428/2002 Z. z.
Časová verzia predpisu účinná od 01.05.2005 do 31.12.2008
Obsah zobrazeného právneho predpisu má informatívny charakter.
Otvoriť všetky
| Číslo predpisu: | 428/2002 Z. z. |
| Názov: | Zákon o ochrane osobných údajov |
| Typ: | Zákon |
| Dátum schválenia: | 03.07.2002 |
| Dátum vyhlásenia: | 31.07.2002 |
| Dátum účinnosti od: | 01.05.2005 |
| Dátum účinnosti do: | 31.12.2008 |
| Autor: | Národná rada Slovenskej republiky |
| Právna oblasť: |
|
| Nachádza sa v čiastke: |
| 602/2003 Z. z. | Zákon, ktorým sa mení a dopĺňa zákon Národnej rady Slovenskej republiky č. 202/1995 Z. z. Devízový zákon a zákon, ktorým sa mení a dopĺňa zákon Slovenskej národnej rady č. 372/1990 Zb. o priestupkoch v znení neskorších predpisov, v znení neskorších predpisov a o zmene a doplnení niektorých zákonov |
| 576/2004 Z. z. | Zákon o zdravotnej starostlivosti, službách súvisiacich s poskytovaním zdravotnej starostlivosti a o zmene a doplnení niektorých zákonov |
| 90/2005 Z. z. | Zákon, ktorým sa mení a dopĺňa zákon č. 428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov |
| 583/2008 Z. z. | Zákon o prevencii kriminality a inej protispoločenskej činnosti a o zmene a doplnení niektorých zákonov |
| 122/2013 Z. z. | Zákon o ochrane osobných údajov a o zmene a doplnení niektorých zákonov |
428
ZÁKON
z 3. júla 2002
o ochrane osobných údajov
Národná rada Slovenskej republiky sa uzniesla na tomto zákone:
PRVÁ ČASŤ
ZÁKLADNÉ USTANOVENIA
Predmet a pôsobnosť zákona
§ 1
(1)
Tento zákon upravuje
a)
ochranu osobných údajov fyzických osôb pri ich spracúvaní,
b)
zásady spracúvania osobných údajov,
c)
bezpečnosť osobných údajov,
d)
ochranu práv dotknutých osôb,
e)
cezhraničný tok osobných údajov,
f)
registráciu a evidenciu informačných systémov,
g)
zriadenie, postavenie a pôsobnosť Úradu na ochranu osobných údajov Slovenskej republiky
(ďalej len „úrad").
(2)
Tento zákon sa vzťahuje na orgány štátnej správy, orgány územnej samosprávy, iné
orgány verejnej moci, ako aj na ostatné právnické osoby a fyzické osoby, ktoré spracúvajú
osobné údaje, určujú účel a prostriedky spracúvania alebo poskytujú osobné údaje na
spracúvanie.
(3)
Tento zákon sa vzťahuje aj na prevádzkovateľov, ktorí nemajú sídlo alebo trvalý pobyt
na území
a)
Slovenskej republiky, ale sú umiestnení v zahraničí na mieste, kde sa uplatňuje právny
poriadok Slovenskej republiky prednostne na základe medzinárodného práva verejného,
b)
členského štátu Európskej únie, ak na účely spracúvania osobných údajov využívajú
úplne alebo čiastočne automatizované alebo iné ako automatizované prostriedky spracúvania
umiestnené na území Slovenskej republiky, pričom tieto prostriedky spracúvania nie
sú využívané výlučne len na prenos osobných údajov cez územie členských štátov Európskej
únie; v takomto prípade prevádzkovateľ postupuje podľa § 23a ods. 3.
(4)
Tento zákon sa vzťahuje na osobné údaje systematicky spracúvané úplne alebo čiastočne
automatizovanými prostriedkami spracúvania alebo inými ako automatizovanými prostriedkami
spracúvania, ktoré sú súčasťou informačného systému alebo sú určené na spracúvanie
v informačnom systéme.
§ 2
(1)
Ustanovenia § 5 ods. 4, § 6 ods. 1 až 4, § 10 ods. 1, 2 a 8, § 20 ods. 1, § 27 a 32 sa nevzťahujú na spracúvanie osobných údajov nevyhnutných na zabezpečenie verejného
záujmu, ak prevádzkovateľ plní povinnosti výslovne ustanovené osobitným zákonom určené
na zaistenie
a)
bezpečnosti Slovenskej republiky,
b)
obrany Slovenskej republiky,
c)
verejného poriadku a bezpečnosti,
d)
predchádzania, zamedzovania, odhaľovania a dokumentovania trestnej činnosti, zisťovania
jej páchateľov, vyšetrovania a stíhania trestných činov,
e)
významného ekonomického alebo finančného záujmu Slovenskej republiky alebo Európskej
únie vrátane menových, rozpočtových a daňových záležitostí,
f)
výkonu kontroly, dohľadu, dozoru alebo uplatňovania regulácie v súvislosti s výkonom
verejnej moci vo veciach uvedených v písmenách c), d) a e), alebo
g)
ochrany dotknutej osoby alebo práv a slobôd iných osôb.
(2)
Prevádzkovateľom registra o osobách právoplatne odsúdených súdmi v trestnom konaní,
ako aj o osobách, proti ktorým bolo prokurátormi alebo súdmi právoplatne rozhodnuté
o podmienečnom zastavení trestného stíhania alebo o schválení zmieru, môže byť len
štátny orgán ustanovený osobitným zákonom.1)
§ 2a
Tento zákon sa nevzťahuje na ochranu osobných údajov, ktoré
a)
spracúva fyzická osoba pre vlastnú potrebu v rámci výlučne osobných alebo domácich
činností, ako je vedenie osobného adresára alebo korešpondencia,
b)
boli získané náhodne bez predchádzajúceho určenia účelu a prostriedkov spracúvania,
bez zámeru ich ďalšieho spracúvania v usporiadanom systéme podľa osobitných kritérií
a nie sú ďalej systematicky spracúvané.
Vymedzenie niektorých pojmov
§ 3
Osobné údaje
Osobnými údajmi sú údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby, pričom
takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne
použiteľného identifikátora alebo na základe jednej či viacerých charakteristík alebo
znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu
alebo sociálnu identitu.
§ 4
(1)
Na účely tohto zákona sa ďalej rozumie
a)
spracúvaním osobných údajov vykonávanie akýchkoľvek operácií alebo súboru operácií
s osobnými údajmi, napr. ich získavanie, zhromažďovanie, zaznamenávanie, usporadúvanie,
prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, preskupovanie, kombinovanie,
premiestňovanie, využívanie, uchovávanie, likvidácia, ich prenos, poskytovanie, sprístupňovanie
alebo zverejňovanie,
b)
poskytovaním osobných údajov odovzdávanie osobných údajov na spracúvanie inému prevádzkovateľovi
alebo inému zástupcovi prevádzkovateľa, alebo jeho sprostredkovateľovi,
c)
sprístupňovaním osobných údajov oznámenie osobných údajov alebo umožnenie prístupu
k nim inej právnickej osobe alebo fyzickej osobe s výnimkou dotknutej osoby alebo
oprávnenej osoby, ktorá ich nebude spracúvať ako prevádzkovateľ, zástupca prevádzkovateľa
alebo sprostredkovateľ,
d)
zverejňovaním osobných údajov publikovanie, uverejnenie alebo vystavenie osobných
údajov na verejnosti prostredníctvom masovokomunikačných prostriedkov, verejne prístupných
počítačových sietí, verejným vykonaním alebo vystavením diela,2) verejným vyhlásením, uvedením vo verejnom zozname, v registri alebo v operáte,3) ich umiestnením na úradnej tabuli alebo na inom verejne prístupnom mieste,
e)
likvidáciou osobných údajov zrušenie osobných údajov rozložením, vymazaním alebo
fyzickým zničením hmotných nosičov tak, aby sa z nich osobné údaje nedali reprodukovať,
f)
blokovaním osobných údajov uvedenie osobných údajov do takého stavu, v ktorom sú
neprístupné a je zabránené akejkoľvek manipulácii s nimi,
g)
informačným systémom akýkoľvek usporiadaný súbor, sústava alebo databáza obsahujúca
jeden alebo viac osobných údajov, ktoré sú systematicky spracúvané na potreby dosiahnutia
účelu podľa osobitných kritérií a podmienok s použitím automatizovaných, čiastočne
automatizovaných alebo iných ako automatizovaných prostriedkov spracúvania bez ohľadu
na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom
alebo geografickom základe, napríklad kartotéka, zoznam, register, operát, záznam
alebo sústava obsahujúca spisy, doklady, zmluvy, potvrdenia, posudky, hodnotenia,
testy,
h)
účelom spracúvania osobných údajov vopred jednoznačne vymedzený alebo ustanovený
zámer spracúvania osobných údajov, ktorý sa viaže na určitú činnosť,
i)
súhlasom dotknutej osoby akýkoľvek slobodne daný výslovný a zrozumiteľný prejav vôle,
ktorým dotknutá osoba na základe poskytnutých informácií vedome vyjadruje súhlas so
spracúvaním svojich osobných údajov,
j)
cezhraničným tokom osobných údajov prenos osobných údajov mimo územia Slovenskej
republiky subjektom so sídlom alebo s trvalým pobytom v cudzine alebo ich výmena s
týmito subjektmi,
k)
anonymizovaným údajom osobný údaj upravený do takej formy, v ktorej ho nemožno priradiť
dotknutej osobe, ktorej sa týka,
l)
adresou súbor údajov o pobyte fyzickej osoby, do ktorého patria názov ulice, orientačné,
prípadne súpisné číslo domu, názov obce, prípadne názov časti obce, poštové smerovacie
číslo, názov okresu, názov štátu,
m)
všeobecne použiteľným identifikátorom trvalý identifikačný osobný údaj dotknutej
osoby, ktorý zabezpečuje jej jednoznačnosť v informačných systémoch,
n)
biometrickým údajom osobný údaj fyzickej osoby, na základe ktorého je jednoznačne
a nezameniteľne určiteľná, napr. odtlačok prsta, odtlačok dlane, analýza deoxyribonukleovej
kyseliny, profil deoxyribonukleovej kyseliny,
o)
auditom bezpečnosti informačného systému nezávislé odborné posúdenie spoľahlivosti
a celkovej bezpečnosti informačného systému z hľadiska zabezpečenia dôvernosti, integrity
a dostupnosti spracúvaných osobných údajov,
p)
treťou krajinou štát, ktorý nie je členským štátom Európskej únie,
r)
verejným záujmom dôležitý záujem štátu realizovaný pri výkone verejnej moci, ktorý
prevažuje nad oprávneným záujmom fyzickej osoby alebo viacerých fyzických osôb, prináša
majetkový prospech alebo iný prospech ostatným fyzickým osobám alebo mnohým z nich
a bez jeho realizácie by mohli vzniknúť rozsiahle alebo nenahraditeľné škody,
s)
podmienkami spracúvania osobných údajov prostriedky a spôsob spracúvania osobných
údajov, ako aj ďalšie požiadavky, kritériá alebo pokyny súvisiace so spracúvaním osobných
údajov alebo vykonanie úkonov, ktoré slúžia na dosiahnutie účelu spracúvania či už
pred začatím spracúvania osobných údajov, alebo v priebehu ich spracúvania.
(2)
Prevádzkovateľom je orgán štátnej správy, orgán územnej samosprávy, iný orgán verejnej
moci alebo iná právnická osoba alebo fyzická osoba, ktorá sama alebo spoločne s inými
určuje účel a prostriedky spracúvania osobných údajov. Ak účel, prípadne aj prostriedky
spracúvania osobných údajov ustanovuje osobitný zákon, prevádzkovateľom je ten, koho
na plnenie účelu spracúvania ustanoví zákon alebo kto splní zákonom ustanovené podmienky.
To platí aj vtedy, ak tak ustanovuje právny akt Európskych spoločenstiev a Európskej
únie.
(3)
Sprostredkovateľom je orgán štátnej správy, orgán územnej samosprávy, iný orgán verejnej
moci alebo iná právnická osoba alebo fyzická osoba, ktorá spracúva osobné údaje v
mene prevádzkovateľa alebo zástupcu prevádzkovateľa.
(4)
Oprávnenou osobou je každá fyzická osoba, ktorá prichádza do styku s osobnými údajmi
v rámci svojho pracovnoprávneho vzťahu, štátnozamestnaneckého pomeru, služobného pomeru,
členského vzťahu, na základe poverenia, zvolenia alebo vymenovania alebo v rámci výkonu
verejnej funkcie, ktorá môže osobné údaje spracúvať len na základe pokynu prevádzkovateľa,
zástupcu prevádzkovateľa alebo sprostredkovateľa, ak tento zákon alebo osobitný zákon
neustanovuje inak.
(5)
Dotknutou osobou je každá fyzická osoba, o ktorej sa spracúvajú osobné údaje.
(6)
Zástupcom prevádzkovateľa je právnická osoba alebo fyzická osoba, ktorá na území
Slovenskej republiky zastupuje prevádzkovateľa so sídlom alebo s trvalým pobytom v
tretej krajine.
(7)
Treťou stranou je orgán štátnej správy, orgán územnej samosprávy, iný orgán verejnej
moci alebo iná právnická osoba alebo fyzická osoba iná ako dotknutá osoba, vlastný
prevádzkovateľ alebo zástupca prevádzkovateľa, jeho sprostredkovateľ a ich oprávnené
osoby.
(8)
Príjemcom je orgán štátnej správy, orgán územnej samosprávy, iný orgán verejnej moci
alebo iná právnická osoba alebo fyzická osoba, ktorej sú osobné údaje poskytnuté alebo
sprístupnené; prevádzkovateľ, ktorý je oprávnený spracúvať osobné údaje na základe
§ 2 ods. 1 písm. f) a úrad pri plnení úloh ustanovených týmto zákonom, sa nepovažuje za príjemcu.
DRUHÁ ČASŤ
PRÁVA, POVINNOSTI A ZODPOVEDNOSŤ PRI SPRACÚVANÍ OSOBNÝCH ÚDAJOV
PRVÁ HLAVA
ZÁSADY SPRACÚVANIA OSOBNÝCH ÚDAJOV
§ 5
Prevádzkovateľ a sprostredkovateľ
(1)
Osobné údaje môže spracúvať iba prevádzkovateľ a sprostredkovateľ.
(2)
Sprostredkovateľ je oprávnený spracúvať osobné údaje len v rozsahu a za podmienok
dojednaných s prevádzkovateľom v písomnej zmluve alebo v písomnom poverení. Sprostredkovateľ
je oprávnený spracúvať osobné údaje len v rozsahu a za podmienok dojednaných s prevádzkovateľom
alebo so súhlasom prevádzkovateľa aj so sprostredkovateľom v písomnej zmluve, alebo
v písomnom poverení.
(3)
Prevádzkovateľ dbá pri výbere sprostredkovateľa najmä na jeho záruky, pokiaľ ide
o opatrenia v oblasti technickej, organizačnej a personálnej bezpečnosti (§ 15 ods. 1). Prevádzkovateľ nesmie zveriť spracúvanie osobných údajov sprostredkovateľovi, ak
by tým mohli byť ohrozené práva a právom chránené záujmy dotknutých osôb.
(4)
Ak prevádzkovateľ poveril spracúvaním sprostredkovateľa až po získaní osobných údajov,
oznámi to dotknutým osobám pri najbližšom kontakte s nimi, najneskôr však do troch
mesiacov od poverenia sprostredkovateľa. To platí aj vtedy, ak spracúvanie osobných
údajov prevezme iný prevádzkovateľ.
(5)
Zástupca prevádzkovateľa je povinný konať v rozsahu práv a povinností ustanovených
týmto zákonom prevádzkovateľovi. Ustanovenia tohto zákona, podľa ktorých ukladá úrad
prevádzkovateľovi, aby niečo vykonal, niečoho sa zdržal alebo niečo strpel, sa rovnako
vzťahujú aj na zástupcu prevádzkovateľa.
§ 6
Základné povinnosti prevádzkovateľa
(1)
Prevádzkovateľ je povinný
a)
pred začatím spracúvania osobných údajov jednoznačne a konkrétne vymedziť účel spracúvania
osobných údajov; účel spracúvania musí byť jasný a nesmie byť v rozpore s Ústavou Slovenskej republiky, ústavnými zákonmi, zákonmi a medzinárodnými zmluvami, ktorými je Slovenská republika
viazaná,
b)
určiť prostriedky a spôsob spracúvania osobných údajov, prípadne ďalšie podmienky
spracúvania osobných údajov,
c)
získavať osobné údaje výlučne na vymedzený alebo ustanovený účel; je neprípustné
získavať osobné údaje pod zámienkou iného účelu alebo inej činnosti,
d)
zabezpečiť, aby sa spracúvali len také osobné údaje, ktoré svojím rozsahom a obsahom
zodpovedajú účelu ich spracúvania a sú nevyhnutné na jeho dosiahnutie,
e)
získavať osobné údaje na rozdielne účely osobitne a zabezpečiť, aby sa osobné údaje
spracúvali a využívali výlučne spôsobom, ktorý zodpovedá účelu, na ktorý boli zhromaždené;
je neprípustné združovať osobné údaje, ktoré boli získané na rozdielne účely,
f)
spracúvať len správne, úplné a podľa potreby aktualizované osobné údaje vo vzťahu
k účelu spracúvania; nesprávne a neúplné osobné údaje je prevádzkovateľ povinný blokovať
a bez zbytočného odkladu opraviť alebo doplniť; nesprávne a neúplné osobné údaje,
ktoré nemožno opraviť alebo doplniť tak, aby boli správne a úplné, prevádzkovateľ
zreteľne označí a zlikviduje ihneď, ako to okolnosti dovolia,
g)
zabezpečiť, aby zhromaždené osobné údaje boli spracúvané vo forme umožňujúcej identifikáciu
dotknutých osôb počas doby nie dlhšej, ako je nevyhnutné na dosiahnutie účelu spracúvania,
h)
zlikvidovať tie osobné údaje, ktorých účel spracúvania sa skončil; po skončení účelu
spracúvania možno osobné údaje ďalej spracúvať len za podmienok ustanovených v odseku
3,
i)
spracúvať osobné údaje v súlade s dobrými mravmi a konať spôsobom, ktorý neodporuje
tomuto zákonu ani iným všeobecne záväzným právnym predpisom a ani ich neobchádza;
súhlas dotknutej osoby si nesmie prevádzkovateľ vynucovať a ani podmieňovať hrozbou
odmietnutia zmluvného vzťahu, služby, tovaru alebo povinnosti ustanovenej prevádzkovateľovi
alebo sprostredkovateľovi zákonom.
(2)
Prevádzkovateľ nemá povinnosť podľa odseku 1 písm. a) len vtedy, ak účel spracúvania
osobných údajov ustanovuje osobitný zákon v súlade s podmienkami uvedenými v odseku
1 písm. a). Prevádzkovateľ nemá povinnosť určiť prostriedky a spôsob spracúvania osobných
údajov podľa odseku 1 písm. b) len vtedy, ak ich ustanovuje všeobecne záväzný právny
predpis. Ostatné povinnosti podľa odseku 1 písm. c) až h) a písm. i) časti vety pred
bodkočiarkou, je prevádzkovateľ povinný dodržiavať aj počas spracúvania osobných údajov
na základe osobitného zákona; týmto nie je dotknuté ustanovenie § 7 ods. 6 prvej vety vrátane jej časti za bodkočiarkou.
