľov a sprostredkovateľov pri spracúvaní osobných
údajov,
n) vykonáva skúšky zodpovedných osôb a vydáva potvrdenia o ich absolvovaní,
o) vydáva súhlas na prenos osobných údajov do tretích krajín, ktoré nezaručujú primeranú
úroveň ochrany,
p) na účely cezhraničného prenosu osobných údajov do tretích krajín, ktoré nezaručujú
primeranú úroveň ochrany, schvaľuje záväzné vnútropodnikové pravidlá prevádzkovateľa,
q) podieľa sa na príprave všeobecne záväzných právnych predpisov v oblasti ochrany
osobných údajov,
r) vyjadruje sa k návrhom zákonov a k návrhom ostatných všeobecne záväzných právnych
predpisov, v ktorých sa upravuje spracúvanie osobných údajov,
s) v rozsahu svojej pôsobnosti vydáva všeobecne záväzné právne predpisy,
t) predkladá Národnej rade Slovenskej republiky správu o stave ochrany osobných údajov
najmenej raz za dva roky; správu o stave ochrany osobných údajov zverejňuje úrad
na svojom webovom sídle,
u) zverejňuje na svojom webovom sídle vzory poučení oprávnenej osoby podľa § 21.
(2) Okrem plnenia úloh podľa odseku 1 úrad ďalej
a) plní oznamovaciu
povinnosť voči Európskej komisii v oblasti ochrany osobných údajov,
b) prijíma opatrenia na vykonanie rozhodnutí Európskej komisie vydaných v oblasti
ochrany osobných údajov a
c) spolupracuje pri výkone dozoru nad ochranou osobných údajov s obdobnými orgánmi
dozoru v zahraničí.
(3) Ak úrad zistí skutočnosti nasvedčujúce tomu, že zákon, iný všeobecne
záväzný právny predpis alebo prevádzkovateľom vydaný vnútorný predpis porušuje základné
práva a slobody fyzických osôb pri spracúvaní ich osobných údajov, predseda úradu
môže podať podnet na jeho zmenu alebo zrušenie orgánu, ktorý tento predpis prijal.
(4) Predmetom dozoru nad ochranou osobných údajov nie sú spory zo zmluvných
alebo predzmluvných vzťahov medzi prevádzkovateľmi alebo sprostredkovateľmi a dotknutými
osobami alebo inými fyzickými osobami, alebo právnickými osobami, na ktorých prejednávanie
a rozhodovanie sú príslušné súdy alebo iné orgány podľa osobitných zákonov.
(5) Ak osobné údaje spracúvajú spravodajské služby a Národný bezpečnostný
úrad, dozor nad ochranou osobných údajov vykonáva Národná rada Slovenskej republiky
podľa osobitného predpisu.37)
Organizácia úradu
§ 47
Predseda úradu
(1) Na čele úradu je predseda, ktorého volí a odvoláva Národná rada
Slovenskej republiky na návrh vlády Slovenskej republiky.
(2) Funkčné obdobie predsedu úradu je päť rokov a možno ho zvoliť najviac
na dve po sebe nasledujúce funkčné obdobia. Predseda úradu ostáva vo funkcii aj po
uplynutí funkčného obdobia, kým Národná rada Slovenskej republiky nezvolí nového
predsedu.
(3) Za predsedu úradu možno zvoliť občana Slovenskej republiky, ktorý
je voliteľný do Národnej rady Slovenskej republiky, má spôsobilosť na právne úkony
v plnom rozsahu, má vysokoškolské vzdelanie druhého stupňa a je bezúhonný podľa §
23 ods. 6 prvá a druhá veta.
(4) Predseda úradu je povinný zachovávať mlčanlivosť o skutočnostiach,
o ktorých sa dozvedel počas výkonu svojej funkcie, a to aj po skončení výkonu svojej
funkcie. Od povinnosti mlčanlivosti môže predsedu úradu v konkrétnom prípade oslobodiť
Národná rada Slovenskej republiky.
(5) Za svoju činnosť predseda úradu zodpovedá Národnej rade Slovenskej
republiky.
(6) Predseda úradu má počas výkonu svojej funkcie postavenie vedúceho
služobného úradu podľa osobitného zákona.38)
(7) Pred uplynutím funkčného obdobia výkon funkcie predsedu úradu
zaniká
a) vzdaním sa funkcie,
b) stratou voliteľnosti do Národnej rady Slovenskej republiky,
c) nadobudnutím právoplatnosti rozsudku, ktorým bol odsúdený za úmyselný trestný
čin alebo ktorým bol odsúdený za trestný čin a výkon trestu mu nebol podmienečne
odložený,
d) výkonom činnosti, ktorá je nezlučiteľná s výkonom jeho funkcie podľa osobitného
predpisu,39) alebo
e) smrťou.
(8) Predseda úradu môže byť z funkcie odvolaný, ak
a) mu zdravotný
stav dlhodobo, najmenej však počas jedného roka, nedovoľuje riadne vykonávať povinnosti
vyplývajúce z jeho funkcie,
b) porušil povinnosť zachovávať mlčanlivosť o skutočnostiach, o ktorých sa dozvedel
v súvislosti s výkonom svojej funkcie.
(9) Platové a ďalšie náležitosti predsedu úradu určuje vláda Slovenskej
republiky podľa osobitného predpisu. 38)
§ 48
Podpredseda úradu
(1) Predsedu úradu zastupuje podpredseda úradu, ktorého vymenúva a
odvoláva vláda Slovenskej republiky na návrh predsedu úradu.
(2) Funkčné obdobie podpredsedu úradu je päť rokov a možno ho vymenovať
najviac na dve po sebe nasledujúce obdobia. Podpredseda úradu ostáva vo funkcii aj
po uplynutí funkčného obdobia, kým vláda Slovenskej republiky nevymenuje nového podpredsedu.
(3) Na výkon funkcie podpredsedu úradu sa ustanovenia § 47 ods. 3,
7 a 8 vzťahujú rovnako.
§ 49
Vrchný inšpektor úradu
(1) Na čele inšpektorov je vrchný inšpektor úradu, ktorého vymenúva
a odvoláva vláda Slovenskej republiky na návrh predsedu úradu.
(2) Za vrchného inšpektora možno vymenovať občana,40) ktorý má spôsobilosť
na právne úkony v plnom rozsahu, je bezúhonný, má vysokoškolské vzdelanie druhého
stupňa a najmenej päťročnú odbornú prax v oblasti informatiky alebo práva a dosiahol
vek najmenej 35 rokov.
(3) Funkčné obdobie vrchného inšpektora je päť rokov a do funkcie ho
možno vymenovať najviac na dve po sebe nasledujúce obdobia. Vrchný inšpektor ostáva
vo funkcii aj po uplynutí funkčného obdobia, kým vláda Slovenskej republiky nevymenuje
nového vrchného inšpektora.
(4) Vrchného inšpektora možno z funkcie odvolať, ak
a) mu zdravotný
stav dlhodobo, najmenej však počas šiestich mesiacov, nedovoľuje riadne vykonávať
povinnosti vyplývajúce z jeho funkcie,
b) porušil povinnosť zachovávať mlčanlivosť o skutočnostiach, o ktorých sa dozvedel
v súvislosti s výkonom svojej funkcie, alebo
c) opakovane neplní úlohy ustanovené v § 46 ods. 1 písm. a) a d) alebo porušuje služobnú
disciplínu, a ak v posledných šiestich mesiacoch predseda úradu vrchného inšpektora
úradu opakovane písomne vyzval na odstránenie nedostatkov a vrchný inšpektor úradu
ich v primeranej lehote neodstránil.
(5) Vrchný inšpektor úradu sa z funkcie odvolá, ak hrubo zanedbal povinnosti
uložené týmto zákonom, ak nepreukáže, že zavinenie nespôsobil alebo mu nemohol zabrániť,
alebo pre hrubé porušenie služobnej disciplíny.
(6) Pred uplynutím funkčného obdobia výkon funkcie vrchného inšpektora
úradu zaniká
a) vzdaním sa funkcie,
b) nadobudnutím právoplatnosti rozsudku, ktorým bol odsúdený za úmyselný trestný
čin alebo ktorým bol odsúdený za trestný čin a výkon trestu mu nebol podmienečne
odložený,
c) výkonom činnosti, ktorá je nezlučiteľná s výkonom jeho funkcie, alebo
d) smrťou.
