90/2005 Z. z.
Vyhlásené znenie
Obsah zobrazeného právneho predpisu má informatívny charakter.
Otvoriť všetky
| Číslo predpisu: | 90/2005 Z. z. |
| Názov: | Zákon, ktorým sa mení a dopĺňa zákon č. 428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov |
| Typ: | Zákon |
| Dátum schválenia: | 03.02.2005 |
| Dátum vyhlásenia: | 12.03.2005 |
| Autor: | Národná rada Slovenskej republiky |
| Nachádza sa v čiastke: |
| 428/2002 Z. z. | Zákon o ochrane osobných údajov |
90
ZÁKON
z 3. februára 2005,
ktorým sa mení a dopĺňa zákon č. 428/2002 Z. z. o ochrane osobných údajov v znení
neskorších predpisov
Národná rada Slovenskej republiky sa uzniesla na tomto zákone:
Čl. I
Zákon č. 428/2002 Z. z. o ochrane osobných údajov v znení zákona č. 602/2003 Z. z.
a zákona č. 576/2004 Z. z. sa mení a dopĺňa takto:
1.
V § 1 ods. 1 písm. g) a § 33 ods. 1 sa za slová „osobných údajov“ vkladajú slová
„Slovenskej republiky“.
2.
§ 1 sa dopĺňa odsekmi 3 a 4, ktoré znejú:
„(3)
Tento zákon sa vzťahuje aj na prevádzkovateľov, ktorí nemajú sídlo alebo trvalý pobyt
na území
a)
Slovenskej republiky, ale sú umiestnení v zahraničí na mieste, kde sa uplatňuje právny
poriadok Slovenskej republiky prednostne na základe medzinárodného práva verejného,
b)
členského štátu Európskej únie, ak na účely spracúvania osobných údajov využívajú
úplne alebo čiastočne automatizované alebo iné ako automatizované prostriedky spracúvania
umiestnené na území Slovenskej republiky, pričom tieto prostriedky spracúvania nie
sú využívané výlučne len na prenos osobných údajov cez územie členských štátov Európskej
únie; v takomto prípade prevádzkovateľ postupuje podľa § 23a ods. 3.
(4)
Tento zákon sa vzťahuje na osobné údaje systematicky spracúvané úplne alebo čiastočne
automatizovanými prostriedkami spracúvania alebo inými ako automatizovanými prostriedkami
spracúvania, ktoré sú súčasťou informačného systému alebo sú určené na spracúvanie
v informačnom systéme.“.
3.
§ 2 znie:
㤠2
(1)
Ustanovenia § 5 ods. 4, § 6 ods. 1 až 4, § 10 ods. 1, 2 a 8, § 20 ods. 1, § 27 a
32 sa nevzťahujú na spracúvanie osobných údajov nevyhnutných na zabezpečenie verejného
záujmu, ak prevádzkovateľ plní povinnosti výslovne ustanovené osobitným zákonom určené
na zaistenie
a)
bezpečnosti Slovenskej republiky,
b)
obrany Slovenskej republiky,
c)
verejného poriadku a bezpečnosti,
d)
predchádzania, zamedzovania, odhaľovania a dokumentovania trestnej činnosti, zisťovania
jej páchateľov, vyšetrovania a stíhania trestných činov,
e)
významného ekonomického alebo finančného záujmu Slovenskej republiky alebo Európskej
únie vrátane menových, rozpočtových a daňových záležitostí,
f)
výkonu kontroly, dohľadu, dozoru alebo uplatňovania regulácie v súvislosti s výkonom
verejnej moci vo veciach uvedených v písmenách c), d) a e), alebo
g)
ochrany dotknutej osoby alebo práv a slobôd iných osôb.
(2)
Prevádzkovateľom registra o osobách právoplatne odsúdených súdmi v trestnom konaní,
ako aj o osobách, proti ktorým bolo prokurátormi alebo súdmi právoplatne rozhodnuté
o podmienečnom zastavení trestného stíhania alebo o schválení zmieru, môže byť len
štátny orgán ustanovený osobitným zákonom.1)“.
Poznámka pod čiarou k odkazu 1 znie:
„1)
Napríklad § 40 ods. 2 písm. d) zákona č. 153/2001 Z. z. o prokuratúre, zákon č. 311/1999
Z. z. o registri trestov v znení neskorších predpisov.“.
4.
Za § 2 sa vkladá § 2a, ktorý znie:
㤠2a
Tento zákon sa nevzťahuje na ochranu osobných údajov, ktoré
a)
spracúva fyzická osoba pre vlastnú potrebu v rámci výlučne osobných alebo domácich
činností, ako je vedenie osobného adresára alebo korešpondencia,
b)
boli získané náhodne bez predchádzajúceho určenia účelu a prostriedkov spracúvania,
bez zámeru ich ďalšieho spracúvania v usporiadanom systéme podľa osobitných kritérií
a nie sú ďalej systematicky spracúvané.“.
5.
V § 4 ods. 1 písmená b) a c) znejú:
„b)
poskytovaním osobných údajov odovzdávanie osobných údajov na spracúvanie inému prevádzkovateľovi
alebo inému zástupcovi prevádzkovateľa, alebo jeho sprostredkovateľovi,
c)
sprístupňovaním osobných údajov oznámenie osobných údajov alebo umožnenie prístupu
k nim inej právnickej osobe alebo fyzickej osobe s výnimkou dotknutej osoby alebo
oprávnenej osoby, ktorá ich nebude spracúvať ako prevádzkovateľ, zástupca prevádzkovateľa
alebo sprostredkovateľ,“.
6.
V § 4 ods. 1 písmeno g) znie:
„g)
informačným systémom akýkoľvek usporiadaný súbor, sústava alebo databáza obsahujúca
jeden alebo viac osobných údajov, ktoré sú systematicky spracúvané na potreby dosiahnutia
účelu podľa osobitných kritérií a podmienok s použitím automatizovaných, čiastočne
automatizovaných alebo iných ako automatizovaných prostriedkov spracúvania bez ohľadu
na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom
alebo geografickom základe, napríklad kartotéka, zoznam, register, operát, záznam
alebo sústava obsahujúca spisy, doklady, zmluvy, potvrdenia, posudky, hodnotenia,
testy,“.
7.
V § 4 ods. 1 písm. i) sa za slovo „osoba“ vkladajú slová „na základe poskytnutých
informácií vedome“.
8.
V § 4 sa odsek 1 dopĺňa písmenami p) až s), ktoré znejú:
„p)
treťou krajinou štát, ktorý nie je členským štátom Európskej únie,
r)
verejným záujmom dôležitý záujem štátu realizovaný pri výkone verejnej moci, ktorý
prevažuje nad oprávneným záujmom fyzickej osoby alebo viacerých fyzických osôb, prináša
majetkový prospech alebo iný prospech ostatným fyzickým osobám alebo mnohým z nich
a bez jeho realizácie by mohli vzniknúť rozsiahle alebo nenahraditeľné škody,
s)
podmienkami spracúvania osobných údajov prostriedky a spôsob spracúvania osobných
údajov, ako aj ďalšie požiadavky, kritériá alebo pokyny súvisiace so spracúvaním osobných
údajov alebo vykonanie úkonov, ktoré slúžia na dosiahnutie účelu spracúvania či už
pred začatím spracúvania osobných údajov, alebo v priebehu ich spracúvania.“.
9.
V § 4 odseky 2 až 4 znejú:
„(2)
Prevádzkovateľom je orgán štátnej správy, orgán územnej samosprávy, iný orgán verejnej
moci alebo iná právnická osoba alebo fyzická osoba, ktorá sama alebo spoločne s inými
určuje účel a prostriedky spracúvania osobných údajov. Ak účel, prípadne aj prostriedky
spracúvania osobných údajov ustanovuje osobitný zákon, prevádzkovateľom je ten, koho
na plnenie účelu spracúvania ustanoví zákon alebo kto splní zákonom ustanovené podmienky.
To platí aj vtedy, ak tak ustanovuje právny akt Európskych spoločenstiev a Európskej
únie.
(3)
Sprostredkovateľom je orgán štátnej správy, orgán územnej samosprávy, iný orgán verejnej
moci alebo iná právnická osoba alebo fyzická osoba, ktorá spracúva osobné údaje v
mene prevádzkovateľa alebo zástupcu prevádzkovateľa.
(4)
Oprávnenou osobou je každá fyzická osoba, ktorá prichádza do styku s osobnými údajmi
v rámci svojho pracovnoprávneho vzťahu, štátnozamestnaneckého pomeru, služobného pomeru,
členského vzťahu, na základe poverenia, zvolenia alebo vymenovania alebo v rámci výkonu
verejnej funkcie, ktorá môže osobné údaje spracúvať len na základe pokynu prevádzkovateľa,
zástupcu prevádzkovateľa alebo sprostredkovateľa, ak tento zákon alebo osobitný zákon
neustanovuje inak.“.
10.
V § 4 odsek 6 znie:
„(6)
Zástupcom prevádzkovateľa je právnická osoba alebo fyzická osoba, ktorá na území
Slovenskej republiky zastupuje prevádzkovateľa so sídlom alebo s trvalým pobytom v
tretej krajine.“.
11.
§ 4 sa dopĺňa odsekmi 7 a 8, ktoré znejú:
„(7)
Treťou stranou je orgán štátnej správy, orgán územnej samosprávy, iný orgán verejnej
moci alebo iná právnická osoba alebo fyzická osoba iná ako dotknutá osoba, vlastný
prevádzkovateľ alebo zástupca prevádzkovateľa, jeho sprostredkovateľ a ich oprávnené
osoby.
