428/2002 Z. z.
Časová verzia predpisu účinná od 01.12.2003 do 31.12.2003
Obsah zobrazeného právneho predpisu má informatívny charakter.
Otvoriť všetky
Číslo predpisu: | 428/2002 Z. z. |
Názov: | Zákon o ochrane osobných údajov |
Typ: | Zákon |
Dátum schválenia: | 03.07.2002 |
Dátum vyhlásenia: | 31.07.2002 |
Dátum účinnosti od: | 01.12.2003 |
Dátum účinnosti do: | 31.12.2003 |
Autor: | Národná rada Slovenskej republiky |
Právna oblasť: |
|
Nachádza sa v čiastke: |
602/2003 Z. z. | Zákon, ktorým sa mení a dopĺňa zákon Národnej rady Slovenskej republiky č. 202/1995 Z. z. Devízový zákon a zákon, ktorým sa mení a dopĺňa zákon Slovenskej národnej rady č. 372/1990 Zb. o priestupkoch v znení neskorších predpisov, v znení neskorších predpisov a o zmene a doplnení niektorých zákonov |
576/2004 Z. z. | Zákon o zdravotnej starostlivosti, službách súvisiacich s poskytovaním zdravotnej starostlivosti a o zmene a doplnení niektorých zákonov |
90/2005 Z. z. | Zákon, ktorým sa mení a dopĺňa zákon č. 428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov |
583/2008 Z. z. | Zákon o prevencii kriminality a inej protispoločenskej činnosti a o zmene a doplnení niektorých zákonov |
122/2013 Z. z. | Zákon o ochrane osobných údajov a o zmene a doplnení niektorých zákonov |
428
ZÁKON
z 3. júla 2002
o ochrane osobných údajov
Národná rada Slovenskej republiky sa uzniesla na tomto zákone:
PRVÁ ČASŤ
ZÁKLADNÉ USTANOVENIA
Predmet a pôsobnosť zákona
§ 1
(1)
Tento zákon upravuje
a)
ochranu osobných údajov fyzických osôb pri ich spracúvaní,
b)
zásady spracúvania osobných údajov,
c)
bezpečnosť osobných údajov,
d)
ochranu práv dotknutých osôb,
e)
cezhraničný tok osobných údajov,
f)
registráciu a evidenciu informačných systémov,
g)
zriadenie, postavenie a pôsobnosť Úradu na ochranu osobných údajov (ďalej len „úrad").
(2)
Tento zákon sa vzťahuje na orgány štátnej správy, orgány územnej samosprávy, iné
orgány verejnej moci, ako aj na ostatné právnické osoby a fyzické osoby, ktoré spracúvajú
osobné údaje, určujú účel a prostriedky spracúvania alebo poskytujú osobné údaje na
spracúvanie.
§ 2
(1)
Tento zákon sa nevzťahuje na ochranu osobných údajov spracúvaných fyzickou osobou
v rámci výlučne osobných alebo domácich činností.
(2)
Ak osobné údaje spracúva orgán štátnej správy alebo iný štátny orgán a ich spracúvanie
je nevyhnutné na zabezpečenie dôležitého záujmu štátu, pričom túto nevyhnutnosť výslovne
ustanovuje osobitný zákon1) v oblasti
a)
vnútorného poriadku a bezpečnosti,
b)
obrany,
c)
ochrany utajovaných skutočností,
d)
trestného stíhania alebo súdneho konania,
e)
ochrany ekonomického alebo finančného záujmu štátu vrátane menových, rozpočtových
a daňových záležitostí, alebo
f)
ochrany dotknutej osoby alebo práv a slobôd iných osôb vo veciach uvedených v písmenách
a) až e),
ustanovenia § 5 ods. 4, § 6 ods. 3 a 4, § 7 ods. 1, 6, 11 až 13, § 10 ods. 1 a 8, § 11 až 14, § 15 ods. 4 a 5, § 16, § 18 ods. 1 a 2, § 20 ods. 1, § 23 ods. 1 až 7, § 25 až 28 a § 32 tohto zákona sa nepoužijú.
Vymedzenie niektorých pojmov
§ 3
Osobné údaje
Osobnými údajmi sú údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby, pričom
takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne
použiteľného identifikátora alebo na základe jednej či viacerých charakteristík alebo
znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu
alebo sociálnu identitu.
§ 4
(1)
Na účely tohto zákona sa ďalej rozumie
a)
spracúvaním osobných údajov vykonávanie akýchkoľvek operácií alebo súboru operácií
s osobnými údajmi, napr. ich získavanie, zhromažďovanie, zaznamenávanie, usporadúvanie,
prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, preskupovanie, kombinovanie,
premiestňovanie, využívanie, uchovávanie, likvidácia, ich prenos, poskytovanie, sprístupňovanie
alebo zverejňovanie,
b)
poskytovaním osobných údajov odovzdávanie osobných údajov na spracúvanie inej právnickej
osobe, fyzickej osobe, prípadne subjektu v cudzine s výnimkou dotknutej osoby, vlastného
prevádzkovateľa, sprostredkovateľa alebo oprávnenej osoby,
c)
sprístupňovaním osobných údajov oznámenie osobných údajov alebo umožnenie prístupu
k nim inej právnickej osobe, fyzickej osobe, prípadne subjektu v cudzine s výnimkou
dotknutej osoby, vlastného prevádzkovateľa, sprostredkovateľa alebo oprávnenej osoby,
d)
zverejňovaním osobných údajov publikovanie, uverejnenie alebo vystavenie osobných
údajov na verejnosti prostredníctvom masovokomunikačných prostriedkov, verejne prístupných
počítačových sietí, verejným vykonaním alebo vystavením diela,2) verejným vyhlásením, uvedením vo verejnom zozname, v registri alebo v operáte,3) ich umiestnením na úradnej tabuli alebo na inom verejne prístupnom mieste,
e)
likvidáciou osobných údajov zrušenie osobných údajov rozložením, vymazaním alebo
fyzickým zničením hmotných nosičov tak, aby sa z nich osobné údaje nedali reprodukovať,
f)
blokovaním osobných údajov uvedenie osobných údajov do takého stavu, v ktorom sú
neprístupné a je zabránené akejkoľvek manipulácii s nimi,
g)
informačným systémom akýkoľvek súbor, sústava alebo databáza obsahujúca jeden alebo
viac osobných údajov, ktoré sú spracúvané na dosiahnutie účelu podľa osobitných organizačných
podmienok s použitím automatizovaných alebo neautomatizovaných prostriedkov spracúvania,
napr. kartotéka, zoznam, register, operát, záznam alebo sústava obsahujúca spisy,
doklady, zmluvy, potvrdenia, posudky, hodnotenia, testy,
h)
účelom spracúvania osobných údajov vopred jednoznačne vymedzený alebo ustanovený
zámer spracúvania osobných údajov, ktorý sa viaže na určitú činnosť,
i)
súhlasom dotknutej osoby akýkoľvek slobodne daný výslovný a zrozumiteľný prejav vôle,
ktorým dotknutá osoba vyjadruje súhlas so spracúvaním svojich osobných údajov,
j)
cezhraničným tokom osobných údajov prenos osobných údajov mimo územia Slovenskej
republiky subjektom so sídlom alebo s trvalým pobytom v cudzine alebo ich výmena s
týmito subjektmi,
k)
anonymizovaným údajom osobný údaj upravený do takej formy, v ktorej ho nemožno priradiť
dotknutej osobe, ktorej sa týka,
l)
adresou súbor údajov o pobyte fyzickej osoby, do ktorého patria názov ulice, orientačné,
prípadne súpisné číslo domu, názov obce, prípadne názov časti obce, poštové smerovacie
číslo, názov okresu, názov štátu,
m)
všeobecne použiteľným identifikátorom trvalý identifikačný osobný údaj dotknutej
osoby, ktorý zabezpečuje jej jednoznačnosť v informačných systémoch,
n)
biometrickým údajom osobný údaj fyzickej osoby, na základe ktorého je jednoznačne
a nezameniteľne určiteľná, napr. odtlačok prsta, odtlačok dlane, analýza deoxyribonukleovej
kyseliny, profil deoxyribonukleovej kyseliny,
o)
auditom bezpečnosti informačného systému nezávislé odborné posúdenie spoľahlivosti
a celkovej bezpečnosti informačného systému z hľadiska zabezpečenia dôvernosti, integrity
a dostupnosti spracúvaných osobných údajov.
(2)
Prevádzkovateľom je orgán štátnej správy, orgán územnej samosprávy, iný orgán verejnej
moci alebo iná právnická osoba alebo fyzická osoba, ktorá určuje účel a prostriedky
spracúvania. Ak účel a prostriedky spracúvania osobných údajov ustanovuje osobitný
zákon, prevádzkovateľom je ten, koho ustanoví zákon alebo kto splní zákonom ustanovené
podmienky.
(3)
Sprostredkovateľom je orgán štátnej správy, orgán územnej samosprávy, iný orgán verejnej
moci alebo iná právnická osoba alebo fyzická osoba, ktorá spracúva osobné údaje v
mene prevádzkovateľa.
(4)
Oprávnenou osobou je každá fyzická osoba, ktorá prichádza do styku s osobnými údajmi
v rámci svojho pracovného pomeru alebo obdobného pracovného vzťahu, štátnozamestnaneckého
pomeru alebo v rámci výkonu verejnej funkcie, ktorá môže osobné údaje spracúvať len
na základe pokynu prevádzkovateľa alebo sprostredkovateľa, ak osobitný zákon neustanovuje
inak.
(5)
Dotknutou osobou je každá fyzická osoba, o ktorej sa spracúvajú osobné údaje.
(6)
Užívateľom je právnická osoba, fyzická osoba, prípadne subjekt v cudzine, ktorému
sú sprístupnené osobné údaje z informačného systému.
DRUHÁ ČASŤ
PRÁVA, POVINNOSTI A ZODPOVEDNOSŤ PRI SPRACÚVANÍ OSOBNÝCH ÚDAJOV
PRVÁ HLAVA
ZÁSADY SPRACÚVANIA OSOBNÝCH ÚDAJOV
§ 5
Prevádzkovateľ a sprostredkovateľ
(1)
Osobné údaje môže spracúvať iba prevádzkovateľ a sprostredkovateľ.
(2)
Sprostredkovateľ je oprávnený spracúvať osobné údaje len v rozsahu a za podmienok
dojednaných s prevádzkovateľom v písomnej zmluve alebo v písomnom poverení.
(3)
Prevádzkovateľ dbá pri výbere sprostredkovateľa najmä na jeho záruky, pokiaľ ide
o opatrenia v oblasti technickej, organizačnej a personálnej bezpečnosti (§ 15 ods. 1). Prevádzkovateľ nesmie zveriť spracúvanie osobných údajov sprostredkovateľovi, ak
by tým mohli byť ohrozené práva a právom chránené záujmy dotknutých osôb.
(4)
Ak prevádzkovateľ poveril spracúvaním sprostredkovateľa až po získaní osobných údajov,
oznámi to dotknutým osobám pri najbližšom kontakte s nimi, najneskôr však do troch
mesiacov od poverenia sprostredkovateľa. To platí aj vtedy, ak spracúvanie osobných
údajov prevezme iný prevádzkovateľ.
(5)
Prevádzkovateľom a sprostredkovateľom môže byť iba ten, kto má sídlo alebo trvalý
pobyt na území Slovenskej republiky.
§ 6
Účel spracúvania osobných údajov
(1)
Ak účel spracúvania osobných údajov neustanovuje osobitný zákon, prevádzkovateľ pred
začatím spracúvania jednoznačne vymedzí účel a zabezpečí, aby sa nespracúvali osobné
údaje, ktoré
a)
svojím rozsahom a obsahom sú nezlučiteľné s daným účelom spracúvania, pričom ďalšie
spracúvanie osobných údajov na historické, štatistické a vedecké účely sa nepovažuje
za nezlučiteľné, alebo
b)
sú časovo alebo vecne neaktuálne vo vzťahu k účelu spracúvania.
(2)
Účel spracúvania osobných údajov musí byť jasný a nesmie byť v rozpore so zákonmi.
(3)
Spracúvať možno len také osobné údaje, ktoré svojím rozsahom a obsahom zodpovedajú
účelu ich spracúvania. Spôsob spracúvania a využívania osobných údajov musí zodpovedať
účelu ich spracúvania.