§ 50
Inšpektor úradu
(1) Inšpektora úradu vymenúva a odvoláva predseda úradu zo štátnych
zamestnancov38) vykonávajúcich štátnu službu v úrade.
(2) Za inšpektora úradu možno vymenovať občana,40) ktorý má vysokoškolské
vzdelanie druhého stupňa a najmenej trojročnú odbornú prax v oblasti informatiky
alebo práva a dosiahol vek najmenej 30 rokov.
(3) Inšpektora úradu možno odvolať pri zmene štátnozamestnaneckého
pomeru,38) a ak mu zdravotný stav dlhodobo, najmenej však počas šiestich mesiacov,
nedovoľuje riadne vykonávať povinnosti vyplývajúce z opisu činností štátneho zamestnanca.
§ 51
Podpredseda úradu, vrchný inšpektor, inšpektor úradu a zamestnanec
úradu sú povinní zachovávať mlčanlivosť o skutočnostiach, o ktorých sa dozvedeli
počas plnenia úloh podľa tohto zákona, a to aj po skončení výkonu svojej funkcie,
štátnozamestnaneckého pomeru alebo pracovného pomeru. Od povinnosti mlčanlivosti
môže podpredsedu úradu, vrchného inšpektora, inšpektora a zamestnanca úradu v konkrétnom
prípade zbaviť predseda úradu.
DRUHÁ HLAVA
KONTROLA
§ 52
Začatie kontroly
(1) Kontrolu spracúvania osobných údajov podľa tohto zákona vykonáva
vrchný inšpektor úradu, inšpektor úradu a zamestnanci úradu, ktorí sú členmi kontrolného
orgánu (ďalej len "kontrolný orgán").
(2) Kontrolný orgán vykoná kontrolu ako riadnu kontrolu na základe ročného
plánu kontrol alebo ako mimoriadnu kontrolu na základe podozrenia z porušenia povinností
pri spracúvaní osobných údajov ustanovených zákonom alebo v rámci konania o ochrane
osobných údajov.
(3) Vrchný inšpektor úradu vykonáva kontrolu na základe písomného poverenia
predsedu úradu. Inšpektor úradu vykoná kontrolu na základe písomného poverenia vrchného
inšpektora úradu. Zamestnanec úradu sa zúčastňuje na kontrole na základe písomného
poverenia predsedu úradu alebo vrchného inšpektora úradu. Písomné poverenie na vykonanie
kontroly obsahuje
a) identifikačné údaje úradu,
b) identifikačné údaje kontrolovanej osoby,
c) titul, meno a priezvisko kontrolného orgánu,
d) deň, miesto a čas kontroly,
e) predmet kontroly,
f) odtlačok úradnej pečiatky a podpis predsedu úradu alebo vrchného inšpektora úradu
podľa prvej až tretej vety.
(4) Vzor poverenia na vykonanie kontroly zverejní úrad na svojom webovom
sídle.
(5) Kontrola je začatá dňom doručenia oznámenia o kontrole prevádzkovateľovi
alebo sprostredkovateľovi (ďalej len "kontrolovaná osoba").
§ 53
Pri výkone kontroly je kontrolný orgán povinný postupovať tak, aby neboli
dotknuté práva a právom chránené záujmy kontrolovanej osoby.
§ 54
Zaujatosť v kontrole
(1) Kontrolný orgán, ktorý sa dozvedel o skutočnostiach zakladajúcich
pochybnosti o jeho zaujatosti, je povinný tieto skutočnosti písomne oznámiť úradu
bez zbytočného odkladu.
(2) Ak má kontrolovaná osoba pochybnosti o zaujatosti kontrolného orgánu
so zreteľom na jeho vzťah k predmetu kontroly alebo ku kontrolovanej osobe, kontrolovaná
osoba je oprávnená podať písomné námietky s uvedením dôvodu. Podanie námietok nemá
odkladný účinok; kontrolný orgán je podľa prvej vety oprávnený vykonať pri kontrole
len také úkony, ktoré neznesú odklad.
(3) O námietkach zaujatosti a o oznámení zaujatosti rozhodne predseda
úradu v lehote do piatich pracovných dní od ich uplatnenia a písomne oboznámi s rozhodnutím
toho, kto námietku uplatnil. Proti rozhodnutiu predsedu úradu nemožno podať opravný
prostriedok.
(4) Na rozhodovanie o zaujatosti sa nevzťahuje všeobecný predpis o správnom
konaní.41)
§ 55
Povinnosti kontrolného orgánu
Kontrolný orgán je povinný
a) vopred písomne oznámiť kontrolovanej
osobe predmet a účel kontroly; to neplatí, ak by oznámenie o kontrole pred začatím
kontroly mohlo viesť k zmareniu účelu kontroly alebo podstatnému sťaženiu výkonu
kontroly, keď oznámenie o kontrole možno vykonať pri začatí kontroly,
b) pred začatím kontroly preukázať sa poverením na vykonanie kontroly a preukázať
svoju príslušnosť k úradu,
c) vypracovať protokol o vykonaní kontroly (ďalej len "protokol") alebo záznam o
kontrole,
d) uvádzať do protokolu a do záznamu o kontrole kontrolné zistenia,
e) oboznámiť kontrolovanú osobu s kontrolnými zisteniami v protokole a vyžiadať si
od nej v lehote určenej kontrolným orgánom písomné vyjadrenie ku kontrolným zisteniam
uvedeným v protokole,
f) odovzdať kontrolovanej osobe jedno vyhotovenie protokolu alebo záznamu o kontrole,
g) písomne potvrdiť kontrolovanej osobe prevzatie originálov alebo kópií dokladov,
písomných dokumentov, kópií pamäťových médií a iných materiálov a zabezpečiť ich
riadnu ochranu pred stratou, zničením, poškodením a zneužitím,
h) preveriť opodstatnenosť námietok ku kontrolným zisteniam uvedeným v protokole
a zohľadniť opodstatnenosť námietok v dodatku k protokolu a oboznámiť s ním kontrolovanú
osobu,
i) prerokovať protokol o výsledku kontroly s kontrolovanou osobou a vyhotoviť zápisnicu
o jeho prerokovaní,
j) o priebehu a výsledku vykonávanej kontroly informovať predsedu úradu a aj vrchného
inšpektora úradu, ak vrchný inšpektor nevykonáva kontrolu.
§ 56
Oprávnenia kontrolného orgánu
Kontrolný orgán je oprávnený
a) vstupovať na pozemky, do budov alebo
miestností prevádzok a zariadení prevádzkovateľa a sprostredkovateľa,
b) overovať totožnosť kontrolovanej osoby a fyzických osôb, ktoré v mene kontrolovanej
osoby konajú,
c) vyžadovať od kontrolovanej osoby, aby kontrolnému orgánu v určenej lehote poskytla
doklady, iné písomnosti, vyjadrenia a informácie, údaje spracúvané na pamäťových
médiách vrátane technických nosičov údajov, výpisy a zdrojové kódy programov, ak
ich vlastní, a ďalšie materiály potrebné na výkon kontroly, originály alebo kópie
a v odôvodnených prípadoch mu umožnila odoberať kópie aj mimo priestorov kontrolovanej
osoby,
d) požadovať v primeranej lehote od kontrolovanej osoby úplné a pravdivé ústne a
písomné informácie, vyjadrenia a vysvetlenia ku kontrolovaným a s kontrolou súvisiacim
skutočnostiam a k zisteným nedostatkom,
e) vstupovať do informačných systémov do úrovne správcu systému v rozsahu potrebnom
na vykonanie kontroly,
f) vyžadovať súčinnosť kontrolovanej osoby.
§ 57
Povinnosti kontrolovanej osoby
Kontrolovaná osoba je povinná
a) vytvoriť kontrolnému orgánu primerané
podmienky na výkon kontroly a spracovanie kontrolných zistení,
b) poskytnúť kontrolnému orgánu požadovanú súčinnosť v súlade s jeho oprávneniami
podľa § 56 a zdržať sa konania, ktoré by mohlo mariť výkon kontroly,
c) dostaviť sa na predvolanie úradu s cieľom podať vysvetlenia v určenom čase na
určené miesto,
d) oboznámiť sa s obsahom protokolu a na požiadanie kontrolného orgánu dostaviť sa
na jeho prerokovanie.