(8)
Príjemcom je orgán štátnej správy, orgán územnej samosprávy, iný orgán verejnej moci
alebo iná právnická osoba alebo fyzická osoba, ktorej sú osobné údaje poskytnuté alebo
sprístupnené; prevádzkovateľ, ktorý je oprávnený spracúvať osobné údaje na základe
§ 2 ods. 1 písm. f) a úrad pri plnení úloh ustanovených týmto zákonom, sa nepovažuje
za príjemcu.“.
12.
V § 5 ods. 2 sa na konci pripája táto veta: „Sprostredkovateľ je oprávnený spracúvať
osobné údaje len v rozsahu a za podmienok dojednaných s prevádzkovateľom alebo so
súhlasom prevádzkovateľa aj so sprostredkovateľom v písomnej zmluve, alebo v písomnom
poverení.“.
13.
V § 5 odsek 5 znie:
„(5)
Zástupca prevádzkovateľa je povinný konať v rozsahu práv a povinností ustanovených
týmto zákonom prevádzkovateľovi. Ustanovenia tohto zákona, podľa ktorých ukladá úrad
prevádzkovateľovi, aby niečo vykonal, niečoho sa zdržal alebo niečo strpel, sa rovnako
vzťahujú aj na zástupcu prevádzkovateľa.“.
14.
Nadpis pod § 6 znie:
„Základné povinnosti prevádzkovateľa“.
15.
V § 6 odseky 1 až 4 znejú:
„(1)
Prevádzkovateľ je povinný
a)
pred začatím spracúvania osobných údajov jednoznačne a konkrétne vymedziť účel spracúvania
osobných údajov; účel spracúvania musí byť jasný a nesmie byť v rozpore s Ústavou
Slovenskej republiky, ústavnými zákonmi, zákonmi a medzinárodnými zmluvami, ktorými
je Slovenská republika viazaná,
b)
určiť prostriedky a spôsob spracúvania osobných údajov, prípadne ďalšie podmienky
spracúvania osobných údajov,
c)
získavať osobné údaje výlučne na vymedzený alebo ustanovený účel; je neprípustné
získavať osobné údaje pod zámienkou iného účelu alebo inej činnosti,
d)
zabezpečiť, aby sa spracúvali len také osobné údaje, ktoré svojím rozsahom a obsahom
zodpovedajú účelu ich spracúvania a sú nevyhnutné na jeho dosiahnutie,
e)
získavať osobné údaje na rozdielne účely osobitne a zabezpečiť, aby sa osobné údaje
spracúvali a využívali výlučne spôsobom, ktorý zodpovedá účelu, na ktorý boli zhromaždené;
je neprípustné združovať osobné údaje, ktoré boli získané na rozdielne účely,
f)
spracúvať len správne, úplné a podľa potreby aktualizované osobné údaje vo vzťahu
k účelu spracúvania; nesprávne a neúplné osobné údaje je prevádzkovateľ povinný blokovať
a bez zbytočného odkladu opraviť alebo doplniť; nesprávne a neúplné osobné údaje,
ktoré nemožno opraviť alebo doplniť tak, aby boli správne a úplné, prevádzkovateľ
zreteľne označí a zlikviduje ihneď, ako to okolnosti dovolia,
g)
zabezpečiť, aby zhromaždené osobné údaje boli spracúvané vo forme umožňujúcej identifikáciu
dotknutých osôb počas doby nie dlhšej, ako je nevyhnutné na dosiahnutie účelu spracúvania,
h)
zlikvidovať tie osobné údaje, ktorých účel spracúvania sa skončil; po skončení účelu
spracúvania možno osobné údaje ďalej spracúvať len za podmienok ustanovených v odseku
3,
i)
spracúvať osobné údaje v súlade s dobrými mravmi a konať spôsobom, ktorý neodporuje
tomuto zákonu ani iným všeobecne záväzným právnym predpisom a ani ich neobchádza;
súhlas dotknutej osoby si nesmie prevádzkovateľ vynucovať a ani podmieňovať hrozbou
odmietnutia zmluvného vzťahu, služby, tovaru alebo povinnosti ustanovenej prevádzkovateľovi
alebo sprostredkovateľovi zákonom.
(2)
Prevádzkovateľ nemá povinnosť podľa odseku 1 písm. a) len vtedy, ak účel spracúvania
osobných údajov ustanovuje osobitný zákon v súlade s podmienkami uvedenými v odseku
1 písm. a). Prevádzkovateľ nemá povinnosť určiť prostriedky a spôsob spracúvania osobných
údajov podľa odseku 1 písm. b) len vtedy, ak ich ustanovuje všeobecne záväzný právny
predpis. Ostatné povinnosti podľa odseku 1 písm. c) až h) a písm. i) časti vety pred
bodkočiarkou, je prevádzkovateľ povinný dodržiavať aj počas spracúvania osobných údajov
na základe osobitného zákona; týmto nie je dotknuté ustanovenie § 7 ods. 6 prvej vety
vrátane jej časti za bodkočiarkou.
(3)
Ďalšie spracúvanie zhromaždených osobných údajov na historické, vedecké alebo štatistické
účely sa nepovažuje za nezlučiteľné s pôvodným účelom spracúvania vymedzeným v súlade
s odsekom 1 písm. a) alebo ustanoveným podľa odseku 2 prvej vety. Po skončení pôvodného
účelu spracúvania je prípustné zhromaždené osobné údaje ďalej spracúvať v nevyhnutnom
rozsahu na historické, vedecké alebo štatistické účely len vtedy, ak prevádzkovateľ
a)
zaručí, že spracúvané osobné údaje nepoužije v rozpore s oprávnenými záujmami dotknutej
osoby a svojím konaním nebude neoprávnene zasahovať do práva na ochranu jej osobnosti
a súkromia,
b)
takéto osobné údaje náležite označí a anonymizuje ihneď, ako to bude možné alebo
zlikviduje, keď sa stanú nepotrebnými.
(4)
Prevádzkovateľ, ktorý poveril spracúvaním osobných údajov sprostredkovateľa, je povinný
zabezpečiť, aby sprostredkovateľ dodržiaval povinnosti ustanovené v odseku 1 písm.
c) až i) a odseku 3.“.
16.
V § 7 odseky 1 až 6 znejú:
„(1)
Osobné údaje možno spracúvať len so súhlasom dotknutej osoby, ak tento zákon neustanovuje
inak. Týmto nie sú dotknuté ustanovenia odseku 5 prvej vety, § 8 ods. 4 písm. b),
§ 9 ods. 1, § 9 ods. 1 písm. b) a c), § 10 ods. 6, § 23 ods. 4 písm. a) a § 23 ods.
5.
(2)
Ak prevádzkovateľ spracúva osobné údaje na základe súhlasu dotknutej osoby, je povinný
v prípade pochybností preukázať úradu kedykoľvek na jeho žiadosť, že súhlasom disponuje.
Súhlas sa preukazuje zvukovým alebo zvukovo-obrazovým záznamom alebo čestným vyhlásením
toho, kto poskytol osobné údaje do informačného systému, prípadne iným hodnoverným
spôsobom. Písomný súhlas preukazuje prevádzkovateľ úradu dokladom, ktorý potvrdzuje
poskytnutie súhlasu. Dôkaz o súhlase obsahuje najmä údaj o tom, kto súhlas poskytol,
komu sa tento súhlas dáva, na aký účel, zoznam alebo rozsah osobných údajov, dobu
platnosti súhlasu a podmienky jeho odvolania. Súhlas daný v písomnej forme je bez
vlastnoručného podpisu toho, kto súhlas dáva, neplatný.
(3)
Súhlas podľa odseku 1 sa nevyžaduje, ak sa osobné údaje spracúvajú na základe osobitného
zákona,4) ktorý ustanovuje zoznam osobných údajov, účel ich spracúvania a okruh dotknutých
osôb. Spracúvané osobné údaje o dotknutej osobe možno z informačného systému poskytnúť,
sprístupniť alebo zverejniť len vtedy, ak osobitný zákon ustanovuje účel poskytovania,
sprístupňovania alebo zverejňovania, zoznam osobných údajov, ktoré možno poskytnúť,
sprístupniť alebo zverejniť, ako aj tretie strany, ktorým sa osobné údaje poskytujú,
prípadne okruh príjemcov, ktorým sa osobné údaje sprístupňujú, ak tento zákon neustanovuje
inak. Týmto nie je dotknuté ustanovenie § 9 ods. 1 písm. a).
(4)
Ďalej bez súhlasu uvedeného v odseku 1 možno osobné údaje spracúvať len vtedy, ak
a)
spracúvanie osobných údajov je nevyhnutné na účely tvorby umeleckých alebo literárnych
diel, pre potreby informovania verejnosti masovokomunikačnými prostriedkami a ak osobné
údaje spracúva prevádzkovateľ, ktorému to vyplýva z predmetu jeho činnosti; to neplatí,
ak spracúvaním osobných údajov na takýto účel prevádzkovateľ porušuje právo dotknutej
osoby na ochranu jej osobnosti a súkromia alebo takéto spracúvanie osobných údajov
bez súhlasu dotknutej osoby vylučuje osobitný zákon alebo medzinárodná zmluva, ktorou
je Slovenská republika viazaná,
b)
spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy, v ktorej vystupuje dotknutá
osoba ako jedna zo zmluvných strán alebo na zavedenie predzmluvných vzťahov alebo
opatrení na žiadosť dotknutej osoby,
c)
spracúvanie osobných údajov je nevyhnutné na ochranu života, zdravia alebo majetku
dotknutej osoby alebo inej fyzickej osoby, ktorá nemá spôsobilosť na právne úkony
alebo je fyzicky nespôsobilá na vydanie súhlasu, a ak nemožno získať súhlas jej zákonného
zástupcu,
d)
predmetom spracúvania sú výlučne titul, meno, priezvisko a adresa dotknutej osoby
bez možnosti priradiť k nim ďalšie jej osobné údaje a ich využitie je určené výhradne
pre potreby prevádzkovateľa v poštovom styku s dotknutou osobou a evidencie týchto
údajov; ak je predmetom činnosti prevádzkovateľa priamy marketing, uvedené osobné
údaje môže poskytovať, bez možnosti ich sprístupňovania a zverejňovania, len vtedy,
ak sú poskytované inému prevádzkovateľovi, ktorý má rovnaký predmet činnosti výhradne
na účely priameho marketingu, a dotknutá osoba písomne neuplatnila námietku podľa
§ 20 ods. 3 písm. c),
e)
sa spracúvajú už zverejnené osobné údaje; v týchto prípadoch treba osobné údaje náležite
označiť,
f)
spracúvanie osobných údajov je nevyhnutné na splnenie dôležitej úlohy realizovanej
vo verejnom záujme, alebo
g)
spracúvanie osobných údajov je nevyhnutné na ochranu zákonných práv a právom chránených
záujmov prevádzkovateľa alebo tretej strany za predpokladu, že pri takomto spracúvaní
osobných údajov prevádzkovateľ a tretia strana rešpektuje základné práva a slobody
dotknutej osoby a svojím konaním neoprávnene nezasahuje do práva na ochranu jej osobnosti
a súkromia.