(3)
Ďalšie spracúvanie zhromaždených osobných údajov na historické, vedecké alebo štatistické
účely sa nepovažuje za nezlučiteľné s pôvodným účelom spracúvania vymedzeným v súlade
s odsekom 1 písm. a) alebo ustanoveným podľa odseku 2 prvej vety. Po skončení pôvodného
účelu spracúvania je prípustné zhromaždené osobné údaje ďalej spracúvať v nevyhnutnom
rozsahu na historické, vedecké alebo štatistické účely len vtedy, ak prevádzkovateľ
a)
zaručí, že spracúvané osobné údaje nepoužije v rozpore s oprávnenými záujmami dotknutej
osoby a svojím konaním nebude neoprávnene zasahovať do práva na ochranu jej osobnosti
a súkromia,
b)
takéto osobné údaje náležite označí a anonymizuje ihneď, ako to bude možné alebo
zlikviduje, keď sa stanú nepotrebnými.
(4)
Prevádzkovateľ, ktorý poveril spracúvaním osobných údajov sprostredkovateľa, je povinný
zabezpečiť, aby sprostredkovateľ dodržiaval povinnosti ustanovené v odseku 1 písm.
c) až i) a odseku 3.
(5)
V prípade pochybnosti o tom, či spracúvané osobné údaje svojím rozsahom, obsahom
a spôsobom spracúvania alebo využívania zodpovedajú účelu ich spracúvania, či sú s
daným účelom spracúvania zlučiteľné alebo časovo a vecne neaktuálne vo vzťahu k tomuto
účelu, rozhodne úrad. Stanovisko úradu je záväzné.
§ 7
Súhlas dotknutej osoby
(1)
Osobné údaje možno spracúvať len so súhlasom dotknutej osoby, ak tento zákon neustanovuje
inak. Týmto nie sú dotknuté ustanovenia odseku 5 prvej vety, § 8 ods. 4 písm. b), § 9 ods. 1, § 9 ods. 1 písm. b) a c), § 10 ods. 6, § 23 ods. 4 písm. a) a § 23 ods. 5.
(2)
Ak prevádzkovateľ spracúva osobné údaje na základe súhlasu dotknutej osoby, je povinný
v prípade pochybností preukázať úradu kedykoľvek na jeho žiadosť, že súhlasom disponuje.
Súhlas sa preukazuje zvukovým alebo zvukovo-obrazovým záznamom alebo čestným vyhlásením
toho, kto poskytol osobné údaje do informačného systému, prípadne iným hodnoverným
spôsobom. Písomný súhlas preukazuje prevádzkovateľ úradu dokladom, ktorý potvrdzuje
poskytnutie súhlasu. Dôkaz o súhlase obsahuje najmä údaj o tom, kto súhlas poskytol,
komu sa tento súhlas dáva, na aký účel, zoznam alebo rozsah osobných údajov, dobu
platnosti súhlasu a podmienky jeho odvolania. Súhlas daný v písomnej forme je bez
vlastnoručného podpisu toho, kto súhlas dáva, neplatný.
(3)
Súhlas podľa odseku 1 sa nevyžaduje, ak sa osobné údaje spracúvajú na základe osobitného
zákona,4) ktorý ustanovuje zoznam osobných údajov, účel ich spracúvania a okruh dotknutých
osôb. Spracúvané osobné údaje o dotknutej osobe možno z informačného systému poskytnúť,
sprístupniť alebo zverejniť len vtedy, ak osobitný zákon ustanovuje účel poskytovania,
sprístupňovania alebo zverejňovania, zoznam osobných údajov, ktoré možno poskytnúť,
sprístupniť alebo zverejniť, ako aj tretie strany, ktorým sa osobné údaje poskytujú,
prípadne okruh príjemcov, ktorým sa osobné údaje sprístupňujú, ak tento zákon neustanovuje
inak. Týmto nie je dotknuté ustanovenie § 9 ods. 1 písm. a).
(4)
Ďalej bez súhlasu uvedeného v odseku 1 možno osobné údaje spracúvať len vtedy, ak
a)
spracúvanie osobných údajov je nevyhnutné na účely tvorby umeleckých alebo literárnych
diel, pre potreby informovania verejnosti masovokomunikačnými prostriedkami a ak osobné
údaje spracúva prevádzkovateľ, ktorému to vyplýva z predmetu jeho činnosti; to neplatí,
ak spracúvaním osobných údajov na takýto účel prevádzkovateľ porušuje právo dotknutej
osoby na ochranu jej osobnosti a súkromia alebo takéto spracúvanie osobných údajov
bez súhlasu dotknutej osoby vylučuje osobitný zákon alebo medzinárodná zmluva, ktorou
je Slovenská republika viazaná,
b)
spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy, v ktorej vystupuje dotknutá
osoba ako jedna zo zmluvných strán alebo na zavedenie predzmluvných vzťahov alebo
opatrení na žiadosť dotknutej osoby,
c)
spracúvanie osobných údajov je nevyhnutné na ochranu života, zdravia alebo majetku
dotknutej osoby alebo inej fyzickej osoby, ktorá nemá spôsobilosť na právne úkony
alebo je fyzicky nespôsobilá na vydanie súhlasu, a ak nemožno získať súhlas jej zákonného
zástupcu,
d)
predmetom spracúvania sú výlučne titul, meno, priezvisko a adresa dotknutej osoby
bez možnosti priradiť k nim ďalšie jej osobné údaje a ich využitie je určené výhradne
pre potreby prevádzkovateľa v poštovom styku s dotknutou osobou a evidencie týchto
údajov; ak je predmetom činnosti prevádzkovateľa priamy marketing, uvedené osobné
údaje môže poskytovať, bez možnosti ich sprístupňovania a zverejňovania, len vtedy,
ak sú poskytované inému prevádzkovateľovi, ktorý má rovnaký predmet činnosti výhradne
na účely priameho marketingu, a dotknutá osoba písomne neuplatnila námietku podľa
§ 20 ods. 3 písm. c),
e)
sa spracúvajú už zverejnené osobné údaje; v týchto prípadoch treba osobné údaje náležite
označiť,
f)
spracúvanie osobných údajov je nevyhnutné na splnenie dôležitej úlohy realizovanej
vo verejnom záujme, alebo
g)
spracúvanie osobných údajov je nevyhnutné na ochranu zákonných práv a právom chránených
záujmov prevádzkovateľa alebo tretej strany za predpokladu, že pri takomto spracúvaní
osobných údajov prevádzkovateľ a tretia strana rešpektuje základné práva a slobody
dotknutej osoby a svojím konaním neoprávnene nezasahuje do práva na ochranu jej osobnosti
a súkromia.
(5)
Osobné údaje o dotknutej osobe možno získať od inej osoby a spracúvať v informačnom
systéme len s predchádzajúcim písomným súhlasom dotknutej osoby. To neplatí, ak poskytnutím
osobných údajov o dotknutej osobe do informačného systému iná osoba chráni svoje zákonné
práva alebo právom chránené záujmy, alebo oznamuje skutočnosti, ktoré odôvodňujú uplatnenie
právnej zodpovednosti dotknutej osoby, alebo sa osobné údaje spracúvajú na základe
osobitného zákona podľa odseku 3 alebo § 9 ods. 1 písm. a). Ten, kto takto osobné údaje spracúva, musí vedieť preukázať úradu kedykoľvek na
jeho žiadosť, že ich získal v súlade s týmto zákonom.
(6)
Zoznam osobných údajov podľa odseku 3 a § 9 ods. 1 písm. a) možno nahradiť rozsahom osobných údajov len vtedy, ak vzhľadom na účel spracúvania
osobných údajov ustanovený v osobitnom zákone sa nedajú vopred konkrétne určiť jednotlivé
osobné údaje, ktoré majú byť predmetom spracúvania; prevádzkovateľ je povinný pri
takomto spracúvaní osobných údajov postupovať podľa § 6 ods. 1 písm. d) s výnimkou tých prevádzkovateľov, ktorí spracúvajú osobné údaje na účely súdneho
konania a v súvislosti s ním. Zoznam tretích strán podľa odseku 3 a § 9 ods. 1 písm. a) možno nahradiť určením okruhu tretích strán len vtedy, ak vzhľadom na povahu veci
nemožno vopred špecifikovať jednotlivé tretie strany, ktorým sa osobné údaje poskytujú,
alebo ak tretie strany tvoria skupinu subjektov s rovnakým predmetom činnosti a vykonávajú
spracúvanie osobných údajov na rovnaký alebo rovnaké účely, prípadne ak zloženie takejto
skupiny podlieha neustálej zmene.
(7)
Ten, kto mieni zverejniť osobné údaje dotknutej osoby, nesmie svojím konaním neoprávnene
zasahovať do práva na ochranu jej osobnosti a súkromia; ich zverejnenie nesmie byť
v rozpore s oprávnenými záujmami dotknutej osoby.7)
(8)
(9)
Ak dotknutá osoba nežije, súhlas vyžadovaný podľa tohto zákona môže poskytnúť jej
blízka osoba.10) Súhlas nie je platný, ak čo len jedna blízka osoba písomne vyslovila nesúhlas.
(10)
Ustanovenie odseku 6 sa použije aj v prípadoch, keď sa postupuje podľa § 5 ods. 2 alebo § 10 ods. 1 alebo 2.
(11)
Osobné údaje dotknutej osoby možno poskytnúť z informačného systému inej právnickej
osobe, fyzickej osobe, prípadne subjektu v cudzine len spolu s písomným dokladom o
danom súhlase, ak tento zákon takýto súhlas vyžaduje; ten, kto osobné údaje takto
poskytuje, môže písomný doklad o danom súhlase nahradiť písomným vyhlásením prevádzkovateľa
o udelení súhlasu dotknutými osobami, ak prevádzkovateľ vie preukázať, že písomný
súhlas dotknutých osôb bol daný.
(12)
Osobné údaje podľa odseku 4 písm. c) a podľa § 9 ods. 1 písm. b) možno spracúvať bez súhlasu dotknutej osoby len po dobu, kým nezaniknú dôvody, ktoré
neumožňovali získať súhlas dotknutej osoby. Ak dôvody zanikli, ten kto osobné údaje
spracúva, zabezpečí súhlas dotknutej osoby.
(13)
Ten, kto tvrdí, že spracúva zverejnené osobné údaje, na požiadanie preukáže úradu,
že spracúvané osobné údaje boli už zverejnené.
(14)
Užívateľ môže sprístupnené osobné údaje o dotknutej osobe spracúvať len pre vlastnú
potrebu výlučne v rámci osobných alebo domácich činností.
§ 8
Osobitné kategórie osobných údajov
(1)
Spracúvať osobné údaje, ktoré odhaľujú rasový alebo etnický pôvod, politické názory,
náboženskú vieru alebo svetonázor, členstvo v politických stranách alebo politických
hnutiach, členstvo v odborových organizáciách a údaje týkajúce sa zdravia alebo pohlavného
života, sa zakazuje.
(2)
Pri spracúvaní osobných údajov možno využiť na účely určenia fyzickej osoby všeobecne
použiteľný identifikátor ustanovený osobitným zákonom11) len vtedy, ak jeho použitie je nevyhnutné na dosiahnutie daného účelu spracúvania.
Spracúvať iný identifikátor, ktorý v sebe skrýva charakteristiky dotknutej osoby,
alebo zverejňovať všeobecne použiteľný identifikátor sa zakazuje.
(3)
Spracúvanie osobných údajov o porušení ustanovení predpisov trestného práva, priestupkového
práva alebo občianskeho práva, ako aj o výkone právoplatných rozsudkov alebo rozhodnutí
môže vykonávať len ten, komu to umožňuje osobitný zákon.12)
(4)
Spracúvanie biometrických údajov možno vykonávať len za podmienok ustanovených v
osobitnom zákone, ak
a)
to prevádzkovateľovi vyplýva výslovne zo zákona, alebo
b)
na spracúvanie dala písomný súhlas dotknutá osoba.
(5)
Spracúvanie osobných údajov o psychickej identite fyzickej osoby alebo o jej psychickej
pracovnej spôsobilosti môže vykonávať len psychológ alebo ten, komu to umožňuje osobitný
zákon.13)
§ 9
Výnimky z obmedzení pri spracúvaní osobitných kategórií osobných údajov
(1)
Zákaz spracúvania osobných údajov ustanovený v § 8 ods. 1 neplatí, ak dotknutá osoba dala písomný súhlas na ich spracúvanie alebo ak
a)
spracúvanie vyžaduje osobitný zákon, ktorý ustanovuje zoznam osobných údajov, účel
ich spracúvania a okruh dotknutých osôb; spracúvané osobné údaje o dotknutej osobe
možno z informačného systému poskytnúť, sprístupniť alebo zverejniť len vtedy, ak
osobitný zákon ustanovuje účel poskytovania, sprístupňovania alebo zverejňovania,
zoznam osobných údajov, ktoré možno poskytnúť, sprístupniť alebo zverejniť, ako aj
tretie strany, ktorým sa osobné údaje poskytujú, prípadne okruh príjemcov, ktorým
sa osobné údaje sprístupňujú, ak tento zákon neustanovuje inak, alebo
b)
spracúvanie je nevyhnutné na ochranu životne dôležitých záujmov dotknutej osoby alebo
inej fyzickej osoby, ktorá nemá spôsobilosť na právne úkony alebo je fyzicky nespôsobilá
na vydanie písomného súhlasu, a ak nemožno získať písomný súhlas jej zákonného zástupcu,
alebo
c)
spracúvanie vykonáva v rámci oprávnenej činnosti občianske združenie, nadácia alebo
nezisková organizácia poskytujúca všeobecne prospešné služby, politická strana alebo
politické hnutie, odborová organizácia, štátom uznaná cirkev alebo náboženská spoločnosť
a toto spracúvanie sa týka iba ich členov alebo tých fyzických osôb, ktoré sú s nimi
vzhľadom na ich ciele v pravidelnom styku, osobné údaje slúžia výlučne pre ich vnútornú
potrebu a nebudú poskytnuté tretej strane bez písomného súhlasu dotknutej osoby, alebo
d)
spracúvanie sa týka osobných údajov, ktoré dotknutá osoba zverejnila alebo sú nevyhnutné
pri uplatňovaní jej právneho nároku, alebo
e)
ide o spracúvanie na účely poskytovania zdravotnej starostlivosti a na účely vykonávania
verejného zdravotného poistenia, ak tieto údaje spracúva poskytovateľ zdravotnej starostlivosti,
zdravotná poisťovňa alebo Úrad pre dohľad nad zdravotnou starostlivosťou alebo
f)
ide o spracúvanie v sociálnom poistení, v sociálnom zabezpečení policajtov a vojakov,
na účely poskytovania sociálnej pomoci alebo pomoci v hmotnej núdzi, alebo je spracúvanie
nevyhnutné na účely plnenia povinností alebo uplatnenie zákonných práv prevádzkovateľa
zodpovedného za spracúvanie v oblasti pracovného práva a v službách zamestnanosti
a ak to prevádzkovateľovi vyplýva z osobitného zákona.13a)
(2)
Písomný súhlas dotknutej osoby daný podľa odseku 1 je neplatný, ak jeho poskytnutie
vylučuje osobitný zákon.
(3)
Ustanovenie § 8 ods. 4 sa nepoužije, ak sa spracúvajú biometrické údaje s výnimkou analýzy deoxyribonukleovej
kyseliny a profilu deoxyribonukleovej kyseliny fyzických osôb na účely evidencie alebo
identifikácie vstupu do citlivých, osobitne chránených objektov, vyhradených priestorov
alebo prístupu do technických zariadení alebo prístrojov s vysokou mierou rizika a
ak ide výlučne o vnútornú potrebu prevádzkovateľa.
§ 10
Získavanie osobných údajov
(1)
Prevádzkovateľ, ktorý mieni získať od dotknutej osoby jej osobné údaje, je povinný
najneskôr pri ich získavaní informovať dotknutú osobu a bez vyzvania jej vopred oznámiť
a)
názov a sídlo alebo trvalý pobyt prevádzkovateľa; ak za prevádzkovateľa so sídlom
alebo s trvalým pobytom v tretej krajine koná na území Slovenskej republiky zástupca
prevádzkovateľa, aj jeho názov a sídlo alebo trvalý pobyt,
b)
názov a sídlo alebo trvalý pobyt sprostredkovateľa, ak v mene prevádzkovateľa alebo
zástupcu prevádzkovateľa získava osobné údaje sprostredkovateľ; v takomto prípade
je povinný včas oznámiť dotknutej osobe informácie podľa tohto odseku sprostredkovateľ,
c)
účel spracúvania osobných údajov a
d)
ďalšie doplňujúce informácie v takom rozsahu, v akom sú s ohľadom na všetky okolnosti
spracúvania osobných údajov potrebné pre dotknutú osobu na zaručenie jej práv a právom
chránených záujmov, najmä právo byť informovaná o podmienkach spracúvania svojich
osobných údajov
1.
preukázanie totožnosti oprávnenej osoby, ktorá získava osobné údaje alebo preukázanie
príslušnosti oprávnenej osoby hodnoverným dokladom k tomu subjektu, v mene ktorého
koná; oprávnená osoba je povinná takejto žiadosti dotknutej osoby bez zbytočného odkladu
vyhovieť,
2.
poučenie o dobrovoľnosti alebo povinnosti poskytnúť požadované osobné údaje; ak sa
dotknutá osoba sama rozhoduje o poskytnutí svojich osobných údajov, prevádzkovateľ
oznámi dotknutej osobe, na základe akého právneho podkladu mieni spracúvať jej osobné
údaje; ak dotknutej osobe povinnosť poskytnúť osobné údaje vyplýva z osobitného zákona,
prevádzkovateľ oznámi dotknutej osobe zákon, ktorý jej túto povinnosť ukladá a upovedomí
ju o následkoch odmietnutia poskytnúť osobné údaje,
3.
tretie strany, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje poskytnuté,
4.
okruh príjemcov, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje sprístupnené,
5.
formu zverejnenia, ak majú byť osobné údaje zverejnené,
6.
tretie krajiny, ak sa predpokladá alebo je zrejmé, že sa do týchto krajín uskutoční
prenos osobných údajov,
7.
poučenie o existencii práv dotknutej osoby.