§ 58
Oprávnenia kontrolovanej osoby
Kontrolovaná osoba je oprávnená
a) oboznamovať sa s kontrolnými zisteniami
a písomne sa k nim vyjadrovať,
b) podať písomné námietky po oboznámení sa s kontrolnými zisteniami,
c) vyžadovať od kontrolného orgánu preukázanie skutočností podľa § 55 písm. b),
d) overiť totožnosť prizvanej osoby a vyžadovať od prizvanej osoby preukázanie, že
je oprávnená sa zúčastniť vykonania kontroly,
e) vyžadovať od kontrolného orgánu potvrdenie o odobratí originálov alebo kópií dokumentov
podľa § 56 písm. c),
f) vyžadovať, aby výkonom kontroly neboli dotknuté jej práva a právom chránené záujmy;
týmto nie sú dotknuté ustanovenia § 56 a 57.
§ 59
Prizvaná osoba
(1) Ak je to odôvodnené osobitnou povahou kontroly, môže kontrolný orgán
prizvať na vykonanie kontroly iné fyzické osoby. Účasť týchto fyzických osôb na kontrole
sa považuje za iný úkon vo všeobecnom záujme.
(2) Prizvaná osoba sa ako člen kontrolného orgánu zúčastňuje kontroly
na základe písomného poverenia predsedu úradu alebo vrchného inšpektora; o prizvaní
fyzickej osoby kontrolný orgán upovedomí kontrolovanú osobu podľa § 55 písm. a).
(3) Prizvaná osoba je povinná zachovávať mlčanlivosť o skutočnostiach,
o ktorých sa dozvedela počas výkonu kontroly, a to aj po jej ukončení. Od povinnosti
mlčanlivosti môže prizvanú osobu zbaviť predseda úradu.
(4) Prizvaná osoba nemôže vykonávať úlohy podľa tohto zákona, ak so zreteľom
na jej vzťah k predmetu veci možno mať pochybnosti o jej nezaujatosti. Prizvaná osoba,
ktorá sama vie o skutočnostiach zakladajúcich pochybnosti o jej zaujatosti, oznámi
tieto skutočnosti bez zbytočného odkladu úradu.
(5) Kontrolovaná osoba môže písomne vzniesť preukázateľné námietky o
zaujatosti prizvanej osoby. Prizvaná osoba môže do rozhodnutia o námietkach zaujatosti
vykonať pri kontrole len také úkony, ktoré neznesú odklad.
(6) O námietkach zaujatosti a o oznámení zaujatosti rozhodne predseda
úradu v lehote do troch pracovných dní od ich uplatnenia. Proti rozhodnutiu predsedu
úradu nemožno podať opravný prostriedok.
(7) Na rozhodovanie o zaujatosti sa nevzťahuje všeobecný predpis o správnom
konaní.41)
§ 60
Ukončenie kontroly
(1) Výsledkom kontroly je protokol alebo záznam o kontrole.
(2) Ak boli kontrolou zistené nedostatky, kontrolný orgán vypracuje
protokol, ktorý obsahuje
a) identifikačné údaje úradu,
b) identifikačné údaje kontrolovanej osoby,
c) miesto, dátum a čas vykonania kontroly,
d) predmet kontroly,
e) preukázané kontrolné zistenia,
f) vyjadrenia kontrolovanej osoby ku kontrolným zisteniam,
g) titul, meno, priezvisko a funkciu alebo pracovné zaradenie kontrolného orgánu,
ktorý kontrolu vykonal,
h) dátum vypracovania protokolu,
i) odtlačok úradnej pečiatky, vlastnoručné podpisy kontrolného orgánu, zodpovedných
zamestnancov kontrolovanej osoby, ktorí boli s obsahom protokolu oboznámení, a prizvanej
osoby, ak kontrolný orgán na vykonanie kontroly prizval fyzickú osobu podľa § 59,
j) dátum oboznámenia sa s protokolom; ak sa kontrolovaná osoba odmietne oboznámiť
s obsahom protokolu, vyjadriť sa ku kontrolným zisteniam alebo podpísať protokol,
uvedie sa táto skutočnosť v protokole, a
k) písomné potvrdenie o prevzatí protokolu kontrolovanou osobou.
(3) Protokol podľa odseku 2 môže obsahovať prílohy; prílohy tvoria neoddeliteľnú
súčasť protokolu.
(4) Kontrolovaná osoba je po oboznámení sa s kontrolnými zisteniami uvádzanými
v protokole oprávnená podať písomné námietky v lehote siedmich dní odo dňa podpísania
protokolu; deň odmietnutia podpísať protokol podľa odseku 2 písm. j) vety za bodkočiarkou
sa považuje za deň podpísania protokolu. Na neskôr podané námietky kontrolný orgán
neprihliada.
(5) Ak sú proti kontrolným zisteniam podané námietky podľa odseku 4 alebo
vyšli najavo nové skutočnosti, ktoré v čase oboznamovania s protokolom neboli známe,
kontrolný orgán posúdi ich obsah z hľadiska ich opodstatnenosti v lehote 15 dní odo
dňa doručenia námietok a vypracuje o nich dodatok, ktorý je neoddeliteľnou súčasťou
protokolu. Ak kontrolný orgán neakceptuje námietky kontrolovaného subjektu, je povinný
to v dodatku zdôvodniť. Pri jeho vypracovaní sa postupuje primerane podľa odseku
2.
(6) Kontrolný orgán písomne informuje kontrolovanú osobu o výsledku preskúmania
námietok v lehote 15 dní odo dňa doručenia námietok.
(7) Ak sa kontrolou nezistí porušenie povinností ustanovených zákonom,
kontrolný orgán vypracuje záznam o kontrole. Pri jeho vypracovaní sa postupuje primerane
podľa odseku 2.
(8) Kontrola je ukončená dňom podpísania zápisnice o prerokovaní protokolu
alebo dňom podpísania záznamu o kontrole podľa odseku 7. Ak kontrolovaná osoba odmietne
podpísať zápisnicu o prerokovaní protokolu, kontrola sa považuje za ukončenú dňom
odmietnutia jej podpísania, o čom kontrolný orgán vyhotoví v zápisnici záznam.
§ 61
(1) Protokol a informácie, ktoré obsahuje dokumentácia súvisiaca s výkonom
kontroly podľa tohto zákona, sa nesprístupňujú podľa osobitného zákona.42)
(2) Na výkon kontroly sa nevzťahuje osobitný zákon o kontrole v štátnej
správe.43)
(3) Na doručovanie písomností pri výkone kontroly sa vzťahuje všeobecný
predpis o správnom konaní. 43a)
TRETIA HLAVA
KONANIE O OCHRANE OSOBNÝCH ÚDAJOV
§ 62
(1) Účelom konania o ochrane osobných údajov (ďalej len "konanie") je
zistiť, či postupom prevádzkovateľa alebo sprostredkovateľa došlo k porušeniu práv
fyzických osôb pri spracúvaní ich osobných údajov a v prípade zistenia nedostatkov,
uložiť opatrenia na nápravu, prípadne sankciu za porušenie tohto zákona.
(2) Konanie je neverejné; tým nie je dotknuté ustanovenie § 71.
§ 63
Začatie konania
(1) Konanie sa začína na návrh dotknutej osoby alebo osoby, ktorá tvrdí,
že je priamo dotknutá na svojich právach ustanovených týmto zákonom (ďalej len "navrhovateľ"),
alebo bez návrhu.
(2) Návrh na začatie konania podľa odseku 1 musí obsahovať
a) meno,
priezvisko, adresu trvalého pobytu a podpis navrhovateľa,
b) označenie toho, proti komu návrh smeruje; názov alebo meno a priezvisko, sídlo
alebo trvalý pobyt, prípadne právnu formu a identifikačné číslo,
c) predmet návrhu s označením, ktoré práva sa podľa tvrdenia navrhovateľa pri spracúvaní
osobných údajov porušili,
d) dôkazy na podporu tvrdení uvedených v návrhu,
e) kópiu listiny preukazujúcej uplatnenie práva podľa § 28, ak sa takéto právo mohlo
uplatniť, alebo uvedenie dôvodov hodných osobitného zreteľa.