(4)
Od dotknutej osoby možno vyžadovať len také osobné údaje, ktoré sú nevyhnutné na
dosiahnutie účelu spracúvania. K takýmto osobným údajom môže prevádzkovateľ alebo
sprostredkovateľ priradiť ďalšie osobné údaje dotknutej osoby, ktoré bezprostredne
súvisia s daným účelom spracúvania, len ak na ne dotknutú osobu upozorní a táto s
tým písomne súhlasí. Tento súhlas si prevádzkovateľ ani sprostredkovateľ nesmú vynucovať
a ani podmieňovať hrozbou odmietnutia zmluvného vzťahu, služby, tovaru alebo povinnosti
ustanovenej prevádzkovateľovi alebo sprostredkovateľovi zákonom.
(5)
V prípade pochybnosti o tom, či spracúvané osobné údaje svojím rozsahom, obsahom
a spôsobom spracúvania alebo využívania zodpovedajú účelu ich spracúvania, či sú s
daným účelom spracúvania zlučiteľné alebo časovo a vecne neaktuálne vo vzťahu k tomuto
účelu, rozhodne úrad. Stanovisko úradu je záväzné.
§ 7
Súhlas dotknutej osoby
(1)
Osobné údaje možno spracúvať iba so súhlasom dotknutej osoby. Prevádzkovateľ zabezpečí
preukázateľnosť súhlasu, a to tak, že možno o ňom podať dôkaz.
(2)
Dôkaz o preukázateľnom súhlase obsahuje najmä údaj o tom, kto súhlas poskytol, komu
sa tento súhlas dáva, na aký účel, zoznam osobných údajov, dobu platnosti súhlasu
a podmienky jeho odvolania. Súhlas daný v písomnej forme je bez vlastnoručného podpisu
toho, kto súhlas dáva, neplatný. Na tento účel pre dokument v elektronickej forme
možno použiť elektronický podpis podľa osobitného zákona.
(3)
Súhlas podľa odseku 1 sa nevyžaduje, ak sa osobné údaje spracúvajú na základe osobitného
zákona,4) ktorý ustanovuje zoznam osobných údajov, účel ich spracúvania, podmienky ich získavania
a okruh dotknutých osôb.
(4)
Súhlas podľa odseku 1 sa nevyžaduje aj vtedy, ak
a)
sa spracúvajú osobné údaje bez možnosti ich poskytovania a sprístupňovania výlučne
na účely tvorby vedeckých, umeleckých alebo literárnych diel, pre potreby informovania
verejnosti masovokomunikačnými prostriedkami, ako aj na historické alebo vedecké účely
a ak spracúvanie vykonáva prevádzkovateľ, ktorému to vyplýva z predmetu jeho činnosti,
b)
sa spracúvané osobné údaje využijú na štatistické účely; v týchto prípadoch treba
osobné údaje anonymizovať,
c)
spracúvanie osobných údajov je nevyhnutné na ochranu životne dôležitých záujmov dotknutej
osoby, ktorá nemá spôsobilosť na právne úkony alebo je fyzicky nespôsobilá na vydanie
súhlasu, a ak nemožno získať súhlas jej zákonného zástupcu,
d)
predmetom spracúvania sú výlučne titul, meno, priezvisko a adresa dotknutej osoby
bez možnosti priradiť k nim ďalšie jej osobné údaje a ich využitie je určené výhradne
pre potreby prevádzkovateľa v poštovom styku s dotknutou osobou a evidencie týchto
údajov; ak je predmetom činnosti prevádzkovateľa priamy marketing, uvedené osobné
údaje môže poskytovať bez možnosti ich sprístupňovania a zverejňovania len vtedy,
ak sa poskytujú inému prevádzkovateľovi, ktorý má rovnaký predmet činnosti výhradne
na účely priameho marketingu, a dotknutá osoba písomne neuplatnila námietku podľa
§ 20 ods. 3 písm. c), alebo
e)
sa spracúvajú už zverejnené osobné údaje; v týchto prípadoch treba osobné údaje náležite
označiť.
(5)
Iná ako dotknutá osoba, s výnimkou osôb podľa odsekov 8 a 9, môže poskytnúť do informačného
systému osobné údaje o dotknutej osobe len s jej písomným súhlasom. To neplatí, ak
je to nevyhnutné na plnenie úloh orgánov činných v trestnom konaní alebo sa osobné
údaje poskytujú do informačného systému na základe osobitného zákona,5) ktorý ustanovuje zoznam osobných údajov, účel ich spracúvania a podmienky ich poskytovania.
(6)
Spracúvané osobné údaje o dotknutej osobe možno z informačného systému poskytnúť,
sprístupniť alebo zverejniť len s jej písomným súhlasom. To neplatí, ak je to nevyhnutné
na plnenie úloh orgánov činných v trestnom konaní, alebo ak sa osobné údaje poskytujú,
sprístupňujú alebo zverejňujú z informačného systému na základe osobitného zákona,6) ktorý ustanovuje zoznam osobných údajov, účel a podmienky poskytovania, sprístupňovania
alebo zverejňovania osobných údajov, ako aj právnické osoby, fyzické osoby, prípadne
subjekty v cudzine, ktorým sa osobné údaje poskytujú alebo sprístupňujú.
(7)
Ten, kto mieni zverejniť osobné údaje dotknutej osoby, nesmie svojím konaním neoprávnene
zasahovať do práva na ochranu jej osobnosti a súkromia; ich zverejnenie nesmie byť
v rozpore s oprávnenými záujmami dotknutej osoby.7)
(8)
(9)
Ak dotknutá osoba nežije, súhlas vyžadovaný podľa tohto zákona môže poskytnúť jej
blízka osoba.10) Súhlas nie je platný, ak čo len jedna blízka osoba písomne vyslovila nesúhlas.
(10)
Ak sú spracúvané osobné údaje súčasťou platnej zmluvy, ktorej jednou zo strán je
dotknutá osoba a ktorá obsahuje náležitosti podľa odseku 2, podpis dotknutej osoby
na zmluve vyjadruje súčasne písomný súhlas so spracúvaním jej osobných údajov.
(11)
Osobné údaje dotknutej osoby možno poskytnúť z informačného systému inej právnickej
osobe, fyzickej osobe, prípadne subjektu v cudzine len spolu s písomným dokladom o
danom súhlase, ak tento zákon takýto súhlas vyžaduje; ten, kto osobné údaje takto
poskytuje, môže písomný doklad o danom súhlase nahradiť písomným vyhlásením prevádzkovateľa
o udelení súhlasu dotknutými osobami, ak prevádzkovateľ vie preukázať, že písomný
súhlas dotknutých osôb bol daný.
(12)
Osobné údaje podľa odseku 4 písm. c) a podľa § 9 ods. 1 písm. b) možno spracúvať bez súhlasu dotknutej osoby len po dobu, kým nezaniknú dôvody, ktoré
neumožňovali získať súhlas dotknutej osoby. Ak dôvody zanikli, ten kto osobné údaje
spracúva, zabezpečí súhlas dotknutej osoby.
(13)
Ten, kto tvrdí, že spracúva zverejnené osobné údaje, na požiadanie preukáže úradu,
že spracúvané osobné údaje boli už zverejnené.
(14)
Užívateľ môže sprístupnené osobné údaje o dotknutej osobe spracúvať len pre vlastnú
potrebu výlučne v rámci osobných alebo domácich činností.
§ 8
Osobitné kategórie osobných údajov
(1)
Spracúvať osobné údaje, ktoré odhaľujú rasový alebo etnický pôvod, politické názory,
náboženskú vieru alebo svetonázor, členstvo v politických stranách alebo politických
hnutiach, členstvo v odborových organizáciách a údaje týkajúce sa zdravia alebo pohlavného
života, sa zakazuje.
(2)
Pri spracúvaní osobných údajov možno využiť na účely určenia fyzickej osoby všeobecne
použiteľný identifikátor ustanovený osobitným zákonom11) len vtedy, ak jeho použitie je nevyhnutné na dosiahnutie daného účelu spracúvania.
Spracúvať iný identifikátor, ktorý v sebe skrýva charakteristiky dotknutej osoby,
alebo zverejňovať všeobecne použiteľný identifikátor sa zakazuje.
(3)
Spracúvanie osobných údajov o porušení ustanovení predpisov trestného práva, priestupkového
práva alebo občianskeho práva, ako aj o výkone právoplatných rozsudkov alebo rozhodnutí
môže vykonávať len ten, komu to umožňuje osobitný zákon.12)
(4)
Spracúvanie biometrických údajov možno vykonávať len za podmienok ustanovených v
osobitnom zákone, ak
a)
to prevádzkovateľovi vyplýva výslovne zo zákona, alebo
b)
na spracúvanie dala písomný súhlas dotknutá osoba.
(5)
Spracúvanie osobných údajov o psychickej identite fyzickej osoby alebo o jej psychickej
pracovnej spôsobilosti môže vykonávať len psychológ alebo ten, komu to umožňuje osobitný
zákon.13)
§ 9
Výnimky z obmedzení pri spracúvaní osobitných kategórií osobných údajov
(1)
Zákaz spracúvania osobných údajov ustanovený v § 8 ods. 1 neplatí, ak dotknutá osoba dala písomný súhlas na ich spracúvanie alebo ak
a)
spracúvanie vyžaduje osobitný zákon, ktorý ustanovuje zoznam osobných údajov, účel
ich spracúvania, podmienky ich získavania a okruh dotknutých osôb, alebo
b)
spracúvanie je nevyhnutné na ochranu životne dôležitých záujmov dotknutej osoby alebo
inej fyzickej osoby, ktorá nemá spôsobilosť na právne úkony alebo je fyzicky nespôsobilá
na vydanie písomného súhlasu, a ak nemožno získať písomný súhlas jej zákonného zástupcu,
alebo
c)
spracúvanie vykonáva v rámci oprávnenej činnosti občianske združenie, nadácia alebo
nezisková organizácia poskytujúca všeobecne prospešné služby, politická strana alebo
politické hnutie, odborová organizácia, štátom uznaná cirkev alebo náboženská spoločnosť
a toto spracúvanie sa týka iba ich členov, ktorí sú s nimi vzhľadom na ich ciele v
pravidelnom styku, a osobné údaje slúžia výlučne pre ich vnútornú potrebu, alebo
d)
spracúvanie sa týka osobných údajov, ktoré dotknutá osoba zverejnila alebo sú nevyhnutné
pri uplatňovaní jej právneho nároku, alebo
e)
spracúvanie sa požaduje na účely preventívnej medicíny, lekárskej diagnostiky, nemocenského
poistenia a dôchodkového zabezpečenia, poskytovania liečebnej starostlivosti alebo
zdravotníckej starostlivosti a ak tieto údaje spracúva zdravotnícke zariadenie, zdravotná
poisťovňa alebo Sociálna poisťovňa.
(2)
Písomný súhlas dotknutej osoby daný podľa odseku 1 je neplatný, ak jeho poskytnutie
vylučuje osobitný zákon.
(3)
Ustanovenie § 8 ods. 4 sa nepoužije, ak sa spracúvajú biometrické údaje s výnimkou analýzy deoxyribonukleovej
kyseliny a profilu deoxyribonukleovej kyseliny dotknutých osôb na účely evidencie
vstupu alebo prístupu do vyhradených priestorov a ak ide výlučne o vnútornú potrebu
prevádzkovateľa.
§ 10
Získavanie osobných údajov
(1)
Oprávnená osoba, ktorá získava osobné údaje v mene prevádzkovateľa alebo sprostredkovateľa,
preukáže na požiadanie tomu, od koho osobné údaje dotknutej osoby požaduje, svoju
totožnosť a bez vyzvania mu vopred oznámi
a)
názov a sídlo alebo trvalý pobyt prevádzkovateľa; ak v mene prevádzkovateľa koná
sprostredkovateľ, aj jeho názov a sídlo alebo trvalý pobyt,
b)
účel spracúvania osobných údajov vymedzený prevádzkovateľom alebo ustanovený osobitným
zákonom; je vylúčené získavať osobné údaje pod zámienkou iného účelu alebo inej činnosti,
c)
dobrovoľnosť alebo povinnosť poskytovať požadované osobné údaje,
d)
zákon, ktorý ustanovuje povinnosť poskytnúť požadované osobné údaje a následky odmietnutia
poskytnúť osobné údaje,
e)
okruh užívateľov, ktorým budú osobné údaje sprístupnené,
f)
právnické osoby, fyzické osoby, prípadne subjekty v cudzine, ktorým budú osobné údaje
poskytnuté,
g)
formu zverejnenia, ak majú byť osobné údaje zverejnené,
h)
krajiny cezhraničného toku osobných údajov.