(2)
Ak osobné údaje o dotknutej osobe nezískal prevádzkovateľ priamo od tejto dotknutej
osoby, je povinný bez zbytočného odkladu, najneskôr však v čase pred ich prvým poskytnutím
tretej strane, ak sa takéto poskytovanie predpokladalo už pri získavaní osobných údajov,
oznámiť dotknutej osobe informácie podľa odseku 1 písm. a) až c) a ďalšie doplňujúce
informácie v takom rozsahu, v akom sú s ohľadom na všetky okolnosti spracúvania osobných
údajov potrebné pre dotknutú osobu na zaručenie jej práv a právom chránených záujmov,
najmä právo byť informovaná o podmienkach spracúvania svojich osobných údajov
a)
poučenie o možnosti rozhodnúť o spracúvaní získaných osobných údajov,
b)
zoznam osobných údajov,
c)
tretie strany, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje poskytnuté,
d)
okruh príjemcov, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje sprístupnené,
e)
formu zverejnenia, ak majú byť osobné údaje zverejnené,
f)
tretie krajiny, ak sa predpokladá alebo je zrejmé, že sa do týchto krajín uskutoční
prenos osobných údajov,
g)
poučenie o existencii práv dotknutej osoby.
(3)
Informácie podľa odseku 1 netreba dotknutej osobe oznamovať, ak s ohľadom na všetky
okolnosti vie prevádzkovateľ úradu kedykoľvek na jeho žiadosť preukázať, že v čase
získavania osobných údajov boli všetky potrebné informácie dotknutej osobe už známe.
Informácie podľa odseku 2 netreba dotknutej osobe oznamovať, ak
a)
s ohľadom na všetky okolnosti vie prevádzkovateľ úradu kedykoľvek na jeho žiadosť
preukázať, že všetky potrebné informácie boli v čase rozhodujúcej udalosti dotknutej
osobe už známe,
b)
spracúvanie osobných údajov umožňuje osobitný zákon alebo medzinárodná zmluva, ktorou
je Slovenská republika viazaná,
c)
predmetom spracúvania sú výlučne zverejnené osobné údaje, alebo
d)
spracúvané osobné údaje sú určené na účely tvorby umeleckých alebo literárnych diel
alebo pre potreby informovania verejnosti masovokomunikačnými prostriedkami za podmienok
ustanovených v § 7 ods. 4 písm. a) časti vety pred bodkočiarkou, ako aj na historický výskum alebo vedecký výskum a vývoj, alebo sú určené na účely
štátnej štatistiky a ak vzhľadom na všetky okolnosti vie prevádzkovateľ úradu kedykoľvek
na jeho žiadosť preukázať, že poskytnutie takýchto informácií je objektívne nemožné
alebo by si vyžiadalo neúmerne vysoké náklady a mimoriadne úsilie.
(4)
Prevádzkovateľ, ktorý získava osobné údaje na účely identifikácie fyzickej osoby
pri jej jednorazovom vstupe do jeho priestorov, je oprávnený od nej požadovať meno,
priezvisko, titul a číslo občianskeho preukazu14) alebo číslo služobného preukazu, alebo číslo cestovného dokladu,15) štátnu príslušnosť a preukázanie pravdivosti poskytnutých osobných údajov predkladaným
dokladom. Ak sa fyzická osoba preukáže podľa osobitného zákona,16) je prevádzkovateľ oprávnený od nej požadovať len evidenčné číslo služobného preukazu.
V týchto prípadoch sa odsek 1 nepoužije.
(5)
Prevádzkovateľ alebo sprostredkovateľ, ktorý v priestoroch prístupných verejnosti
získava, poskytuje alebo sprístupňuje osobné údaje, zabezpečí diskrétnosť pri ich
spracúvaní.
(6)
Získavať osobné údaje nevyhnutné na dosiahnutie účelu spracúvania kopírovaním, skenovaním
alebo iným zaznamenávaním úradných dokladov na nosič informácií možno len vtedy, ak
s tým dotknutá osoba písomne súhlasí alebo ak to osobitný zákon výslovne umožňuje
bez súhlasu dotknutej osoby.17) Súhlas dotknutej osoby si prevádzkovateľ ani sprostredkovateľ nesmú vynucovať ani
podmieňovať hrozbou odmietnutia zmluvného vzťahu, služby, tovaru alebo povinnosti
ustanovenej prevádzkovateľovi alebo sprostredkovateľovi zákonom.
(7)
Priestor prístupný verejnosti možno monitorovať pomocou videozáznamu alebo audiozáznamu
len na účely verejného poriadku a bezpečnosti, odhaľovania kriminality alebo narušenia
bezpečnosti štátu, a to len vtedy, ak priestor je zreteľne označený ako monitorovaný.
Označenie monitorovaného priestoru sa nevyžaduje, ak tak ustanovuje osobitný zákon.
Vyhotovený záznam možno využiť len na účely trestného konania alebo konania o priestupkoch,
ak osobitný zákon neustanovuje inak.
(8)
Prevádzkovateľ, ktorý získa osobné údaje uvedené v § 7 ods. 4 písm. d) bez vedomia dotknutej osoby alebo priamo od nej, poskytne jej pri prvom kontakte
informácie podľa odseku 1 a ak sú spracúvané na účely priameho marketingu, oboznámi
ju aj s právom písomne namietať proti ich poskytovaniu a využívaniu v poštovom styku.
(9)
Prevádzkovatelia, ktorých predmetom činnosti je priamy marketing, vedú zoznam poskytnutých
osobných údajov podľa § 7 ods. 4 písm. d) v rozsahu meno, priezvisko, titul a adresa dotknutej osoby, dátum ich poskytnutia,
prípadne dátum, od ktorého platí zákaz ich ďalšieho poskytovania podľa § 13 ods. 6, a názov právnickej osoby alebo fyzickej osoby, ktorej boli uvedené osobné údaje
poskytnuté. Zoznam v rovnakom rozsahu vedú aj právnické osoby a fyzické osoby, ktorým
boli tieto osobné údaje poskytnuté.
§ 11
Pravdivosť osobných údajov
Do informačného systému možno poskytnúť len pravdivé osobné údaje. Za nepravdivosť
osobných údajov zodpovedá ten, kto ich do informačného systému poskytol.
§ 12
Správnosť a aktuálnosť osobných údajov
(1)
Správnosť a aktuálnosť osobných údajov zabezpečuje prevádzkovateľ. Za správny sa
považuje taký osobný údaj, ktorý sa poskytol v súlade s § 11.
(2)
Osobný údaj sa považuje za správny, kým sa nepreukáže opak.
§ 13
Likvidácia osobných údajov
(1)
Prevádzkovateľ po splnení účelu spracúvania zabezpečí bezodkladne likvidáciu osobných
údajov.
(2)
Prevádzkovateľ zabezpečí bezodkladne likvidáciu osobných údajov okrem osobných údajov
uvedených v § 7 ods. 4 písm. d) aj vtedy, ak
a)
zanikli dôvody, ktoré neumožňovali získať súhlas dotknutej osoby (§ 7 ods. 12), a súhlas nebol daný, alebo
b)
dotknutá osoba uplatní námietku podľa § 20 ods. 3 písm. a); ďalej prevádzkovateľ postupuje podľa odseku 5.
(3)
Odsek 1 sa nepoužije, ak
a)
osobitný zákon ustanovuje lehotu,18) ktorá neumožňuje osobné údaje bezodkladne zlikvidovať; prevádzkovateľ zabezpečí likvidáciu
osobných údajov bezodkladne po uplynutí zákonom ustanovenej lehoty,
b)
sú osobné údaje súčasťou archívnych dokumentov,19)
c)
sa písomný, obrazový, zvukový alebo iný záznam obsahujúci osobné údaje zaradí do
predarchívnej starostlivosti;20) počas predarchívnej starostlivosti sa nesmú vykonávať žiadne operácie spracúvania
s osobnými údajmi s výnimkou ich uchovávania a využiť ich možno len na účely občianskoprávneho
konania, trestného konania alebo správneho konania.
(4)
Úschovné lehoty písomných, obrazových, zvukových a iných záznamov, ktoré obsahujú
osobné údaje a sú zaradené do predarchívnej starostlivosti, možno stanoviť len na
dobu nevyhnutnú na uplatnenie práv alebo povinností ustanovených zákonom.21)
(5)
Ak dotknutá osoba uplatní námietku podľa § 20 ods. 3 písm. b), prevádzkovateľ bezodkladne skončí využívanie osobných údajov uvedených v § 7 ods. 4 písm. d) v poštovom styku.
(6)
Ak dotknutá osoba uplatní námietku podľa § 20 ods. 3 písm. c), prevádzkovateľ to bezodkladne písomne oznámi každému, komu osobné údaje uvedené
v § 7 ods. 4 písm. d) poskytol; zákaz ďalšieho poskytovania tu uvedených osobných údajov platí pre prevádzkovateľa
a každého, komu ich prevádzkovateľ poskytol odo dňa nasledujúceho po dni doručenia
námietky dotknutej osoby, prípadne doručenia písomného oznámenia prevádzkovateľa.
(7)
Ak vyhotovený záznam podľa § 10 ods. 7 nie je využitý na účely trestného konania alebo konania o priestupkoch, ten, kto
ho vyhotovil, ho zlikviduje najneskôr v lehote siedmich dní odo dňa nasledujúceho
po dni, v ktorom bol záznam vyhotovený, ak osobitný zákon neustanovuje inak.
§ 14
Oznámenie o vykonaní opravy alebo likvidácie
(1)
Opravu alebo likvidáciu osobných údajov oznámi prevádzkovateľ do 30 dní od ich vykonania
dotknutej osobe a každému, komu ich poskytol.
(2)
Od oznámenia možno upustiť, ak sa neoznámením opravy alebo likvidácie osobných údajov
neporušia práva dotknutej osoby.
DRUHÁ HLAVA
BEZPEČNOSŤ OSOBNÝCH ÚDAJOV
§ 15
Zodpovednosť za bezpečnosť osobných údajov
(1)
Za bezpečnosť osobných údajov zodpovedá prevádzkovateľ a sprostredkovateľ tým, že
ich chráni pred náhodným, ako aj nezákonným poškodením a zničením, náhodnou stratou,
zmenou, nedovoleným prístupom a sprístupnením, ako aj pred akýmikoľvek inými neprípustnými
formami spracúvania. Na tento účel prijme primerané technické, organizačné a personálne
opatrenia zodpovedajúce spôsobu spracúvania, pričom berie do úvahy najmä
a)
použiteľné technické prostriedky,
b)
rozsah možných rizík, ktoré sú spôsobilé narušiť bezpečnosť alebo funkčnosť informačného
systému,
c)
dôvernosť a dôležitosť spracúvaných osobných údajov.
(2)
Opatrenia podľa odseku 1 prijme prevádzkovateľ a sprostredkovateľ vo forme bezpečnostného
projektu informačného systému (ďalej len „bezpečnostný projekt") a zabezpečí jeho
vypracovanie, ak
a)
sú v informačnom systéme spracúvané osobitné kategórie osobných údajov podľa § 8 a informačný systém je prepojený na verejne prístupnú počítačovú sieť alebo je prevádzkovaný
v počítačovej sieti, ktorá je prepojená na verejne prístupnú počítačovú sieť,
b)
sú v informačnom systéme spracúvané osobitné kategórie osobných údajov podľa § 8; v tomto prípade prevádzkovateľ a sprostredkovateľ len zdokumentuje prijaté technické,
organizačné a personálne opatrenia v rozsahu, ktorý ustanovuje § 16 ods. 3 písm. c) a ods. 6, alebo
c)
informačný systém slúži na zabezpečenie verejného záujmu podľa § 2 ods. 1; ustanovenie § 16 sa pri vypracúvaní bezpečnostného projektu nepoužije len vtedy, ak pre konkrétny
prípad je tu súčasne povinnosť vypracovať bezpečnostný projekt podľa osobitného zákona21a).
(3)
Na požiadanie úradu prevádzkovateľ a sprostredkovateľ preukážu rozsah a obsah prijatých
technických, organizačných a personálnych opatrení podľa odseku 1 alebo 2.
(4)
Ak sú predmetom kontroly informačné systémy podľa odseku 2, úrad má právo požadovať
od prevádzkovateľa alebo sprostredkovateľa predloženie hodnotiacej správy o výsledku
auditu bezpečnosti informačného systému (ďalej len „hodnotiaca správa"), ak sú vážne
pochybnosti o jeho bezpečnosti alebo o praktickom uplatňovaní opatrení uvedených v
bezpečnostnom projekte. Hodnotiacu správu, nie staršiu ako dva roky, bezodkladne predloží
prevádzkovateľ alebo sprostredkovateľ úradu, inak zabezpečí vykonanie auditu bezpečnosti
informačného systému na vlastné náklady a predloží hodnotiacu správu najneskôr do
troch mesiacov odo dňa uloženia povinnosti.
(5)
Audit bezpečnosti informačného systému môže vykonať iba externá, odborne spôsobilá
právnická osoba alebo fyzická osoba, ktorá sa nepodieľala na vypracovaní bezpečnostného
projektu predmetného informačného systému, a nie sú pochybnosti o jej nezaujatosti.
§ 16
Bezpečnostný projekt
(1)
Bezpečnostný projekt vymedzuje rozsah a spôsob technických, organizačných a personálnych
opatrení potrebných na eliminovanie a minimalizovanie hrozieb a rizík pôsobiacich
na informačný systém z hľadiska narušenia jeho bezpečnosti, spoľahlivosti a funkčnosti.
(2)
Bezpečnostný projekt sa spracúva v súlade so základnými pravidlami bezpečnosti informačného
systému vydanými bezpečnostnými štandardmi, právnymi predpismi a medzinárodnými zmluvami,
ktorými je Slovenská republika viazaná.
(3)
Bezpečnostný projekt obsahuje najmä
a)
bezpečnostný zámer,
b)
analýzu bezpečnosti informačného systému,
c)
bezpečnostné smernice.
(4)
Bezpečnostný zámer vymedzuje základné bezpečnostné ciele, ktoré je potrebné dosiahnuť
na ochranu informačného systému pred ohrozením jeho bezpečnosti, a obsahuje najmä
a)
formuláciu základných bezpečnostných cieľov a minimálne požadovaných bezpečnostných
opatrení,
b)
špecifikáciu technických, organizačných a personálnych opatrení na zabezpečenie ochrany
osobných údajov v informačnom systéme a spôsob ich využitia,
c)
vymedzenie okolia informačného systému a jeho vzťah k možnému narušeniu bezpečnosti,
d)
vymedzenie hraníc určujúcich množinu zvyškových rizík.
(5)
Analýza bezpečnosti informačného systému je podrobný rozbor stavu bezpečnosti informačného
systému, ktorá obsahuje najmä
a)
kvalitatívnu analýzu rizík, v rámci ktorej sa identifikujú hrozby pôsobiace na jednotlivé
aktíva informačného systému spôsobilé narušiť jeho bezpečnosť alebo funkčnosť; výsledkom
kvalitatívnej analýzy rizík je zoznam hrozieb, ktoré môžu ohroziť dôvernosť, integritu
a dostupnosť spracúvaných osobných údajov, s uvedením rozsahu možného rizika, návrhov
opatrení, ktoré eliminujú alebo minimalizujú vplyv rizík, a s vymedzením súpisu nepokrytých
rizík,
b)
použitie bezpečnostných štandardov a určenie iných metód a prostriedkov ochrany osobných
údajov; súčasťou analýzy bezpečnosti informačného systému je posúdenie zhody navrhnutých
bezpečnostných opatrení s použitými bezpečnostnými štandardmi, metódami a prostriedkami.
(6)
Bezpečnostné smernice upresňujú a aplikujú závery vyplývajúce z bezpečnostného projektu
na konkrétne podmienky prevádzkovaného informačného systému a obsahujú najmä
a)
popis technických, organizačných a personálnych opatrení vymedzených v bezpečnostnom
projekte a ich využitie v konkrétnych podmienkach,
b)
rozsah oprávnení a popis povolených činností jednotlivých oprávnených osôb, spôsob
ich identifikácie a autentizácie pri prístupe k informačnému systému,
c)
rozsah zodpovednosti oprávnených osôb a osoby zodpovednej za dohľad nad ochranou
osobných údajov (§ 19),
d)
spôsob, formu a periodicitu výkonu kontrolných činností zameraných na dodržiavanie
bezpečnosti informačného systému,
e)
postupy pri haváriách, poruchách a iných mimoriadnych situáciách vrátane preventívnych
opatrení na zníženie vzniku mimoriadnych situácií a možností efektívnej obnovy stavu
pred haváriou.
§ 17
Poučenie
Prevádzkovateľ alebo sprostredkovateľ je povinný poučiť oprávnené osoby o právach
a povinnostiach ustanovených týmto zákonom a o zodpovednosti za ich porušenie. Poučenie
vykoná prevádzkovateľ alebo sprostredkovateľ pred vydaním prvého pokynu oprávnenej
osobe na vykonanie akejkoľvek spracovateľskej operácie s osobnými údajmi. Oprávnená
osoba poučenie potvrdí svojím podpisom; o poučení prevádzkovateľ alebo sprostredkovateľ
vedie písomný záznam.
§ 18
Povinnosť mlčanlivosti
(1)
Prevádzkovateľ a sprostredkovateľ sú povinní zachovávať mlčanlivosť o osobných údajoch,
ktoré spracúvajú. Povinnosť mlčanlivosti trvá aj po ukončení spracovania. Povinnosť
mlčanlivosti nemajú, ak je to podľa osobitného zákona nevyhnutné na plnenie úloh orgánov
činných v trestnom konaní; tým nie sú dotknuté ustanovenia osobitných zákonov.22)
(2)
Oprávnená osoba je povinná zachovávať mlčanlivosť o osobných údajoch, s ktorými príde
do styku; tie nesmie využiť ani pre osobnú potrebu a bez súhlasu prevádzkovateľa ich
nesmie zverejniť a nikomu poskytnúť ani sprístupniť.
(3)
Povinnosť mlčanlivosti podľa odseku 2 platí aj pre iné fyzické osoby, ktoré v rámci
svojej činnosti (napr. údržba a servis technických prostriedkov) prídu do styku s
osobnými údajmi u prevádzkovateľa alebo sprostredkovateľa.
(4)
Povinnosť mlčanlivosti podľa odseku 2 trvá aj po zániku funkcie oprávnenej osoby
alebo po skončení jej pracovného pomeru alebo obdobného pracovného vzťahu, ako aj
štátnozamestnaneckého pomeru alebo vzťahu podľa odseku 3.
(5)
Odseky 1 až 4 a ustanovená povinnosť mlčanlivosti prevádzkovateľov, sprostredkovateľov
a oprávnených osôb podľa osobitných predpisov23) sa nepoužijú vo vzťahu k úradu pri plnení jeho úloh (§ 38 až 44).
§ 19
Dohľad nad ochranou osobných údajov
(1)
Za výkon dohľadu nad ochranou osobných údajov spracúvaných podľa tohto zákona zodpovedá
prevádzkovateľ.
(2)
Ak prevádzkovateľ zamestnáva viac ako päť osôb, výkonom dohľadu písomne poverí zodpovednú
osobu alebo viaceré zodpovedné osoby, ktoré dozerajú na dodržiavanie zákonných ustanovení
pri spracúvaní osobných údajov.
(3)
Odborné vyškolenie zodpovednej osoby alebo viacerých zodpovedných osôb zabezpečí
prevádzkovateľ. Rozsah odborného školenia zodpovedá najmä obsahu tohto zákona a úlohám
z neho vyplývajúcim, ako aj obsahu medzinárodných zmlúv o ochrane osobných údajov,24) ktoré boli vyhlásené spôsobom ustanoveným zákonom. Úrad môže od prevádzkovateľa žiadať
podanie dôkazu o vykonanom odbornom školení.