(5)
Osobné údaje o dotknutej osobe možno získať od inej osoby a spracúvať v informačnom
systéme len s predchádzajúcim písomným súhlasom dotknutej osoby. To neplatí, ak poskytnutím
osobných údajov o dotknutej osobe do informačného systému iná osoba chráni svoje zákonné
práva alebo právom chránené záujmy, alebo oznamuje skutočnosti, ktoré odôvodňujú uplatnenie
právnej zodpovednosti dotknutej osoby, alebo sa osobné údaje spracúvajú na základe
osobitného zákona podľa odseku 3 alebo § 9 ods. 1 písm. a). Ten, kto takto osobné
údaje spracúva, musí vedieť preukázať úradu kedykoľvek na jeho žiadosť, že ich získal
v súlade s týmto zákonom.
(6)
Zoznam osobných údajov podľa odseku 3 a § 9 ods. 1 písm. a) možno nahradiť rozsahom
osobných údajov len vtedy, ak vzhľadom na účel spracúvania osobných údajov ustanovený
v osobitnom zákone sa nedajú vopred konkrétne určiť jednotlivé osobné údaje, ktoré
majú byť predmetom spracúvania; prevádzkovateľ je povinný pri takomto spracúvaní osobných
údajov postupovať podľa § 6 ods. 1 písm. d) s výnimkou tých prevádzkovateľov, ktorí
spracúvajú osobné údaje na účely súdneho konania a v súvislosti s ním. Zoznam tretích
strán podľa odseku 3 a § 9 ods. 1 písm. a) možno nahradiť určením okruhu tretích strán
len vtedy, ak vzhľadom na povahu veci nemožno vopred špecifikovať jednotlivé tretie
strany, ktorým sa osobné údaje poskytujú, alebo ak tretie strany tvoria skupinu subjektov
s rovnakým predmetom činnosti a vykonávajú spracúvanie osobných údajov na rovnaký
alebo rovnaké účely, prípadne ak zloženie takejto skupiny podlieha neustálej zmene.“.
Poznámky pod čiarou k odkazom 5 a 6 sa vypúšťajú.“.
17.
V § 7 odsek 10 znie:
„(10)
Ustanovenie odseku 6 sa použije aj v prípadoch, keď sa postupuje podľa § 5 ods. 2
alebo § 10 ods. 1 alebo 2.“.
18.
V § 9 ods. 1 písmeno a) znie:
„a)
spracúvanie vyžaduje osobitný zákon, ktorý ustanovuje zoznam osobných údajov, účel
ich spracúvania a okruh dotknutých osôb; spracúvané osobné údaje o dotknutej osobe
možno z informačného systému poskytnúť, sprístupniť alebo zverejniť len vtedy, ak
osobitný zákon ustanovuje účel poskytovania, sprístupňovania alebo zverejňovania,
zoznam osobných údajov, ktoré možno poskytnúť, sprístupniť alebo zverejniť, ako aj
tretie strany, ktorým sa osobné údaje poskytujú, prípadne okruh príjemcov, ktorým
sa osobné údaje sprístupňujú, ak tento zákon neustanovuje inak, alebo“.
19.
V § 9 ods. 1 písm. c) sa slová „členov, ktorí sú s nimi vzhľadom na ich ciele v pravidelnom
styku, a osobné údaje slúžia výlučne pre ich vnútornú potrebu, alebo“ nahrádzajú slovami
„členov alebo tých fyzických osôb, ktoré sú s nimi vzhľadom na ich ciele v pravidelnom
styku, osobné údaje slúžia výlučne pre ich vnútornú potrebu a nebudú poskytnuté tretej
strane bez písomného súhlasu dotknutej osoby, alebo“.
20.
V § 9 ods. 1 písmeno f) znie:
„f)
ide o spracúvanie v sociálnom poistení, v sociálnom zabezpečení policajtov a vojakov,
na účely poskytovania sociálnej pomoci alebo pomoci v hmotnej núdzi, alebo je spracúvanie
nevyhnutné na účely plnenia povinností alebo uplatnenie zákonných práv prevádzkovateľa
zodpovedného za spracúvanie v oblasti pracovného práva a v službách zamestnanosti
a ak to prevádzkovateľovi vyplýva z osobitného zákona.13a)“.
Poznámka pod čiarou k odkazu 13a znie:
„13a)
Zákon č. 461/2003 Z. z. o sociálnom poistení v znení neskorších predpisov, zákon
č. 328/2002 Z. z. o sociálnom zabezpečení policajtov a vojakov a o zmene a doplnení
niektorých zákonov v znení neskorších predpisov, zákon č. 195/1998 Z. z. o sociálnej
pomoci v znení neskorších predpisov, zákon č. 599/2003 Z. z. o pomoci v hmotnej núdzi
a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, zákon č. 5/2004
Z. z. o službách zamestnanosti a o zmene a doplnení niektorých zákonov v znení neskorších
predpisov.“.
21.
V § 9 odsek 3 znie:
„(3)
Ustanovenie § 8 ods. 4 sa nepoužije, ak sa spracúvajú biometrické údaje s výnimkou
analýzy deoxyribonukleovej kyseliny a profilu deoxyribonukleovej kyseliny fyzických
osôb na účely evidencie alebo identifikácie vstupu do citlivých, osobitne chránených
objektov, vyhradených priestorov alebo prístupu do technických zariadení alebo prístrojov
s vysokou mierou rizika a ak ide výlučne o vnútornú potrebu prevádzkovateľa.“.
22.
V § 10 odseky 1 až 3 znejú:
„(1)
Prevádzkovateľ, ktorý mieni získať od dotknutej osoby jej osobné údaje, je povinný
najneskôr pri ich získavaní informovať dotknutú osobu a bez vyzvania jej vopred oznámiť
a)
názov a sídlo alebo trvalý pobyt prevádzkovateľa; ak za prevádzkovateľa so sídlom
alebo s trvalým pobytom v tretej krajine koná na území Slovenskej republiky zástupca
prevádzkovateľa, aj jeho názov a sídlo alebo trvalý pobyt,
b)
názov a sídlo alebo trvalý pobyt sprostredkovateľa, ak v mene prevádzkovateľa alebo
zástupcu prevádzkovateľa získava osobné údaje sprostredkovateľ; v takomto prípade
je povinný včas oznámiť dotknutej osobe informácie podľa tohto odseku sprostredkovateľ,
c)
účel spracúvania osobných údajov a
d)
ďalšie doplňujúce informácie v takom rozsahu, v akom sú s ohľadom na všetky okolnosti
spracúvania osobných údajov potrebné pre dotknutú osobu na zaručenie jej práv a právom
chránených záujmov, najmä právo byť informovaná o podmienkach spracúvania svojich
osobných údajov
1.
preukázanie totožnosti oprávnenej osoby, ktorá získava osobné údaje alebo preukázanie
príslušnosti oprávnenej osoby hodnoverným dokladom k tomu subjektu, v mene ktorého
koná; oprávnená osoba je povinná takejto žiadosti dotknutej osoby bez zbytočného odkladu
vyhovieť,
2.
poučenie o dobrovoľnosti alebo povinnosti poskytnúť požadované osobné údaje; ak sa
dotknutá osoba sama rozhoduje o poskytnutí svojich osobných údajov, prevádzkovateľ
oznámi dotknutej osobe, na základe akého právneho podkladu mieni spracúvať jej osobné
údaje; ak dotknutej osobe povinnosť poskytnúť osobné údaje vyplýva z osobitného zákona,
prevádzkovateľ oznámi dotknutej osobe zákon, ktorý jej túto povinnosť ukladá a upovedomí
ju o následkoch odmietnutia poskytnúť osobné údaje,
3.
tretie strany, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje poskytnuté,
4.
okruh príjemcov, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje sprístupnené,
5.
formu zverejnenia, ak majú byť osobné údaje zverejnené,
6.
tretie krajiny, ak sa predpokladá alebo je zrejmé, že sa do týchto krajín uskutoční
prenos osobných údajov,
7.
poučenie o existencii práv dotknutej osoby.
(2)
Ak osobné údaje o dotknutej osobe nezískal prevádzkovateľ priamo od tejto dotknutej
osoby, je povinný bez zbytočného odkladu, najneskôr však v čase pred ich prvým poskytnutím
tretej strane, ak sa takéto poskytovanie predpokladalo už pri získavaní osobných údajov,
oznámiť dotknutej osobe informácie podľa odseku 1 písm. a) až c) a ďalšie doplňujúce
informácie v takom rozsahu, v akom sú s ohľadom na všetky okolnosti spracúvania osobných
údajov potrebné pre dotknutú osobu na zaručenie jej práv a právom chránených záujmov,
najmä právo byť informovaná o podmienkach spracúvania svojich osobných údajov
a)
poučenie o možnosti rozhodnúť o spracúvaní získaných osobných údajov,
b)
zoznam osobných údajov,
c)
tretie strany, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje poskytnuté,
d)
okruh príjemcov, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje sprístupnené,
e)
formu zverejnenia, ak majú byť osobné údaje zverejnené,
f)
tretie krajiny, ak sa predpokladá alebo je zrejmé, že sa do týchto krajín uskutoční
prenos osobných údajov,
g)
poučenie o existencii práv dotknutej osoby.