(2)
Oprávnená osoba, ktorá v mene prevádzkovateľa alebo sprostredkovateľa získava osobné
údaje podľa odseku 1 písm. d), preukáže sa oprávnením na túto činnosť, ak to nevyplýva
zo zákona.
(3)
Oprávnenie na získavanie osobných údajov vydáva prevádzkovateľ alebo sprostredkovateľ.
(4)
Prevádzkovateľ, ktorý získava osobné údaje na účely identifikácie fyzickej osoby
pri jej jednorazovom vstupe do jeho priestorov, je oprávnený od nej požadovať meno,
priezvisko, titul a číslo občianskeho preukazu14) alebo číslo služobného preukazu, alebo číslo cestovného dokladu,15) štátnu príslušnosť a preukázanie pravdivosti poskytnutých osobných údajov predkladaným
dokladom. Ak sa fyzická osoba preukáže podľa osobitného zákona,16) je prevádzkovateľ oprávnený od nej požadovať len evidenčné číslo služobného preukazu.
V týchto prípadoch sa odsek 1 nepoužije.
(5)
Prevádzkovateľ alebo sprostredkovateľ, ktorý v priestoroch prístupných verejnosti
získava, poskytuje alebo sprístupňuje osobné údaje, zabezpečí diskrétnosť pri ich
spracúvaní.
(6)
Získavať osobné údaje nevyhnutné na dosiahnutie účelu spracúvania kopírovaním, skenovaním
alebo iným zaznamenávaním úradných dokladov na nosič informácií možno len vtedy, ak
s tým dotknutá osoba písomne súhlasí alebo ak to osobitný zákon výslovne umožňuje
bez súhlasu dotknutej osoby.17) Súhlas dotknutej osoby si prevádzkovateľ ani sprostredkovateľ nesmú vynucovať ani
podmieňovať hrozbou odmietnutia zmluvného vzťahu, služby, tovaru alebo povinnosti
ustanovenej prevádzkovateľovi alebo sprostredkovateľovi zákonom.
(7)
Priestor prístupný verejnosti možno monitorovať pomocou videozáznamu alebo audiozáznamu
len na účely verejného poriadku a bezpečnosti, odhaľovania kriminality alebo narušenia
bezpečnosti štátu, a to len vtedy, ak priestor je zreteľne označený ako monitorovaný.
Označenie monitorovaného priestoru sa nevyžaduje, ak tak ustanovuje osobitný zákon.
Vyhotovený záznam možno využiť len na účely trestného konania alebo konania o priestupkoch,
ak osobitný zákon neustanovuje inak.
(8)
Prevádzkovateľ, ktorý získa osobné údaje uvedené v § 7 ods. 4 písm. d) bez vedomia dotknutej osoby alebo priamo od nej, poskytne jej pri prvom kontakte
informácie podľa odseku 1 a ak sú spracúvané na účely priameho marketingu, oboznámi
ju aj s právom písomne namietať proti ich poskytovaniu a využívaniu v poštovom styku.
(9)
Prevádzkovatelia, ktorých predmetom činnosti je priamy marketing, vedú zoznam poskytnutých
osobných údajov podľa § 7 ods. 4 písm. d) v rozsahu meno, priezvisko, titul a adresa dotknutej osoby, dátum ich poskytnutia,
prípadne dátum, od ktorého platí zákaz ich ďalšieho poskytovania podľa § 13 ods. 6, a názov právnickej osoby alebo fyzickej osoby, ktorej boli uvedené osobné údaje
poskytnuté. Zoznam v rovnakom rozsahu vedú aj právnické osoby a fyzické osoby, ktorým
boli tieto osobné údaje poskytnuté.
§ 11
Pravdivosť osobných údajov
Do informačného systému možno poskytnúť len pravdivé osobné údaje. Za nepravdivosť
osobných údajov zodpovedá ten, kto ich do informačného systému poskytol.
§ 12
Správnosť a aktuálnosť osobných údajov
(1)
Správnosť a aktuálnosť osobných údajov zabezpečuje prevádzkovateľ. Za správny sa
považuje taký osobný údaj, ktorý sa poskytol v súlade s § 11.
(2)
Na účel správnosti a aktuálnosti osobných údajov prevádzkovateľ zabezpečí opravu
alebo doplnenie tých osobných údajov, ktoré sa v priebehu spracúvania stanú neaktuálnymi,
alebo sa preukáže, že sú nesprávne.
§ 13
Likvidácia osobných údajov
(1)
Prevádzkovateľ po splnení účelu spracúvania zabezpečí bezodkladne likvidáciu osobných
údajov.
(2)
Prevádzkovateľ zabezpečí bezodkladne likvidáciu osobných údajov okrem osobných údajov
uvedených v § 7 ods. 4 písm. d) aj vtedy, ak
a)
zanikli dôvody, ktoré neumožňovali získať súhlas dotknutej osoby (§ 7 ods. 12), a súhlas nebol daný, alebo
b)
dotknutá osoba uplatní námietku podľa § 20 ods. 3 písm. a); ďalej prevádzkovateľ postupuje podľa odseku 5.
(3)
Odsek 1 sa nepoužije, ak
a)
osobitný zákon ustanovuje lehotu,18) ktorá neumožňuje osobné údaje bezodkladne zlikvidovať; prevádzkovateľ zabezpečí likvidáciu
osobných údajov bezodkladne po uplynutí zákonom ustanovenej lehoty,
b)
sú osobné údaje súčasťou archívnych dokumentov,19)
c)
sa písomný, obrazový, zvukový alebo iný záznam obsahujúci osobné údaje zaradí do
predarchívnej starostlivosti;20) počas predarchívnej starostlivosti sa nesmú vykonávať žiadne operácie spracúvania
s osobnými údajmi s výnimkou ich uchovávania a využiť ich možno len na účely občianskoprávneho
konania, trestného konania alebo správneho konania.
(4)
Úschovné lehoty písomných, obrazových, zvukových a iných záznamov, ktoré obsahujú
osobné údaje a sú zaradené do predarchívnej starostlivosti, možno stanoviť len na
dobu nevyhnutnú na uplatnenie práv alebo povinností ustanovených zákonom.21)
(5)
Ak dotknutá osoba uplatní námietku podľa § 20 ods. 3 písm. b), prevádzkovateľ bezodkladne skončí využívanie osobných údajov uvedených v § 7 ods. 4 písm. d) v poštovom styku.
(6)
Ak dotknutá osoba uplatní námietku podľa § 20 ods. 3 písm. c), prevádzkovateľ to bezodkladne písomne oznámi každému, komu osobné údaje uvedené
v § 7 ods. 4 písm. d) poskytol; zákaz ďalšieho poskytovania tu uvedených osobných údajov platí pre prevádzkovateľa
a každého, komu ich prevádzkovateľ poskytol odo dňa nasledujúceho po dni doručenia
námietky dotknutej osoby, prípadne doručenia písomného oznámenia prevádzkovateľa.
(7)
Ak vyhotovený záznam podľa § 10 ods. 7 nie je využitý na účely trestného konania alebo konania o priestupkoch, ten, kto
ho vyhotovil, ho zlikviduje najneskôr v lehote siedmich dní odo dňa nasledujúceho
po dni, v ktorom bol záznam vyhotovený, ak osobitný zákon neustanovuje inak.
(8)
Prevádzkovateľ zabezpečí likvidáciu tých osobných údajov, ktoré sa nedajú opraviť
alebo doplniť tak, aby boli správne a aktuálne (§ 12 ods. 2).
§ 14
Oznámenie o vykonaní opravy alebo likvidácie
(1)
Opravu alebo likvidáciu osobných údajov oznámi prevádzkovateľ do 30 dní od ich vykonania
dotknutej osobe a každému, komu ich poskytol.
(2)
Od oznámenia možno upustiť, ak sa neoznámením opravy alebo likvidácie osobných údajov
neporušia práva dotknutej osoby.
DRUHÁ HLAVA
BEZPEČNOSŤ OSOBNÝCH ÚDAJOV
§ 15
Zodpovednosť za bezpečnosť osobných údajov
(1)
Za bezpečnosť osobných údajov zodpovedá prevádzkovateľ a sprostredkovateľ tým, že
ich chráni pred odcudzením, stratou, poškodením, neoprávneným prístupom, zmenou a
rozširovaním. Na tento účel prijme primerané technické, organizačné a personálne opatrenia
zodpovedajúce spôsobu spracúvania.
(2)
Opatrenia podľa odseku 1 prijme prevádzkovateľ a sprostredkovateľ vo forme bezpečnostného
projektu informačného systému (ďalej len „bezpečnostný projekt") a zabezpečí jeho
vypracovanie, ak
a)
informačný systém je prepojený na verejne prístupnú počítačovú sieť, alebo je prevádzkovaný
v počítačovej sieti, ktorá je prepojená na verejne prístupnú počítačovú sieť,
b)
sú v informačnom systéme spracúvané osobitné kategórie osobných údajov (§ 8), alebo
c)
informačný systém podlieha výnimkám uvedeným v § 2 ods. 2.
(3)
Na požiadanie úradu prevádzkovateľ a sprostredkovateľ preukážu rozsah a obsah prijatých
technických, organizačných a personálnych opatrení podľa odseku 1 alebo 2.
(4)
Ak sú predmetom kontroly informačné systémy podľa odseku 2, úrad má právo požadovať
od prevádzkovateľa alebo sprostredkovateľa predloženie hodnotiacej správy o výsledku
auditu bezpečnosti informačného systému (ďalej len „hodnotiaca správa"), ak sú vážne
pochybnosti o jeho bezpečnosti alebo o praktickom uplatňovaní opatrení uvedených v
bezpečnostnom projekte. Hodnotiacu správu, nie staršiu ako dva roky, bezodkladne predloží
prevádzkovateľ alebo sprostredkovateľ úradu, inak zabezpečí vykonanie auditu bezpečnosti
informačného systému na vlastné náklady a predloží hodnotiacu správu najneskôr do
troch mesiacov odo dňa uloženia povinnosti.
(5)
Audit bezpečnosti informačného systému môže vykonať iba externá, odborne spôsobilá
právnická osoba alebo fyzická osoba, ktorá sa nepodieľala na vypracovaní bezpečnostného
projektu predmetného informačného systému, a nie sú pochybnosti o jej nezaujatosti.
§ 16
Bezpečnostný projekt
(1)
Bezpečnostný projekt vymedzuje rozsah a spôsob technických, organizačných a personálnych
opatrení potrebných na eliminovanie a minimalizovanie hrozieb a rizík pôsobiacich
na informačný systém z hľadiska narušenia jeho bezpečnosti, spoľahlivosti a funkčnosti.
(2)
Bezpečnostný projekt sa spracúva v súlade so základnými pravidlami bezpečnosti informačného
systému vydanými bezpečnostnými štandardmi, právnymi predpismi a medzinárodnými zmluvami,
ktorými je Slovenská republika viazaná.
(3)
Bezpečnostný projekt obsahuje najmä
a)
bezpečnostný zámer,
b)
analýzu bezpečnosti informačného systému,
c)
bezpečnostné smernice.
(4)
Bezpečnostný zámer vymedzuje základné bezpečnostné ciele, ktoré je potrebné dosiahnuť
na ochranu informačného systému pred ohrozením jeho bezpečnosti, a obsahuje najmä
a)
formuláciu základných bezpečnostných cieľov a minimálne požadovaných bezpečnostných
opatrení,
b)
špecifikáciu technických, organizačných a personálnych opatrení na zabezpečenie ochrany
osobných údajov v informačnom systéme a spôsob ich využitia,
c)
vymedzenie okolia informačného systému a jeho vzťah k možnému narušeniu bezpečnosti,
d)
vymedzenie hraníc určujúcich množinu zvyškových rizík.