(4)
Zodpovedná osoba posúdi pred začatím spracúvania osobných údajov v informačnom systéme,
či ich spracúvaním nevzniká nebezpečenstvo narušenia práv a slobôd dotknutých osôb.
Zistenie narušenia práv a slobôd dotknutých osôb pred začatím spracúvania alebo porušenia
zákonných ustanovení v priebehu spracúvania osobných údajov zodpovedná osoba bezodkladne
písomne oznámi prevádzkovateľovi; ak prevádzkovateľ po upozornení bezodkladne nevykoná
nápravu, oznámi to zodpovedná osoba úradu.
(5)
Prevádzkovateľ, ktorý písomne poveril výkonom dohľadu nad ochranou osobných údajov
zodpovednú osobu, je povinný o tom písomne informovať úrad bez zbytočného odkladu,
najneskôr do 30 dní odo dňa poverenia zodpovednej osoby doporučenou zásielkou. Prevádzkovateľ
oznámi úradu tieto údaje:
a)
názov, sídlo alebo trvalý pobyt, právnu formu a identifikačné číslo prevádzkovateľa
alebo zástupcu prevádzkovateľa,
b)
titul, meno, priezvisko a dátum narodenia zodpovednej osoby,
c)
pracovné zaradenie zodpovednej osoby,
d)
dátum začiatku platnosti písomného poverenia zodpovednej osoby,
e)
vyhlásenie prevádzkovateľa o tom, že zodpovedná osoba spĺňa podmienky ustanovené
v odseku 12.
(6)
Prevádzkovateľ oznámi úradu poverenie jednej zodpovednej osoby, a to aj vtedy, ak
výkonom dohľadu nad ochranou osobných údajov súčasne poveril viac zodpovedných osôb.
Ak prevádzkovateľ nahradí zodpovednú osobu, ktorú nahlásil úradu, inou zodpovednou
osobou, postupuje podľa odseku 5.
(7)
Zodpovedná osoba zabezpečuje
a)
potrebnú súčinnosť s úradom pri plnení úloh patriacich do jeho pôsobnosti; na požiadanie
je zodpovedná osoba povinná úradu kedykoľvek predložiť svoje písomné poverenie, písomné
oznámenia vystavené pre prevádzkovateľa podľa odseku 4, preukázať rozsah získaných
vedomostí odborným školením,
b)
povinnosti podľa odseku 4,
c)
dohľad nad plnením základných povinností prevádzkovateľa podľa § 6,
d)
poučenie oprávnených osôb podľa § 17,
e)
vybavovanie žiadostí dotknutých osôb podľa § 20 až 22,
f)
realizáciu technických, organizačných a personálnych opatrení a dohliada na ich aplikáciu
v praxi; ak je prevádzkovateľ povinný vypracovať bezpečnostný projekt v súlade s § 16 alebo dokumentáciu podľa § 15 ods. 2 písm. b), zabezpečuje ich vypracovanie,
g)
dohľad pri výbere sprostredkovateľa podľa § 5 ods. 3 a 4, prípravu písomnej zmluvy alebo písomného poverenia pre sprostredkovateľa v súlade
s § 5 ods. 2 a zodpovedá za jeho obsah; počas trvania zmluvného vzťahu alebo poverenia preveruje
dodržiavanie dohodnutých podmienok,
h)
dohľad nad cezhraničným tokom osobných údajov,
i)
prihlásenie informačných systémov na osobitnú registráciu a oznamovanie zmien a odhlásenie
informačných systémov z osobitnej registrácie; o informačných systémoch, ktoré nepodliehajú
registrácii, vedie evidenciu v rozsahu ustanovenom týmto zákonom podľa § 29 a 30 a zabezpečuje jej sprístupnenie komukoľvek, kto o to požiada v súlade s § 32.
(8)
Prevádzkovateľ, ktorý zamestnáva menej ako šesť osôb, môže výkonom dohľadu nad ochranou
osobných údajov písomne poveriť zodpovednú osobu, ktorá dozerá na dodržiavanie zákonných
ustanovení pri spracúvaní osobných údajov.
(9)
Prevádzkovateľ, ktorý zamestnáva menej ako šesť osôb a výkonom dohľadu nad ochranou
osobných údajov písomne nepoveril zodpovednú osobu, je povinný prihlásiť na registráciu
tie informačné systémy, ktoré podľa tohto zákona podliehajú registrácii podľa § 25.
(10)
Prevádzkovateľ je povinný umožniť zodpovednej osobe nezávislý výkon dohľadu nad ochranou
osobných údajov a prijať jej oprávnené návrhy; upozornenie na nedostatky alebo vyslovenie
požiadavky zodpovednou osobou v súvislosti s plnením jej povinností podľa odseku 7
sa nesmie stať podnetom ani dôvodom na konanie zo strany prevádzkovateľa, ktoré by
zodpovednej osobe spôsobilo ujmu.
(11)
Úrad je oprávnený uložiť prevádzkovateľovi povinnosť písomne poveriť dohľadom nad
ochranou osobných údajov inú zodpovednú osobu, ak sa preukáže, že písomne poverená
zodpovedná osoba neplnila alebo nedostatočne plnila povinnosti podľa odseku 7, alebo
práva a povinnosti uložené prevádzkovateľovi týmto zákonom nesprávne posudzovala alebo
ich nesprávne uplatňovala v praxi, alebo nespĺňa podmienky ustanovené v odseku 12.
Prevádzkovateľ je povinný bez zbytočného odkladu úradu vyhovieť a dohľadom písomne
poveriť inú zodpovednú osobu; ak tomu bránia dôvody hodné osobitného zreteľa, ktoré
vie prevádzkovateľ úradu hodnoverne preukázať, úrad určí prevádzkovateľovi lehotu,
dokedy je povinný vymeniť zodpovednú osobu, prípadne prihlásiť informačné systémy
na registráciu.
(12)
Zodpovednou osobou môže byť len fyzická osoba, ktorá má spôsobilosť na právne úkony
v plnom rozsahu a spĺňa podmienku bezúhonnosti podľa § 35 ods. 4 prvej vety; bezúhonnosť sa preukazuje doložením výpisu z registra trestov nie starším ako tri
mesiace, ktorý je prevádzkovateľ povinný uchovávať počas doby výkonu funkcie zodpovednej
osoby. Zodpovednou osobou nemôže byť fyzická osoba, ktorá je štatutárnym orgánom prevádzkovateľa
a fyzická osoba, ktorá je oprávnená konať v mene štatutárneho orgánu prevádzkovateľa.
Zodpovedná osoba má postavenie oprávnenej osoby prevádzkovateľa.
TRETIA HLAVA
OCHRANA PRÁV DOTKNUTÝCH OSÔB
§ 20
Práva dotknutej osoby
(1)
Dotknutá osoba má právo na základe písomnej žiadosti od prevádzkovateľa vyžadovať
a)
vo všeobecne zrozumiteľnej forme informácie o stave spracúvania svojich osobných
údajov v informačnom systéme v rozsahu podľa § 26 ods. 3; pri vydaní rozhodnutia podľa odseku 4 písm. b) je dotknutá osoba oprávnená oboznámiť
sa s postupom spracúvania a vyhodnocovania operácií,
b)
vo všeobecne zrozumiteľnej forme presné informácie o zdroji, z ktorého získal jej
osobné údaje na spracúvanie,
c)
vo všeobecne zrozumiteľnej forme odpis jej osobných údajov, ktoré sú predmetom spracúvania,
d)
opravu jej nesprávnych, neúplných alebo neaktuálnych osobných údajov, ktoré sú predmetom
spracúvania,
e)
likvidáciu jej osobných údajov, ak bol splnený účel ich spracúvania podľa § 13 ods. 1; ak sú predmetom spracúvania úradné doklady obsahujúce osobné údaje, môže požiadať
o ich vrátenie,
f)
likvidáciu jej osobných údajov, ktoré sú predmetom spracúvania, ak došlo k porušeniu
zákona.
(2)
Právo dotknutej osoby možno obmedziť len podľa odseku 1 písm. d) a e), ak takéto
obmedzenie vyplýva z osobitného zákona alebo jeho uplatnením by bola porušená ochrana
dotknutej osoby, alebo by boli porušené práva a slobody iných osôb.
(3)
Dotknutá osoba na základe bezplatnej písomnej žiadosti má právo u prevádzkovateľa
namietať voči
a)
spracúvaniu jej osobných údajov, o ktorých predpokladá, že sú alebo budú spracúvané
na účely priameho marketingu bez jej súhlasu a žiadať ich likvidáciu,
b)
využívaniu osobných údajov uvedených v § 7 ods. 4 písm. d) na účely priameho marketingu v poštovom styku, alebo
c)
poskytovaniu osobných údajov uvedených v § 7 ods. 4 písm. d) na účely priameho marketingu.
(4)
Dotknutá osoba na základe bezplatnej písomnej žiadosti alebo osobne, ak vec neznesie
odklad, má právo u prevádzkovateľa kedykoľvek namietať
a)
voči spracúvaniu osobných údajov v prípadoch podľa § 7 ods. 4 písm. a), e), f) alebo g) vyslovením oprávnených dôvodov alebo predložením dôkazov o neoprávnenom zasahovaní
do jej práv a právom chránených záujmov, ktoré sú alebo môžu byť v konkrétnom prípade
takýmto spracúvaním osobných údajov poškodené; ak tomu nebránia zákonné dôvody a preukáže
sa, že námietka dotknutej osoby je oprávnená, prevádzkovateľ je povinný osobné údaje,
ktorých spracúvanie dotknutá osoba namietala, bez zbytočného odkladu blokovať a zlikvidovať
ihneď, ako to okolnosti dovolia,
b)
a nepodrobiť sa rozhodnutiu prevádzkovateľa, ktoré by malo pre ňu právne účinky alebo
významný dosah, ak sa takéto rozhodnutie vydá výlučne na základe úkonov automatizovaného
spracúvania jej osobných údajov. Dotknutá osoba má právo žiadať prevádzkovateľa o
preskúmanie vydaného rozhodnutia metódou odlišnou od automatizovanej formy spracúvania,
pričom prevádzkovateľ je povinný žiadosti dotknutej osoby vyhovieť, a to tak, že rozhodujúcu
úlohu pri preskúmaní rozhodnutia bude mať oprávnená osoba; o spôsobe preskúmania a
výsledku zistenia prevádzkovateľ informuje dotknutú osobu v lehote podľa § 21 ods. 3. Dotknutá osoba nemá toto právo iba v prípade, ak to ustanovuje osobitný zákon, v
ktorom sú opatrenia na zabezpečenie oprávnených záujmov dotknutej osoby, alebo ak
rozhodnutie bolo prijaté v priebehu uzatvárania alebo plnenia zmluvy uzatváranej medzi
prevádzkovateľom a dotknutou osobou za predpokladu, že sa vyhovelo požiadavke dotknutej
osoby, ktorá je obsahom zmluvy, alebo dotknutej osobe bolo na základe dohody udelené
právo kedykoľvek počas platnosti zmluvy uplatniť svoj názor.
(5)
Dotknutá osoba má právo nesúhlasiť s rozhodnutím prevádzkovateľa podľa § 23 ods. 5 a odmietnuť prenos svojich osobných údajov do tretej krajiny, ktorá nezaručuje primeranú
úroveň ochrany osobných údajov, ak sa má prenos vykonať na základe § 23 ods. 4 písm. a).
(6)
Dotknutá osoba pri podozrení, že jej osobné údaje sa neoprávnene spracúvajú, môže
podať o tom oznámenie úradu.
(7)
(8)
Ak dotknutá osoba nežije, jej práva, ktoré mala podľa tohto zákona, môže uplatniť
blízka osoba.10)
§ 21
Poskytnutie informácií dotknutej osobe
(1)
Požiadavky dotknutej osoby podľa § 20 ods. 1 písm. a), d) až f) splní prevádzkovateľ bezplatne.
(2)
Informácie podľa § 20 ods. 1 písm. b) a c) prevádzkovateľ poskytne dotknutej osobe bezplatne s výnimkou úhrady vo výške, ktorá
nesmie prekročiť výšku materiálnych nákladov spojených so zhotovením kópií, so zadovážením
technických nosičov a s odoslaním informácie dotknutej osobe, ak osobitný zákon neustanovuje
inak.26)
(3)
Prevádzkovateľ vyhovie požiadavkám dotknutej osoby podľa § 20 a písomne ju informuje najneskoršie do 30 dní od ich prijatia.
§ 22
Oznámenie o obmedzení práv dotknutej osoby
Obmedzenie práv dotknutej osoby podľa § 20 ods. 1 písm. d) a e) prevádzkovateľ bezodkladne písomne oznámi dotknutej osobe a úradu.
ŠTVRTÁ HLAVA
CEZHRANIČNÝ TOK OSOBNÝCH ÚDAJOV
§ 23
Prenos osobných údajov do tretích krajín
(1)
Ak tretia krajina zaručuje primeranú úroveň ochrany osobných údajov, prenos osobných
údajov do tejto tretej krajiny možno vykonať za predpokladu, že dotknutej osobe boli
poskytnuté informácie podľa § 10 ods. 1 alebo 2, alebo bola splnená niektorá z podmienok uvedených v § 10 ods. 3.
(2)
Primeranosť úrovne ochrany osobných údajov sa hodnotí na základe všetkých okolností
súvisiacich s prenosom. Osobitne sa pritom posudzujú príslušné právne predpisy v cieľovej
krajine vo vzťahu k povahe osobných údajov, účel a trvanie ich spracúvania.
(3)
Prenos osobných údajov do tretej krajiny, ktorá nezaručuje primeranú úroveň ochrany
osobných údajov, možno vykonať len vtedy, ak sa takýto prenos uskutočňuje na základe
rozhodnutia Európskej komisie alebo ak je splnená niektorá z podmienok uvedených v
odseku 4.
(4)
V prípade, že cieľová krajina nezaručuje primeranú úroveň ochrany, možno prenos vykonať
pod podmienkou, že
a)
dotknutá osoba dala naň písomný súhlas s vedomím, že cieľová krajina nezaručuje primeranú
úroveň ochrany,
b)
je nevyhnutný na plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom alebo na
zavedenie predzmluvných opatrení na žiadosť dotknutej osoby,
c)
je nevyhnutný na uzavretie zmluvy alebo plnenie zmluvy, ktorú prevádzkovateľ uzavrel
v záujme dotknutej osoby s iným subjektom,
d)
je nevyhnutný na plnenie medzinárodnej zmluvy, ktorou je Slovenská republika viazaná,
alebo vyplýva zo zákona z dôvodu dôležitého verejného záujmu alebo pri preukazovaní,
uplatňovaní alebo obhajovaní právneho nároku,
e)
je nevyhnutný na ochranu životne dôležitých záujmov dotknutej osoby, alebo
f)
sa týka osobných údajov, ktoré sú súčasťou zoznamov, registrov alebo operátov a ktoré
sú vedené a verejne prístupné podľa osobitných zákonov alebo sú podľa nich prístupné
tým, ktorí preukážu právny nárok pri splnení zákonom ustanovených podmienok na ich
sprístupnenie.
(5)
Ak sa prevádzkovateľ rozhodne vykonať prenos osobných údajov do tretej krajiny, ktorá
nezaručuje primeranú úroveň ochrany až po ich získaní, oznámi dotknutej osobe pred
prenosom osobných údajov dôvod svojho rozhodnutia a oboznámi ju s právom odmietnuť
takýto prenos podľa § 20 ods. 5, ak sa má prenos vykonať pod podmienkou uvedenou v odseku 4 písm. a); prevádzkovateľ
je oprávnený vykonať navrhovaný prenos osobných údajov až po obdržaní písomného súhlasu
dotknutej osoby.
(6)
Ak prevádzkovateľ poverí spracúvaním osobných údajov subjekt v cudzine, ktorý ich
spracúva v mene prevádzkovateľa, ten je oprávnený spracúvať osobné údaje len v rozsahu
a za podmienok dojednaných s prevádzkovateľom v písomnej zmluve. Obsah zmluvy musí
byť vypracovaný v súlade so štandardnými zmluvnými podmienkami ustanovenými na prenos
osobných údajov subjektom v cudzine, ktoré ich spracúvajú v mene prevádzkovateľa.
(7)
Na prenos osobných údajov podľa odseku 6 sa vyžaduje súhlas úradu.
(8)
Ten, kto vykonáva prenos osobných údajov, zaručí ich bezpečnosť (§ 15 ods. 1) aj pri tranzite.
(9)
Ochrana osobných údajov, prenesených na územie Slovenskej republiky od subjektov
so sídlom alebo s trvalým pobytom v cudzine, sa vykonáva v súlade s týmto zákonom.
(10)
V prípade pochybnosti o tom, či možno vykonať cezhraničný tok osobných údajov, rozhodne
úrad. Stanovisko úradu je záväzné.
§ 23a
Prenos osobných údajov v rámci členských štátov Európskej únie
(1)
Voľný pohyb osobných údajov medzi Slovenskou republikou a členskými štátmi Európskej
únie sa zaručuje; Slovenská republika neobmedzí ani nezakáže prenos osobných údajov
z dôvodov ochrany základných práv a slobôd fyzických osôb, najmä ich práva na súkromie
v súvislosti so spracúvaním ich osobných údajov.
(2)
Prevádzkovateľ so sídlom alebo s trvalým pobytom na území Slovenskej republiky, ktorý
zároveň spracúva osobné údaje prostredníctvom svojej organizačnej zložky alebo viacerých
organizačných zložiek na území jedného alebo viacerých členských štátov Európskej
únie, je povinný prijať opatrenia a zabezpečiť, aby každá jeho organizačná zložka
spracúvala osobné údaje v súlade s právnym poriadkom platným v tom členskom štáte,
v ktorom má príslušná organizačná zložka sídlo.
(3)
Prevádzkovateľ, ktorý nemá sídlo alebo trvalý pobyt na území členského štátu Európskej
únie, a na účely spracúvania osobných údajov využíva úplne alebo čiastočne automatizované
alebo iné ako automatizované prostriedky spracúvania umiestnené na území Slovenskej
republiky, pričom tieto prostriedky spracúvania nie sú využívané výlučne len na prenos
osobných údajov cez územie členských štátov Európskej únie, je povinný pred začatím
spracúvania osobných údajov vymenovať svojho zástupcu, ktorý má sídlo alebo trvalý
pobyt na území Slovenskej republiky; tým nie je dotknuté vnútroštátne právo tretej
krajiny, v ktorej má prevádzkovateľ sídlo alebo trvalý pobyt. Zástupca prevádzkovateľa
je povinný preukázať úradu kedykoľvek na jeho žiadosť originál dokladu svojho vymenovania
za zástupcu prevádzkovateľa. Pravosť podpisov a odtlačku pečiatky prevádzkovateľa
na origináli dokladu musí byť overená orgánom štátu príslušným na jeho overenie alebo
notárom v príslušnom štáte s odtlačkom pečiatky zastupiteľského úradu Slovenskej republiky
v tomto štáte.