(3)
Informácie podľa odseku 1 netreba dotknutej osobe oznamovať, ak s ohľadom na všetky
okolnosti vie prevádzkovateľ úradu kedykoľvek na jeho žiadosť preukázať, že v čase
získavania osobných údajov boli všetky potrebné informácie dotknutej osobe už známe.
Informácie podľa odseku 2 netreba dotknutej osobe oznamovať, ak
a)
s ohľadom na všetky okolnosti vie prevádzkovateľ úradu kedykoľvek na jeho žiadosť
preukázať, že všetky potrebné informácie boli v čase rozhodujúcej udalosti dotknutej
osobe už známe,
b)
spracúvanie osobných údajov umožňuje osobitný zákon alebo medzinárodná zmluva, ktorou
je Slovenská republika viazaná,
c)
predmetom spracúvania sú výlučne zverejnené osobné údaje, alebo
d)
spracúvané osobné údaje sú určené na účely tvorby umeleckých alebo literárnych diel
alebo pre potreby informovania verejnosti masovokomunikačnými prostriedkami za podmienok
ustanovených v § 7 ods. 4 písm. a) časti vety pred bodkočiarkou, ako aj na historický
výskum alebo vedecký výskum a vývoj, alebo sú určené na účely štátnej štatistiky a
ak vzhľadom na všetky okolnosti vie prevádzkovateľ úradu kedykoľvek na jeho žiadosť
preukázať, že poskytnutie takýchto informácií je objektívne nemožné alebo by si vyžiadalo
neúmerne vysoké náklady a mimoriadne úsilie.“.
23.
V § 12 odsek 2 znie:
„(2)
Osobný údaj sa považuje za správny, kým sa nepreukáže opak.“.
24.
V § 13 sa vypúšťa odsek 8.
25.
V § 15 odseky 1 a 2 znejú:
„(1)
Za bezpečnosť osobných údajov zodpovedá prevádzkovateľ a sprostredkovateľ tým, že
ich chráni pred náhodným, ako aj nezákonným poškodením a zničením, náhodnou stratou,
zmenou, nedovoleným prístupom a sprístupnením, ako aj pred akýmikoľvek inými neprípustnými
formami spracúvania. Na tento účel prijme primerané technické, organizačné a personálne
opatrenia zodpovedajúce spôsobu spracúvania, pričom berie do úvahy najmä
a)
použiteľné technické prostriedky,
b)
rozsah možných rizík, ktoré sú spôsobilé narušiť bezpečnosť alebo funkčnosť informačného
systému,
c)
dôvernosť a dôležitosť spracúvaných osobných údajov.
(2)
Opatrenia podľa odseku 1 prijme prevádzkovateľ a sprostredkovateľ vo forme bezpečnostného
projektu informačného systému (ďalej len „bezpečnostný projekt") a zabezpečí jeho
vypracovanie, ak
a)
sú v informačnom systéme spracúvané osobitné kategórie osobných údajov podľa § 8
a informačný systém je prepojený na verejne prístupnú počítačovú sieť alebo je prevádzkovaný
v počítačovej sieti, ktorá je prepojená na verejne prístupnú počítačovú sieť,
b)
sú v informačnom systéme spracúvané osobitné kategórie osobných údajov podľa § 8;
v tomto prípade prevádzkovateľ a sprostredkovateľ len zdokumentuje prijaté technické,
organizačné a personálne opatrenia v rozsahu, ktorý ustanovuje § 16 ods. 3 písm. c)
a ods. 6, alebo
c)
informačný systém slúži na zabezpečenie verejného záujmu podľa § 2 ods. 1; ustanovenie
§ 16 sa pri vypracúvaní bezpečnostného projektu nepoužije len vtedy, ak pre konkrétny
prípad je tu súčasne povinnosť vypracovať bezpečnostný projekt podľa osobitného zákona21a).“.
Poznámka pod čiarou k odkazu 21a znie:
„21a)
Zákon č. 215/2004 Z. z. o ochrane utajovaných skutočností a o zmene a doplnení niektorých
zákonov.“.
26.
§ 17 vrátane nadpisu znie:
㤠17
Poučenie
Prevádzkovateľ alebo sprostredkovateľ je povinný poučiť oprávnené osoby o právach
a povinnostiach ustanovených týmto zákonom a o zodpovednosti za ich porušenie. Poučenie
vykoná prevádzkovateľ alebo sprostredkovateľ pred vydaním prvého pokynu oprávnenej
osobe na vykonanie akejkoľvek spracovateľskej operácie s osobnými údajmi. Oprávnená
osoba poučenie potvrdí svojím podpisom; o poučení prevádzkovateľ alebo sprostredkovateľ
vedie písomný záznam.“.
27.
§ 19 sa dopĺňa odsekmi 5 až 12, ktoré znejú:
„(5)
Prevádzkovateľ, ktorý písomne poveril výkonom dohľadu nad ochranou osobných údajov
zodpovednú osobu, je povinný o tom písomne informovať úrad bez zbytočného odkladu,
najneskôr do 30 dní odo dňa poverenia zodpovednej osoby doporučenou zásielkou. Prevádzkovateľ
oznámi úradu tieto údaje:
a)
názov, sídlo alebo trvalý pobyt, právnu formu a identifikačné číslo prevádzkovateľa
alebo zástupcu prevádzkovateľa,
b)
titul, meno, priezvisko a dátum narodenia zodpovednej osoby,
c)
pracovné zaradenie zodpovednej osoby,
d)
dátum začiatku platnosti písomného poverenia zodpovednej osoby,
e)
vyhlásenie prevádzkovateľa o tom, že zodpovedná osoba spĺňa podmienky ustanovené
v odseku 12.
(6)
Prevádzkovateľ oznámi úradu poverenie jednej zodpovednej osoby, a to aj vtedy, ak
výkonom dohľadu nad ochranou osobných údajov súčasne poveril viac zodpovedných osôb.
Ak prevádzkovateľ nahradí zodpovednú osobu, ktorú nahlásil úradu, inou zodpovednou
osobou, postupuje podľa odseku 5.
(7)
Zodpovedná osoba zabezpečuje
a)
potrebnú súčinnosť s úradom pri plnení úloh patriacich do jeho pôsobnosti; na požiadanie
je zodpovedná osoba povinná úradu kedykoľvek predložiť svoje písomné poverenie, písomné
oznámenia vystavené pre prevádzkovateľa podľa odseku 4, preukázať rozsah získaných
vedomostí odborným školením,
b)
povinnosti podľa odseku 4,
c)
dohľad nad plnením základných povinností prevádzkovateľa podľa § 6,
d)
poučenie oprávnených osôb podľa § 17,
e)
vybavovanie žiadostí dotknutých osôb podľa § 20 až 22,
f)
realizáciu technických, organizačných a personálnych opatrení a dohliada na ich aplikáciu
v praxi; ak je prevádzkovateľ povinný vypracovať bezpečnostný projekt v súlade s §
16 alebo dokumentáciu podľa § 15 ods. 2 písm. b), zabezpečuje ich vypracovanie,
g)
dohľad pri výbere sprostredkovateľa podľa § 5 ods. 3 a 4, prípravu písomnej zmluvy
alebo písomného poverenia pre sprostredkovateľa v súlade s § 5 ods. 2 a zodpovedá
za jeho obsah; počas trvania zmluvného vzťahu alebo poverenia preveruje dodržiavanie
dohodnutých podmienok,
h)
dohľad nad cezhraničným tokom osobných údajov,
i)
prihlásenie informačných systémov na osobitnú registráciu a oznamovanie zmien a odhlásenie
informačných systémov z osobitnej registrácie; o informačných systémoch, ktoré nepodliehajú
registrácii, vedie evidenciu v rozsahu ustanovenom týmto zákonom podľa § 29 a 30 a
zabezpečuje jej sprístupnenie komukoľvek, kto o to požiada v súlade s § 32.
(8)
Prevádzkovateľ, ktorý zamestnáva menej ako šesť osôb, môže výkonom dohľadu nad ochranou
osobných údajov písomne poveriť zodpovednú osobu, ktorá dozerá na dodržiavanie zákonných
ustanovení pri spracúvaní osobných údajov.
(9)
Prevádzkovateľ, ktorý zamestnáva menej ako šesť osôb a výkonom dohľadu nad ochranou
osobných údajov písomne nepoveril zodpovednú osobu, je povinný prihlásiť na registráciu
tie informačné systémy, ktoré podľa tohto zákona podliehajú registrácii podľa § 25.
(10)
Prevádzkovateľ je povinný umožniť zodpovednej osobe nezávislý výkon dohľadu nad ochranou
osobných údajov a prijať jej oprávnené návrhy; upozornenie na nedostatky alebo vyslovenie
požiadavky zodpovednou osobou v súvislosti s plnením jej povinností podľa odseku 7
sa nesmie stať podnetom ani dôvodom na konanie zo strany prevádzkovateľa, ktoré by
zodpovednej osobe spôsobilo ujmu.
(11)
Úrad je oprávnený uložiť prevádzkovateľovi povinnosť písomne poveriť dohľadom nad
ochranou osobných údajov inú zodpovednú osobu, ak sa preukáže, že písomne poverená
zodpovedná osoba neplnila alebo nedostatočne plnila povinnosti podľa odseku 7, alebo
práva a povinnosti uložené prevádzkovateľovi týmto zákonom nesprávne posudzovala alebo
ich nesprávne uplatňovala v praxi, alebo nespĺňa podmienky ustanovené v odseku 12.