(3) Úrad môže návrh na začatie konania podľa odseku 1 odložiť, ak
a)
návrh je zjavne neopodstatnený,
b) vec, ktorej sa návrh týka, prejednáva orgán činný v trestnom konaní,
c) navrhovateľ neposkytol úradu na jeho žiadosť potrebnú súčinnosť, pričom bez jeho
aktívnej účasti nie je možné vec vybaviť; navrhovateľ musí byť o možnosti odloženia
jeho návrhu poučený,
d) od udalosti, ktorej sa návrh týka, uplynul v deň jeho doručenia čas dlhší ako
tri roky.
(4) V odôvodnených prípadoch, v ktorých by mohlo dôjsť k porušeniu práv
a právom chránených záujmov dotknutej osoby, môže úrad na žiadosť navrhovateľa utajiť
jeho totožnosť.
(5) Ak návrh na začatie konania doručí úradu iná osoba ako navrhovateľ,
návrh sa považuje za podnet na začatie konania bez návrhu (ďalej len "podnet").
(6) Úrad môže podnet podľa odseku 5 odložiť, ak
a) podnet je zjavne
neopodstatnený,
b) vec, ktorej sa podnet týka, prejednáva orgán činný v trestnom konaní,
c) od udalosti, ktorej sa podnet týka, uplynul v deň jeho doručenia čas dlhší ako
tri roky.
(7) Ak úrad podnet neodloží podľa odseku 6, začne konanie z vlastnej
iniciatívy. Úrad začne konanie z vlastnej iniciatívy aj na základe výsledkov kontroly
podľa § 60 ods. 2, ktorou boli zistené nedostatky.
(8) Fyzická osoba alebo právnická osoba, ktorá podala podnet, nie je
účastníkom konania. O spôsobe vybavenia jej podnetu podľa prvej vety ju úrad bez
zbytočného odkladu informuje.
§ 64
Lehoty
(1) Úrad rozhodne o návrhu navrhovateľa v lehote do 60 dní odo dňa začatia
konania. V odôvodnených prípadoch úrad túto lehotu primerane predĺži, najviac však
o šesť mesiacov. O predĺžení lehoty úrad písomne informuje účastníkov konania.
(2) Úrad posúdi podnet fyzickej osoby alebo právnickej osoby podľa §
63 ods. 5 v lehote 15 dní odo dňa jeho doručenia. Ak úrad nepostupuje podľa § 63
ods. 6, začne konanie a vo veci rozhodne v lehote podľa odseku 1.
(3) Ak je počas konania začatého na základe návrhu navrhovateľa alebo
na základe vlastnej iniciatívy podľa § 63 ods. 7 potrebné vykonať kontrolu, lehota
na vybavenie návrhu podľa odseku 1 neplynie odo dňa začatia kontroly až do dňa skončenia
kontroly. Výsledok kontroly je podkladom na rozhodnutie vo veci.
§ 65
Rozhodnutie
(1) Ak úrad zistí porušenie práv navrhovateľa, fyzickej osoby v konaní
bez návrhu alebo nesplnenie povinností pri spracúvaní osobných údajov ustanovených
zákonom, uloží rozhodnutím prevádzkovateľovi alebo sprostredkovateľovi, aby v určenej
lehote vykonal opatrenia na odstránenie zistených nedostatkov a príčin ich vzniku;
inak konanie o ochrane osobných údajov zastaví.
(2) Okrem opatrení podľa odseku 1 úrad je oprávnený ďalej uložiť opatrenia
prevádzkovateľovi alebo sprostredkovateľovi, ktorými
a) zakáže spracúvanie tých osobných
údajov, ktorých spracúvanie je v rozpore s ustanoveniami tohto zákona,
b) zakáže spracúvanie, ktoré je v rozpore s ustanoveniami tohto zákona,
c) nariadi odstránenie alebo likvidáciu osobných údajov v určenej lehote, ak sú alebo
boli neoprávnene spracúvané,
d) uloží povinnosť prijať technické, organizačné a personálne opatrenia zodpovedajúce
spôsobu spracúvania,
e) uloží povinnosť zabezpečiť vypracovanie alebo doplnenie dokumentácie alebo bezpečnostného
projektu v súlade s týmto zákonom,
f) uloží prevádzkovateľovi povinnosť zmeniť sprostredkovateľa v určenej lehote, ak
prevádzkovateľ vykonáva spracúvanie osobných údajov prostredníctvom sprostredkovateľa.
(3) Ak porušenie práv dotknutej osoby alebo nesplnenie povinností pri
spracúvaní osobných údajov neznesie odklad, úrad vydá predbežné opatrenie.
(4) Prevádzkovateľ alebo sprostredkovateľ je povinný informovať úrad
o splnení uložených opatrení v úradom určenej lehote.
ŠTVRTÁ HLAVA
SANKCIE A ZVEREJNENIE PORUŠENIA ZÁKONA
§ 68
Pokuta
(1) Úrad môže uložiť pokutu od 300 eur do 3 000 eur prevádzkovateľovi,
ktorý
a) nezabezpečil správnosť a aktuálnosť osobných údajov podľa § 16 ods.
2,
b) neoznámil zistené nedostatky tretím stranám podľa § 18 ods. 1 alebo
nevie pri kontrole preukázať úradu, že upustenie od oznámenia podľa § 18 bolo dôvodné,
alebo prijal oznámenie ako tretia strana a nevykonal opatrenia v rozsahu a spôsobom
podľa § 18 ods. 2,
c) nesplnil alebo porušil povinnosť hodnoverne preukázať vyhotovenie
záznamu poučenia oprávnených osôb podľa § 21 ods. 3,
d) nesplnil alebo porušil povinnosť vyhotoviť poverenie zodpovednej
osoby podľa § 23 ods. 8,
e) nesplnil alebo porušil oznamovaciu povinnosť podľa § 25 ods. 2 až
4,
f) nesplnil alebo porušil povinnosť ukončenia poverenia zodpovednej
osoby podľa § 26,
g) nevykonal oznámenie o obmedzení práv dotknutej osoby podľa § 30,
h) nesplnil alebo porušil povinnosť podľa § 35 ods. 1 a § 36 ods. 3
prvej vety,
i) nesplnil alebo porušil povinnosť oznámenia zmien podľa § 40,
j) nesplnil alebo porušil povinnosť vedenia evidencie informačného
systému podľa § 43, alebo
k) nesplnil alebo porušil povinnosť sprístupniť údaje z evidencie podľa
§ 44.
(2) Úrad môže uložiť pokutu od 1 000 eur do 50 000 eur prevádzkovateľovi,
ktorý
a) nesplnil alebo porušil niektorú z povinností základných zásad spracúvania
osobných údajov podľa § 5 až 7 a 9 až 12,
b) pri výbere a poverovaní sprostredkovateľa nesplnil alebo porušil
niektorú z povinností podľa § 8 ods. 2 až 5,
c) pri získavaní osobných údajov nesplnil alebo porušil niektorú z
povinností podľa § 15,
d) nesplnil alebo porušil niektorú z povinností likvidácie osobných
údajov podľa § 17,
e) nesplnil alebo porušil niektorú z povinností bezpečnosti spracúvania
osobných údajov podľa § 19 ods. 1 a 3 a § 20,
f) nesplnil alebo porušil niektorú z povinností upravujúcich poučenie
oprávnených osôb podľa § 21 ods. 2 a 4,
g) pri výkone dohľadu nad ochranou osobných údajov nesplnil alebo porušil
niektorú z povinností podľa § 23 ods. 2 a 5 až 7 a § 25 ods. 1,
h) pri vybavovaní žiadosti dotknutej osoby nesplnil alebo porušil niektorú
z povinností podľa § 28 a 29.