PIATA HLAVA
REGISTRÁCIA A EVIDENCIA INFORMAČNÝCH SYSTÉMOV
§ 24
Povinnosť registrácie a evidencie
Prevádzkovateľ registruje informačné systémy alebo vedie o nich evidenciu v rozsahu
a za podmienok ustanovených týmto zákonom.
Registrácia
§ 25
Podmienky registrácie
(1)
Registráciu informačných systémov vykonáva úrad bezplatne.
(2)
Povinnosť registrácie sa vzťahuje na všetky informačné systémy, v ktorých sa spracúvajú
osobné údaje úplne alebo čiastočne automatizovanými prostriedkami spracúvania s výnimkou
tých informačných systémov, ktoré
a)
podliehajú osobitnej registrácii podľa § 27 ods. 2,
b)
podliehajú dohľadu zodpovednej osoby, ktorú písomne poveril prevádzkovateľ podľa
§ 19 ods. 2 alebo 8 a ktorá vykonáva dohľad nad ochranou osobných údajov podľa tohto zákona,
c)
obsahujú osobné údaje fyzických osôb spracúvané na účely plnenia predzmluvných vzťahov
alebo uplatňovania práv a povinností vyplývajúcich pre prevádzkovateľa z existujúceho
alebo ukončeného pracovnoprávneho vzťahu, služobného pomeru, štátnozamestnaneckého
pomeru alebo členského pomeru s týmito fyzickými osobami vrátane osobných údajov ich
blízkych osôb,10)
d)
obsahujú osobné údaje o členstve osôb v odborovej organizácii, ktoré sú jej členmi
a ak tieto osobné údaje spracúva odborová organizácia a využíva ich výlučne pre svoju
vnútornú potrebu, alebo obsahujú osobné údaje o náboženskej viere osôb združených
v štátom uznanej cirkvi alebo náboženskej spoločnosti a ak tieto osobné údaje spracúva
cirkev alebo náboženská spoločnosť a využíva ich výlučne pre svoju vnútornú potrebu,
alebo obsahujú osobné údaje o členstve osôb v politickej strane alebo v politickom
hnutí, ktoré sú ich členmi a ak tieto osobné údaje spracúva politická strana alebo
politické hnutie a využíva ich výlučne pre svoju vnútornú potrebu, alebo
e)
obsahujú osobné údaje potrebné na uplatňovanie práv alebo plnenie povinností vyplývajúcich
z osobitného zákona alebo sú spracúvané na základe osobitného zákona.
(3)
Súčasťou registrácie je pridelenie registračného čísla informačnému systému a vydanie
potvrdenia o jeho registrácii; ak bola splnená podmienka podľa § 26 ods. 2, spracúvanie osobných údajov v informačnom systéme nie je podmienené vydaním potvrdenia
o jeho registrácii.
(4)
V prípade pochybnosti o tom, či informačný systém podlieha registrácii, rozhodne
úrad. Stanovisko úradu je záväzné.
§ 26
Prihlásenie na registráciu
(1)
Za prihlásenie informačného systému na registráciu zodpovedá jeho prevádzkovateľ.
(2)
Prevádzkovateľ prihlási informačný systém na registráciu pred začatím spracúvania
osobných údajov.
(3)
Pri prihlasovaní informačného systému na registráciu prevádzkovateľ uvedie tieto
údaje:
a)
názov, sídlo alebo trvalý pobyt, právnu formu a identifikačné číslo prevádzkovateľa,
b)
meno a priezvisko štatutárneho orgánu prevádzkovateľa,
c)
meno a priezvisko zodpovednej osoby vykonávajúcej dohľad nad ochranou osobných údajov,
ak sa vyžaduje jej poverenie (§ 19 ods. 2),
d)
názov, sídlo alebo trvalý pobyt, právnu formu a identifikačné číslo zástupcu prevádzkovateľa,
ak koná na území Slovenskej republiky za prevádzkovateľa so sídlom alebo trvalým pobytom
v tretej krajine; v takomto prípade sa v písmene a) uvedú údaje o prevádzkovateľovi,
ktorý vymenoval zástupcu prevádzkovateľa,
e)
meno a priezvisko štatutárneho orgánu alebo člena štatutárneho orgánu zástupcu prevádzkovateľa;
v takomto prípade sa v písmene b) uvedú údaje o štatutárnom orgáne alebo o členovi
štatutárneho orgánu prevádzkovateľa, ktorý vymenoval zástupcu prevádzkovateľa,
f)
identifikačné označenie informačného systému,
g)
účel spracúvania osobných údajov,
h)
zoznam osobných údajov,
i)
okruh dotknutých osôb,
j)
okruh príjemcov, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje sprístupnené,
k)
tretie strany, prípadne okruh tretích strán, ak sa predpokladá alebo je zrejmé, že
im budú osobné údaje poskytnuté,
l)
tretie krajiny, ak sa predpokladá alebo je zrejmé, že sa do týchto krajín uskutoční
prenos osobných údajov a právny základ cezhraničného toku,
m)
právny základ informačného systému,
n)
formu zverejnenia, ak sa zverejnenie osobných údajov vykonáva,
o)
všeobecnú charakteristiku opatrení na zabezpečenie ochrany osobných údajov,
p)
dátum začatia spracúvania osobných údajov.
(4)
Údaje v rozsahu podľa odseku 3 sa úradu odovzdávajú v písomnej forme potvrdené štatutárnym
orgánom prevádzkovateľa alebo elektronicky vo forme databázového súboru s doloženým
výtlačkom obsahu súboru potvrdeným štatutárnym orgánom prevádzkovateľa. Písomnú formu
a formát databázového súboru určí úrad. Doloženie výtlačku sa nepožaduje, ak databázový
súbor je opatrený elektronickým podpisom podľa osobitného zákona.
§ 27
Podmienky osobitnej registrácie
(1)
Osobitnú registráciu informačných systémov vykonáva úrad bezplatne.
(2)
Osobitná registrácia sa vzťahuje na informačné systémy, v ktorých prevádzkovateľ
spracúva
a)
aspoň jeden z osobných údajov uvedených v § 8 ods. 1, a zároveň sa predpokladá alebo uskutočňuje ich prenos do tretej krajiny alebo tretích
krajín, ktoré nezaručujú primeranú úroveň ochrany, na základe § 23 ods. 4 písm. a) alebo c),
b)
osobné údaje na základe § 7 ods. 4 písm. g), alebo
c)
osobné údaje na základe § 9 ods. 3.
(3)
Prevádzkovateľ je povinný prihlásiť informačný systém na osobitnú registráciu na
úrade pred začatím spracúvania osobných údajov.
(4)
Pri osobitnej registrácii prevádzkovateľ uvedie údaje v rozsahu podľa § 26 ods. 3 a predloží podklady, ktoré sú nevyhnutné na posúdenie predmetného spracúvania. Na
prihlásenie informačného systému na osobitnú registráciu sa primerane vzťahuje § 26 ods. 4.
(5)
Úrad posúdi predložené údaje podľa odseku 4, preverí, či spracúvaním osobných údajov
nevzniká nebezpečenstvo narušenia práv a slobôd dotknutých osôb a najneskôr do 60
dní odo dňa ich prijatia rozhodne o tom, či spracúvanie osobných údajov povolí; ak
pri posudzovaní predložených údajov úrad zistí, že prihlásený informačný systém nepodlieha
osobitnej registrácii, oznámi to bez zbytočného odkladu prevádzkovateľovi.
(6)
V prípade pochybností si úrad vyžiada od prevádzkovateľa ďalšie vysvetlenia alebo
podklady. Počas tejto doby lehota podľa odseku 5 neplynie.
(7)
Súčasťou osobitnej registrácie je pridelenie registračného čísla informačnému systému
a vydanie potvrdenia o jeho registrácii; prevádzkovateľ môže začať spracúvať osobné
údaje v informačnom systéme prihlásenom na osobitnú registráciu v deň nasledujúci
po dni, v ktorom úrad vydal potvrdenie.
(8)
Na oznámenie zmien a odhlásenie informačného systému z osobitnej registrácie sa vzťahuje
ustanovenie § 28.
(9)
Ak úrad spracúvanie osobných údajov v informačnom systéme prihlásenom na osobitnú
registráciu posúdi ako rizikové, zakáže prevádzkovateľovi spracúvanie osobných údajov
na daný účel. Prevádzkovateľ je povinný rešpektovať rozhodnutie úradu a bez zbytočného
odkladu vykonať opatrenia, aby sa spracúvanie osobných údajov neuskutočnilo.
§ 28
Oznámenie zmien a odhlásenie z registrácie
(1)
Prevádzkovateľ do 15 dní písomne oznámi úradu akékoľvek zmeny údajov podľa § 26 ods. 3 s výnimkou písmena p), ktoré nastanú v priebehu spracúvania.
(2)
Prevádzkovateľ do 15 dní odo dňa skončenia spracúvania osobných údajov v informačnom
systéme tento z registrácie písomne odhlási. Súčasťou odhlásenia je dátum skončenia
spracúvania osobných údajov.
(3)
Na oznámenie zmien údajov a odhlásenie informačného systému z registrácie sa primerane
použije § 26 ods. 4.
Evidencia
§ 29
Podmienky evidencie
(1)
O informačných systémoch, ktoré nepodliehajú registrácii, prevádzkovateľ vedie evidenciu,
a to najneskôr odo dňa začatia spracúvania údajov v týchto informačných systémoch.
(2)
Odsek 1 sa nepoužije pre informačné systémy, ak
a)
spracúvané osobné údaje slúžia výlučne pre potreby poštového styku s dotknutými osobami
a evidencie týchto údajov [§ 7 ods. 4 písm. d)], alebo
b)
obsahujú osobné údaje, ktoré sa spracúvajú výlučne na účely identifikácie osôb pri
ich jednorazovom vstupe do priestorov prevádzkovateľa (§ 10 ods. 4).
Sprístupnenie stavu registrácie a evidencie
§ 31
Verejnosť registrácie
Registrácia vedená podľa tohto zákona je verejná v rozsahu údajov podľa § 26 ods. 3 s uvedením registračného čísla informačného systému.
§ 32
Verejnosť evidencie
Evidencia vedená podľa tohto zákona je verejná. Údaje z evidencie prevádzkovateľ sprístupní
bezplatne komukoľvek, kto o to požiada.
TRETIA ČASŤ
ÚRAD
PRVÁ HLAVA
POSTAVENIE A PÔSOBNOSŤ ÚRADU
§ 33
Pôsobnosť úradu
(1)
Zriaďuje sa Úrad na ochranu osobných údajov Slovenskej republiky, ktorý je orgánom
štátnej správy s celoslovenskou pôsobnosťou so sídlom v Bratislave.
(2)
Úrad ako štátny orgán vykonáva dozor nad ochranou osobných údajov nezávisle a podieľa
sa na ochrane základných práv a slobôd fyzických osôb pri spracúvaní ich osobných
údajov.
(3)
Ak osobné údaje spracúvajú spravodajské služby, dozor nad ochranou osobných údajov
podľa odseku 2 vykonáva Národná rada Slovenskej republiky podľa osobitného zákona.27)
(4)
Úrad plní oznamovaciu povinnosť voči Európskej komisii v oblasti ochrany osobných
údajov.
(5)
Úrad prijíma opatrenia na vykonanie rozhodnutí Európskej komisie vydaných v oblasti
ochrany osobných údajov.
(6)
Úrad spolupracuje pri výkone dozoru nad ochranou osobných údajov s obdobnými orgánmi
dozoru v zahraničí.
§ 34
Postavenie úradu
(1)
Úrad je rozpočtovou organizáciou.28) Návrh rozpočtu predkladá úrad ako súčasť kapitoly Úradu vlády Slovenskej republiky.
Schválený rozpočet úradu môže znížiť v priebehu kalendárneho roku iba Národná rada
Slovenskej republiky.
(2)
Podrobnosti o organizácii úradu upraví organizačný poriadok.
§ 35
Predseda úradu
(1)
Na čele úradu je predseda úradu.
(2)
Predsedu úradu na návrh vlády Slovenskej republiky volí a odvoláva Národná rada Slovenskej
republiky. Návrh na voľbu predsedu úradu na nové funkčné obdobie predkladá vláda Slovenskej
republiky Národnej rade Slovenskej republiky najneskôr 60 dní pred uplynutím funkčného
obdobia úradujúceho predsedu úradu. Funkčné obdobie predsedu úradu je päť rokov a
možno ho zvoliť najviac na dve po sebe nasledujúce obdobia. Predseda úradu ostáva
vo funkcii aj po uplynutí funkčného obdobia, kým Národná rada Slovenskej republiky
nezvolí predsedu úradu na nové funkčné obdobie.
(3)
Za predsedu úradu možno zvoliť občana, ktorý je voliteľný za poslanca do Národnej
rady Slovenskej republiky, je bezúhonný, má vysokoškolské vzdelanie, má najmenej 10
rokov odbornej praxe v oblasti informatiky alebo práva a dosiahol vek najmenej 35
rokov.
(4)
Za bezúhonného občana sa na účely tohto zákona považuje občan, ktorý nebol právoplatne
odsúdený za úmyselný trestný čin alebo za trestný čin, za ktorý mu bol uložený nepodmienečný
trest odňatia slobody. Bezúhonnosť sa preukazuje výpisom z registra trestov, ktorý
nie je starší ako tri mesiace.
(5)
Predseda úradu nemôže byť členom politickej strany ani politického hnutia.
(6)
Platové a ďalšie náležitosti predsedu úradu určuje vláda Slovenskej republiky podľa
osobitného predpisu.29)
(7)
Počas výkonu funkcie nesmie predseda úradu podnikať ani vykonávať inú zárobkovú činnosť
s výnimkou vedeckej, pedagogickej, publicistickej, literárnej alebo umeleckej činnosti
a správy vlastného majetku a majetku svojich maloletých detí.
(8)
Počas výkonu funkcie je predseda úradu oprávnený oboznamovať sa s utajovanými skutočnosťami
podľa osobitného predpisu.30)
(9)
Počas funkčného obdobia i po jeho skončení je predseda úradu povinný zachovávať mlčanlivosť
o skutočnostiach týkajúcich sa obsahu osobných údajov, o ktorých sa dozvedel počas
výkonu svojej funkcie.
(10)
Od povinnosti mlčanlivosti môže predsedu úradu pre konkrétny prípad oslobodiť Národná
rada Slovenskej republiky.
(11)
Za svoju činnosť zodpovedá predseda úradu Národnej rade Slovenskej republiky.
(12)
Pred uplynutím funkčného obdobia zaniká výkon funkcie predsedu úradu
a)
vzdaním sa funkcie,
b)
stratou voliteľnosti za poslanca Národnej rady Slovenskej republiky,
c)
nadobudnutím právoplatnosti rozsudku, ktorým bol odsúdený za úmyselný trestný čin
alebo ktorým bol odsúdený za trestný čin a súd nerozhodol v jeho prípade o podmienečnom
odložení výkonu trestu odňatia slobody,
d)
výkonom činnosti, ktorá je nezlučiteľná s výkonom jeho funkcie, alebo
e)
smrťou.
(13)
Národná rada môže odvolať z funkcie predsedu úradu,
a)
ak mu zdravotný stav dlhodobo, najmenej však počas jedného roka, nedovoľuje riadne
vykonávať povinnosti vyplývajúce z jeho funkcie,
b)
ak porušil povinnosť zachovávať mlčanlivosť o skutočnostiach týkajúcich sa obsahu
osobných údajov, o ktorých sa dozvedel v súvislosti s výkonom svojej funkcie.
Predseda úradu je odvolaný z funkcie dňom nasledujúcim po dni, keď mu bolo doručené
rozhodnutie Národnej rady Slovenskej republiky o odvolaní z funkcie.
§ 36
Podpredseda úradu
(1)
Predsedu úradu v čase jeho neprítomnosti zastupuje podpredseda úradu. Podpredseda
úradu okrem toho plní úlohy, ktorými ho poverí predseda úradu.
(2)
Podpredsedu úradu vymenúva a odvoláva vláda Slovenskej republiky na návrh predsedu
úradu.
(3)
(4)
Od povinnosti mlčanlivosti môže podpredsedu úradu pre konkrétny prípad oslobodiť
predseda úradu.
§ 37
Vrchný inšpektor a inšpektori
(1)
Činnosť inšpektorov riadi vrchný inšpektor.
(2)
Inšpektori vykonávajú kontrolnú činnosť a sú vecne príslušní na plnenie úloh úradu.
(3)
Inšpektorov vymenúva a odvoláva vláda Slovenskej republiky na návrh predsedu úradu.
Za inšpektora možno vymenovať občana, ktorý je voliteľný za poslanca Národnej rady
Slovenskej republiky, je bezúhonný, má vysokoškolské vzdelanie a najmenej trojročnú
odbornú prax v oblasti informatiky alebo práva a dosiahol vek najmenej 30 rokov. Vrchného
inšpektora vymenúva a odvoláva vláda Slovenskej republiky na návrh predsedu úradu
z radov inšpektorov, ktorí majú odbornú prax najmenej päť rokov a dosiahli vek najmenej
35 rokov.
(4)
Funkčné obdobie vrchného inšpektora je päť rokov a do funkcie ho možno vymenovať
opakovane. Na výkon funkcie vrchného inšpektora platia primerane odseky 2 a 6 a ustanovenia
§ 35 ods. 4, 5, 7, 12 a 13.
(5)
Na výkon funkcie inšpektora platia primerane ustanovenia § 35 ods. 4, 5, 7, 12 a 13. Okrem dôvodov uvedených v § 35 ods. 13 možno inšpektora z funkcie odvolať pre
a)
opakované neplnenie úloh uvedených v § 38 ods. 1 písm. f) a h) alebo pre sústavné menej závažné porušovanie pracovnej disciplíny a ak v posledných
šiestich mesiacoch predseda úradu inšpektora opakovane písomne vyzval na odstránenie
nedostatkov a inšpektor ich v primeranej lehote neodstránil, alebo
b)
hrubé zanedbanie povinnosti uloženej inšpektorovi týmto zákonom [§ 38 ods. 1 písm. f) a h)], ak nepreukáže, že zavinenie nespôsobil alebo mu nemohol zabrániť, alebo pre hrubé
porušenie pracovnej disciplíny.
(6)
Počas pracovného pomeru i po jeho skončení sú inšpektori a ďalší zamestnanci úradu
povinní zachovávať mlčanlivosť o skutočnostiach týkajúcich sa obsahu osobných údajov,
o ktorých sa dozvedeli v súvislosti s výkonom svojej práce; použitie osobných údajov
pri plnení úloh úradu alebo v súvislosti s ich plnením v súlade s ustanoveniami tohto
zákona alebo osobitného zákona sa nepovažuje za porušenie povinnosti mlčanlivosti.
Od povinnosti mlčanlivosti môže inšpektorov a ďalších zamestnancov úradu pre konkrétny
prípad oslobodiť predseda úradu.