Prevádzkovateľ je povinný bez zbytočného odkladu úradu vyhovieť a dohľadom písomne
poveriť inú zodpovednú osobu; ak tomu bránia dôvody hodné osobitného zreteľa, ktoré
vie prevádzkovateľ úradu hodnoverne preukázať, úrad určí prevádzkovateľovi lehotu,
dokedy je povinný vymeniť zodpovednú osobu, prípadne prihlásiť informačné systémy
na registráciu.
(12)
Zodpovednou osobou môže byť len fyzická osoba, ktorá má spôsobilosť na právne úkony
v plnom rozsahu a spĺňa podmienku bezúhonnosti podľa § 35 ods. 4 prvej vety; bezúhonnosť
sa preukazuje doložením výpisu z registra trestov nie starším ako tri mesiace, ktorý
je prevádzkovateľ povinný uchovávať počas doby výkonu funkcie zodpovednej osoby. Zodpovednou
osobou nemôže byť fyzická osoba, ktorá je štatutárnym orgánom prevádzkovateľa a fyzická
osoba, ktorá je oprávnená konať v mene štatutárneho orgánu prevádzkovateľa. Zodpovedná
osoba má postavenie oprávnenej osoby prevádzkovateľa.“.
28.
V § 20 ods. 1 písmená a) až d) znejú:
„a)
vo všeobecne zrozumiteľnej forme informácie o stave spracúvania svojich osobných
údajov v informačnom systéme v rozsahu podľa § 26 ods. 3; pri vydaní rozhodnutia podľa
odseku 4 písm. b) je dotknutá osoba oprávnená oboznámiť sa s postupom spracúvania
a vyhodnocovania operácií,
b)
vo všeobecne zrozumiteľnej forme presné informácie o zdroji, z ktorého získal jej
osobné údaje na spracúvanie,
c)
vo všeobecne zrozumiteľnej forme odpis jej osobných údajov, ktoré sú predmetom spracúvania,
d)
opravu jej nesprávnych, neúplných alebo neaktuálnych osobných údajov, ktoré sú predmetom
spracúvania,“.
29.
V § 20 odseky 4 a 5 znejú:
„(4)
Dotknutá osoba na základe bezplatnej písomnej žiadosti alebo osobne, ak vec neznesie
odklad, má právo u prevádzkovateľa kedykoľvek namietať
a)
voči spracúvaniu osobných údajov v prípadoch podľa § 7 ods. 4 písm. a), e), f) alebo
g) vyslovením oprávnených dôvodov alebo predložením dôkazov o neoprávnenom zasahovaní
do jej práv a právom chránených záujmov, ktoré sú alebo môžu byť v konkrétnom prípade
takýmto spracúvaním osobných údajov poškodené; ak tomu nebránia zákonné dôvody a preukáže
sa, že námietka dotknutej osoby je oprávnená, prevádzkovateľ je povinný osobné údaje,
ktorých spracúvanie dotknutá osoba namietala, bez zbytočného odkladu blokovať a zlikvidovať
ihneď, ako to okolnosti dovolia,
b)
a nepodrobiť sa rozhodnutiu prevádzkovateľa, ktoré by malo pre ňu právne účinky alebo
významný dosah, ak sa takéto rozhodnutie vydá výlučne na základe úkonov automatizovaného
spracúvania jej osobných údajov. Dotknutá osoba má právo žiadať prevádzkovateľa o
preskúmanie vydaného rozhodnutia metódou odlišnou od automatizovanej formy spracúvania,
pričom prevádzkovateľ je povinný žiadosti dotknutej osoby vyhovieť, a to tak, že rozhodujúcu
úlohu pri preskúmaní rozhodnutia bude mať oprávnená osoba; o spôsobe preskúmania a
výsledku zistenia prevádzkovateľ informuje dotknutú osobu v lehote podľa § 21 ods.
3. Dotknutá osoba nemá toto právo iba v prípade, ak to ustanovuje osobitný zákon,
v ktorom sú opatrenia na zabezpečenie oprávnených záujmov dotknutej osoby, alebo ak
rozhodnutie bolo prijaté v priebehu uzatvárania alebo plnenia zmluvy uzatváranej medzi
prevádzkovateľom a dotknutou osobou za predpokladu, že sa vyhovelo požiadavke dotknutej
osoby, ktorá je obsahom zmluvy, alebo dotknutej osobe bolo na základe dohody udelené
právo kedykoľvek počas platnosti zmluvy uplatniť svoj názor.
(5)
Dotknutá osoba má právo nesúhlasiť s rozhodnutím prevádzkovateľa podľa § 23 ods.
5 a odmietnuť prenos svojich osobných údajov do tretej krajiny, ktorá nezaručuje primeranú
úroveň ochrany osobných údajov, ak sa má prenos vykonať na základe § 23 ods. 4 písm.
a).“.
Poznámka pod čiarou k odkazu 25 sa vypúšťa.
30.
V § 23 sa pod označenie paragrafu vkladá nadpis
„Prenos osobných údajov do tretích krajín“.
31.
V § 23 odsek 1 znie:
„(1)
Ak tretia krajina zaručuje primeranú úroveň ochrany osobných údajov, prenos osobných
údajov do tejto tretej krajiny možno vykonať za predpokladu, že dotknutej osobe boli
poskytnuté informácie podľa § 10 ods. 1 alebo 2, alebo bola splnená niektorá z podmienok
uvedených v § 10 ods. 3.“.
32.
V § 23 odsek 3 znie:
„(3)
Prenos osobných údajov do tretej krajiny, ktorá nezaručuje primeranú úroveň ochrany
osobných údajov, možno vykonať len vtedy, ak sa takýto prenos uskutočňuje na základe
rozhodnutia Európskej komisie alebo ak je splnená niektorá z podmienok uvedených v
odseku 4.“.
33.
V § 23 odsek 5 znie:
„(5)
Ak sa prevádzkovateľ rozhodne vykonať prenos osobných údajov do tretej krajiny, ktorá
nezaručuje primeranú úroveň ochrany až po ich získaní, oznámi dotknutej osobe pred
prenosom osobných údajov dôvod svojho rozhodnutia a oboznámi ju s právom odmietnuť
takýto prenos podľa § 20 ods. 5, ak sa má prenos vykonať pod podmienkou uvedenou v
odseku 4 písm. a); prevádzkovateľ je oprávnený vykonať navrhovaný prenos osobných
údajov až po obdržaní písomného súhlasu dotknutej osoby.“.
34.
Za § 23 sa vkladá § 23a, ktorý vrátane nadpisu znie:
㤠23a
Prenos osobných údajov v rámci členských štátov Európskej únie
(1)
Voľný pohyb osobných údajov medzi Slovenskou republikou a členskými štátmi Európskej
únie sa zaručuje; Slovenská republika neobmedzí ani nezakáže prenos osobných údajov
z dôvodov ochrany základných práv a slobôd fyzických osôb, najmä ich práva na súkromie
v súvislosti so spracúvaním ich osobných údajov.
(2)
Prevádzkovateľ so sídlom alebo s trvalým pobytom na území Slovenskej republiky, ktorý
zároveň spracúva osobné údaje prostredníctvom svojej organizačnej zložky alebo viacerých
organizačných zložiek na území jedného alebo viacerých členských štátov Európskej
únie, je povinný prijať opatrenia a zabezpečiť, aby každá jeho organizačná zložka
spracúvala osobné údaje v súlade s právnym poriadkom platným v tom členskom štáte,
v ktorom má príslušná organizačná zložka sídlo.
(3)
Prevádzkovateľ, ktorý nemá sídlo alebo trvalý pobyt na území členského štátu Európskej
únie, a na účely spracúvania osobných údajov využíva úplne alebo čiastočne automatizované
alebo iné ako automatizované prostriedky spracúvania umiestnené na území Slovenskej
republiky, pričom tieto prostriedky spracúvania nie sú využívané výlučne len na prenos
osobných údajov cez územie členských štátov Európskej únie, je povinný pred začatím
spracúvania osobných údajov vymenovať svojho zástupcu, ktorý má sídlo alebo trvalý
pobyt na území Slovenskej republiky; tým nie je dotknuté vnútroštátne právo tretej
krajiny, v ktorej má prevádzkovateľ sídlo alebo trvalý pobyt. Zástupca prevádzkovateľa
je povinný preukázať úradu kedykoľvek na jeho žiadosť originál dokladu svojho vymenovania
za zástupcu prevádzkovateľa. Pravosť podpisov a odtlačku pečiatky prevádzkovateľa
na origináli dokladu musí byť overená orgánom štátu príslušným na jeho overenie alebo
notárom v príslušnom štáte s odtlačkom pečiatky zastupiteľského úradu Slovenskej republiky
v tomto štáte.“.
35.