(3) Úrad uloží pokutu od 1 000 eur do 200 000 eur prevádzkovateľovi,
ktorý
a) nesplnil alebo porušil povinnosť poveriť spracúvaním osobných údajov
sprostredkovateľa na základe písomnej zmluvy podľa § 8 ods. 3 prvej vety,
b) pri spracúvaní osobitnej kategórie osobných údajov nesplnil alebo
porušil niektorú z povinností podľa § 13 a 14,
c) nesplnil alebo porušil povinnosť mať vypracovaný bezpečnostný projekt
podľa § 19 ods. 2,
d) nevykonal prenos osobných údajov do tretích krajín podľa § 31 alebo
nesplnil, alebo porušil niektorú z podmienok podľa § 31 a § 32 ods. 2, 3 a 4, alebo
e) nesplnil alebo porušil povinnosť osobitnej registrácie informačného
systému podľa § 37 a 38, § 39 ods. 5 a ods. 6 druhej vety.
(4) Úrad môže uložiť pokutu od 300 eur do 3 000 eur sprostredkovateľovi,
ktorý
a) nezabezpečil správnosť a aktuálnosť osobných údajov podľa § 16 ods.
2,
b) neoznámil zistené nedostatky tretím stranám podľa § 18 ods. 1 alebo
nevie pri kontrole preukázať úradu, že upustenie od oznámenia podľa § 18 bolo dôvodné,
alebo prijal oznámenie ako tretia strana a nevykonal opatrenia v rozsahu a spôsobom
podľa § 18 ods. 2,
c) nesplnil alebo porušil povinnosť hodnoverne preukázať vyhotovenie
záznamu poučenia oprávnených osôb podľa § 21 ods. 3,
d) nesplnil alebo porušil povinnosť vyhotoviť poverenie zodpovednej
osoby podľa § 23 ods. 8,
e) nesplnil alebo porušil oznamovaciu povinnosť podľa § 25 ods. 2 až
4,
f) nesplnil alebo porušil povinnosť ukončenia poverenia zodpovednej
osoby podľa § 26,
g) nevykonal oznámenie o obmedzení práv dotknutej osoby podľa § 30.
(5) Úrad môže uložiť pokutu od 1 000 eur do 50 000 eur sprostredkovateľovi,
ktorý
a) nesplnil alebo porušil niektorú z povinností základných zásad spracúvania
osobných údajov podľa § 5 ods. 1, § 6 ods. 2 písm. c) až i), § 6 ods. 4,
b) nesplnil alebo porušil niektorú z povinností sprostredkovateľa podľa
§ 8 ods. 6 a 7,
c) pri získavaní osobných údajov nesplnil alebo porušil niektorú z
povinností podľa § 15,
d) nesplnil alebo porušil niektorú z povinností likvidácie osobných
údajov podľa § 17,
e) nesplnil alebo porušil niektorú z povinností bezpečnosti spracúvania
osobných údajov podľa § 19 ods. 1 a 3 a § 20,
f) nesplnil alebo porušil niektorú z povinností upravujúcich poučenie
oprávnených osôb podľa § 21 ods. 2 a 4,
g) pri výkone dohľadu nad ochranou osobných údajov nesplnil alebo porušil
niektorú z povinností podľa § 23 ods. 2 a 5 až 7 a § 25 ods. 1,
h) pri vybavovaní žiadosti dotknutej osoby nesplnil alebo porušil niektorú
z povinností podľa § 28 a 29.
(6) Úrad uloží pokutu od 1 000 eur do 200 000 eur sprostredkovateľovi,
ktorý
a) nesplnil alebo porušil povinnosť mať vypracovaný bezpečnostný projekt
podľa § 19 ods. 2 alebo
b) nevykonal prenos osobných údajov do tretích krajín podľa § 31, alebo
nesplnil alebo porušil niektorú z podmienok podľa § 31 a § 32 ods. 2, 3 a 4.
(7) Úrad môže uložiť pokutu od 150 eur do 2 000 eur tomu, kto
a) poskytne osobné údaje v rozpore s § 12 ods. 1; to neplatí pre prevádzkovateľa
a sprostredkovateľa,
b) poskytne nepravdivé osobné údaje podľa § 16 ods. 1,
c) nepostupoval v súlade s technickými, organizačnými alebo personálnymi
opatreniami prijatými prevádzkovateľom alebo sprostredkovateľom podľa § 19 a 20,
d) poruší povinnosť mlčanlivosti o osobných údajoch podľa § 22, alebo
e) neposkytol úradu požadovanú súčinnosť pri výkone dozoru podľa tohto
zákona.
§ 69
Poriadková pokuta
Úrad môže uložiť prevádzkovateľovi alebo sprostredkovateľovi poriadkovú
pokutu
a) do 1 000 eur, ak nezabezpečí primerané podmienky na výkon kontroly
podľa § 57 písm. a),
b) do 10 000 eur ak marí výkon kontroly požadovaný podľa § 57 písm.
b),
c) do 20 000 eur, ak oznam určený na zverejnenie podľa § 71 v hromadných
informačných prostriedkoch nezverejnil vôbec alebo nezverejnil včas, alebo nezverejnil
v určenej forme, alebo v určenom hromadnom informačnom prostriedku, alebo nedodržal
určený obsah tohto oznamu, a to opakovane až do splnenia povinnosti,
d) do 30 000 eur, ak nevykonal opatrenia uložené v rozhodnutí podľa
§ 65 ods. 1, 2 alebo úrad v určenej lehote včas neinformoval podľa § 65 ods. 4.
§ 70
Spoločné ustanovenia k pokute a poriadkovej pokute
(1) Pokutu a poriadkovú pokutu úrad uloží opakovane, ak povinnosť nebola
splnená v určenej lehote.
(2) Pokutu podľa § 68 možno uložiť do dvoch rokov odo dňa, keď úrad porušenie
povinnosti zistil, najneskôr však do piatich rokov odo dňa, keď k porušeniu povinnosti
došlo.
(3) Poriadkovú pokutu podľa § 69 možno uložiť do jedného mesiaca odo
dňa, keď k porušeniu povinnosti došlo.
(4) Pri ukladaní pokuty alebo poriadkovej pokuty a určení jej výšky úrad
prihliada najmä na závažnosť, čas trvania a následky protiprávneho konania, opakovanie
takéhoto konania a mieru ohrozenia súkromného a rodinného života a na počet dotknutých
osôb.
(5) Ak sa tá istá osoba dopustí toho istého porušenia tohto zákona do
dvoch rokov od právoplatnosti rozhodnutia, môže jej úrad uložiť pokutu alebo poriadkovú
pokutu až do výšky dvojnásobku sadzby uloženej pokuty alebo poriadkovej pokuty.
(6) Proti rozhodnutiu o uložení pokuty alebo poriadkovej pokuty možno
podať písomne rozklad do 15 dní odo dňa jeho doručenia. O rozklade rozhodne predseda
úradu do 60 dní odo dňa jeho doručenia.
(7) V odôvodených prípadoch úrad môže rozhodnutím povoliť odklad platenia
pokuty alebo poriadkovej pokuty alebo povoliť platenie pokuty alebo poriadkovej pokuty
v splátkach.
(8) Výnosy pokút sú príjmom štátneho rozpočtu.
§ 71
Zverejnenie porušenia zákona
(1) Ak úrad zistí porušenie povinností ustanovených týmto zákonom,
môže rozhodnutím zverejniť obchodné meno alebo názov, sídlo alebo trvalý pobyt, identifikačné
číslo, ak ho má pridelené, a právnu formu toho, kto sa dopustil protiprávneho konania,
a
a) výrok a odôvodnenie vykonateľného opatrenia alebo ich časti podľa § 65 v konaní
o ochrane osobných údajov,
b) výrok a odôvodnenie vykonateľného rozhodnutia o pokute alebo poriadkovej pokute
alebo ich časti podľa § 68 alebo § 69, alebo
c) charakteristiku skutkového stavu porušenia ochrany osobných údajov.
(2) Úrad môže uložiť prevádzkovateľovi alebo sprostredkovateľovi povinnosť
zverejniť skutočnosti v rozsahu podľa odseku 1 písm. c) v hromadných informačných
prostriedkoch.
(3) Úrad môže uložiť povinnosť zverejniť porušenie zákona podľa odseku
2, ak zistí závažné, opakované alebo dlhotrvajúce porušenie povinností ustanovených
týmto zákonom; pri ukladaní povinnosti zverejniť porušenie zákona úrad zohľadní aj
mieru ohrozenia súkromného a rodinného života a počet dotknutých osôb.