DRUHÁ HLAVA
ČINNOSŤ ÚRADU
§ 38
Úlohy úradu
(1)
Úrad pri výkone dozoru nad ochranou osobných údajov plní tieto úlohy:
a)
priebežne sleduje stav ochrany osobných údajov, registráciu informačných systémov
a vedenie evidencie o informačných systémoch,
b)
odporúča prevádzkovateľom opatrenia na zabezpečenie ochrany osobných údajov v informačných
systémoch; na tento účel vydáva v rozsahu svojej pôsobnosti odporúčania pre prevádzkovateľov,
c)
pri pochybnostiach o tom, či spracúvané osobné údaje svojím rozsahom, obsahom a spôsobom
spracúvania a využívania zodpovedajú účelu ich spracúvania, sú s daným účelom spracúvania
zlučiteľné alebo sú časovo a vecne neaktuálne vo vzťahu k tomuto účelu, vydáva záväzné
stanovisko,
d)
pri pochybnostiach o cezhraničnom toku osobných údajov vydáva záväzné stanovisko,
e)
pri pochybnostiach o registrácii informačného systému vydáva záväzné stanovisko,
f)
g)
pri podozrení z porušenia povinností uložených týmto zákonom môže predvolať prevádzkovateľa
alebo sprostredkovateľa s cieľom podať vysvetlenia,
h)
kontroluje spracúvanie osobných údajov v informačných systémoch,
i)
ukladá sankcie pri zistení porušenia povinností uvedených v tomto zákone,
j)
podáva oznámenie31) orgánom činným v trestnom konaní pri podozrení, že ide o trestný čin,
k)
vykonáva registráciu informačných systémov a zabezpečuje sprístupnenie stavu registrácie,
l)
podieľa sa na príprave všeobecne záväzných právnych predpisov v oblasti ochrany osobných
údajov,
m)
v rozsahu svojej pôsobnosti vydáva všeobecne záväzné právne predpisy,
n)
vyjadruje sa k návrhom zákonov a k návrhom ostatných všeobecne záväzných právnych
predpisov, v ktorých sa upravuje spracúvanie osobných údajov,
o)
predkladá Národnej rade Slovenskej republiky správu o stave ochrany osobných údajov
najmenej raz za dva roky.
(2)
Predmetom dozoru nad ochranou osobných údajov nie sú spory zo zmluvných alebo predzmluvných
vzťahov prevádzkovateľov alebo sprostredkovateľov a dotknutých osôb alebo iných fyzických
osôb alebo právnických osôb, na ktorých prejednávanie a rozhodovanie sú príslušné
súdy alebo iné orgány podľa osobitných predpisov.
(3)
Ak úrad zistí skutočnosti nasvedčujúce tomu, že zákon, iný všeobecne záväzný právny
predpis alebo prevádzkovateľom vydaný vnútorný predpis porušuje základné práva a slobody
fyzických osôb pri spracúvaní ich osobných údajov, predseda úradu môže podať podnet
na jeho zmenu alebo zrušenie príslušnému orgánu.
Kontrolná činnosť
§ 39
Oprávnenia a povinnosti kontrolného orgánu
(1)
Vrchný inšpektor a ostatní inšpektori (ďalej len „kontrolný orgán"), ako aj predseda
úradu a podpredseda úradu sú oprávnení
a)
vstupovať na pozemky, do budov alebo miestností prevádzok a zariadení prevádzkovateľa
a sprostredkovateľa,
b)
vyžadovať od prevádzkovateľa, sprostredkovateľa a ich zamestnancov (ďalej len „kontrolovaná
osoba"), aby im v určenej lehote poskytli doklady, iné písomnosti, vyjadrenia a informácie,
údaje spracúvané na pamäťových médiách vrátane technických nosičov údajov, výpisy
a zdrojové kódy programov, ak ich vlastní, a ďalšie materiály potrebné na výkon kontroly,
originály alebo kópie a v odôvodnených prípadoch im umožnili odoberať kópie aj mimo
priestorov kontrolovanej osoby,
c)
požadovať v primeranej lehote od kontrolovanej osoby úplné a pravdivé ústne a písomné
informácie, vyjadrenia a vysvetlenia ku kontrolovaným a súvisiacim skutočnostiam a
k zisteným nedostatkom,
d)
vyžadovať súčinnosť kontrolovanej osoby,
e)
vstupovať do informačných systémov do úrovne správcu systému v rozsahu potrebnom
na vykonanie kontroly,
f)
overovať totožnosť kontrolovaných osôb a fyzických osôb, ktoré v mene kontrolovaných
osôb konajú.
(2)
Kontrolný orgán je povinný
a)
vopred oznámiť kontrolovanej osobe predmet kontroly a pred začatím kontroly preukázať
svoju príslušnosť k úradu,
b)
vypracovať protokol o vykonaní kontroly (ďalej len „protokol"),
c)
uvádzať do protokolu kontrolné zistenia,
d)
oboznámiť kontrolovanú osobu s kontrolnými zisteniami a vyžiadať si od nej písomné
vyjadrenie ku všetkým skutočnostiam, ktoré odôvodňujú uplatnenie právnej zodpovednosti;
vznesené námietky proti uvádzaným kontrolným zisteniam z hľadiska ich pravdivosti,
úplnosti a preukázateľnosti uviesť do protokolu,
e)
odovzdať kontrolovanej osobe jedno vyhotovenie protokolu alebo záznamu o kontrole
alebo ich kópie,
f)
písomne potvrdiť kontrolovanej osobe prevzatie kópií dokladov, písomných dokumentov,
kópií pamäťových médií a iných materiálov a zabezpečiť ich riadnu ochranu pred stratou,
zničením, poškodením a zneužitím.
(3)
Protokol obsahuje názov, sídlo alebo trvalý pobyt kontrolovanej osoby, miesto a čas
vykonania kontroly, predmet kontroly, kto kontrolu vykonal, preukázané kontrolné zistenia,
vyjadrenia kontrolovanej osoby ku kontrolným zisteniam, dátum vypracovania protokolu,
mená, pracovné zaradenie a vlastnoručné podpisy kontrolného orgánu a zodpovedných
zamestnancov kontrolovanej osoby, ktorí boli s obsahom protokolu oboznámení, a dátum
oboznámenia sa s protokolom. Ak sa kontrolovaná osoba odmietne oboznámiť sa s obsahom
protokolu, vyjadriť sa ku kontrolným zisteniam alebo podpísať protokol, uvedie sa
táto skutočnosť v protokole.
(4)
Ak sa kontrolou zistí porušenie povinností ustanovených týmto zákonom, kontrolný
orgán postupuje pri ukladaní opatrení na odstránenie kontrolou zistených nedostatkov
podľa § 46.
(5)
Ak sa kontrolou nezistí porušenie povinností ustanovených týmto zákonom alebo iným
zákonom,32) kontrolný orgán vypracuje len záznam o kontrole. Pri jeho vypracovaní sa postupuje
primerane podľa odseku 3.
§ 40
Oprávnenia a povinnosti kontrolovanej osoby
(1)
Kontrolovaná osoba je oprávnená v čase oboznámenia sa s kontrolnými zisteniami vzniesť
námietky proti uvádzaným kontrolným zisteniam z hľadiska ich pravdivosti, úplnosti
a preukázateľnosti.
(2)
Kontrolovaná osoba je povinná
a)
vytvoriť kontrolnému orgánu primerané podmienky na výkon kontroly a spracovanie kontrolných
zistení,
b)
poskytovať kontrolnému orgánu potrebnú súčinnosť v súlade s oprávneniami podľa § 39 ods. 1 a zdržať sa konania, ktoré by mohlo mariť výkon kontroly,
c)
dostaviť sa v určenej lehote na oboznámenie sa s obsahom protokolu na miesto určené
kontrolným orgánom,
d)
po oboznámení sa s kontrolnými zisteniami podpísať protokol alebo záznam o kontrole;
odmietnutie oboznámenia sa s obsahom protokolu alebo odmietnutie podpísania protokolu
kontrolovanou osobou nemá vplyv na dôsledky vyplývajúce z obsahu tohto dokumentu,
e)
písomne predložiť kontrolnému orgánu v určených lehotách opatrenia prijaté na odstránenie
kontrolou zistených nedostatkov a písomnú správu o splnení týchto opatrení.
§ 41
Prizvané osoby
(1)
Ak je to odôvodnené osobitnou povahou kontrolnej úlohy, môže kontrolný orgán prizvať
na vykonanie kontroly iné fyzické osoby. Účasť týchto fyzických osôb na kontrole sa
považuje za iný úkon vo všeobecnom záujme. Na prizvané osoby sa primerane vzťahujú
ustanovenia § 37 ods. 6 a § 39 ods. 1.
(2)
Kontrolu nemôžu vykonávať prizvané osoby, o ktorých so zreteľom na ich vzťah k predmetu
kontroly alebo na vzťah ku kontrolovanej osobe možno mať pochybnosti o ich nezaujatosti.
Prizvané osoby, ktoré samy vedia o skutočnostiach zakladajúcich pochybnosti o ich
nepredpojatosti, oznámia tieto skutočnosti bez zbytočného odkladu úradu.
(3)
Kontrolovaná osoba môže písomne vzniesť preukázateľné námietky o zaujatosti prizvanej
osoby. Prizvaná osoba môže do rozhodnutia o námietkach zaujatosti vykonať pri kontrole
len úkony, ktoré nedovoľujú odklad.
(4)
O námietkach zaujatosti a o oznámení predpojatosti rozhodne predseda úradu. Rozhodnutie
predsedu úradu v tejto veci je konečné.
§ 42
(1)
Plnením konkrétnej úlohy pri výkone kontroly možno poveriť ďalších zamestnancov úradu.
Na poverených zamestnancov úradu sa primerane vzťahuje ustanovenie § 39 ods. 1 a 2 písm. a).
(2)
Inšpektori a poverení zamestnanci úradu, ktorí samy vedia o skutočnostiach zakladajúcich
pochybnosti o ich nepredpojatosti vo vzťahu k predmetu kontroly alebo ku kontrolovanej
osobe, oznámia tieto skutočnosti bez zbytočného odkladu predsedovi úradu. Ak predseda
úradu uzná, že k predpojatosti došlo, osobu z konania vo veci vylúči.
§ 43
Na výkon kontroly sa nevzťahujú predpisy o kontrole v štátnej správe.33)
Súčinnosť
§ 44
(1)
Orgány štátnej správy, orgány územnej samosprávy, iné orgány verejnej moci, prevádzkovatelia
a sprostredkovatelia poskytujú úradu potrebnú pomoc pri plnení jeho úloh (§ 38).
(2)
Prevádzkovateľ a sprostredkovateľ poskytujú úradu pri plnení jeho úloh všetky ním
požadované údaje v určenej lehote.
(3)
Prevádzkovateľ a sprostredkovateľ sa dostavia na predvolanie úradu s cieľom podať
vysvetlenia v určenej lehote.
(4)
Prevádzkovateľ a sprostredkovateľ sú povinní strpieť všetky úkony úradu smerujúce
k vyšetreniu okolností potrebných na objektívne posúdenie prešetrovanej veci.
Konanie
§ 44a
(1)
Konanie vo veciach upravených týmto zákonom, na ktoré sa nevzťahuje všeobecný predpis
o správnom konaní, je začaté dňom, keď voči prevádzkovateľovi, sprostredkovateľovi
alebo inej právnickej osobe alebo fyzickej osobe (ďalej len „účastník konania") urobil
úrad prvý úkon. Ak sa konanie začína na podnet účastníka konania, dňom začatia konania
je deň doručenia podnetu úradu.
(2)
Účastníkom konania je ten, o koho právach alebo povinnostiach sa má konať. Za účastníka
konania, ktorým nie je fyzická osoba, koná štatutárny orgán, prípadne jeho zamestnanec
alebo člen, ktorý sa preukáže písomným poverením štatutárneho orgánu, že je oprávnený
za neho konať, pokiaľ jednotlivé ustanovenia tohto zákona neustanovujú inak. Účastník
konania sa môže nechať v konaní zastupovať. V tej istej veci môže mať účastník konania
súčasne len jedného zástupcu, ktorému udelí písomne splnomocnenie na celé konanie,
alebo len na určité úkony. Splnomocnenie na zastupovanie účastníka konania, ktorým
nie je fyzická osoba, musí byť udelené osobou, ktorá je oprávnená konať v jeho mene.
(3)
Konanie je neverejné. Týmto nie je dotknuté ustanovenie § 48.
(4)
Na dokazovanie možno použiť všetky prostriedky, ktorými možno zistiť a objasniť skutočný
stav veci a ktoré sú v súlade s právnymi predpismi. Dôkazmi sú najmä vyjadrenia účastníkov
konania, výpovede svedkov, listiny, znalecké posudky alebo odborné posudky, správy,
vyjadrenia a potvrdenia orgánov alebo iných právnických osôb a fyzických osôb, zverejnené
informácie, obhliadky a kontrolné zistenia. Ako dôkaz možno použiť namiesto originálu
listiny alebo originálu akéhokoľvek záznamu aj ich rozmnoženinu v tlačenej, fotografickej,
zvukovej, zvukovo-obrazovej alebo v inej všeobecne zrozumiteľnej forme, ak je umiestnená
na bežne dostupnom nosiči informácií.
(5)
Úrad môže namiesto dôkazu pripustiť čestné vyhlásenie fyzickej osoby. Čestné vyhlásenie
úrad nepripustí, ak tomu bráni všeobecný záujem alebo ak by tým bola porušená rovnosť
medzi účastníkmi konania. Čestným vyhlásením nemožno nahradiť znalecký posudok. V
čestnom vyhlásení je fyzická osoba povinná uviesť pravdivé údaje. Úrad musí upozorniť
fyzickú osobu na právne následky nepravdivého čestného vyhlásenia.
(6)
Úrad môže ustanoviť znalca alebo znalcov podľa osobitného predpisu,33a) ak je na odborné posúdenie skutočností dôležitých pre rozhodnutie vo veci potrebný
znalecký posudok a uložiť ustanovenému znalcovi, aby samostatne písomne vypracoval
znalecký posudok, alebo aby sa v znaleckom posudku vyjadril k otázkam, ktoré mu položil
úrad. Na tento účel úrad ustanovenému znalcovi sprístupní potrebné údaje zo spisu.
V súvislosti s vypracovaním znaleckého posudku môže úrad uložiť účastníkovi konania,
aby poskytol ustanovenému znalcovi všetky podstatné informácie, predložil alebo sprístupnil
všetky potrebné listiny, podklady alebo predmety, alebo umožnil prístup k technickému
a programovému vybaveniu informačného systému, podal mu potrebné vysvetlenia, alebo
aby niečo vykonal alebo znášal, ak je to potrebné na podanie znaleckého posudku.
(7)
Účastník konania je povinný navrhnúť na podporu svojich tvrdení dôkazy, ktoré sú
mu známe. Úrad rozhodne, ktoré z navrhnutých dôkazov sa vykonajú a vykoná aj iné dôkazy,
ktoré účastníci konania nenavrhli, ak sú potrebné na zistenie a objasnenie skutočného
stavu veci. Skutočnosti všeobecne známe alebo známe úradu z jeho činnosti netreba
dokazovať.
(8)
Úrad hodnotí dôkazy podľa svojej voľnej úvahy, a to každý dôkaz jednotlivo a všetky
dôkazy v ich vzájomnej súvislosti; pritom prihliada na všetko, čo v konaní vyšlo najavo.
(9)
Dôležité písomnosti, najmä opatrenia a rozhodnutia sa účastníkovi konania, adresátovi,
alebo osobe, ktorá sa preukáže jeho splnomocnením na preberanie zásielok, doručujú
poštou ako doporučená zásielka s doručenkou a poznámkou „do vlastných rúk". Písomnosti,
ktoré sú určené účastníkovi konania, ktorým nie je fyzická osoba, doručujú sa osobám
alebo členom oprávneným za tento subjekt prijímať písomnosti alebo tomu, kto je oprávnený
za tento subjekt konať. Písomnosti určené advokátovi možno doručovať tiež advokátskym
koncipientom a iným pracovníkom, ktorí sú u advokáta pracovne činní a sú advokátom
poverení na prijímanie zásielok.
(10)
Ak nebol adresát zásielky, ktorá sa má doručiť do vlastných rúk, zastihnutý, hoci
sa v mieste doručenia zdržiava, doručovateľ ho vhodným spôsobom upovedomí, že zásielku
príde znovu doručiť v určený deň a hodinu. Ak nový pokus o doručenie zostane bezvýsledný,
doručovateľ uloží zásielku na pošte a adresáta o tom vhodným spôsobom upovedomí. Ak
si adresát nevyzdvihne zásielku do troch dní od uloženia, posledný deň tejto lehoty
sa považuje za deň doručenia, aj keď sa adresát o uložení nedozvedel.
(11)
Ak si adresát vyhradí doručovanie zásielok do poštového priečinka, pošta adresátovi
oznámi príchod zásielky, možnosť prevzatia a odbernú lehotu na predpísanom tlačive,
ktoré vloží do poštového priečinka. Ak si adresát na základe dohody preberá zásielky
na pošte a nemá pridelený poštový priečinok, pošta tieto zásielky neoznamuje. V obidvoch
prípadoch sa dátum príchodu zásielky považuje za dátum uloženia. Ak si adresát nevyzdvihne
zásielku do troch dní od uloženia, posledný deň tejto lehoty sa považuje za deň doručenia,
aj keď sa adresát o uložení nedozvedel.
(12)
Účastník konania, ktorý sa zdržiava v cudzine alebo tam má sídlo alebo trvalý pobyt,
je povinný na doručovanie zásielok určiť si svojho zástupcu so sídlom alebo s trvalým
pobytom na území Slovenskej republiky a včas písomne úradu oznámiť jeho meno, priezvisko
a adresu.
(13)
Písomnosť je doručená ihneď, ako ju účastník konania prevezme alebo pošta doporučenú
zásielku vrátila ako nedoručiteľnú alebo ak doručenie zásielky bolo zmarené konaním
alebo opomenutím účastníka konania. Ak adresát bezdôvodne odoprel zásielku prijať,
písomnosť je doručená dňom, keď sa jej prijatie odoprelo; na to musí doručovateľ adresáta
upozorniť.
(14)
Ak je to potrebné, úrad určí na vykonanie úkonu v konaní lehotu, ak ju neustanovuje
tento zákon. Do lehoty sa nezapočítava deň, keď došlo ku skutočnosti určujúcej začiatok
lehoty. Lehoty určené podľa týždňov, mesiacov alebo rokov sa končia uplynutím toho
dňa, ktorý sa svojím označením zhoduje s dňom, keď došlo ku skutočnosti určujúcej
začiatok lehoty, a ak taký deň v mesiaci nie je, lehota sa končí posledným dňom mesiaca.
Ak koniec lehoty pripadne na sobotu, nedeľu alebo na deň pracovného pokoja, je posledným
dňom lehoty najbližší nasledujúci pracovný deň. Lehota je zachovaná, ak sa posledný
deň lehoty podanie podá na úrad alebo ak sa odovzdá na poštovú prepravu. V pochybnostiach
sa považuje lehota za zachovanú, ak sa nepreukáže opak.
(15)
Trovy, ktoré v konaní vznikli účastníkovi konania, znáša účastník konania. Trovy
konania, ktoré vznikli úradu, znáša úrad.