(5)
Analýza bezpečnosti informačného systému je podrobný rozbor stavu bezpečnosti informačného
systému, ktorá obsahuje najmä
a)
kvalitatívnu analýzu rizík, v rámci ktorej sa identifikujú hrozby pôsobiace na jednotlivé
aktíva informačného systému spôsobilé narušiť jeho bezpečnosť alebo funkčnosť; výsledkom
kvalitatívnej analýzy rizík je zoznam hrozieb, ktoré môžu ohroziť dôvernosť, integritu
a dostupnosť spracúvaných osobných údajov, s uvedením rozsahu možného rizika, návrhov
opatrení, ktoré eliminujú alebo minimalizujú vplyv rizík, a s vymedzením súpisu nepokrytých
rizík,
b)
použitie bezpečnostných štandardov a určenie iných metód a prostriedkov ochrany osobných
údajov; súčasťou analýzy bezpečnosti informačného systému je posúdenie zhody navrhnutých
bezpečnostných opatrení s použitými bezpečnostnými štandardmi, metódami a prostriedkami.
(6)
Bezpečnostné smernice upresňujú a aplikujú závery vyplývajúce z bezpečnostného projektu
na konkrétne podmienky prevádzkovaného informačného systému a obsahujú najmä
a)
popis technických, organizačných a personálnych opatrení vymedzených v bezpečnostnom
projekte a ich využitie v konkrétnych podmienkach,
b)
rozsah oprávnení a popis povolených činností jednotlivých oprávnených osôb, spôsob
ich identifikácie a autentizácie pri prístupe k informačnému systému,
c)
rozsah zodpovednosti oprávnených osôb a osoby zodpovednej za dohľad nad ochranou
osobných údajov (§ 19),
d)
spôsob, formu a periodicitu výkonu kontrolných činností zameraných na dodržiavanie
bezpečnosti informačného systému,
e)
postupy pri haváriách, poruchách a iných mimoriadnych situáciách vrátane preventívnych
opatrení na zníženie vzniku mimoriadnych situácií a možností efektívnej obnovy stavu
pred haváriou.
§ 17
Poučenie
Prevádzkovateľ a sprostredkovateľ preukázateľne poučia právnické osoby a fyzické osoby,
ktoré majú alebo môžu mať prístup k ich informačnému systému, o právach a povinnostiach
ustanovených týmto zákonom a o zodpovednosti za ich porušenie.
§ 18
Povinnosť mlčanlivosti
(1)
Prevádzkovateľ a sprostredkovateľ sú povinní zachovávať mlčanlivosť o osobných údajoch,
ktoré spracúvajú. Povinnosť mlčanlivosti trvá aj po ukončení spracovania. Povinnosť
mlčanlivosti nemajú, ak je to podľa osobitného zákona nevyhnutné na plnenie úloh orgánov
činných v trestnom konaní; tým nie sú dotknuté ustanovenia osobitných zákonov.22)
(2)
Oprávnená osoba je povinná zachovávať mlčanlivosť o osobných údajoch, s ktorými príde
do styku; tie nesmie využiť ani pre osobnú potrebu a bez súhlasu prevádzkovateľa ich
nesmie zverejniť a nikomu poskytnúť ani sprístupniť.
(3)
Povinnosť mlčanlivosti podľa odseku 2 platí aj pre iné fyzické osoby, ktoré v rámci
svojej činnosti (napr. údržba a servis technických prostriedkov) prídu do styku s
osobnými údajmi u prevádzkovateľa alebo sprostredkovateľa.
(4)
Povinnosť mlčanlivosti podľa odseku 2 trvá aj po zániku funkcie oprávnenej osoby
alebo po skončení jej pracovného pomeru alebo obdobného pracovného vzťahu, ako aj
štátnozamestnaneckého pomeru alebo vzťahu podľa odseku 3.
(5)
Odseky 1 až 4 a ustanovená povinnosť mlčanlivosti prevádzkovateľov, sprostredkovateľov
a oprávnených osôb podľa osobitných predpisov23) sa nepoužijú vo vzťahu k úradu pri plnení jeho úloh (§ 38 až 44).
§ 19
Dohľad nad ochranou osobných údajov
(1)
Za výkon dohľadu nad ochranou osobných údajov spracúvaných podľa tohto zákona zodpovedá
prevádzkovateľ.
(2)
Ak prevádzkovateľ zamestnáva viac ako päť osôb, výkonom dohľadu písomne poverí zodpovednú
osobu alebo viaceré zodpovedné osoby, ktoré dozerajú na dodržiavanie zákonných ustanovení
pri spracúvaní osobných údajov.
(3)
Odborné vyškolenie zodpovednej osoby alebo viacerých zodpovedných osôb zabezpečí
prevádzkovateľ. Rozsah odborného školenia zodpovedá najmä obsahu tohto zákona a úlohám
z neho vyplývajúcim, ako aj obsahu medzinárodných zmlúv o ochrane osobných údajov,24) ktoré boli vyhlásené spôsobom ustanoveným zákonom. Úrad môže od prevádzkovateľa žiadať
podanie dôkazu o vykonanom odbornom školení.
(4)
Zodpovedná osoba posúdi pred začatím spracúvania osobných údajov v informačnom systéme,
či ich spracúvaním nevzniká nebezpečenstvo narušenia práv a slobôd dotknutých osôb.
Zistenie narušenia práv a slobôd dotknutých osôb pred začatím spracúvania alebo porušenia
zákonných ustanovení v priebehu spracúvania osobných údajov zodpovedná osoba bezodkladne
písomne oznámi prevádzkovateľovi; ak prevádzkovateľ po upozornení bezodkladne nevykoná
nápravu, oznámi to zodpovedná osoba úradu.
TRETIA HLAVA
OCHRANA PRÁV DOTKNUTÝCH OSÔB
§ 20
Práva dotknutej osoby
(1)
Dotknutá osoba má právo na základe písomnej žiadosti od prevádzkovateľa vyžadovať
a)
informácie o stave spracúvania svojich osobných údajov v informačnom systéme v rozsahu
podľa § 26 ods. 3,
b)
presné informácie o zdroji, z ktorého získal osobné údaje spracúvané podľa § 7 ods. 4 písm. d) a e),
c)
odpis jej osobných údajov, ktoré sú predmetom spracúvania,
d)
opravu nesprávnych alebo neaktuálnych osobných údajov v priebehu spracúvania,
e)
likvidáciu jej osobných údajov, ak bol splnený účel ich spracúvania podľa § 13 ods. 1; ak sú predmetom spracúvania úradné doklady obsahujúce osobné údaje, môže požiadať
o ich vrátenie,
f)
likvidáciu jej osobných údajov, ktoré sú predmetom spracúvania, ak došlo k porušeniu
zákona.
(2)
Právo dotknutej osoby možno obmedziť len podľa odseku 1 písm. d) a e), ak takéto
obmedzenie vyplýva z osobitného zákona alebo jeho uplatnením by bola porušená ochrana
dotknutej osoby, alebo by boli porušené práva a slobody iných osôb.
(3)
Dotknutá osoba na základe bezplatnej písomnej žiadosti má právo u prevádzkovateľa
namietať voči
a)
spracúvaniu jej osobných údajov, o ktorých predpokladá, že sú alebo budú spracúvané
na účely priameho marketingu bez jej súhlasu a žiadať ich likvidáciu,
b)
využívaniu osobných údajov uvedených v § 7 ods. 4 písm. d) na účely priameho marketingu v poštovom styku, alebo
c)
poskytovaniu osobných údajov uvedených v § 7 ods. 4 písm. d) na účely priameho marketingu.
(4)
Dotknutá osoba má právo namietať a nepodrobiť sa rozhodnutiu prevádzkovateľa, ktoré
by malo pre ňu právne účinky alebo významný dosah, ak sa takéto rozhodnutie vydá výlučne
na základe úkonov automatizovaného spracúvania jej osobných údajov. Toto právo možno
obmedziť iba v prípade, ak to ustanovuje osobitný zákon,25) v ktorom sú opatrenia na zabezpečenie oprávnených záujmov dotknutej osoby alebo obmedzenie
práva vyplýva zo zmluvy uzatvorenej medzi prevádzkovateľom a dotknutou osobou.
(5)
Dotknutá osoba má právo nesúhlasiť s oznámením podľa § 23 ods. 5 a písomne odmietnuť prenos svojich osobných údajov
a)
subjektom so sídlom alebo s trvalým pobytom v cudzine s výnimkou subjektu uvedeného
v písmene b), a to aj v prípade, ak cieľová krajina zaručuje primeranú úroveň ochrany,
alebo
b)
organizačnej zložke prevádzkovateľa alebo jeho nadriadenému orgánu, ak cieľová krajina
nezaručuje primeranú úroveň ochrany a ak prenos možno vykonať len so súhlasom dotknutej
osoby.
(6)
Dotknutá osoba pri podozrení, že jej osobné údaje sa neoprávnene spracúvajú, môže
podať o tom oznámenie úradu.
(7)
(8)
Ak dotknutá osoba nežije, jej práva, ktoré mala podľa tohto zákona, môže uplatniť
blízka osoba.10)
§ 21
Poskytnutie informácií dotknutej osobe
(1)
Požiadavky dotknutej osoby podľa § 20 ods. 1 písm. a), d) až f) splní prevádzkovateľ bezplatne.
(2)
Informácie podľa § 20 ods. 1 písm. b) a c) prevádzkovateľ poskytne dotknutej osobe bezplatne s výnimkou úhrady vo výške, ktorá
nesmie prekročiť výšku materiálnych nákladov spojených so zhotovením kópií, so zadovážením
technických nosičov a s odoslaním informácie dotknutej osobe, ak osobitný zákon neustanovuje
inak.26)
(3)
Prevádzkovateľ vyhovie požiadavkám dotknutej osoby podľa § 20 a písomne ju informuje najneskoršie do 30 dní od ich prijatia.
§ 22
Oznámenie o obmedzení práv dotknutej osoby
Obmedzenie práv dotknutej osoby podľa § 20 ods. 1 písm. d) a e) prevádzkovateľ bezodkladne písomne oznámi dotknutej osobe a úradu.
ŠTVRTÁ HLAVA
CEZHRANIČNÝ TOK OSOBNÝCH ÚDAJOV
§ 23
(1)
Ak cieľová krajina cezhraničného toku osobných údajov zaručuje primeranú úroveň ochrany,
prenos osobných údajov subjektom so sídlom alebo s trvalým pobytom v cudzine možno
vykonať za predpokladu, že boli splnené podmienky podľa § 10 ods. 1.
(2)
Primeranosť úrovne ochrany osobných údajov sa hodnotí na základe všetkých okolností
súvisiacich s prenosom. Osobitne sa pritom posudzujú príslušné právne predpisy v cieľovej
krajine vo vzťahu k povahe osobných údajov, účel a trvanie ich spracúvania.
(3)
Ak neboli splnené podmienky podľa § 10 ods. 1, prenos podľa odseku 1 možno vykonať len za predpokladu, že
a)
ide o prenos osobných údajov spracúvaných podľa § 7 ods. 4 písm. d); to platí len vtedy, ak je subjektom organizačná zložka prevádzkovateľa alebo jeho
nadriadený orgán, ktorý neposkytne ani nesprístupní tieto osobné údaje v cieľovej
krajine inému subjektu s výnimkou takého, ktorý ich spracúva v mene prevádzkovateľa,
b)
je prenos ustanovený osobitným zákonom, alebo
c)
prenos vyplýva z medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.
(4)
V prípade, že cieľová krajina nezaručuje primeranú úroveň ochrany, možno prenos vykonať
pod podmienkou, že
a)
dotknutá osoba dala naň písomný súhlas s vedomím, že cieľová krajina nezaručuje primeranú
úroveň ochrany,
b)
je nevyhnutný na plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom alebo na
zavedenie predzmluvných opatrení na žiadosť dotknutej osoby,
c)
je nevyhnutný na uzavretie zmluvy alebo plnenie zmluvy, ktorú prevádzkovateľ uzavrel
v záujme dotknutej osoby s iným subjektom,
d)
je nevyhnutný na plnenie medzinárodnej zmluvy, ktorou je Slovenská republika viazaná,
alebo vyplýva zo zákona z dôvodu dôležitého verejného záujmu alebo pri preukazovaní,
uplatňovaní alebo obhajovaní právneho nároku,
e)
je nevyhnutný na ochranu životne dôležitých záujmov dotknutej osoby, alebo
f)
sa týka osobných údajov, ktoré sú súčasťou zoznamov, registrov alebo operátov a ktoré
sú vedené a verejne prístupné podľa osobitných zákonov alebo sú podľa nich prístupné
tým, ktorí preukážu právny nárok pri splnení zákonom ustanovených podmienok na ich
sprístupnenie.