V § 25 odseky 2 a 3 znejú:
„(2)
Povinnosť registrácie sa vzťahuje na všetky informačné systémy, v ktorých sa spracúvajú
osobné údaje úplne alebo čiastočne automatizovanými prostriedkami spracúvania s výnimkou
tých informačných systémov, ktoré
a)
podliehajú osobitnej registrácii podľa § 27 ods. 2,
b)
podliehajú dohľadu zodpovednej osoby, ktorú písomne poveril prevádzkovateľ podľa
§ 19 ods. 2 alebo 8 a ktorá vykonáva dohľad nad ochranou osobných údajov podľa tohto
zákona,
c)
obsahujú osobné údaje fyzických osôb spracúvané na účely plnenia predzmluvných vzťahov
alebo uplatňovania práv a povinností vyplývajúcich pre prevádzkovateľa z existujúceho
alebo ukončeného pracovnoprávneho vzťahu, služobného pomeru, štátnozamestnaneckého
pomeru alebo členského pomeru s týmito fyzickými osobami vrátane osobných údajov ich
blízkych osôb,10)
d)
obsahujú osobné údaje o členstve osôb v odborovej organizácii, ktoré sú jej členmi
a ak tieto osobné údaje spracúva odborová organizácia a využíva ich výlučne pre svoju
vnútornú potrebu, alebo obsahujú osobné údaje o náboženskej viere osôb združených
v štátom uznanej cirkvi alebo náboženskej spoločnosti a ak tieto osobné údaje spracúva
cirkev alebo náboženská spoločnosť a využíva ich výlučne pre svoju vnútornú potrebu,
alebo obsahujú osobné údaje o členstve osôb v politickej strane alebo v politickom
hnutí, ktoré sú ich členmi a ak tieto osobné údaje spracúva politická strana alebo
politické hnutie a využíva ich výlučne pre svoju vnútornú potrebu, alebo
e)
obsahujú osobné údaje potrebné na uplatňovanie práv alebo plnenie povinností vyplývajúcich
z osobitného zákona alebo sú spracúvané na základe osobitného zákona.
(3)
Súčasťou registrácie je pridelenie registračného čísla informačnému systému a vydanie
potvrdenia o jeho registrácii; ak bola splnená podmienka podľa § 26 ods. 2, spracúvanie
osobných údajov v informačnom systéme nie je podmienené vydaním potvrdenia o jeho
registrácii.“.
36.
V § 26 ods. 3 písmená d) a e) znejú:
„d)
názov, sídlo alebo trvalý pobyt, právnu formu a identifikačné číslo zástupcu prevádzkovateľa,
ak koná na území Slovenskej republiky za prevádzkovateľa so sídlom alebo trvalým pobytom
v tretej krajine; v takomto prípade sa v písmene a) uvedú údaje o prevádzkovateľovi,
ktorý vymenoval zástupcu prevádzkovateľa,
e)
meno a priezvisko štatutárneho orgánu alebo člena štatutárneho orgánu zástupcu prevádzkovateľa;
v takomto prípade sa v písmene b) uvedú údaje o štatutárnom orgáne alebo o členovi
štatutárneho orgánu prevádzkovateľa, ktorý vymenoval zástupcu prevádzkovateľa,“.
37.
V § 26 ods. 3 písmená j) až l) znejú:
„j)
okruh príjemcov, ak sa predpokladá alebo je zrejmé, že im budú osobné údaje sprístupnené,
k)
tretie strany, prípadne okruh tretích strán, ak sa predpokladá alebo je zrejmé, že
im budú osobné údaje poskytnuté,
l)
tretie krajiny, ak sa predpokladá alebo je zrejmé, že sa do týchto krajín uskutoční
prenos osobných údajov a právny základ cezhraničného toku,“.
38.
§ 27 vrátane nadpisu znie:
㤠27
Podmienky osobitnej registrácie
(1)
Osobitnú registráciu informačných systémov vykonáva úrad bezplatne.
(2)
Osobitná registrácia sa vzťahuje na informačné systémy, v ktorých prevádzkovateľ
spracúva
a)
aspoň jeden z osobných údajov uvedených v § 8 ods. 1, a zároveň sa predpokladá alebo
uskutočňuje ich prenos do tretej krajiny alebo tretích krajín, ktoré nezaručujú primeranú
úroveň ochrany, na základe § 23 ods. 4 písm. a) alebo c),
b)
osobné údaje na základe § 7 ods. 4 písm. g), alebo
c)
osobné údaje na základe § 9 ods. 3.
(3)
Prevádzkovateľ je povinný prihlásiť informačný systém na osobitnú registráciu na
úrade pred začatím spracúvania osobných údajov.
(4)
Pri osobitnej registrácii prevádzkovateľ uvedie údaje v rozsahu podľa § 26 ods. 3
a predloží podklady, ktoré sú nevyhnutné na posúdenie predmetného spracúvania. Na
prihlásenie informačného systému na osobitnú registráciu sa primerane vzťahuje § 26
ods. 4.
(5)
Úrad posúdi predložené údaje podľa odseku 4, preverí, či spracúvaním osobných údajov
nevzniká nebezpečenstvo narušenia práv a slobôd dotknutých osôb a najneskôr do 60
dní odo dňa ich prijatia rozhodne o tom, či spracúvanie osobných údajov povolí; ak
pri posudzovaní predložených údajov úrad zistí, že prihlásený informačný systém nepodlieha
osobitnej registrácii, oznámi to bez zbytočného odkladu prevádzkovateľovi.
(6)
V prípade pochybností si úrad vyžiada od prevádzkovateľa ďalšie vysvetlenia alebo
podklady. Počas tejto doby lehota podľa odseku 5 neplynie.
(7)
Súčasťou osobitnej registrácie je pridelenie registračného čísla informačnému systému
a vydanie potvrdenia o jeho registrácii; prevádzkovateľ môže začať spracúvať osobné
údaje v informačnom systéme prihlásenom na osobitnú registráciu v deň nasledujúci
po dni, v ktorom úrad vydal potvrdenie.
(8)
Na oznámenie zmien a odhlásenie informačného systému z osobitnej registrácie sa vzťahuje
ustanovenie § 28.
(9)
Ak úrad spracúvanie osobných údajov v informačnom systéme prihlásenom na osobitnú
registráciu posúdi ako rizikové, zakáže prevádzkovateľovi spracúvanie osobných údajov
na daný účel. Prevádzkovateľ je povinný rešpektovať rozhodnutie úradu a bez zbytočného
odkladu vykonať opatrenia, aby sa spracúvanie osobných údajov neuskutočnilo.“.
39.
§ 33 sa dopĺňa odsekmi 4 až 6, ktoré znejú:
„(4)
Úrad plní oznamovaciu povinnosť voči Európskej komisii v oblasti ochrany osobných
údajov.
(5)
Úrad prijíma opatrenia na vykonanie rozhodnutí Európskej komisie vydaných v oblasti
ochrany osobných údajov.
(6)
Úrad spolupracuje pri výkone dozoru nad ochranou osobných údajov s obdobnými orgánmi
dozoru v zahraničí.“.
40.
V § 35 ods. 13 písm. b) sa slová „počas výkonu“ nahrádzajú slovami „v súvislosti
s výkonom svojej“.
41.
V § 37 ods. 6 sa slová „počas výkonu svojej práce“ nahrádzajú slovami „v súvislosti
s výkonom svojej práce; použitie osobných údajov pri plnení úloh úradu alebo v súvislosti
s ich plnením v súlade s ustanoveniami tohto zákona alebo osobitného zákona sa nepovažuje
za porušenie povinnosti mlčanlivosti“.
42.
V § 38 ods. 1 úvodnej vete sa za slovo „Úrad“ vkladajú slová „pri výkone dozoru nad
ochranou osobných údajov“.
43.
V § 38 ods. 1 písmeno f) znie:
„f)
prešetruje oznámenia podané podľa § 45, alebo koná na základe podnetu alebo z vlastnej
iniciatívy podľa § 44a a na odstránenie nedostatkov vydáva opatrenia na nápravu,“.
44.
V § 38 odsek 2 znie:
„(2)
Predmetom dozoru nad ochranou osobných údajov nie sú spory zo zmluvných alebo predzmluvných
vzťahov prevádzkovateľov alebo sprostredkovateľov a dotknutých osôb alebo iných fyzických
osôb alebo právnických osôb, na ktorých prejednávanie a rozhodovanie sú príslušné
súdy alebo iné orgány podľa osobitných predpisov.“.
45.
V § 39 sa odsek 1 dopĺňa písmenami e) a f), ktoré znejú:
„e)
vstupovať do informačných systémov do úrovne správcu systému v rozsahu potrebnom
na vykonanie kontroly,
f)
overovať totožnosť kontrolovaných osôb a fyzických osôb, ktoré v mene kontrolovaných
osôb konajú.“.
46.
Za § 44 sa vkladajú § 44a a 44b, ktoré vrátane nadpisu nad paragrafmi znejú:
„Konanie
§ 44a
(1)
Konanie vo veciach upravených týmto zákonom, na ktoré sa nevzťahuje všeobecný predpis
o správnom konaní, je začaté dňom, keď voči prevádzkovateľovi, sprostredkovateľovi
alebo inej právnickej osobe alebo fyzickej osobe (ďalej len „účastník konania") urobil
úrad prvý úkon. Ak sa konanie začína na podnet účastníka konania, dňom začatia konania
je deň doručenia podnetu úradu.
(2)
Účastníkom konania je ten, o koho právach alebo povinnostiach sa má konať. Za účastníka
konania, ktorým nie je fyzická osoba, koná štatutárny orgán, prípadne jeho zamestnanec
alebo člen, ktorý sa preukáže písomným poverením štatutárneho orgánu, že je oprávnený
za neho konať, pokiaľ jednotlivé ustanovenia tohto zákona neustanovujú inak. Účastník
konania sa môže nechať v konaní zastupovať. V tej istej veci môže mať účastník konania
súčasne len jedného zástupcu, ktorému udelí písomne splnomocnenie na celé konanie,
alebo len na určité úkony. Splnomocnenie na zastupovanie účastníka konania, ktorým
nie je fyzická osoba, musí byť udelené osobou, ktorá je oprávnená konať v jeho mene.
(3)
Konanie je neverejné. Týmto nie je dotknuté ustanovenie § 48.