(16)
Konanie začaté z vlastnej iniciatívy úradu možno zastaviť, ak odpadol dôvod konania
alebo ak sa v priebehu konania preukázalo, že nie sú dostatočné dôvody na jeho pokračovanie,
alebo ak účastník konania zomrel.
§ 44b
V konaní o uložení sankcie za porušenie tohto zákona podľa § 49 alebo § 50 je účastníkom konania prevádzkovateľ alebo sprostredkovateľ, alebo fyzická osoba,
ktorej má byť podľa tohto zákona uložená pokuta; konanie o uložení sankcie za porušenie
tohto zákona začína úrad z vlastnej iniciatívy podľa všeobecného predpisu o správnom
konaní a len na účely uloženia pokuty. Rozhodnutie o uložení pokuty môže úrad vydať
bez ďalšieho dokazovania a zisťovania podkladov pre rozhodnutie,33b) ak na základe preukázaných kontrolných zistení alebo vykonaných dôkazov v priebehu
konania, ktoré odôvodňujú uplatnenie právnej zodpovednosti účastníka konania podľa
tohto zákona, má úrad dostatočne zistené a preukázané, že došlo k porušeniu ustanovení
tohto zákona, alebo na základe zisteného porušenia ustanovenia § 40 ods. 2 písm. a) alebo b) kontrolovanou osobou.
TRETIA HLAVA
OPATRENIA NA NÁPRAVU
§ 45
Prešetrenie oznámenia
(1)
Úrad pri výkone dozoru nad ochranou osobných údajov využíva aj oznámenia a podnety
právnických osôb a fyzických osôb (ďalej len „oznámenie") týkajúce sa podozrenia z
porušovania povinností alebo podmienok určených týmto zákonom. Oznámenie sa úradu
podáva písomne.
(2)
Oznámenie môže okrem dotknutej osoby podať úradu podľa § 20 ods. 6 aj fyzická osoba, ktorá tvrdí, že je priamo dotknutá vo svojich právach ustanovených
týmto zákonom (ďalej len „oznamovateľ").
(3)
Úrad oznámenie odloží, ak
a)
vec, ktorej sa oznámenie týka, nepatrí do jeho pôsobnosti,
b)
náležitosti uvedené v odseku 9 neboli na výzvu úradu doplnené alebo spresnené v určenej
lehote,
c)
oznamovateľ neposkytne úradu na jeho požiadanie potrebnú súčinnosť, pričom bez jeho
aktívnej účasti nemožno vec vybaviť,
d)
oznamovateľ trvá na utajení svojej totožnosti napriek tomu, že bez použitia jeho
osobných údajov alebo niektorých jeho údajov podľa odseku 9 písm. a) nemožno vec vybaviť,
e)
oznamovateľ podá opakované oznámenie po uplynutí lehoty podľa odseku 14.
(4)
Úrad môže oznámenie odložiť, ak zistí, že
a)
vec, ktorej sa oznámenie týka, prejednáva súd alebo orgán činný v trestnom konaní,
b)
od opatrenia alebo udalosti, ktorých sa oznámenie týka, uplynul v deň doručenia oznámenia
čas dlhší ako tri roky,
c)
oznámenie je zjavne neopodstatnené,
d)
neobsahuje meno, priezvisko, adresu trvalého pobytu a podpis oznamovateľa; takéto
oznámenie sa považuje za anonymné,
e)
ide o oznámenie vo veci, ktorú už úrad vybavil a opakované oznámenie neobsahuje nové
skutočnosti.
(5)
O odložení oznámenia a dôvodoch jeho odloženia úrad upovedomí toho, kto oznámenie
podal; to neplatí, ak ide o anonymné oznámenie. Odložené oznámenie sa považuje za
vybavené.
(6)
(7)
Úrad neodloží oznámenie, aj keď sa nesplnila podmienka podľa odseku 6 len vtedy,
ak oznamovateľ hodnoverne preukáže, že túto podmienku nesplnil z dôvodov hodných osobitného
zreteľa.
(8)
Šetrenie je začaté dňom doručenia písomného oznámenia úradu. Prijatie oznámenia potvrdí
úrad oznamovateľovi, ak oznámenie nebolo podané osobne.
(9)
Oznámenie musí obsahovať najmä
a)
meno, priezvisko, adresu trvalého pobytu a podpis oznamovateľa,
b)
označenie toho, proti komu oznámenie smeruje; názov alebo meno a priezvisko, sídlo
alebo trvalý pobyt, prípadne právnu formu a identifikačné číslo,
c)
predmet oznámenia s označením, ktoré práva sa podľa tvrdenia oznamovateľa pri spracúvaní
osobných údajov porušili,
d)
dôkazy na podporu tvrdení uvedených v oznámení,
e)
kópiu listiny preukazujúcej uplatnenie práva podľa § 20, ak sa takéto právo mohlo uplatniť alebo uvedenie dôvodov hodných osobitného zreteľa.
(10)
Ak oznámenie neobsahuje predpísané náležitosti podľa odseku 9, nie je zrozumiteľné,
alebo ak sú na jeho náležité vybavenie potrebné údaje, ktoré sa v oznámení neuvádzajú,
úrad vyzve oznamovateľa, aby v určenej lehote nie kratšej ako sedem dní odstránil
nedostatky. Súčasne upozorní oznamovateľa na dôsledky neodstránenia nedostatkov na
ďalší priebeh šetrenia. V čase, keď oznamovateľ mešká s plnením tejto povinnosti,
lehota podľa odseku 12 neplynie.
(11)
Ak oznámenie podľa odseku 9 neobsahuje požiadavku oznamovateľa na utajenie jeho totožnosti,
úrad vybavuje oznámenie bez utajenia osobných údajov uvedených v odseku 9 písm. a).
Ak v oznámení podľa odseku 9 oznamovateľ požiada úrad o utajenie svojej totožnosti,
ale charakter oznámenia neumožňuje jeho prešetrenie bez uvedenia niektorého údaja
alebo údajov o oznamovateľovi, úrad po zistení tejto skutočnosti o tom upovedomí oznamovateľa.
Zároveň oznamovateľa upozorní, že vo vybavovaní oznámenia sa bude pokračovať len v
prípade, ak v určenej lehote písomne udelí úradu súhlas s uvedením určitého potrebného
údaja alebo údajov o svojej osobe na použitie v rámci šetrenia.
(12)
Úrad prešetrí a vybaví písomné oznámenie oznamovateľa v lehote 60 dní odo dňa jeho
prijatia. Vrchný inšpektor môže túto lehotu v odôvodnených prípadoch primerane predĺžiť,
najviac však o šesť mesiacov. O predĺžení lehoty úrad písomne upovedomí oznamovateľa.
(13)
Úrad v lehote podľa odseku 12 písomne informuje oznamovateľa o výsledku prešetrenia
oznámenia, v ktorom uvedie práva oznamovateľa ustanovené týmto zákonom, ktoré boli
porušené. Ak úrad nezistí porušenie práv oznamovateľa, písomne ho informuje o tejto
skutočnosti bez zbytočného odkladu, najneskôr však v lehote podľa odseku 12. Oznámenie
sa považuje za vybavené doručením písomnej informácie o výsledku prešetrenia oznámenia
oznamovateľovi.
(14)
Oznámenie v tej istej veci možno opakovať v lehote 30 dní odo dňa doručenia výsledku
o prešetrení oznámenia; ak oznámenie neobsahuje nové skutočnosti, úrad postupuje podľa
odseku 4 písm. e). Ak úrad opakované oznámenie neodložil alebo ak zistil, že obsahuje
nové skutočnosti, vrchný inšpektor preskúma pôvodné oznámenie, či bolo správne vybavené;
o výsledku písomne informuje oznamovateľa, pričom postupuje obdobne podľa odseku 13.
Preskúmanie oznámenia vrchným inšpektorom je konečné.
(15)
V prípade, že v rovnakej veci, v akej už bolo vybavené oznámenie iného oznamovateľa,
podá oznámenie ďalší oznamovateľ bez uvedenia nových skutočností, jeho oznámenie netreba
znovu prešetrovať, ale treba ho upovedomiť bez zbytočného odkladu o výsledku vybavenia
pôvodného oznámenia, najneskôr však v lehote podľa odseku 12 prvej vety.
(16)
Podanie oznámenia nesmie byť oznamovateľovi na ujmu; to neplatí, ak sa obsahom svojho
oznámenia dopustí oznamovateľ trestného činu alebo priestupku.
(17)
Oznámenie podané inou právnickou osobou alebo fyzickou osobou ako oznamovateľom sa
vybavuje ako konanie začaté z vlastnej iniciatívy úradu, ak sa po preskúmaní oznámenia
preukáže, že je tu dôvod na začatie šetrenia. Na žiadosť právnickej osoby alebo fyzickej
osoby, ktorá oznámenie podala, úrad potvrdí prijatie oznámenia; výsledok šetrenia
jej úrad neoznamuje. Právnická osoba alebo fyzická osoba, ktorá oznámenie podala,
sa nepovažuje za účastníka konania.
§ 46
Opatrenie
(1)
Úrad
a)
pred začatím spracúvania osobných údajov alebo v priebehu spracúvania osobných údajov
v rozsahu nevyhnutne potrebnom na zabezpečenie účelu konania môže dočasným opatrením
uložiť prevádzkovateľovi alebo sprostredkovateľovi, aby niečo vykonal, niečoho sa
zdržal alebo niečo strpel; pri podozrení z porušenia povinnosti uloženej týmto zákonom
vyzve prevádzkovateľa alebo sprostredkovateľa na okamžité blokovanie osobných údajov
alebo na dočasné skončenie tej činnosti, ktorá by mohla plnenie takejto povinnosti
ohroziť,
b)
ak zistí, že prevádzkovateľ alebo sprostredkovateľ nesplnil alebo porušil niektorú
z povinností alebo niektoré povinnosti ustanovené týmto zákonom, pri plnení niektorej
z povinností alebo niektorých povinností obchádzal ustanovenia tohto zákona, nedodržal
alebo obchádzal podmienky ustanovené týmto zákonom, alebo spracúva alebo spracúval
osobné údaje v rozpore s týmto zákonom, je oprávnený uložiť prevádzkovateľovi alebo
sprostredkovateľovi, aby v určenej lehote vykonal opatrenia na odstránenie zistených
nedostatkov a príčin ich vzniku. Úrad je ďalej oprávnený prevádzkovateľovi alebo sprostredkovateľovi
1.
uložiť povinnosť zabezpečiť vypracovanie alebo doplnenie dokumentácie alebo bezpečnostného
projektu v súlade s týmto zákonom v určenej lehote,
2.
uložiť povinnosť prijať technické, organizačné a personálne opatrenia zodpovedajúce
spôsobu spracúvania v určenej lehote,
3.
zakázať spracúvať tie osobné údaje, ktorých spracúvanie je v rozpore s ustanoveniami
tohto zákona,
4.
zakázať spracúvanie, ktoré je v rozpore s ustanoveniami tohto zákona,
5.
nariadiť odstránenie alebo likvidáciu osobných údajov v určenej lehote, ak sú alebo
boli neoprávnene spracúvané a
6.
uložiť prevádzkovateľovi povinnosť zrušiť písomné poverenie alebo písomnú zmluvu
so sprostredkovateľom v určenej lehote.
(2)
Prevádzkovateľ a sprostredkovateľ bezodkladne vyhovejú požiadavkám úradu podľa odseku
1 a v určenej lehote informujú o ich splnení úrad.
(3)
Prevádzkovateľ a sprostredkovateľ sú oprávnení písomne podať námietky proti opatreniu
uloženému podľa odseku 1 písm. a) do troch dní odo dňa jeho doručenia. Námietky proti
takémuto opatreniu nemajú odkladný účinok.
(4)
Prevádzkovateľ a sprostredkovateľ sú oprávnení písomne podať námietky proti opatreniu
uloženému podľa odseku 1 písm. b) do siedmich dní odo dňa jeho doručenia. Námietky
proti takémuto opatreniu majú odkladný účinok.
(5)
O námietke prevádzkovateľa alebo sprostredkovateľa podanej podľa odseku 3 rozhodne
predseda úradu do 15 dní a o námietke podanej podľa odseku 4 rozhodne do 60 dní odo
dňa ich prijatia.
(6)
Rozhodnutie predsedu úradu o námietkach je konečné.
(7)
Písomné vyhotovenie výzvy na vykonanie opatrenia a písomné vyhotovenie rozhodnutia
o námietkach sa oznamuje doručením do vlastných rúk.
(8)
Opatrenie uložené podľa odseku 1 písm. a) môže úrad zrušiť; účinnosť stráca dňom
oznámenia opatrenia v predmetnej veci podľa odseku 1 písm. b).
§ 48
Zverejnenie porušenia zákona
(1)
Ak úrad zistí porušenie povinností ustanovených týmto zákonom alebo obchádzanie ustanovení
tohto zákona alebo osobitného zákona32), môže predseda úradu alebo vrchný inšpektor zverejniť obchodné meno alebo názov,
sídlo alebo trvalý pobyt, identifikačné číslo, ak ho má pridelené a právnu formu toho,
kto sa dopustil protiprávneho konania a
a)
výrok vykonateľného opatrenia a odôvodnenie opatrenia alebo ich časti podľa § 46 okrem osobných údajov, ak ich obsahujú,
b)
výrok vykonateľného rozhodnutia a odôvodnenie rozhodnutia alebo ich časti podľa § 49 alebo § 50 okrem osobných údajov, ak ich obsahujú, alebo
c)
charakteristiku skutkového stavu porušenia ochrany osobných údajov.
(2)
Predseda úradu alebo vrchný inšpektor môže uložiť prevádzkovateľovi alebo sprostredkovateľovi
povinnosť zverejniť skutočnosti v rozsahu podľa odseku 1 písm. c) v hromadných informačných
prostriedkoch.
(3)
Prevádzkovateľ je povinný splniť povinnosť uloženú predsedom úradu alebo vrchným
inšpektorom podľa odseku 2. Štatutárny orgán prevádzkovateľa je povinný zabezpečiť
zverejnenie oznamu v hromadných informačných prostriedkoch v rozsahu podľa odseku
1 písm. c) na vlastné náklady prevádzkovateľa; obsah, formu, hromadný informačný prostriedok
a najneskorší termín zverejnenia oznamu určí predseda úradu alebo vrchný inšpektor.
(4)
Povinnosť podľa odseku 3 sa vzťahuje aj na sprostredkovateľa.
ŠTVRTÁ HLAVA
SANKCIE ZA PORUŠENIE ZÁKONA
§ 49
Správne delikty
(1)
Úrad môže uložiť pokutu od 50 000 Sk do 10 000 000 Sk prevádzkovateľovi alebo sprostredkovateľovi,
ktorý
a)
nesplnil alebo porušil niektorú z povinností alebo niektoré povinnosti ustanovené
v § 5, 6, 7, 10, alebo pri plnení niektorej z povinností alebo niektorých povinností ustanovených
v § 5, 6, 7, 10 obchádzal ustanovenia tohto zákona, alebo spracúva alebo spracúval osobné údaje v
rozpore s § 5, 6, 7, 10,
b)
c)
neprijal primerané technické, organizačné a personálne opatrenia zodpovedajúce spôsobu
spracúvania alebo nepreukázal alebo nevedel preukázať úradu na jeho žiadosť uplatňovanie
opatrení v praxi podľa § 15 ods. 1, 3, alebo neprijal primerané technické, organizačné a personálne opatrenia zodpovedajúce
spôsobu spracúvania vo forme bezpečnostného projektu alebo nepredložil úradu na jeho
žiadosť bezpečnostný projekt, pričom bol povinný zabezpečiť jeho vypracovanie podľa
§ 15 ods. 2, 3, alebo predložil bezpečnostný projekt, ktorý neobsahoval náležitosti ustanovené týmto
zákonom podľa § 16, alebo nepredložil úradu na jeho žiadosť zdokumentované technické, organizačné a
personálne opatrenia zodpovedajúce spôsobu spracúvania alebo nezdokumentoval technické,
organizačné a personálne opatrenia v rozsahu ustanovenom týmto zákonom, pričom bol
povinný takúto dokumentáciu vypracovať podľa § 15 ods. 2 písm. b), alebo preukázateľne zanedbal uplatňovanie alebo neuplatňoval technické, organizačné
a personálne opatrenia zodpovedajúce spôsobu spracúvania v praxi uvedené v bezpečnostnom
projekte alebo v dokumentácii podľa § 15 ods. 2 písm. b).
(2)
Úrad môže uložiť pokutu od 50 000 Sk do 5 000 000 Sk prevádzkovateľovi alebo sprostredkovateľovi,
ktorý
a)
b)
na žiadosť úradu nezabezpečil vykonanie auditu bezpečnosti informačného systému alebo
zabezpečil vykonanie auditu bezpečnosti informačného systému v rozpore s týmto zákonom
alebo včas nepredložil hodnotiacu správu podľa § 15 ods. 4, 5, alebo predložil hodnotiacu správu, ktorá nekonkretizuje zistené nedostatky,
c)
včas nepoučil svoje oprávnené osoby alebo nevedel úradu hodnoverne preukázať, že
poučenie oprávnených osôb vykonal včas, alebo nepredložil na požiadanie úradu písomný
záznam o poučení oprávnených osôb podľa § 17, alebo
d)
vykonal prenos osobných údajov do tretích krajín v rozpore s § 23, alebo spracúva alebo spracúval osobné údaje v rozpore s niektorou z podmienok alebo
niektorými podmienkami ustanovenými v § 23, § 23a ods. 2, 3, alebo nesplnil niektorú z podmienok alebo niektoré podmienky ustanovené v § 23, § 23a ods. 2, 3.
(3)
Úrad môže uložiť pokutu od 30 000 Sk do 3 000 000 Sk prevádzkovateľovi, ktorý
a)
b)
nesplnil povinnosť registrácie informačného systému podľa tohto zákona, alebo nesplnil
niektorú z povinností alebo niektoré povinnosti súvisiace s registráciou informačného
systému podľa § 28,
c)
písomne nepoveril zodpovednú osobu výkonom dohľadu nad ochranou osobných údajov alebo
nevie hodnoverne preukázať jej písomné poverenie podľa § 19 ods. 2, alebo nezabezpečil odborné vyškolenie zodpovednej osoby v súlade s týmto zákonom
podľa § 19 ods. 3, alebo
d)
preukázateľne neumožnil, rušil, maril alebo inak sťažoval zodpovednej osobe plnenie
jej povinností ustanovených týmto zákonom, alebo nerešpektoval oprávnené písomné oznámenia
zodpovednej osoby podľa § 19 ods. 4, 7, 10.