(5)
Ak sa prevádzkovateľ rozhodne vykonať prenos osobných údajov až po ich získaní, oznámi
dotknutej osobe pred ich prenosom dôvod svojho rozhodnutia a oboznámi ju s právom
odmietnuť takýto prenos (§ 20 ods. 5). To neplatí, ak ide o prenos podľa odseku 3.
(6)
Ak prevádzkovateľ poverí spracúvaním osobných údajov subjekt v cudzine, ktorý ich
spracúva v mene prevádzkovateľa, ten je oprávnený spracúvať osobné údaje len v rozsahu
a za podmienok dojednaných s prevádzkovateľom v písomnej zmluve. Obsah zmluvy musí
byť vypracovaný v súlade so štandardnými zmluvnými podmienkami ustanovenými na prenos
osobných údajov subjektom v cudzine, ktoré ich spracúvajú v mene prevádzkovateľa.
(7)
Na prenos osobných údajov podľa odseku 6 sa vyžaduje súhlas úradu.
(8)
Ten, kto vykonáva prenos osobných údajov, zaručí ich bezpečnosť (§ 15 ods. 1) aj pri tranzite.
(9)
Ochrana osobných údajov, prenesených na územie Slovenskej republiky od subjektov
so sídlom alebo s trvalým pobytom v cudzine, sa vykonáva v súlade s týmto zákonom.
(10)
V prípade pochybnosti o tom, či možno vykonať cezhraničný tok osobných údajov, rozhodne
úrad. Stanovisko úradu je záväzné.
PIATA HLAVA
REGISTRÁCIA A EVIDENCIA INFORMAČNÝCH SYSTÉMOV
§ 24
Povinnosť registrácie a evidencie
Prevádzkovateľ registruje informačné systémy alebo vedie o nich evidenciu v rozsahu
a za podmienok ustanovených týmto zákonom.
Registrácia
§ 25
Podmienky registrácie
(1)
Registráciu informačných systémov vykonáva úrad bezplatne.
(2)
Registrácii podliehajú informačné systémy, v ktorých
a)
sa spracúvajú osobitné kategórie osobných údajov (§ 8),
b)
sa spracúvajú osobné údaje, ktoré sú predmetom cezhraničného toku (§ 23 ods. 1 až 7), alebo
c)
osobné údaje spracúva sprostredkovateľ (§ 5 ods. 2).
(3)
Registrácii nepodliehajú informačné systémy uvedené v odseku 2, ak obsahujú
a)
osobné údaje týkajúce sa zdravia a všeobecne použiteľný identifikátor tých osôb,
ktoré sú s prevádzkovateľom v pracovnom pomere alebo v obdobnom pracovnom vzťahu,
a osôb, ktoré sú s prevádzkovateľom v štátnozamestnaneckom pomere,
b)
osobné údaje o členstve osôb v odborových organizáciách, ktoré sú ich členmi, a ak
tieto osobné údaje sa využívajú výlučne pre ich vnútornú potrebu,
c)
osobné údaje o náboženskej viere osôb združených v štátom uznanej cirkvi alebo v
náboženskej spoločnosti a ak tieto osobné údaje sa využívajú výlučne pre ich vnútornú
potrebu,
d)
osobné údaje o členstve osôb v politických stranách alebo v politických hnutiach,
ktoré sú ich členmi, a ak tieto osobné údaje sa využívajú výlučne pre ich vnútornú
potrebu,
e)
osobné údaje osôb zúčastnených v konaní pred orgánom štátnej správy, orgánom územnej
samosprávy, ako aj pred inými orgánmi verejnej moci a ich spracúvanie sa vykonáva
na základe osobitného zákona,
f)
výlučne už zverejnené osobné údaje,
g)
osobné údaje, ktoré slúžia masovokomunikačným prostriedkom výlučne pre ich informačnú
činnosť,
h)
osobné údaje na účely preventívnej medicíny, lekárskej diagnostiky, poskytovania
liečebnej alebo kúpeľnej starostlivosti a ďalších služieb zdravotnej starostlivosti
a ak tieto osobné údaje spracúva zdravotnícke zariadenie,
i)
osobné údaje na účely výchovy alebo vzdelávania alebo vedy a výskumu, ako aj osobné
údaje slúžiace na účely štátnej štatistiky a ak prevádzkovateľom je zariadenie, ktorému
táto úloha vyplýva zo zákona, alebo
j)
osobné údaje, ktoré sa spracúvajú výlučne na účely identifikácie osôb pri ich jednorazovom
vstupe do priestorov prevádzkovateľa.
(4)
V prípade pochybnosti o tom, či informačný systém podlieha registrácii, rozhodne
úrad. Stanovisko úradu je záväzné.
§ 26
Prihlásenie na registráciu
(1)
Za prihlásenie informačného systému na registráciu zodpovedá jeho prevádzkovateľ.
(2)
Prevádzkovateľ prihlási informačný systém na registráciu pred začatím spracúvania
osobných údajov.
(3)
Pri prihlasovaní informačného systému na registráciu prevádzkovateľ uvedie tieto
údaje:
a)
názov, sídlo alebo trvalý pobyt, právnu formu a identifikačné číslo prevádzkovateľa,
b)
meno a priezvisko štatutárneho orgánu prevádzkovateľa,
c)
meno a priezvisko zodpovednej osoby vykonávajúcej dohľad nad ochranou osobných údajov,
ak sa vyžaduje jej poverenie (§ 19 ods. 2),
d)
názov, sídlo alebo trvalý pobyt, právnu formu a identifikačné číslo sprostredkovateľa,
ak spracúva osobné údaje v mene prevádzkovateľa,
e)
meno a priezvisko štatutárneho orgánu sprostredkovateľa,
f)
identifikačné označenie informačného systému,
g)
účel spracúvania osobných údajov,
h)
zoznam osobných údajov,
i)
okruh dotknutých osôb,
j)
okruh užívateľov, ak sa im osobné údaje sprístupňujú,
k)
právnické osoby, fyzické osoby, prípadne subjekty v cudzine, ak sa im osobné údaje
poskytujú,
l)
názvy cieľových krajín, právny základ cezhraničného toku osobných údajov a opatrenia
na zabezpečenie ochrany osobných údajov pri tranzite, ak sú predmetom cezhraničného
toku,
m)
právny základ informačného systému,
n)
formu zverejnenia, ak sa zverejnenie osobných údajov vykonáva,
o)
všeobecnú charakteristiku opatrení na zabezpečenie ochrany osobných údajov,
p)
dátum začatia spracúvania osobných údajov.
(4)
Údaje v rozsahu podľa odseku 3 sa úradu odovzdávajú v písomnej forme potvrdené štatutárnym
orgánom prevádzkovateľa alebo elektronicky vo forme databázového súboru s doloženým
výtlačkom obsahu súboru potvrdeným štatutárnym orgánom prevádzkovateľa. Písomnú formu
a formát databázového súboru určí úrad. Doloženie výtlačku sa nepožaduje, ak databázový
súbor je opatrený elektronickým podpisom podľa osobitného zákona.
§ 27
Predbežná kontrola a vydanie potvrdenia o registrácii
(1)
Úrad posúdi predložené údaje (§ 26 ods. 3), preverí, či spracúvaním osobných údajov nevzniká nebezpečenstvo narušenia práv
a slobôd dotknutých osôb a najneskôr do 30 dní odo dňa ich prijatia vydá záväzné stanovisko
o povinnosti registrácie informačného systému.
(2)
V prípade pochybnosti si úrad vyžiada od prevádzkovateľa ďalšie vysvetlenia. Počas
tejto doby lehota podľa odseku 1 neplynie.
(3)
Súčasťou registrácie je pridelenie registračného čísla informačnému systému a vydanie
potvrdenia o jeho registrácii. Registračné číslo prevádzkovateľ uvedie vždy pri akejkoľvek
komunikácii o spracúvaných osobných údajoch.
(4)
Prevádzkovateľ môže začať spracúvať osobné údaje v informačnom systéme prihlásenom
na registráciu v deň nasledujúci po dni, v ktorom úrad vydal potvrdenie o registrácii.
§ 28
Oznámenie zmien a odhlásenie z registrácie
(1)
Prevádzkovateľ do 15 dní písomne oznámi úradu akékoľvek zmeny údajov podľa § 26 ods. 3 s výnimkou písmena p), ktoré nastanú v priebehu spracúvania.
(2)
Prevádzkovateľ do 15 dní odo dňa skončenia spracúvania osobných údajov v informačnom
systéme tento z registrácie písomne odhlási. Súčasťou odhlásenia je dátum skončenia
spracúvania osobných údajov.
(3)
Na oznámenie zmien údajov a odhlásenie informačného systému z registrácie sa primerane
použije § 26 ods. 4.
Evidencia
§ 29
Podmienky evidencie
(1)
O informačných systémoch, ktoré nepodliehajú registrácii, prevádzkovateľ vedie evidenciu,
a to najneskôr odo dňa začatia spracúvania údajov v týchto informačných systémoch.
(2)
Odsek 1 sa nepoužije pre informačné systémy, ak
a)
spracúvané osobné údaje slúžia výlučne pre potreby poštového styku s dotknutými osobami
a evidencie týchto údajov [§ 7 ods. 4 písm. d)], alebo
b)
obsahujú osobné údaje, ktoré sa spracúvajú výlučne na účely identifikácie osôb pri
ich jednorazovom vstupe do priestorov prevádzkovateľa (§ 10 ods. 4).
Sprístupnenie stavu registrácie a evidencie
§ 31
Verejnosť registrácie
Registrácia vedená podľa tohto zákona je verejná v rozsahu údajov podľa § 26 ods. 3 s uvedením registračného čísla informačného systému.
§ 32
Verejnosť evidencie
Evidencia vedená podľa tohto zákona je verejná. Údaje z evidencie prevádzkovateľ sprístupní
bezplatne komukoľvek, kto o to požiada.
TRETIA ČASŤ
ÚRAD
PRVÁ HLAVA
POSTAVENIE A PÔSOBNOSŤ ÚRADU
§ 33
Pôsobnosť úradu
(1)
Zriaďuje sa Úrad na ochranu osobných údajov, ktorý je orgánom štátnej správy s celoslovenskou
pôsobnosťou so sídlom v Bratislave.
(2)
Úrad ako štátny orgán vykonáva dozor nad ochranou osobných údajov nezávisle a podieľa
sa na ochrane základných práv a slobôd fyzických osôb pri spracúvaní ich osobných
údajov.
(3)
Ak osobné údaje spracúvajú spravodajské služby, dozor nad ochranou osobných údajov
podľa odseku 2 vykonáva Národná rada Slovenskej republiky podľa osobitného zákona.27)
§ 34
Postavenie úradu
(1)
Úrad je rozpočtovou organizáciou.28) Návrh rozpočtu predkladá úrad ako súčasť kapitoly Úradu vlády Slovenskej republiky.
Schválený rozpočet úradu môže znížiť v priebehu kalendárneho roku iba Národná rada
Slovenskej republiky.
(2)
Podrobnosti o organizácii úradu upraví organizačný poriadok.
§ 35
Predseda úradu
(1)
Na čele úradu je predseda úradu.
(2)
Predsedu úradu na návrh vlády Slovenskej republiky volí a odvoláva Národná rada Slovenskej
republiky. Návrh na voľbu predsedu úradu na nové funkčné obdobie predkladá vláda Slovenskej
republiky Národnej rade Slovenskej republiky najneskôr 60 dní pred uplynutím funkčného
obdobia úradujúceho predsedu úradu. Funkčné obdobie predsedu úradu je päť rokov a
možno ho zvoliť najviac na dve po sebe nasledujúce obdobia. Predseda úradu ostáva
vo funkcii aj po uplynutí funkčného obdobia, kým Národná rada Slovenskej republiky
nezvolí predsedu úradu na nové funkčné obdobie.
(3)
Za predsedu úradu možno zvoliť občana, ktorý je voliteľný za poslanca do Národnej
rady Slovenskej republiky, je bezúhonný, má vysokoškolské vzdelanie, má najmenej 10
rokov odbornej praxe v oblasti informatiky alebo práva a dosiahol vek najmenej 35
rokov.
(4)
Za bezúhonného občana sa na účely tohto zákona považuje občan, ktorý nebol právoplatne
odsúdený za úmyselný trestný čin alebo za trestný čin, za ktorý mu bol uložený nepodmienečný
trest odňatia slobody. Bezúhonnosť sa preukazuje výpisom z registra trestov, ktorý
nie je starší ako tri mesiace.