(4) Prevádzkovateľ alebo sprostredkovateľ je povinný splniť povinnosť
uloženú úradom podľa odseku 2. Štatutárny orgán prevádzkovateľa a sprostredkovateľa
je povinný zabezpečiť zverejnenie oznamu v hromadných informačných prostriedkoch
v rozsahu podľa odseku 1 písm. c) na vlastné náklady prevádzkovateľa; obsah, formu,
hromadný informačný prostriedok a najneskorší termín zverejnenia oznamu určí úrad.
(5) Osobné údaje uvedené vo výroku alebo odôvodnení vykonateľného opatrenia
alebo rozhodnutia podľa odseku 1 písm. a) a b) sa nezverejňujú.
ŠTVRTÁ ČASŤ
SPOLOČNÉ, PRECHODNÉ A ZÁVEREČNÉ USTANOVENIA
Spoločné ustanovenia
§ 72
(1) Na konanie podľa tohto zákona sa vzťahuje všeobecný predpis o správnom
konaní,41) ak v odseku 2 nie je ustanovené inak.
(2) Všeobecný predpis o správnom konaní 41) sa nevzťahuje na
a) vykonávanie
a absolvovanie skúšky fyzickej osoby na výkon funkcie zodpovednej osoby podľa § 24,
b) oznamovaciu povinnosť podľa § 34 až 36 a
c) výkon kontroly podľa § 52 až 61, okrem doručovania písomností pri výkone kontroly.
Prechodné ustanovenia
§ 75
(1) Úrad na ochranu osobných údajov Slovenskej republiky zriadený podľa
doterajšieho zákona je Úradom na ochranu osobných údajov Slovenskej republiky podľa
tohto zákona.
(2) Predseda úradu zvolený do funkcie podľa doterajšieho zákona je predsedom
úradu podľa tohto zákona; týmto nie je dotknuté plynutie jeho funkčného obdobia.
(3) Podpredseda úradu vymenovaný do funkcie podľa doterajších predpisov
je podpredsedom úradu podľa tohto zákona; týmto nie je dotknuté plynutie jeho funkčného
obdobia.
(4) Vrchný inšpektor úradu vymenovaný do funkcie podľa doterajších predpisov
je vrchným inšpektorom úradu podľa tohto zákona; týmto nie je dotknuté plynutie jeho
funkčného obdobia.
(5) Inšpektor úradu vymenovaný do funkcie podľa doterajších predpisov
je inšpektorom úradu podľa tohto zákona.
§ 76
(1) Prevádzkovateľ uvedie do súladu s týmto zákonom do šiestich mesiacov
odo dňa jeho účinnosti všetky informačné systémy, v ktorých spracúva osobné údaje.
(2) Prevádzkovateľ je povinný zmluvný vzťah so sprostredkovateľom dať
do súladu s týmto zákonom do dvoch rokov odo dňa účinnosti tohto zákona.
(3) Prevádzkovateľ a sprostredkovateľ sú povinní vykonať poučenie oprávnených
osôb v súlade s týmto zákonom do šiestich mesiacov odo dňa účinnosti tohto zákona.
(4) Poverenia a oznámenia o poverení zodpovednej osoby podľa doterajšieho
zákona sa považujú za poverenia a oznámenia o poverení zodpovednej osoby podľa tohto
zákona. Prevádzkovateľ a sprostredkovateľ sú povinní písomne poveriť zodpovednú osobu
a jej poverenie oznámiť úradu v súlade s týmto zákonom do jedného roka odo dňa účinnosti
tohto zákona.
(5) Registrácia udelená podľa doterajšieho zákona sa považuje za registráciu
udelenú podľa tohto zákona. Prevádzkovateľ je povinný nanovo prihlásiť svoj informačný
systém na registráciu v súlade s týmto zákonom do šiestich mesiacov odo dňa účinnosti
tohto zákona, ak to zákon vyžaduje.
(6) Osobitné registrácie udelené podľa doterajšieho zákona sa považujú
za osobitné registrácie udelené podľa tohto zákona. Prevádzkovateľ je povinný nanovo
prihlásiť svoj informačný systém na osobitnú registráciu v súlade s týmto zákonom
do šiestich mesiacov odo dňa účinnosti tohto zákona, ak to zákon vyžaduje.
(7) Bezpečnostné opatrenia, bezpečnostná smernica a bezpečnostný projekt
vypracované podľa doterajšieho zákona sa účinnosťou tohto zákona považujú za bezpečnostné
opatrenia vypracované podľa tohto zákona. Prevádzkovateľ a sprostredkovateľ sú povinní
zosúladiť prijaté bezpečnostné opatrenia s týmto zákonom do deviatich mesiacov odo
dňa účinnosti tohto zákona.
(8) Súhlas so spracúvaním osobných údajov udelený podľa doterajšieho
zákona sa účinnosťou tohto zákona považuje za súhlas so spracúvaním osobných údajov
udelený podľa tohto zákona.
§ 77
Konania začaté pred dňom nadobudnutia účinnosti tohto zákona sa dokončia
podľa doterajších predpisov.
§ 77a
Prechodné ustanovenia k úpravám účinným od 15. apríla 2014
(1) Registrácie informačných systémov vykonané do 14. apríla 2014 sa
považujú za oznámenia informačných systémov podľa § 34 v znení účinnom od 15. apríla
2014.
(2) Konania o registrácii informačných systémov a konania o osobitnej
registrácii informačných systémov, ktoré neboli ukončené do 14. apríla 2014 sa dokončia
podľa zákona účinného do 14. apríla 2014.
(3) Pri vyhotovovaní oznámenia podľa § 35 ods. 1, oznámení zmeny oznámených
údajov a oznámení ukončenia používania informačného systému elektronickou formou
sa od 15. apríla 2014 nevyžaduje zaručený elektronický podpis; od 1. septembra 2014
možno oznámenie podľa § 35 ods. 1, oznámenie zmeny oznámených údajov a oznámenie
ukončenia používania informačného systému vykonať aj prostredníctvom elektronického
formulára. Úrad zverejní elektronický formulár na svojom webovom sídle.
(4) Konania podľa § 68 a 69 začaté pred 15. aprílom 2014 sa dokončia
podľa zákona účinného do 14. apríla 2014.
Čl.II
Zákon č. 145/1995 Z.z. o správnych poplatkoch v znení zákona Národnej rady
Slovenskej republiky č. 123/1996 Z.z., zákona Národnej rady Slovenskej republiky
č. 224/1996 Z.z., zákona č. 70/1997 Z.z., zákona č. 1/1998 Z.z., zákona č. 232/1999
Z.z., zákona č. 3/2000 Z.z., zákona č. 142/2000 Z.z., zákona č. 211/2000 Z.z., zákona
č. 468/2000 Z.z., zákona č. 553/2001 Z.z., zákona č. 96/2002 Z.z., zákona č. 118/2002
Z.z., zákona č. 215/2002 Z.z., zákona č. 237/2002 Z.z., zákona č. 418/2002 Z.z.,
zákona č. 457/2002 Z.z., zákona č. 465/2002 Z.z., zákona č. 477/2002 Z.z., zákona
č. 480/2002 Z.z., zákona č. 190/2003 Z.z., zákona č. 217/2003 Z.z., zákona č. 245/2003
Z.z., zákona č. 450/2003 Z.z., zákona č. 469/2003 Z.z., zákona č. 583/2003 Z.z.,
zákona č. 5/2004 Z.z., zákona č. 199/2004 Z.z., zákona č. 204/2004 Z.z., zákona č.