(4)
Úrad môže uložiť pokutu od 10 000 Sk do 1 000 000 Sk prevádzkovateľovi, ktorý
a)
nesplnil oznamovaciu povinnosť o oprave alebo likvidácii osobných údajov podľa § 14,
b)
písomne poveril zodpovednou osobou fyzickú osobu, ktorá nespĺňa niektorú podmienku
alebo niektoré podmienky ustanovené v § 19 ods. 12, alebo nevie preukázať výpisom z registra trestov bezúhonnosť zodpovednej osoby,
alebo nesplnil alebo porušil niektorú z povinností alebo niektoré povinnosti ustanovené
v § 19 ods. 5, 6, alebo nesplnil povinnosť uloženú úradom podľa § 19 ods. 11,
c)
nesplnil oprávnené požiadavky dotknutej osoby alebo pri ich vybavovaní nepostupoval
v súlade s týmto zákonom, alebo neposkytol dotknutej osobe informácie v zákonom stanovenej
lehote, alebo neinformoval dotknutú osobu spôsobom, ktorý ustanovuje zákon podľa § 20, 21,
d)
nevykonal oznámenie o obmedzení práv dotknutej osoby podľa § 22, alebo
(5)
Úrad môže uložiť pokutu do 100 000 Sk tomu, kto
a)
poskytne osobné údaje v rozpore s § 7 ods. 5; to neplatí pre prevádzkovateľa a sprostredkovateľa,
b)
poskytne nepravdivé osobné údaje (§ 11),
c)
poruší povinnosť mlčanlivosti o osobných údajoch (§ 18), alebo
d)
ako zodpovedná osoba písomne neupozorní prevádzkovateľa (§ 19 ods. 4).
(6)
Pokutu podľa odsekov 1 až 4 a podľa § 50 môže úrad uložiť opakovane, ak povinnosť nebola splnená v určenej lehote.
(7)
Pri ukladaní pokút sa prihliadne najmä na závažnosť, čas trvania a následky protiprávneho
konania.
(8)
Pokutu podľa odsekov 1 až 5 možno uložiť do jedného roka odo dňa, keď úrad porušenie
povinnosti zistil, najneskôr však do troch rokov odo dňa, keď k porušeniu povinnosti
došlo.
(9)
Úrad môže v rozhodnutí o uložení pokuty súčasne povinnému uložiť, aby v určenej lehote
vykonal opatrenia na nápravu následkov protiprávneho konania.
(10)
Proti rozhodnutiu o uložení pokuty možno podať rozklad do 15 dní odo dňa jeho doručenia.
O rozklade rozhodne predseda úradu do 60 dní odo dňa jeho prijatia.
(11)
Výnosy z pokút sú príjmom štátneho rozpočtu.
§ 50
Poriadkové pokuty
(1)
Úrad môže uložiť prevádzkovateľovi alebo sprostredkovateľovi poriadkovú pokutu
a)
do 50 000 Sk, ak nezabezpečí primerané podmienky na výkon kontroly [§ 40 ods. 2 písm. a)],
b)
do 500 000 Sk, ak marí výkon kontroly [§ 40 ods. 2 písm. b)]; ak prevádzkovateľ alebo sprostredkovateľ preukáže, že marenie výkonu kontroly
zavinila oprávnená osoba, jeho zodpovednosť sa obmedzí a zodpovednou sa stáva aj oprávnená
osoba,
c)
do 1 000 000 Sk, ak oznam určený na zverejnenie predsedom úradu alebo vrchným inšpektorom
v hromadných informačných prostriedkoch nezverejnil vôbec, alebo nezverejnil včas,
alebo nezverejnil v určenej forme alebo v určenom hromadnom informačnom prostriedku,
alebo nedodržal určený obsah tohto oznamu podľa § 48 ods. 3, 4, a to opakovane až do splnenia povinnosti,
d)
do 2 000 000 Sk, ak neposkytol úradu súčinnosť podľa § 44 ods. 2, 3, 4, alebo nevyhovel požiadavkám úradu alebo úrad v určenej lehote včas neinformoval
podľa § 46 ods. 1, 2.
(2)
Poriadkovú pokutu možno uložiť do jedného roka odo dňa, keď k porušeniu povinnosti
došlo.
ŠTVRTÁ ČASŤ
SPOLOČNÉ, PRECHODNÉ A ZÁVEREČNÉ USTANOVENIA
§ 51
Spoločné ustanovenie
(1)
Na konanie podľa tohto zákona sa vzťahuje všeobecný predpis o správnom konaní,36) ak tento zákon neustanovuje inak.
(2)
Všeobecný predpis o správnom konaní sa nevzťahuje na
a)
b)
posudzovanie údajov o informačných systémoch prihlásených na registráciu (§ 27),
c)
poskytovanie informácií dotknutej osobe (§ 20 až 22),
d)
rozhodovanie o námietkach zaujatosti a o oznámení predpojatosti (§ 41),
e)
prešetrenie oznámenia (§ 45),
f)
na konanie o opatreniach (§ 46).
(3)
Úrad zverejňuje na svojej internetovej stránke správu o stave ochrany osobných údajov
po jej prerokovaní v Národnej rade Slovenskej republiky.
Prechodné ustanovenia
§ 52
(1)
Prevádzkovatelia už fungujúcich informačných systémov uvedú ich do súladu s týmto
zákonom do šiestich mesiacov odo dňa jeho účinnosti a ak to zákon vyžaduje, prihlásia
ich v tejto lehote na registráciu.
(2)
Prevádzkovatelia, ktorí spracúvajú osobné údaje na základe osobitného zákona, ktorý
neustanovuje náležitosti podľa § 7 ods. 3, 5, 6 alebo podľa § 9 ods. 1 písm. a), môžu osobné údaje spracúvať v rozsahu nevyhnutnom na dosiahnutie ustanoveného účelu
spracúvania bez súhlasu dotknutých osôb do 31. decembra 2005.
§ 53
(1)
Záväzky orgánu štátneho dozoru nad ochranou osobných údajov v informačných systémoch
vyplývajúce z doterajšieho predpisu prechádzajú dňom nadobudnutia účinnosti tohto
zákona na úrad.
(2)
Práva a povinnosti z pracovnoprávnych vzťahov splnomocnenca na ochranu osobných údajov
v informačných systémoch a zamestnancov Útvaru inšpekcie ochrany osobných údajov Úradu
vlády Slovenskej republiky prechádzajú dňom nadobudnutia účinnosti tohto zákona na
úrad v plnom rozsahu.
(3)
Majetok štátu v správe Úradu vlády Slovenskej republiky obstaraný na účely plnenia
úloh štátneho dozoru nad ochranou osobných údajov v informačných systémoch prechádza
dňom nadobudnutia účinnosti tohto zákona do správy úradu.
(4)
Úrad vlády Slovenskej republiky zabezpečuje materiálnu a technickú prevádzku úradu
do 31. decembra 2002.
(5)
Majetok štátu v správe Štatistického úradu Slovenskej republiky, obstaraný na účely
registrácie informačných systémov obsahujúcich osobné údaje, prechádza dňom nadobudnutia
účinnosti tohto zákona do správy úradu.
(6)
Záväzky vyplývajúce pre splnomocnenca na ochranu osobných údajov v informačných systémoch
z medzištátnych dohôd v oblasti ochrany osobných údajov prechádzajú dňom nadobudnutia
účinnosti tohto zákona na úrad.
§ 54
(1)
Splnomocnenec na ochranu osobných údajov v informačných systémoch vymenovaný do funkcie
podľa doterajšieho predpisu stáva sa dňom účinnosti tohto zákona predsedom úradu a
ostáva v tejto funkcii do konca funkčného obdobia, na ktoré bol ako splnomocnenec
na ochranu osobných údajov v informačných systémoch vymenovaný.
(2)
Predseda úradu v lehote dvoch mesiacov odo dňa účinnosti tohto zákona rozhodne o
tom, či informačný systém prihlásený na registráciu podľa doterajších predpisov možno
považovať za zaregistrovaný podľa tohto zákona. Ak predseda úradu rozhodne, že takýto
informačný systém nepodlieha registrácii, oznámi to úrad v tej istej lehote prevádzkovateľovi.
(3)
Konania začaté pred dňom nadobudnutia účinnosti tohto zákona sa dokončia podľa doterajších
predpisov.
§ 55
Prechodné ustanovenia k úpravám účinným od 1. mája 2005
(1)
Úrad na ochranu osobných údajov podľa doterajších predpisov je Úradom na ochranu
osobných údajov Slovenskej republiky podľa tohto zákona. Ak sa v iných právnych predpisoch
používa pojem „Úrad na ochranu osobných údajov" vo všetkých gramatických tvaroch,
rozumie sa tým „Úrad na ochranu osobných údajov Slovenskej republiky" v príslušnom
gramatickom tvare.
(2)
Písomné poverenie zodpovednej osoby vydané podľa doterajších predpisov sa považuje
za písomné poverenie podľa tohto zákona, ak zodpovedná osoba spĺňa podmienky ustanovené
v § 19 ods. 12, prevádzkovateľ oznámi úradu najneskôr do 30. júna 2005 údaje podľa § 19 ods. 5 a doloží potvrdenie alebo vyhlásenie o tom, že zodpovedná osoba bola odborne vyškolená.
(3)
Zodpovedná osoba, ktorá bola písomne poverená dohľadom nad ochranou osobných údajov
podľa doterajších predpisov a nespĺňa podmienky ustanovené v § 19 ods. 12, musí byť odvolaná z funkcie zodpovednej osoby najneskôr do 30. júna 2005 a prevádzkovateľ
je povinný písomne poveriť výkonom dohľadu inú zodpovednú osobu. Týmto nie je dotknuté
ustanovenie § 19 ods. 5.
(4)
Prevádzkovatelia už fungujúcich informačných systémov, na ktoré sa podľa doterajších
predpisov nevzťahovala osobitná registrácia podľa § 27, sú povinní prihlásiť ich na osobitnú registráciu najneskôr do 30. júna 2005, inak
právo na spracúvanie osobných údajov v týchto informačných systémoch zanikne uplynutím
tejto lehoty.
(5)
Predseda úradu do 31. decembra 2005 rozhodne o tom, či informačný systém prihlásený
na registráciu a zaregistrovaný podľa doterajších predpisov možno považovať za zaregistrovaný
podľa tohto zákona. Ak predseda úradu rozhodne, že takýto informačný systém nepodlieha
registrácii podľa tohto zákona, úrad registráciu informačného systému zruší a v tej
istej lehote zverejní na svojej internetovej stránke registračné čísla tých informačných
systémov, ktorých registrácia bola zrušená.
(6)
Konania začaté a právoplatne neukončené pred nadobudnutím účinnosti tohto zákona
sa dokončia podľa doterajších predpisov. Právne účinky úkonov, ktoré v konaní nastali
pred nadobudnutím účinnosti tohto zákona, zostávajú zachované.
(7)
Na lehoty, ktoré v deň nadobudnutia účinnosti tohto zákona ešte neuplynuli, sa vzťahujú
ustanovenia doterajších predpisov.
(8)
Prevádzkovatelia už fungujúcich informačných systémov sú povinní ich uviesť do súladu
s týmto zákonom do 31. októbra 2005. Týmto nie sú dotknuté odseky 2 až 4.
Záverečné ustanovenia
§ 56
Prechod práv
Ak sa v právnych predpisoch uvádza označenie splnomocnenec na ochranu osobných údajov,
rozumie sa tým predseda úradu podľa tohto zákona.
§ 56a
Týmto zákonom sa preberá právny akt Európskych spoločenstiev a Európskej únie uvedený
v prílohe.
§ 57
Zrušovacie ustanovenie
Zrušujú sa:
1.
zákon č. 52/1998 Z. z. o ochrane osobných údajov v informačných systémoch v znení zákona č. 241/2001 Z.
z.,
2.
vyhláška Štatistického úradu Slovenskej republiky č. 155/1998 Z. z., ktorou sa ustanovujú podrobnosti o spôsobe, forme a postupe pri registrácii informačného
systému obsahujúceho osobné údaje.
§ 58
Účinnosť
Tento zákon nadobúda účinnosť 1. septembra 2002 s výnimkou § 35 ods. 2, ktorý nadobúda účinnosť 1. decembra 2003.
Rudolf Schuster v. r.
Jozef Migaš v. r.
Mikuláš Dzurinda v. r.
Jozef Migaš v. r.
Mikuláš Dzurinda v. r.
Príloha k zákonu č. 428/2002 Z. z.
ZOZNAM PREBERANÝCH PRÁVNYCH AKTOV EURÓPSKYCH SPOLOČENSTIEV A EURÓPSKEJ ÚNIE
Smernica Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane jednotlivcov pri spracúvaní osobných údajov a voľnom
pohybe týchto údajov (Ú.v. ES, L 281, 23. 11. 1995) v znení nariadenia Európskeho
parlamentu a Rady (ES) č. 1882/2003 z 29. septembra 2003 (Ú.v. EÚ L 284, 31. 10. 2003).
1)
Napríklad § 40 ods. 2 písm. d) zákona č. 153/2001 Z. z. o prokuratúre, zákon č. 311/1999 Z. z. o registri trestov v znení neskorších predpisov.
2)
§ 13 zákona č. 383/1997 Z. z. Autorský zákon a zákon, ktorým sa mení a dopĺňa Colný zákon v znení neskorších predpisov.
3)
Napríklad § 27 až 34 Obchodného zákonníka, § 8 a 68 zákona Národnej rady Slovenskej republiky č. 162/1995 Z. z. o katastri nehnuteľností a o zápise vlastníckych a iných práv k nehnuteľnostiam (katastrálny
zákon) v znení zákona č. 255/2001 Z. z., § 26 ods. 2 písm. e) zákona č. 195/2000 Z. z. o telekomunikáciách.
4)
Napríklad § 38 až 41 zákona Národnej rady Slovenskej republiky č. 387/1996 Z. z. o zamestnanosti, § 11a ods. 2 zákona Slovenskej národnej rady č. 542/1990 Zb. o štátnej správe v školstve a školskej samospráve v znení zákona č. 416/2001 Z. z.
11)
Zákon Národnej rady Slovenskej republiky č. 301/1995 Z. z. o rodnom čísle.
12)
Napríklad § 40 ods. 2 písm. d) zákona č. 153/2001 Z. z., § 52 zákona Slovenskej národnej rady č. 372/1990 Zb. o priestupkoch v znení neskorších predpisov, zákon Národnej rady Slovenskej republiky
č. 171/1993 Z. z. v znení neskorších predpisov.
13)
Napríklad § 2 zákona Národnej rady Slovenskej republiky č. 199/1994 Z. z. o psychologickej činnosti a Slovenskej komore psychológov, zákon Slovenskej národnej
rady č. 542/1990 Zb. v znení neskorších predpisov.
13a)
Zákon č. 461/2003 Z. z. o sociálnom poistení v znení neskorších predpisov, zákon č. 328/2002 Z. z. o sociálnom zabezpečení policajtov a vojakov a o zmene a doplnení niektorých zákonov
v znení neskorších predpisov, zákon č. 195/1998 Z. z. o sociálnej pomoci v znení neskorších predpisov, zákon č. 599/2003 Z. z. o pomoci v hmotnej núdzi a o zmene a doplnení niektorých zákonov v znení neskorších
predpisov, zákon č. 5/2004 Z. z. o službách zamestnanosti a o zmene a doplnení niektorých zákonov v znení neskorších
predpisov.
14)
Zákon Národnej rady Slovenskej republiky č. 162/1993 Z. z. o občianskych preukazoch v znení neskorších predpisov.
15)
Zákon č. 381/1997 Z. z. o cestovných dokladoch.
16)
Napríklad § 8 zákona Národnej rady Slovenskej republiky č. 46/1993 Z. z., § 8 zákona Národnej rady Slovenskej republiky č. 198/1994 Z. z., § 14 ods. 1 písm. a) zákona Národnej rady Slovenskej republiky č. 171/1993 Z. z. v znení neskorších predpisov, § 9 zákona č. 124/1992 Zb.
17)
Napríklad § 15 ods. 3 zákona č. 200/1998 Z. z. o štátnej službe colníkov a o zmene a doplnení niektorých ďalších zákonov.
18)
Napríklad § 31 a 32 zákona č. 563/1991 Zb. o účtovníctve v znení zákona č. 336/1999 Z. z.
19)
§ 2 ods. 1 zákona Slovenskej národnej rady č. 149/1975 Zb. o archívnictve v znení zákona č. 571/1991 Zb.
20)
21)
Napríklad § 101 až 110 Občianskeho zákonníka.
21a)
Zákon č. 215/2004 Z. z. o ochrane utajovaných skutočností a o zmene a doplnení niektorých zákonov.
22)
Napríklad § 40 zákona Národnej rady Slovenskej republiky č. 566/1992 Zb. o Národnej banke Slovenska v znení zákona č. 149/2001 Z. z.
23)
Napríklad § 6 ods. 1 zákona č. 150/2001 Z. z. o daňových orgánoch a ktorým sa mení a dopĺňa zákon č. 440/2000 Z. z. o správach finančnej kontroly, § 14 zákona č. 330/2000 Z. z. o burze cenných papierov, § 134 zákona č. 566/2001 Z. z. o cenných papieroch a investičných službách a o zmene a doplnení niektorých zákonov
(zákon o cenných papieroch), § 91 až 93 zákona č. 483/2001 Z. z. o bankách a o zmene a doplnení niektorých zákonov, § 24 zákona Slovenskej národnej
rady č. 24/1991 Zb. o poisťovníctve v znení neskorších predpisov, § 81 písm. e) a § 240 ods. 5 zákona č. 311/2001 Z. z. Zákonník práce, § 53 ods. 1 písm. e) zákona č. 312/2001 Z. z. o štátnej službe a o zmene a doplnení niektorých zákonov, § 9 ods. 2 písm. b) zákona č. 313/2001 Z. z. o verejnej službe, § 8 zákona č. 367/2000 Z. z., § 80 zákona Národnej rady Slovenskej republiky č. 171/1993 Z. z. v znení neskorších predpisov, § 15 ods. 2 a 3 zákona Národnej rady Slovenskej republiky č. 38/1993 Z. z. o organizácii Ústavného súdu Slovenskej republiky o konaní pred ním a o postavení
jeho sudcov.
24)
Napríklad Dohovor o ochrane jednotlivcov pri automatizovanom spracovaní osobných
údajov (oznámenie č. 49/2001 Z. z.).
26)
Napríklad zákon Národnej rady Slovenskej republiky č. 162/1995 Z. z. v znení neskorších predpisov.
27)
§ 60 zákona Národnej rady Slovenskej republiky č. 350/1996 Z. z. o rokovacom poriadku Národnej rady Slovenskej republiky.
28)
§ 21 ods. 1 a ods. 4 písm. a) zákona Národnej rady Slovenskej republiky č. 303/1995 Z. z. o rozpočtových pravidlách v znení neskorších predpisov.
29)
Zákon č. 312/2001 Z. z.
30)
§ 31 ods. 1 písm. h) zákona č. 241/2001 Z. z.
32)
Napríklad § 178 a 257a Trestného zákona.
33)
Zákon Národnej rady Slovenskej republiky č. 10/1996 Z. z. o kontrole v štátnej správe.
33a)
Zákon č. 382/2004 Z. z. o znalcoch, tlmočníkoch a prekladateľoch a o zmene a doplnení niektorých zákonov.
33b)
§ 32 až 40 zákona č. 71/1967 Zb. o správnom konaní (správny poriadok) v znení zákona č. 527/2003 Z. z.
36)
Zákon č. 71/1967 Zb. o správnom konaní (správny poriadok).