(5)
Predseda úradu nemôže byť členom politickej strany ani politického hnutia.
(6)
Platové a ďalšie náležitosti predsedu úradu určuje vláda Slovenskej republiky podľa
osobitného predpisu.29)
(7)
Počas výkonu funkcie nesmie predseda úradu podnikať ani vykonávať inú zárobkovú činnosť
s výnimkou vedeckej, pedagogickej, publicistickej, literárnej alebo umeleckej činnosti
a správy vlastného majetku a majetku svojich maloletých detí.
(8)
Počas výkonu funkcie je predseda úradu oprávnený oboznamovať sa s utajovanými skutočnosťami
podľa osobitného predpisu.30)
(9)
Počas funkčného obdobia i po jeho skončení je predseda úradu povinný zachovávať mlčanlivosť
o skutočnostiach týkajúcich sa obsahu osobných údajov, o ktorých sa dozvedel počas
výkonu svojej funkcie.
(10)
Od povinnosti mlčanlivosti môže predsedu úradu pre konkrétny prípad oslobodiť Národná
rada Slovenskej republiky.
(11)
Za svoju činnosť zodpovedá predseda úradu Národnej rade Slovenskej republiky.
(12)
Pred uplynutím funkčného obdobia zaniká výkon funkcie predsedu úradu
a)
vzdaním sa funkcie,
b)
stratou voliteľnosti za poslanca Národnej rady Slovenskej republiky,
c)
nadobudnutím právoplatnosti rozsudku, ktorým bol odsúdený za úmyselný trestný čin
alebo ktorým bol odsúdený za trestný čin a súd nerozhodol v jeho prípade o podmienečnom
odložení výkonu trestu odňatia slobody,
d)
výkonom činnosti, ktorá je nezlučiteľná s výkonom jeho funkcie, alebo
e)
smrťou.
(13)
Národná rada môže odvolať z funkcie predsedu úradu,
a)
ak mu zdravotný stav dlhodobo, najmenej však počas jedného roka, nedovoľuje riadne
vykonávať povinnosti vyplývajúce z jeho funkcie,
b)
ak porušil povinnosť zachovávať mlčanlivosť o skutočnostiach týkajúcich sa obsahu
osobných údajov, o ktorých sa dozvedel počas výkonu funkcie.
Predseda úradu je odvolaný z funkcie dňom nasledujúcim po dni, keď mu bolo doručené
rozhodnutie Národnej rady Slovenskej republiky o odvolaní z funkcie.
§ 36
Podpredseda úradu
(1)
Predsedu úradu v čase jeho neprítomnosti zastupuje podpredseda úradu. Podpredseda
úradu okrem toho plní úlohy, ktorými ho poverí predseda úradu.
(2)
Podpredsedu úradu vymenúva a odvoláva vláda Slovenskej republiky na návrh predsedu
úradu.
(3)
(4)
Od povinnosti mlčanlivosti môže podpredsedu úradu pre konkrétny prípad oslobodiť
predseda úradu.
§ 37
Vrchný inšpektor a inšpektori
(1)
Činnosť inšpektorov riadi vrchný inšpektor.
(2)
Inšpektori vykonávajú kontrolnú činnosť a sú vecne príslušní na plnenie úloh úradu.
(3)
Inšpektorov vymenúva a odvoláva vláda Slovenskej republiky na návrh predsedu úradu.
Za inšpektora možno vymenovať občana, ktorý je voliteľný za poslanca Národnej rady
Slovenskej republiky, je bezúhonný, má vysokoškolské vzdelanie a najmenej trojročnú
odbornú prax v oblasti informatiky alebo práva a dosiahol vek najmenej 30 rokov. Vrchného
inšpektora vymenúva a odvoláva vláda Slovenskej republiky na návrh predsedu úradu
z radov inšpektorov, ktorí majú odbornú prax najmenej päť rokov a dosiahli vek najmenej
35 rokov.
(4)
Funkčné obdobie vrchného inšpektora je päť rokov a do funkcie ho možno vymenovať
opakovane. Na výkon funkcie vrchného inšpektora platia primerane odseky 2 a 6 a ustanovenia
§ 35 ods. 4, 5, 7, 12 a 13.
(5)
Na výkon funkcie inšpektora platia primerane ustanovenia § 35 ods. 4, 5, 7, 12 a 13. Okrem dôvodov uvedených v § 35 ods. 13 možno inšpektora z funkcie odvolať pre
a)
opakované neplnenie úloh uvedených v § 38 ods. 1 písm. f) a h) alebo pre sústavné menej závažné porušovanie pracovnej disciplíny a ak v posledných
šiestich mesiacoch predseda úradu inšpektora opakovane písomne vyzval na odstránenie
nedostatkov a inšpektor ich v primeranej lehote neodstránil, alebo
b)
hrubé zanedbanie povinnosti uloženej inšpektorovi týmto zákonom [§ 38 ods. 1 písm. f) a h)], ak nepreukáže, že zavinenie nespôsobil alebo mu nemohol zabrániť, alebo pre hrubé
porušenie pracovnej disciplíny.
(6)
Počas pracovného pomeru i po jeho skončení sú inšpektori a ďalší zamestnanci úradu
povinní zachovávať mlčanlivosť o skutočnostiach týkajúcich sa obsahu osobných údajov,
o ktorých sa dozvedeli počas výkonu svojej práce. Od povinnosti mlčanlivosti môže
inšpektorov a ďalších zamestnancov úradu pre konkrétny prípad oslobodiť predseda úradu.
DRUHÁ HLAVA
ČINNOSŤ ÚRADU
§ 38
Úlohy úradu
(1)
Úrad plní tieto úlohy:
a)
priebežne sleduje stav ochrany osobných údajov, registráciu informačných systémov
a vedenie evidencie o informačných systémoch,
b)
odporúča prevádzkovateľom opatrenia na zabezpečenie ochrany osobných údajov v informačných
systémoch; na tento účel vydáva v rozsahu svojej pôsobnosti odporúčania pre prevádzkovateľov,
c)
pri pochybnostiach o tom, či spracúvané osobné údaje svojím rozsahom, obsahom a spôsobom
spracúvania a využívania zodpovedajú účelu ich spracúvania, sú s daným účelom spracúvania
zlučiteľné alebo sú časovo a vecne neaktuálne vo vzťahu k tomuto účelu, vydáva záväzné
stanovisko,
d)
pri pochybnostiach o cezhraničnom toku osobných údajov vydáva záväzné stanovisko,
e)
pri pochybnostiach o registrácii informačného systému vydáva záväzné stanovisko,
f)
prijíma a vybavuje sťažnosti týkajúce sa porušenia ochrany osobných údajov,
g)
pri podozrení z porušenia povinností uložených týmto zákonom môže predvolať prevádzkovateľa
alebo sprostredkovateľa s cieľom podať vysvetlenia,
h)
kontroluje spracúvanie osobných údajov v informačných systémoch,
i)
ukladá sankcie pri zistení porušenia povinností uvedených v tomto zákone,
j)
podáva oznámenie31) orgánom činným v trestnom konaní pri podozrení, že ide o trestný čin,
k)
vykonáva registráciu informačných systémov a zabezpečuje sprístupnenie stavu registrácie,
l)
podieľa sa na príprave všeobecne záväzných právnych predpisov v oblasti ochrany osobných
údajov,
m)
v rozsahu svojej pôsobnosti vydáva všeobecne záväzné právne predpisy,
n)
vyjadruje sa k návrhom zákonov a k návrhom ostatných všeobecne záväzných právnych
predpisov, v ktorých sa upravuje spracúvanie osobných údajov,
o)
predkladá Národnej rade Slovenskej republiky správu o stave ochrany osobných údajov
najmenej raz za dva roky.
(2)
Do výlučnej pôsobnosti predsedu úradu patria úlohy uvedené v odseku 1 písm. b) až
e), j), l) až o).
(3)
Ak úrad zistí skutočnosti nasvedčujúce tomu, že zákon, iný všeobecne záväzný právny
predpis alebo prevádzkovateľom vydaný vnútorný predpis porušuje základné práva a slobody
fyzických osôb pri spracúvaní ich osobných údajov, predseda úradu môže podať podnet
na jeho zmenu alebo zrušenie príslušnému orgánu.
Kontrolná činnosť
§ 39
Oprávnenia a povinnosti kontrolného orgánu
(1)
Vrchný inšpektor a ostatní inšpektori (ďalej len „kontrolný orgán"), ako aj predseda
úradu a podpredseda úradu sú oprávnení
a)
vstupovať na pozemky, do budov alebo miestností prevádzok a zariadení prevádzkovateľa
a sprostredkovateľa,
b)
vyžadovať od prevádzkovateľa, sprostredkovateľa a ich zamestnancov (ďalej len „kontrolovaná
osoba"), aby im v určenej lehote poskytli doklady, iné písomnosti, vyjadrenia a informácie,
údaje spracúvané na pamäťových médiách vrátane technických nosičov údajov, výpisy
a zdrojové kódy programov, ak ich vlastní, a ďalšie materiály potrebné na výkon kontroly,
originály alebo kópie a v odôvodnených prípadoch im umožnili odoberať kópie aj mimo
priestorov kontrolovanej osoby,
c)
požadovať v primeranej lehote od kontrolovanej osoby úplné a pravdivé ústne a písomné
informácie, vyjadrenia a vysvetlenia ku kontrolovaným a súvisiacim skutočnostiam a
k zisteným nedostatkom,
d)
vyžadovať súčinnosť kontrolovanej osoby.
(2)
Kontrolný orgán je povinný
a)
vopred oznámiť kontrolovanej osobe predmet kontroly a pred začatím kontroly preukázať
svoju príslušnosť k úradu,
b)
vypracovať protokol o vykonaní kontroly (ďalej len „protokol"),
c)
uvádzať do protokolu kontrolné zistenia,
d)
oboznámiť kontrolovanú osobu s kontrolnými zisteniami a vyžiadať si od nej písomné
vyjadrenie ku všetkým skutočnostiam, ktoré odôvodňujú uplatnenie právnej zodpovednosti;
vznesené námietky proti uvádzaným kontrolným zisteniam z hľadiska ich pravdivosti,
úplnosti a preukázateľnosti uviesť do protokolu,
e)
odovzdať kontrolovanej osobe jedno vyhotovenie protokolu alebo záznamu o kontrole
alebo ich kópie,
f)
písomne potvrdiť kontrolovanej osobe prevzatie kópií dokladov, písomných dokumentov,
kópií pamäťových médií a iných materiálov a zabezpečiť ich riadnu ochranu pred stratou,
zničením, poškodením a zneužitím.
(3)
Protokol obsahuje názov, sídlo alebo trvalý pobyt kontrolovanej osoby, miesto a čas
vykonania kontroly, predmet kontroly, kto kontrolu vykonal, preukázané kontrolné zistenia,
vyjadrenia kontrolovanej osoby ku kontrolným zisteniam, dátum vypracovania protokolu,
mená, pracovné zaradenie a vlastnoručné podpisy kontrolného orgánu a zodpovedných
zamestnancov kontrolovanej osoby, ktorí boli s obsahom protokolu oboznámení, a dátum
oboznámenia sa s protokolom. Ak sa kontrolovaná osoba odmietne oboznámiť sa s obsahom
protokolu, vyjadriť sa ku kontrolným zisteniam alebo podpísať protokol, uvedie sa
táto skutočnosť v protokole.
(4)
Ak sa kontrolou zistí porušenie povinností ustanovených týmto zákonom, kontrolný
orgán postupuje pri ukladaní opatrení na odstránenie kontrolou zistených nedostatkov
podľa § 46.
(5)
Ak sa kontrolou nezistí porušenie povinností ustanovených týmto zákonom alebo iným
zákonom,32) kontrolný orgán vypracuje len záznam o kontrole. Pri jeho vypracovaní sa postupuje
primerane podľa odseku 3.
§ 40
Oprávnenia a povinnosti kontrolovanej osoby
(1)
Kontrolovaná osoba je oprávnená v čase oboznámenia sa s kontrolnými zisteniami vzniesť
námietky proti uvádzaným kontrolným zisteniam z hľadiska ich pravdivosti, úplnosti
a preukázateľnosti.