(4)
Na dokazovanie možno použiť všetky prostriedky, ktorými možno zistiť a objasniť skutočný
stav veci a ktoré sú v súlade s právnymi predpismi. Dôkazmi sú najmä vyjadrenia účastníkov
konania, výpovede svedkov, listiny, znalecké posudky alebo odborné posudky, správy,
vyjadrenia a potvrdenia orgánov alebo iných právnických osôb a fyzických osôb, zverejnené
informácie, obhliadky a kontrolné zistenia. Ako dôkaz možno použiť namiesto originálu
listiny alebo originálu akéhokoľvek záznamu aj ich rozmnoženinu v tlačenej, fotografickej,
zvukovej, zvukovo-obrazovej alebo v inej všeobecne zrozumiteľnej forme, ak je umiestnená
na bežne dostupnom nosiči informácií.
(5)
Úrad môže namiesto dôkazu pripustiť čestné vyhlásenie fyzickej osoby. Čestné vyhlásenie
úrad nepripustí, ak tomu bráni všeobecný záujem alebo ak by tým bola porušená rovnosť
medzi účastníkmi konania. Čestným vyhlásením nemožno nahradiť znalecký posudok. V
čestnom vyhlásení je fyzická osoba povinná uviesť pravdivé údaje. Úrad musí upozorniť
fyzickú osobu na právne následky nepravdivého čestného vyhlásenia.
(6)
Úrad môže ustanoviť znalca alebo znalcov podľa osobitného predpisu,33a) ak je na odborné posúdenie skutočností dôležitých pre rozhodnutie vo veci potrebný
znalecký posudok a uložiť ustanovenému znalcovi, aby samostatne písomne vypracoval
znalecký posudok, alebo aby sa v znaleckom posudku vyjadril k otázkam, ktoré mu položil
úrad. Na tento účel úrad ustanovenému znalcovi sprístupní potrebné údaje zo spisu.
V súvislosti s vypracovaním znaleckého posudku môže úrad uložiť účastníkovi konania,
aby poskytol ustanovenému znalcovi všetky podstatné informácie, predložil alebo sprístupnil
všetky potrebné listiny, podklady alebo predmety, alebo umožnil prístup k technickému
a programovému vybaveniu informačného systému, podal mu potrebné vysvetlenia, alebo
aby niečo vykonal alebo znášal, ak je to potrebné na podanie znaleckého posudku.
(7)
Účastník konania je povinný navrhnúť na podporu svojich tvrdení dôkazy, ktoré sú
mu známe. Úrad rozhodne, ktoré z navrhnutých dôkazov sa vykonajú a vykoná aj iné dôkazy,
ktoré účastníci konania nenavrhli, ak sú potrebné na zistenie a objasnenie skutočného
stavu veci. Skutočnosti všeobecne známe alebo známe úradu z jeho činnosti netreba
dokazovať.
(8)
Úrad hodnotí dôkazy podľa svojej voľnej úvahy, a to každý dôkaz jednotlivo a všetky
dôkazy v ich vzájomnej súvislosti; pritom prihliada na všetko, čo v konaní vyšlo najavo.
(9)
Dôležité písomnosti, najmä opatrenia a rozhodnutia sa účastníkovi konania, adresátovi,
alebo osobe, ktorá sa preukáže jeho splnomocnením na preberanie zásielok, doručujú
poštou ako doporučená zásielka s doručenkou a poznámkou „do vlastných rúk". Písomnosti,
ktoré sú určené účastníkovi konania, ktorým nie je fyzická osoba, doručujú sa osobám
alebo členom oprávneným za tento subjekt prijímať písomnosti alebo tomu, kto je oprávnený
za tento subjekt konať. Písomnosti určené advokátovi možno doručovať tiež advokátskym
koncipientom a iným pracovníkom, ktorí sú u advokáta pracovne činní a sú advokátom
poverení na prijímanie zásielok.
(10)
Ak nebol adresát zásielky, ktorá sa má doručiť do vlastných rúk, zastihnutý, hoci
sa v mieste doručenia zdržiava, doručovateľ ho vhodným spôsobom upovedomí, že zásielku
príde znovu doručiť v určený deň a hodinu. Ak nový pokus o doručenie zostane bezvýsledný,
doručovateľ uloží zásielku na pošte a adresáta o tom vhodným spôsobom upovedomí. Ak
si adresát nevyzdvihne zásielku do troch dní od uloženia, posledný deň tejto lehoty
sa považuje za deň doručenia, aj keď sa adresát o uložení nedozvedel.
(11)
Ak si adresát vyhradí doručovanie zásielok do poštového priečinka, pošta adresátovi
oznámi príchod zásielky, možnosť prevzatia a odbernú lehotu na predpísanom tlačive,
ktoré vloží do poštového priečinka. Ak si adresát na základe dohody preberá zásielky
na pošte a nemá pridelený poštový priečinok, pošta tieto zásielky neoznamuje. V obidvoch
prípadoch sa dátum príchodu zásielky považuje za dátum uloženia. Ak si adresát nevyzdvihne
zásielku do troch dní od uloženia, posledný deň tejto lehoty sa považuje za deň doručenia,
aj keď sa adresát o uložení nedozvedel.
(12)
Účastník konania, ktorý sa zdržiava v cudzine alebo tam má sídlo alebo trvalý pobyt,
je povinný na doručovanie zásielok určiť si svojho zástupcu so sídlom alebo s trvalým
pobytom na území Slovenskej republiky a včas písomne úradu oznámiť jeho meno, priezvisko
a adresu.
(13)
Písomnosť je doručená ihneď, ako ju účastník konania prevezme alebo pošta doporučenú
zásielku vrátila ako nedoručiteľnú alebo ak doručenie zásielky bolo zmarené konaním
alebo opomenutím účastníka konania. Ak adresát bezdôvodne odoprel zásielku prijať,
písomnosť je doručená dňom, keď sa jej prijatie odoprelo; na to musí doručovateľ adresáta
upozorniť.
(14)
Ak je to potrebné, úrad určí na vykonanie úkonu v konaní lehotu, ak ju neustanovuje
tento zákon. Do lehoty sa nezapočítava deň, keď došlo ku skutočnosti určujúcej začiatok
lehoty. Lehoty určené podľa týždňov, mesiacov alebo rokov sa končia uplynutím toho
dňa, ktorý sa svojím označením zhoduje s dňom, keď došlo ku skutočnosti určujúcej
začiatok lehoty, a ak taký deň v mesiaci nie je, lehota sa končí posledným dňom mesiaca.
Ak koniec lehoty pripadne na sobotu, nedeľu alebo na deň pracovného pokoja, je posledným
dňom lehoty najbližší nasledujúci pracovný deň. Lehota je zachovaná, ak sa posledný
deň lehoty podanie podá na úrad alebo ak sa odovzdá na poštovú prepravu. V pochybnostiach
sa považuje lehota za zachovanú, ak sa nepreukáže opak.
(15)
Trovy, ktoré v konaní vznikli účastníkovi konania, znáša účastník konania. Trovy
konania, ktoré vznikli úradu, znáša úrad.
(16)
Konanie začaté z vlastnej iniciatívy úradu možno zastaviť, ak odpadol dôvod konania
alebo ak sa v priebehu konania preukázalo, že nie sú dostatočné dôvody na jeho pokračovanie,
alebo ak účastník konania zomrel.
§ 44b
V konaní o uložení sankcie za porušenie tohto zákona podľa § 49 alebo § 50 je účastníkom
konania prevádzkovateľ alebo sprostredkovateľ, alebo fyzická osoba, ktorej má byť
podľa tohto zákona uložená pokuta; konanie o uložení sankcie za porušenie tohto zákona
začína úrad z vlastnej iniciatívy podľa všeobecného predpisu o správnom konaní a len
na účely uloženia pokuty. Rozhodnutie o uložení pokuty môže úrad vydať bez ďalšieho
dokazovania a zisťovania podkladov pre rozhodnutie,33b) ak na základe preukázaných kontrolných zistení alebo vykonaných dôkazov v priebehu
konania, ktoré odôvodňujú uplatnenie právnej zodpovednosti účastníka konania podľa
tohto zákona, má úrad dostatočne zistené a preukázané, že došlo k porušeniu ustanovení
tohto zákona, alebo na základe zisteného porušenia ustanovenia § 40 ods. 2 písm. a)
alebo b) kontrolovanou osobou.“.
Poznámky pod čiarou k odkazom 33a a 33b znejú:
„33a)
Zákon č. 382/2004 Z. z. o znalcoch, tlmočníkoch a prekladateľoch a o zmene a doplnení
niektorých zákonov.
33b)
§ 32 až 40 zákona č. 71/1967 Zb. o správnom konaní (správny poriadok) v znení zákona
č. 527/2003 Z. z.“.
Súčasne sa vypúšťa poznámka pod čiarou k odkazu 34.“.
47.
§ 45 vrátane nadpisu znie:
㤠45
Prešetrenie oznámenia
(1)
Úrad pri výkone dozoru nad ochranou osobných údajov využíva aj oznámenia a podnety
právnických osôb a fyzických osôb (ďalej len „oznámenie") týkajúce sa podozrenia z
porušovania povinností alebo podmienok určených týmto zákonom. Oznámenie sa úradu
podáva písomne.
(2)
Oznámenie môže okrem dotknutej osoby podať úradu podľa § 20 ods. 6 aj fyzická osoba,
ktorá tvrdí, že je priamo dotknutá vo svojich právach ustanovených týmto zákonom (ďalej
len „oznamovateľ").
(3)
Úrad oznámenie odloží, ak
a)
vec, ktorej sa oznámenie týka, nepatrí do jeho pôsobnosti,
b)
náležitosti uvedené v odseku 9 neboli na výzvu úradu doplnené alebo spresnené v určenej
lehote,
c)
oznamovateľ neposkytne úradu na jeho požiadanie potrebnú súčinnosť, pričom bez jeho
aktívnej účasti nemožno vec vybaviť,
d)
oznamovateľ trvá na utajení svojej totožnosti napriek tomu, že bez použitia jeho
osobných údajov alebo niektorých jeho údajov podľa odseku 9 písm. a) nemožno vec vybaviť,
e)
oznamovateľ podá opakované oznámenie po uplynutí lehoty podľa odseku 14.