347/2004 Z.z., zákona č. 382/2004 Z.z., zákona č. 434/2004 Z.z., zákona č. 533/2004
Z.z., zákona č. 541/2004 Z.z., zákona č. 572/2004 Z.z., zákona č. 578/2004 Z.z.,
zákona č. 581/2004 Z.z., zákona č. 633/2004 Z.z., zákona č. 653/2004 Z.z., zákona
č. 656/2004 Z.z., zákona č. 725/2004 Z.z., zákona č. 5/2005 Z.z., zákona č. 8/2005
Z.z., zákona č. 15/2005 Z.z., zákona č. 93/2005 Z.z., zákona č. 171/2005 Z.z., zákona
č. 308/2005 Z.z., zákona č. 331/2005 Z.z., zákona č. 341/2005 Z.z., zákona č. 342/2005
Z.z., zákona č. 473/2005 Z.z., zákona č. 491/2005 Z.z., zákona č. 538/2005 Z.z.,
zákona č. 558/2005 Z.z., zákona č. 572/2005 Z.z., zákona č. 573/2005 Z.z., zákona
č. 610/2005 Z.z., zákona č. 14/2006 Z.z., zákona č. 15/2006 Z.z., zákona č. 24/2006
Z.z., zákona č. 117/2006 Z.z., zákona č. 124/2006 Z.z., zákona č. 126/2006 Z.z.,
zákona č. 224/2006 Z.z., zákona č. 342/2006 Z.z., zákona č. 672/2006 Z.z., zákona
č. 693/2006 Z.z., zákona č. 21/2007 Z.z., zákona č. 43/2007 Z.z., zákona č. 95/2007
Z.z., zákona č. 193/2007 Z.z., zákona č. 220/2007 Z.z., zákona č. 279/2007 Z.z.,
zákona č. 295/2007 Z.z., zákona č. 309/2007 Z.z., zákona č. 342/2007 Z.z., zákona
č. 343/2007 Z.z., zákona č. 344/2007 Z.z., zákona č. 355/2007 Z.z., zákona č. 358/2007
Z.z., zákona č. 359/2007 Z.z., zákona č. 460/2007 Z.z., zákona č. 517/2007 Z.z.,
zákona č. 537/2007 Z.z., zákona č. 548/2007 Z.z., zákona č. 571/2007 Z.z., zákona
č. 577/2007 Z.z., zákona č. 647/2007 Z.z., zákona č. 661/2007 Z.z., zákona č. 92/2008
Z.z., zákona č. 112/2008 Z.z., zákona č. 167/2008 Z.z., zákona č. 214/2008 Z.z.,
zákona č. 264/2008 Z.z., zákona č. 405/2008 Z.z., zákona č. 408/2008 Z.z., zákona
č. 451/2008 Z.z., zákona č. 465/2008 Z.z., zákona č. 495/2008 Z.z., zákona č. 514/2008
Z.z., zákona č. 8/2009 Z.z., zákona č. 45/2009 Z.z., zákona č. 188/2009 Z.z., zákona
č. 191/2009 Z.z., zákona č. 274/2009 Z.z., zákona č. 292/2009 Z.z., zákona č. 304/2009
Z.z., zákona č. 305/2009 Z.z., zákona č. 307/2009 Z.z., zákona č. 465/2009 Z.z.,
zákona č. 478/2009 Z.z., zákona č. 513/2009 Z.z., zákona č. 568/2009 Z.z., zákona
č. 570/2009 Z.z., zákona č. 594/2009 Z.z., zákona č. 67/2010 Z.z., zákona č. 92/2010
Z.z., zákona č. 136/2010 Z.z., zákona č. 144/2010 Z.z., zákona č. 514/2010 Z.z.,
zákona č. 556/2010 Z.z., zákona č. 39/2011 Z.z., zákona č. 119/2011 Z.z., zákona
č. 200/2011 Z.z., zákona č. 223/2011 Z.z., zákona č. 254/2011 Z.z., zákona č. 256/2011
Z.z., zákona č. 258/2011 Z.z., zákona č. 324/2011 Z.z., zákona č. 342/2011 Z.z.,
zákona č. 363/2011 Z.z., zákona č. 381/2011 Z.z., zákona č. 392/2011 Z.z., zákona
č. 404/2011 Z.z., zákona č. 405/2011 Z.z., zákona č. 409/2011 Z.z., zákona č. 519/2011
Z.z., zákona č. 547/2011 Z.z., zákona č. 49/2012 Z.z., zákona č. 96/2012 Z.z., zákona
č. 251/2012 Z.z., zákona č. 286/2012 Z.z., zákona č. 336/2012 Z.z., zákona č. 339/2012
Z.z., zákona č. 351/2012 Z.z., zákona č. 439/2012 Z.z., zákona č. 447/2012 Z.z.,
zákona č. 459/2012 Z.z., zákona č. 8/2013 Z.z., zákona č. 39/2013 Z.z., zákona č.
40/2013 Z.z., zákona č. 72/2013 Z.z., zákona č. 75/2013 Z.z., zákona č. 94/2013 Z.z.
a zákona č. 96/2013 Z.z. sa dopĺňa takto:
V prílohe k sadzobníku správnych poplatkov sa dopĺňa XXIII. časť, ktorá vrátane
názvu znie:
"XXIII. časť
OCHRANA OSOBNÝCH ÚDAJOV
Položka 273
a) Registrácia informačného systému alebo jej zmena 20,- eur
b) Osobitná registrácia informačného systému alebo jej zmena 50,- eur
Poznámka:
Poplatky podľa tejto položky vyberá Úrad na ochranu osobných
údajov Slovenskej republiky.".
Čl.III
Zákon č. 215/2004 Z.z. o ochrane utajovaných skutočností a o zmene a doplnení
niektorých zákonov v znení nálezu Ústavného súdu Slovenskej republiky č. 638/2005
Z.z., zákona č. 255/2006 Z.z., zákona č. 330/2007 Z.z., zákona č. 668/2007 Z.z.,
zákona č. 291/2009 Z.z., zákona č. 400/2009 Z.z. a zákona č. 192/2011 Z.z. sa dopĺňa
takto:
V § 53 sa za odsek 5 vkladá nový odsek 6, ktorý znie:
"(6) Ak sú objekty a chránené priestory zabezpečené technickými zabezpečovacími
prostriedkami umožňujúcimi vyhotovovať obrazový, zvukový alebo obrazovo-zvukový záznam,
nevyžaduje sa ich označenie podľa všeobecného predpisu o ochrane osobných údajov.
Ak takýto záznam nie je využitý na účely trestného konania alebo konania o priestupku,
ten kto vyhotovil takýto záznam, je povinný ho zlikvidovať najneskôr v lehote 60
dní odo dňa nasledujúceho po dni, v ktorom bol záznam vyhotovený.".
Doterajší odsek 6 sa označuje ako odsek 7.
Čl.IV
Zrušený od 1.6.2017
Čl.V
Účinnosť
Tento zákon nadobúda účinnosť 1. júla 2013.
Zákon č. 84/2014 Z.z. nadobudol účinnosť 15. aprílom 2014.
Zákon č. 55/2017 Z.z. nadobudol účinnosť 1. júnom 2017.
Ivan Gašparovič v.r.
Pavol Paška v.r.
Robert Fico v.r.
PRÍL.
ZOZNAM PREBERANÝCH PRÁVNE ZÁVÄZNÝCH AKTOV EURÓPSKEJ ÚNIE
Smernica Európskeho parlamentu a Rady 95/46/EHS z 24. októbra 1995 o ochrane
fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Mimoriadne
vydanie Ú.v. EÚ, kap. 13/zv. 15; Ú.v. ES L 281, 23.11.1995) v znení nariadenia Európskeho
parlamentu a Rady (ES) č. 1882/2003 z 29. septembra 2003 (Mimoriadne vydanie Ú.v.
EÚ, kap. 1/zv. 4; Ú.v. EÚ L 284, 31.10.2003).
1) Napríklad zákon Národnej rady Slovenskej republiky č. 46/1993 Z.z. o Slovenskej
informačnej službe v znení neskorších predpisov, ústavný zákon č. 227/2002 Z.z. o
bezpečnosti štátu v čase vojny, vojnového stavu, výnimočného stavu a núdzového stavu
v znení neskorších predpisov, zákon č. 387/2002 Z.z. o riadení štátu v krízových
situáciách mimo času vojny a vojnového stavu v znení neskorších predpisov, zákon
č. 215/2004 Z.z. o ochrane utajovaných skutočností a o zmene a doplnení niektorých
zákonov v znení neskorších predpisov.
2) Napríklad zákon č. 319/2002 Z.z. o obrane Slovenskej republiky v znení neskorších
predpisov, zákon č. 321/2002 Z.z. o ozbrojených silách Slovenskej republiky v znení
neskorších predpisov, zákon č. 179/2011 Z.z. o hospodárskej mobilizácii a o zmene
a doplnení zákona č. 387/2002 Z.z. o riadení štátu v krízových situáciách mimo času
vojny a vojnového stavu v znení neskorších predpisov.