(2)
Kontrolovaná osoba je povinná
a)
vytvoriť kontrolnému orgánu primerané podmienky na výkon kontroly a spracovanie kontrolných
zistení,
b)
poskytovať kontrolnému orgánu potrebnú súčinnosť v súlade s oprávneniami podľa § 39 ods. 1 a zdržať sa konania, ktoré by mohlo mariť výkon kontroly,
c)
dostaviť sa v určenej lehote na oboznámenie sa s obsahom protokolu na miesto určené
kontrolným orgánom,
d)
po oboznámení sa s kontrolnými zisteniami podpísať protokol alebo záznam o kontrole;
odmietnutie oboznámenia sa s obsahom protokolu alebo odmietnutie podpísania protokolu
kontrolovanou osobou nemá vplyv na dôsledky vyplývajúce z obsahu tohto dokumentu,
e)
písomne predložiť kontrolnému orgánu v určených lehotách opatrenia prijaté na odstránenie
kontrolou zistených nedostatkov a písomnú správu o splnení týchto opatrení.
§ 41
Prizvané osoby
(1)
Ak je to odôvodnené osobitnou povahou kontrolnej úlohy, môže kontrolný orgán prizvať
na vykonanie kontroly iné fyzické osoby. Účasť týchto fyzických osôb na kontrole sa
považuje za iný úkon vo všeobecnom záujme. Na prizvané osoby sa primerane vzťahujú
ustanovenia § 37 ods. 6 a § 39 ods. 1.
(2)
Kontrolu nemôžu vykonávať prizvané osoby, o ktorých so zreteľom na ich vzťah k predmetu
kontroly alebo na vzťah ku kontrolovanej osobe možno mať pochybnosti o ich nezaujatosti.
Prizvané osoby, ktoré samy vedia o skutočnostiach zakladajúcich pochybnosti o ich
nepredpojatosti, oznámia tieto skutočnosti bez zbytočného odkladu úradu.
(3)
Kontrolovaná osoba môže písomne vzniesť preukázateľné námietky o zaujatosti prizvanej
osoby. Prizvaná osoba môže do rozhodnutia o námietkach zaujatosti vykonať pri kontrole
len úkony, ktoré nedovoľujú odklad.
(4)
O námietkach zaujatosti a o oznámení predpojatosti rozhodne predseda úradu. Rozhodnutie
predsedu úradu v tejto veci je konečné.
§ 42
(1)
Plnením konkrétnej úlohy pri výkone kontroly možno poveriť ďalších zamestnancov úradu.
Na poverených zamestnancov úradu sa primerane vzťahuje ustanovenie § 39 ods. 1 a 2 písm. a).
(2)
Inšpektori a poverení zamestnanci úradu, ktorí samy vedia o skutočnostiach zakladajúcich
pochybnosti o ich nepredpojatosti vo vzťahu k predmetu kontroly alebo ku kontrolovanej
osobe, oznámia tieto skutočnosti bez zbytočného odkladu predsedovi úradu. Ak predseda
úradu uzná, že k predpojatosti došlo, osobu z konania vo veci vylúči.
§ 43
Na výkon kontroly sa nevzťahujú predpisy o kontrole v štátnej správe.33)
Súčinnosť
§ 44
(1)
Orgány štátnej správy, orgány územnej samosprávy, iné orgány verejnej moci, prevádzkovatelia
a sprostredkovatelia poskytujú úradu potrebnú pomoc pri plnení jeho úloh (§ 38).
(2)
Prevádzkovateľ a sprostredkovateľ poskytujú úradu pri plnení jeho úloh všetky ním
požadované údaje v určenej lehote.
(3)
Prevádzkovateľ a sprostredkovateľ sa dostavia na predvolanie úradu s cieľom podať
vysvetlenia v určenej lehote.
(4)
Prevádzkovateľ a sprostredkovateľ sú povinní strpieť všetky úkony úradu smerujúce
k vyšetreniu okolností potrebných na objektívne posúdenie prešetrovanej veci.
TRETIA HLAVA
OPATRENIA NA NÁPRAVU
§ 45
Prijímanie a vybavovanie sťažností
(1)
Právnické osoby a fyzické osoby môžu podať písomne sťažnosť, ktorá sa týka podozrenia
z porušenia ochrany osobných údajov [§ 38 ods. 1 písm. f)]. Za sťažnosť sa nepovažuje sťažnosť podaná vlastným prevádzkovateľom alebo sprostredkovateľom.
(2)
Úrad prešetrí a vybaví sťažnosť v lehote 60 dní odo dňa prijatia. Predseda úradu
môže túto lehotu v odôvodnených prípadoch primerane predĺžiť, najviac však o šesť
mesiacov. O predĺžení lehoty musí byť sťažovateľ písomne upovedomený.
(3)
Na prijímanie a vybavovanie sťažností, ktoré sa týkajú podozrenia z porušenia ochrany
osobných údajov, sa primerane vzťahuje osobitný právny predpis34) s výnimkou ustanovení § 3 a 4,§ 10 až 14, § 18 a 21.
§ 46
Opatrenie
(1)
Úrad
a)
pri podozrení z porušenia povinnosti uloženej týmto zákonom vyzve prevádzkovateľa
alebo sprostredkovateľa na okamžité blokovanie osobných údajov alebo na dočasné skončenie
tej činnosti, ktorá by mohla plnenie takejto povinnosti ohroziť,
b)
pri zistení porušenia povinnosti ustanovenej týmto zákonom vydá opatrenie, ktorým
uloží prevádzkovateľovi alebo sprostredkovateľovi skončenie tej činnosti, ktorou bola
porušená povinnosť, vykonanie potrebných opatrení na odstránenie nedostatkov alebo
zabezpečenie práv a právom chránených záujmov dotknutých osôb v určenej lehote.
(2)
Prevádzkovateľ a sprostredkovateľ bezodkladne vyhovejú požiadavkám úradu podľa odseku
1 a v určenej lehote informujú o ich splnení úrad.
(3)
Prevádzkovateľ a sprostredkovateľ sú oprávnení písomne podať námietky proti opatreniu
uloženému podľa odseku 1 písm. a) do troch dní odo dňa jeho doručenia. Námietky proti
takémuto opatreniu nemajú odkladný účinok.
(4)
Prevádzkovateľ a sprostredkovateľ sú oprávnení písomne podať námietky proti opatreniu
uloženému podľa odseku 1 písm. b) do siedmich dní odo dňa jeho doručenia. Námietky
proti takémuto opatreniu majú odkladný účinok.
(5)
O námietke prevádzkovateľa alebo sprostredkovateľa podanej podľa odseku 3 rozhodne
predseda úradu do 15 dní a o námietke podanej podľa odseku 4 rozhodne do 60 dní odo
dňa ich prijatia.
(6)
Rozhodnutie predsedu úradu o námietkach je konečné.
(7)
Písomné vyhotovenie výzvy na vykonanie opatrenia a písomné vyhotovenie rozhodnutia
o námietkach sa oznamuje doručením do vlastných rúk.
(8)
Opatrenie uložené podľa odseku 1 písm. a) môže úrad zrušiť; účinnosť stráca dňom
oznámenia opatrenia v predmetnej veci podľa odseku 1 písm. b).
§ 48
Zverejnenie porušenia zákona
Ak podľa tohto zákona došlo k závažnému porušeniu práv dotknutých osôb alebo slobôd
iných osôb, môže predseda úradu zverejniť názov, sídlo alebo trvalý pobyt prevádzkovateľa
alebo sprostredkovateľa a charakteristiku skutkového stavu porušenia ochrany osobných
údajov.
ŠTVRTÁ HLAVA
SANKCIE ZA PORUŠENIE ZÁKONA
§ 49
Správne delikty
(1)
Úrad môže uložiť pokutu do 10 000 000 Sk prevádzkovateľovi alebo sprostredkovateľovi,
ktorý
b)
spracúva osobitné kategórie osobných údajov v rozpore s§ 8 alebo 9,
c)
vykonáva spracúvanie s nesprávnymi alebo neaktuálnymi osobnými údajmi (§ 12),
d)
nelikviduje nesprávne alebo neaktuálne osobné údaje; likviduje alebo spracúva osobné
údaje v rozpore s § 13,
e)
nesplní oznamovaciu povinnosť o oprave alebo likvidácii osobných údajov(§ 14),
f)
nevykoná potrebné opatrenia na ochranu osobných údajov pred odcudzením, stratou,
poškodením, neoprávneným prístupom, zmenou alebo šírením; neprijme opatrenia vo forme
bezpečnostného projektu alebo predloží bezpečnostný projekt, ktorý neobsahuje náležitosti
ustanovené týmto zákonom (§ 15 ods. 1 a 2 a § 16),
g)
nezabezpečí vykonanie auditu bezpečnosti informačného systému alebo jeho vypracovanie
je v rozpore s týmto zákonom, alebo nepredloží hodnotiacu správu (§ 15 ods. 4 a 5),
h)
nepoučí právnické osoby a fyzické osoby, ktoré majú prístup k informačnému systému
(§ 17),
i)
nesplní požiadavky dotknutej osoby alebo povinnosť poskytnúť informácie dotknutej
osobe (§ 20 a 21),
j)
nevykoná oznámenie o obmedzení práv dotknutej osoby (§ 22),
k)
vykoná prenos osobných údajov v rozpore s § 23,
l)
neposkytne úradu požadované údaje alebo vysvetlenia (§ 44 ods. 2 a 3), alebo
m)
nevyhovie požiadavkám úradu (§ 46 ods. 1 a 2).
(2)
Úrad môže uložiť pokutu do 3 000 000 Sk prevádzkovateľovi, ktorý nesplní povinnosť
registrácie informačného systému a s tým súvisiace povinnosti vyplývajúce z tohto
zákona (§ 25 až 28).
(3)
(4)
Úrad môže uložiť pokutu do 500 000 Sk prevádzkovateľovi, ktorý písomne nepoverí zodpovednú
osobu výkonom dohľadu nad ochranou osobných údajov (§ 19 ods. 2), nezabezpečí jej odborné vyškolenie alebo jeho vykonanie nevie preukázať (§ 19 ods. 3).
(5)
Úrad môže uložiť pokutu do 100 000 Sk tomu, kto
a)
poskytne osobné údaje v rozpore s § 7 ods. 5; to neplatí pre prevádzkovateľa a sprostredkovateľa,
b)
poskytne nepravdivé osobné údaje (§ 11),
c)
poruší povinnosť mlčanlivosti o osobných údajoch (§ 18), alebo
d)
ako zodpovedná osoba písomne neupozorní prevádzkovateľa (§ 19 ods. 4).
(6)
Pokutu podľa odsekov 1 až 4 a podľa § 50 môže úrad uložiť opakovane, ak povinnosť nebola splnená v určenej lehote.
(7)
Pri ukladaní pokút sa prihliadne najmä na závažnosť, čas trvania a následky protiprávneho
konania.
(8)
Pokutu podľa odsekov 1 až 5 možno uložiť do jedného roka odo dňa, keď úrad porušenie
povinnosti zistil, najneskôr však do troch rokov odo dňa, keď k porušeniu povinnosti
došlo.
(9)
Úrad môže v rozhodnutí o uložení pokuty súčasne povinnému uložiť, aby v určenej lehote
vykonal opatrenia na nápravu následkov protiprávneho konania.
(10)
Proti rozhodnutiu o uložení pokuty možno podať rozklad do 15 dní odo dňa jeho doručenia.
O rozklade rozhodne predseda úradu do 60 dní odo dňa jeho prijatia.
(11)
Výnosy z pokút sú príjmom štátneho rozpočtu.
§ 50
Poriadkové pokuty
(1)
Úrad môže uložiť prevádzkovateľovi alebo sprostredkovateľovi poriadkovú pokutu
a)
do 50 000 Sk, ak nezabezpečí primerané podmienky na výkon kontroly [§ 40 ods. 2 písm. a)],
b)
do 500 000 Sk, ak marí výkon kontroly [§ 40 ods. 2 písm. b)]; ak prevádzkovateľ alebo sprostredkovateľ preukáže, že marenie výkonu kontroly
zavinila oprávnená osoba, jeho zodpovednosť sa obmedzí a zodpovednou sa stáva aj oprávnená
osoba.
(2)
Poriadkovú pokutu možno uložiť do jedného roka odo dňa, keď k porušeniu povinnosti
došlo.
ŠTVRTÁ ČASŤ
SPOLOČNÉ, PRECHODNÉ A ZÁVEREČNÉ USTANOVENIA
§ 51
Spoločné ustanovenie
(1)
Na konanie podľa tohto zákona sa vzťahuje všeobecný predpis o správnom konaní,36) ak tento zákon neustanovuje inak.
(2)
Všeobecný predpis o správnom konaní sa nevzťahuje na
a)
b)
posudzovanie údajov o informačných systémoch prihlásených na registráciu (§ 27),
c)
poskytovanie informácií dotknutej osobe (§ 20 až 22),
d)
rozhodovanie o námietkach zaujatosti a o oznámení predpojatosti (§ 41),
e)
prijímanie a vybavovanie sťažností (§ 45),
f)
na konanie o opatreniach (§ 46).
Prechodné ustanovenia
§ 52
(1)
Prevádzkovatelia už fungujúcich informačných systémov uvedú ich do súladu s týmto
zákonom do šiestich mesiacov odo dňa jeho účinnosti a ak to zákon vyžaduje, prihlásia
ich v tejto lehote na registráciu.
(2)
Prevádzkovatelia, ktorí spracúvajú osobné údaje na základe osobitného zákona, ktorý
neustanovuje náležitosti podľa § 7 ods. 3, 5, 6 alebo podľa § 9 ods. 1 písm. a), môžu osobné údaje spracúvať v rozsahu nevyhnutnom na dosiahnutie ustanoveného účelu
spracúvania bez súhlasu dotknutých osôb do 31. decembra 2003.
§ 53
(1)
Záväzky orgánu štátneho dozoru nad ochranou osobných údajov v informačných systémoch
vyplývajúce z doterajšieho predpisu prechádzajú dňom nadobudnutia účinnosti tohto
zákona na úrad.
(2)
Práva a povinnosti z pracovnoprávnych vzťahov splnomocnenca na ochranu osobných údajov
v informačných systémoch a zamestnancov Útvaru inšpekcie ochrany osobných údajov Úradu
vlády Slovenskej republiky prechádzajú dňom nadobudnutia účinnosti tohto zákona na
úrad v plnom rozsahu.
(3)
Majetok štátu v správe Úradu vlády Slovenskej republiky obstaraný na účely plnenia
úloh štátneho dozoru nad ochranou osobných údajov v informačných systémoch prechádza
dňom nadobudnutia účinnosti tohto zákona do správy úradu.
(4)
Úrad vlády Slovenskej republiky zabezpečuje materiálnu a technickú prevádzku úradu
do 31. decembra 2002.
(5)
Majetok štátu v správe Štatistického úradu Slovenskej republiky, obstaraný na účely
registrácie informačných systémov obsahujúcich osobné údaje, prechádza dňom nadobudnutia
účinnosti tohto zákona do správy úradu.
(6)
Záväzky vyplývajúce pre splnomocnenca na ochranu osobných údajov v informačných systémoch
z medzištátnych dohôd v oblasti ochrany osobných údajov prechádzajú dňom nadobudnutia
účinnosti tohto zákona na úrad.
§ 54
(1)
Splnomocnenec na ochranu osobných údajov v informačných systémoch vymenovaný do funkcie
podľa doterajšieho predpisu stáva sa dňom účinnosti tohto zákona predsedom úradu a
ostáva v tejto funkcii do konca funkčného obdobia, na ktoré bol ako splnomocnenec
na ochranu osobných údajov v informačných systémoch vymenovaný.
(2)
Predseda úradu v lehote dvoch mesiacov odo dňa účinnosti tohto zákona rozhodne o
tom, či informačný systém prihlásený na registráciu podľa doterajších predpisov možno
považovať za zaregistrovaný podľa tohto zákona. Ak predseda úradu rozhodne, že takýto
informačný systém nepodlieha registrácii, oznámi to úrad v tej istej lehote prevádzkovateľovi.
(3)
Konania začaté pred dňom nadobudnutia účinnosti tohto zákona sa dokončia podľa doterajších
predpisov.
§ 55
Dňom vstupu Slovenskej republiky do Európskej únie sa na cezhraničný tok osobných
údajov medzi Slovenskou republikou a členskými štátmi Európskej únie nevzťahujú ustanovenia
§ 23 ods. 1 až 7.
Záverečné ustanovenia
§ 56
Prechod práv
Ak sa v právnych predpisoch uvádza označenie splnomocnenec na ochranu osobných údajov,
rozumie sa tým predseda úradu podľa tohto zákona.
§ 57
Zrušovacie ustanovenie
Zrušujú sa:
1.
zákon č. 52/1998 Z. z. o ochrane osobných údajov v informačných systémoch v znení zákona č. 241/2001 Z.
z.,
2.
vyhláška Štatistického úradu Slovenskej republiky č. 155/1998 Z. z., ktorou sa ustanovujú podrobnosti o spôsobe, forme a postupe pri registrácii informačného
systému obsahujúceho osobné údaje.
§ 58
Účinnosť
Tento zákon nadobúda účinnosť 1. septembra 2002 s výnimkou § 35 ods. 2, ktorý nadobúda účinnosť 1. decembra 2003.
Rudolf Schuster v. r.
Jozef Migaš v. r.
Mikuláš Dzurinda v. r.
Jozef Migaš v. r.
Mikuláš Dzurinda v. r.
1)
Napríklad § 1 zákona Národnej rady Slovenskej republiky č. 171/1993 Z. z. o Policajnom zbore v znení zákona č. 490/2001 Z. z., § 1 a 2 zákona Národnej rady Slovenskej republiky č. 198/1994 Z. z. o Vojenskom spravodajstve, § 2 a 3 zákona č. 124/1992 Zb. o Vojenskej polícii, § 1 a 2 zákona Národnej rady Slovenskej republiky č. 46/1993 Z. z. o Slovenskej informačnej službe v znení zákona č. 256/1999 Z. z., § 2 zákona Národnej rady Slovenskej republiky č. 3/1993 Z. z. o zriadení Armády Slovenskej republiky v znení neskorších predpisov, § 12 zákona Národnej rady Slovenskej republiky č. 42/1994 Z. z. o civilnej ochrane obyvateľstva v znení neskorších predpisov, zákon č. 241/2001 Z. z. o ochrane utajovaných skutočností a o zmene a doplnení niektorých zákonov, § 3 a 4 zákona č. 153/2001 Z. z. o prokuratúre, § 1 až 3 zákona č. 335/1991 Zb. o súdoch a sudcoch v znení neskorších predpisov, § 3 zákona č. 440/2000 Z. z. o správach finančnej kontroly v znení neskorších predpisov, § 10 zákona č. 367/2000 Z. z. o ochrane pred legalizáciou príjmov z trestnej činnosti a o zmene a doplnení niektorých
zákonov.
2)
§ 13 zákona č. 383/1997 Z. z. Autorský zákon a zákon, ktorým sa mení a dopĺňa Colný zákon v znení neskorších predpisov.
3)
Napríklad § 27 až 34 Obchodného zákonníka, § 8 a 68 zákona Národnej rady Slovenskej republiky č. 162/1995 Z. z. o katastri nehnuteľností a o zápise vlastníckych a iných práv k nehnuteľnostiam (katastrálny
zákon) v znení zákona č. 255/2001 Z. z., § 26 ods. 2 písm. e) zákona č. 195/2000 Z. z. o telekomunikáciách.
4)
Napríklad § 38 až 41 zákona Národnej rady Slovenskej republiky č. 387/1996 Z. z. o zamestnanosti, § 11a ods. 2 zákona Slovenskej národnej rady č. 542/1990 Zb. o štátnej správe v školstve a školskej samospráve v znení zákona č. 416/2001 Z. z.
5)
6)
Napríklad § 11 ods. 3 zákona Slovenskej národnej rady č. 542/1990 Zb. v znení neskorších predpisov, § 20 zákona č. 241/2001 Z. z.
11)
Zákon Národnej rady Slovenskej republiky č. 301/1995 Z. z. o rodnom čísle.
12)
Napríklad § 40 ods. 2 písm. d) zákona č. 153/2001 Z. z., § 52 zákona Slovenskej národnej rady č. 372/1990 Zb. o priestupkoch v znení neskorších predpisov, zákon Národnej rady Slovenskej republiky
č. 171/1993 Z. z. v znení neskorších predpisov.
13)
Napríklad § 2 zákona Národnej rady Slovenskej republiky č. 199/1994 Z. z. o psychologickej činnosti a Slovenskej komore psychológov, zákon Slovenskej národnej
rady č. 542/1990 Zb. v znení neskorších predpisov.
14)
Zákon Národnej rady Slovenskej republiky č. 162/1993 Z. z. o občianskych preukazoch v znení neskorších predpisov.
15)
Zákon č. 381/1997 Z. z. o cestovných dokladoch.
16)
Napríklad § 8 zákona Národnej rady Slovenskej republiky č. 46/1993 Z. z., § 8 zákona Národnej rady Slovenskej republiky č. 198/1994 Z. z., § 14 ods. 1 písm. a) zákona Národnej rady Slovenskej republiky č. 171/1993 Z. z. v znení neskorších predpisov, § 9 zákona č. 124/1992 Zb.
17)
Napríklad § 15 ods. 3 zákona č. 200/1998 Z. z. o štátnej službe colníkov a o zmene a doplnení niektorých ďalších zákonov.
18)
Napríklad § 31 a 32 zákona č. 563/1991 Zb. o účtovníctve v znení zákona č. 336/1999 Z. z.
19)
§ 2 ods. 1 zákona Slovenskej národnej rady č. 149/1975 Zb. o archívnictve v znení zákona č. 571/1991 Zb.
20)
21)
Napríklad § 101 až 110 Občianskeho zákonníka.
22)
Napríklad § 40 zákona Národnej rady Slovenskej republiky č. 566/1992 Zb. o Národnej banke Slovenska v znení zákona č. 149/2001 Z. z.
23)
Napríklad § 6 ods. 1 zákona č. 150/2001 Z. z. o daňových orgánoch a ktorým sa mení a dopĺňa zákon č. 440/2000 Z. z. o správach finančnej kontroly, § 14 zákona č. 330/2000 Z. z. o burze cenných papierov, § 134 zákona č. 566/2001 Z. z. o cenných papieroch a investičných službách a o zmene a doplnení niektorých zákonov
(zákon o cenných papieroch), § 91 až 93 zákona č. 483/2001 Z. z. o bankách a o zmene a doplnení niektorých zákonov, § 24 zákona Slovenskej národnej
rady č. 24/1991 Zb. o poisťovníctve v znení neskorších predpisov, § 81 písm. e) a § 240 ods. 5 zákona č. 311/2001 Z. z. Zákonník práce, § 53 ods. 1 písm. e) zákona č. 312/2001 Z. z. o štátnej službe a o zmene a doplnení niektorých zákonov, § 9 ods. 2 písm. b) zákona č. 313/2001 Z. z. o verejnej službe, § 8 zákona č. 367/2000 Z. z., § 80 zákona Národnej rady Slovenskej republiky č. 171/1993 Z. z. v znení neskorších predpisov, § 15 ods. 2 a 3 zákona Národnej rady Slovenskej republiky č. 38/1993 Z. z. o organizácii Ústavného súdu Slovenskej republiky o konaní pred ním a o postavení
jeho sudcov.
24)
Napríklad Dohovor o ochrane jednotlivcov pri automatizovanom spracovaní osobných
údajov (oznámenie č. 49/2001 Z. z.).
25)
Napríklad § 121 a 122 zákona č. 100/1988 Zb. o sociálnom zabezpečení v znení neskorších predpisov.
26)
Napríklad zákon Národnej rady Slovenskej republiky č. 162/1995 Z. z. v znení neskorších predpisov.
27)
§ 60 zákona Národnej rady Slovenskej republiky č. 350/1996 Z. z. o rokovacom poriadku Národnej rady Slovenskej republiky.
28)
§ 21 ods. 1 a ods. 4 písm. a) zákona Národnej rady Slovenskej republiky č. 303/1995 Z. z. o rozpočtových pravidlách v znení neskorších predpisov.
29)
Zákon č. 312/2001 Z. z.
30)
§ 31 ods. 1 písm. h) zákona č. 241/2001 Z. z.
32)
Napríklad § 178 a 257a Trestného zákona.
33)
Zákon Národnej rady Slovenskej republiky č. 10/1996 Z. z. o kontrole v štátnej správe.
34)
Zákon č. 152/1998 Z. z. o sťažnostiach.
36)
Zákon č. 71/1967 Zb. o správnom konaní (správny poriadok).