3) Napríklad zákon Slovenskej národnej rady č. 564/1991 Zb. o obecnej polícii
v znení neskorších predpisov, zákon Národnej rady Slovenskej republiky č. 171/1993
Z.z. o Policajnom zbore v znení neskorších predpisov.
4) Napríklad Trestný poriadok v znení neskorších predpisov, zákon č. 297/2008
Z.z. o ochrane pred legalizáciou príjmov z trestnej činnosti a o ochrane pred financovaním
terorizmu a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
5) § 2 písm. b) zákona č. 293/2007 Z.z. o uznávaní odborných kvalifikácií v znení
neskorších predpisov.
6) Napríklad zákon č. 523/2004 Z.z. o rozpočtových pravidlách verejnej správy
a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, zákon č. 563/2009
Z.z. o správe daní (daňový poriadok) a o zmene a doplnení niektorých zákonov v znení
neskorších predpisov.
7) § 11 až 16 Občianskeho zákonníka v znení neskorších predpisov.
8) § 13 zákona č. 618/2003 Z.z. o autorskom práve a právach súvisiacich s autorským
právom (autorský zákon) v znení neskorších predpisov.
9) Napríklad § 27 až 34 Obchodného zákonníka v znení neskorších predpisov, §
8 a 68 zákona Národnej rady Slovenskej republiky č. 162/1995 Z.z. o katastri nehnuteľností
a o zápise vlastníckych a iných práv k nehnuteľnostiam (katastrálny zákon) v znení
neskorších predpisov.
10) Zákon č. 330/2007 Z.z. o registri trestov a o zmene a doplnení niektorých
zákonov v znení neskorších predpisov.
11) § 40 ods. 2 písm. d) zákona č. 153/2001 Z.z. o prokuratúre v znení neskorších
predpisov.
12) § 69 Obchodného zákonníka v znení neskorších predpisov.
13) Napríklad zákon Národnej rady Slovenskej republiky č. 40/1993 Z.z. o štátnom
občianstve Slovenskej republiky v znení neskorších predpisov, zákon č. 483/2001 Z.z.
o bankách a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, zákon
č. 305/2005 Z.z. o sociálnoprávnej ochrane detí a o sociálnej kuratele a o zmene
a doplnení niektorých zákonov v znení neskorších predpisov, zákon č. 400/2009 Z.z.
o štátnej službe a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
14) § 4 zákona č. 215/2002 Z.z. o elektronickom podpise a o zmene a doplnení
niektorých zákonov v znení neskorších predpisov.
15) § 8 Občianskeho zákonníka v znení zákona č. 509/1991 Zb.
16) § 26 až 30 Občianskeho zákonníka v znení neskorších predpisov.
17) § 116 Občianskeho zákonníka.
18) Zákon Národnej rady Slovenskej republiky č. 301/1995 Z.z. o rodnom čísle
v znení neskorších predpisov.
19) Napríklad § 33 zákona č. 578/2004 Z.z. o poskytovateľoch zdravotnej starostlivosti,
zdravotníckych pracovníkoch, stavovských organizáciách v zdravotníctve a o zmene
a doplnení niektorých zákonov v znení neskorších predpisov.
20) Napríklad § 40 ods. 2 písm. d) zákona č. 153/2001 Z.z., zákon Národnej rady
Slovenskej republiky č. 171/1993 Z.z. v znení neskorších predpisov.
21) Zákon č. 447/2008 Z.z. o peňažných príspevkoch na kompenzáciu ťažkého zdravotného
postihnutia a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
22) Zákon č. 328/2002 Z.z. o sociálnom zabezpečení policajtov a vojakov a o zmene
a doplnení niektorých zákonov v znení neskorších predpisov.
23) Zákon č. 224/2006 Z.z. o občianskych preukazoch a o zmene a doplnení niektorých
zákonov v znení neskorších predpisov.
24) Zákon č. 647/2007 Z.z. o cestovných dokladoch a o zmene a doplnení niektorých
zákonov v znení neskorších predpisov.
25) Napríklad § 14 zákona Národnej rady Slovenskej republiky č. 171/1993 Z.z.
v znení neskorších predpisov, § 70 ods. 6 zákona č. 215/2004 Z.z.
26) Napríklad § 93a zákona č. 483/2001 Z.z. v znení neskorších predpisov.
27) § 2 ods. 15 zákona č. 395/2002 Z.z. o archívoch a registratúrach a o doplnení
niektorých zákonov.
28) § 20 zákona č. 395/2002 Z.z. v znení zákona č. 216/2007 Z.z.
29) Zákon č. 215/2004 Z.z. v znení neskorších predpisov.
30) Napríklad § 40 zákona Národnej rady Slovenskej republiky č. 566/1992 Zb.
o Národnej banke Slovenska v znení neskorších predpisov, § 23 zákona Národnej rady
Slovenskej republiky č. 46/1993 Z.z. o Slovenskej informačnej službe v znení neskorších
predpisov, § 80 zákona Národnej rady Slovenskej republiky č. 171/1993 Z.z. v znení
neskorších predpisov, § 38 zákona č. 215/2004 Z.z., § 11 zákona č. 563/2009 Z.z.
v znení neskorších predpisov.
31) Napríklad zákon Národnej rady Slovenskej republiky č. 162/1995 Z.z. v znení
neskorších predpisov.
32) Napríklad rozhodnutie Komisie z 26. júla 2000 podľa smernice Európskeho parlamentu
a Rady 95/46/ES o primeranej ochrane osobných údajov poskytovaných vo Švajčiarsku
(2000/518/ES) (Mimoriadne vydanie Ú.v. EÚ, kap. 16/zv.1; Ú.v. ES L 215, 25.8.2000).
33) Napríklad rozhodnutie Komisie z 5. februára 2010 o štandardných zmluvných
doložkách pre prenos osobných údajov spracovateľom usadeným v tretích krajinách podľa
smernice Európskeho parlamentu a Rady 95/46/ES (2010/87/EÚ) (Ú.v. EÚ L 39,12.2.2010),
rozhodnutie Komisie z 15. júna 2001 o štandardných zmluvných doložkách na prenos
osobných údajov do tretích krajín podľa smernice 95/46/ES (2001/497/ES) (Mimoriadne
vydanie Ú.v. EÚ, kap. 13/zv. 26; Ú.v. ES L 181, 4.7.2001).
34) Rozhodnutie Komisie z 26. júna 2000 v súlade so smernicou Európskeho parlamentu
a Rady 95/46/ES o primeranosti ochrany poskytovanej zásadami "bezpečného prístavu"
a súvisiacimi často kladenými otázkami vydanými Ministerstvom obchodu USA (2000/520/ES)
(Mimoriadne vydanie Ú.v. EÚ, kap. 16/zv.1; Ú.v. ES L 215, 25.8.2000).
35) Zákon č. 145/1995 Z.z. o správnych poplatkoch v znení neskorších predpisov.
36) § 21 ods. 1 a ods. 5 písm. a) zákona č. 523/2004 Z.z. v znení neskorších
predpisov.
37) § 60 zákona Národnej rady Slovenskej republiky č. 350/1996 Z.z. o rokovacom
poriadku Národnej rady Slovenskej republiky v znení zákona č. 215/2004 Z.z.
38) Zákon č. 400/2009 Z.z. v znení neskorších predpisov.
39) Zákon č. 357/2004 Z.z. o ochrane verejného záujmu pri výkone funkcií verejných
funkcionárov v znení zákona č. 545/2004 Z.z.
40) § 3 ods. 1 zákona č. 400/2009 Z.z. v znení neskorších predpisov.
41) Zákon č. 71/1967 Zb. o správnom konaní (Správny poriadok) v znení neskorších
predpisov.
42) § 11 ods. 1 písm. h) zákona č. 211/2000 Z.z. o slobodnom prístupe k informáciám
a o zmene a doplnení niektorých zákonov (zákon o slobode informácií) v znení neskorších
predpisov.
43) Zákon Národnej rady Slovenskej republiky č. 10/1996 Z.z. o kontrole v štátnej
správe v znení neskorších predpisov.
43a) § 25 a 26 zákona č. 71/1967 Zb. o správnom konaní (správny poriadok) v znení
zákona č. 527/2003 Z.z.