(4)
Úrad môže oznámenie odložiť, ak zistí, že
a)
vec, ktorej sa oznámenie týka, prejednáva súd alebo orgán činný v trestnom konaní,
b)
od opatrenia alebo udalosti, ktorých sa oznámenie týka, uplynul v deň doručenia oznámenia
čas dlhší ako tri roky,
c)
oznámenie je zjavne neopodstatnené,
d)
neobsahuje meno, priezvisko, adresu trvalého pobytu a podpis oznamovateľa; takéto
oznámenie sa považuje za anonymné,
e)
ide o oznámenie vo veci, ktorú už úrad vybavil a opakované oznámenie neobsahuje nové
skutočnosti.
(5)
O odložení oznámenia a dôvodoch jeho odloženia úrad upovedomí toho, kto oznámenie
podal; to neplatí, ak ide o anonymné oznámenie. Odložené oznámenie sa považuje za
vybavené.
(6)
Oznámenie nie je prípustné, ak oznamovateľ pred jeho podaním neuplatnil svoje právo
podľa § 20, ktoré mu tento zákon poskytuje. Úrad oznámenie odloží a poučí oznamovateľa
o uplatnení práv podľa § 20.
(7)
Úrad neodloží oznámenie, aj keď sa nesplnila podmienka podľa odseku 6 len vtedy,
ak oznamovateľ hodnoverne preukáže, že túto podmienku nesplnil z dôvodov hodných osobitného
zreteľa.
(8)
Šetrenie je začaté dňom doručenia písomného oznámenia úradu. Prijatie oznámenia potvrdí
úrad oznamovateľovi, ak oznámenie nebolo podané osobne.
(9)
Oznámenie musí obsahovať najmä
a)
meno, priezvisko, adresu trvalého pobytu a podpis oznamovateľa,
b)
označenie toho, proti komu oznámenie smeruje; názov alebo meno a priezvisko, sídlo
alebo trvalý pobyt, prípadne právnu formu a identifikačné číslo,
c)
predmet oznámenia s označením, ktoré práva sa podľa tvrdenia oznamovateľa pri spracúvaní
osobných údajov porušili,
d)
dôkazy na podporu tvrdení uvedených v oznámení,
e)
kópiu listiny preukazujúcej uplatnenie práva podľa § 20, ak sa takéto právo mohlo
uplatniť alebo uvedenie dôvodov hodných osobitného zreteľa.
(10)
Ak oznámenie neobsahuje predpísané náležitosti podľa odseku 9, nie je zrozumiteľné,
alebo ak sú na jeho náležité vybavenie potrebné údaje, ktoré sa v oznámení neuvádzajú,
úrad vyzve oznamovateľa, aby v určenej lehote nie kratšej ako sedem dní odstránil
nedostatky. Súčasne upozorní oznamovateľa na dôsledky neodstránenia nedostatkov na
ďalší priebeh šetrenia. V čase, keď oznamovateľ mešká s plnením tejto povinnosti,
lehota podľa odseku 12 neplynie.
(11)
Ak oznámenie podľa odseku 9 neobsahuje požiadavku oznamovateľa na utajenie jeho totožnosti,
úrad vybavuje oznámenie bez utajenia osobných údajov uvedených v odseku 9 písm. a).
Ak v oznámení podľa odseku 9 oznamovateľ požiada úrad o utajenie svojej totožnosti,
ale charakter oznámenia neumožňuje jeho prešetrenie bez uvedenia niektorého údaja
alebo údajov o oznamovateľovi, úrad po zistení tejto skutočnosti o tom upovedomí oznamovateľa.
Zároveň oznamovateľa upozorní, že vo vybavovaní oznámenia sa bude pokračovať len v
prípade, ak v určenej lehote písomne udelí úradu súhlas s uvedením určitého potrebného
údaja alebo údajov o svojej osobe na použitie v rámci šetrenia.
(12)
Úrad prešetrí a vybaví písomné oznámenie oznamovateľa v lehote 60 dní odo dňa jeho
prijatia. Vrchný inšpektor môže túto lehotu v odôvodnených prípadoch primerane predĺžiť,
najviac však o šesť mesiacov. O predĺžení lehoty úrad písomne upovedomí oznamovateľa.
(13)
Úrad v lehote podľa odseku 12 písomne informuje oznamovateľa o výsledku prešetrenia
oznámenia, v ktorom uvedie práva oznamovateľa ustanovené týmto zákonom, ktoré boli
porušené. Ak úrad nezistí porušenie práv oznamovateľa, písomne ho informuje o tejto
skutočnosti bez zbytočného odkladu, najneskôr však v lehote podľa odseku 12. Oznámenie
sa považuje za vybavené doručením písomnej informácie o výsledku prešetrenia oznámenia
oznamovateľovi.
(14)
Oznámenie v tej istej veci možno opakovať v lehote 30 dní odo dňa doručenia výsledku
o prešetrení oznámenia; ak oznámenie neobsahuje nové skutočnosti, úrad postupuje podľa
odseku 4 písm. e). Ak úrad opakované oznámenie neodložil alebo ak zistil, že obsahuje
nové skutočnosti, vrchný inšpektor preskúma pôvodné oznámenie, či bolo správne vybavené;
o výsledku písomne informuje oznamovateľa, pričom postupuje obdobne podľa odseku 13.
Preskúmanie oznámenia vrchným inšpektorom je konečné.
(15)
V prípade, že v rovnakej veci, v akej už bolo vybavené oznámenie iného oznamovateľa,
podá oznámenie ďalší oznamovateľ bez uvedenia nových skutočností, jeho oznámenie netreba
znovu prešetrovať, ale treba ho upovedomiť bez zbytočného odkladu o výsledku vybavenia
pôvodného oznámenia, najneskôr však v lehote podľa odseku 12 prvej vety.
(16)
Podanie oznámenia nesmie byť oznamovateľovi na ujmu; to neplatí, ak sa obsahom svojho
oznámenia dopustí oznamovateľ trestného činu alebo priestupku.
(17)
Oznámenie podané inou právnickou osobou alebo fyzickou osobou ako oznamovateľom sa
vybavuje ako konanie začaté z vlastnej iniciatívy úradu, ak sa po preskúmaní oznámenia
preukáže, že je tu dôvod na začatie šetrenia. Na žiadosť právnickej osoby alebo fyzickej
osoby, ktorá oznámenie podala, úrad potvrdí prijatie oznámenia; výsledok šetrenia
jej úrad neoznamuje. Právnická osoba alebo fyzická osoba, ktorá oznámenie podala,
sa nepovažuje za účastníka konania.“.
48.
V § 46 ods. 1 písm. a) sa na začiatok vkladajú slová „pred začatím spracúvania osobných
údajov alebo v priebehu spracúvania osobných údajov v rozsahu nevyhnutne potrebnom
na zabezpečenie účelu konania môže dočasným opatrením uložiť prevádzkovateľovi alebo
sprostredkovateľovi, aby niečo vykonal, niečoho sa zdržal alebo niečo strpel;“.
49.
V § 46 ods. 1 písmeno b) znie:
„b)
ak zistí, že prevádzkovateľ alebo sprostredkovateľ nesplnil alebo porušil niektorú
z povinností alebo niektoré povinnosti ustanovené týmto zákonom, pri plnení niektorej
z povinností alebo niektorých povinností obchádzal ustanovenia tohto zákona, nedodržal
alebo obchádzal podmienky ustanovené týmto zákonom, alebo spracúva alebo spracúval
osobné údaje v rozpore s týmto zákonom, je oprávnený uložiť prevádzkovateľovi alebo
sprostredkovateľovi, aby v určenej lehote vykonal opatrenia na odstránenie zistených
nedostatkov a príčin ich vzniku. Úrad je ďalej oprávnený prevádzkovateľovi alebo sprostredkovateľovi
1.
uložiť povinnosť zabezpečiť vypracovanie alebo doplnenie dokumentácie alebo bezpečnostného
projektu v súlade s týmto zákonom v určenej lehote,
2.
uložiť povinnosť prijať technické, organizačné a personálne opatrenia zodpovedajúce
spôsobu spracúvania v určenej lehote,
3.
zakázať spracúvať tie osobné údaje, ktorých spracúvanie je v rozpore s ustanoveniami
tohto zákona,
4.
zakázať spracúvanie, ktoré je v rozpore s ustanoveniami tohto zákona,
5.
nariadiť odstránenie alebo likvidáciu osobných údajov v určenej lehote, ak sú alebo
boli neoprávnene spracúvané a
6.
uložiť prevádzkovateľovi povinnosť zrušiť písomné poverenie alebo písomnú zmluvu
so sprostredkovateľom v určenej lehote.“.
50.
§ 48 vrátane nadpisu znie:
㤠48
Zverejnenie porušenia zákona
(1)
Ak úrad zistí porušenie povinností ustanovených týmto zákonom alebo obchádzanie ustanovení
tohto zákona alebo osobitného zákona32), môže predseda úradu alebo vrchný inšpektor zverejniť obchodné meno alebo názov,
sídlo alebo trvalý pobyt, identifikačné číslo, ak ho má pridelené a právnu formu toho,
kto sa dopustil protiprávneho konania a
a)
výrok vykonateľného opatrenia a odôvodnenie opatrenia alebo ich časti podľa § 46
okrem osobných údajov, ak ich obsahujú,
b)
výrok vykonateľného rozhodnutia a odôvodnenie rozhodnutia alebo ich časti podľa §
49 alebo § 50 okrem osobných údajov, ak ich obsahujú, alebo
c)
charakteristiku skutkového stavu porušenia ochrany osobných údajov.
(2)
Predseda úradu alebo vrchný inšpektor môže uložiť prevádzkovateľovi alebo sprostredkovateľovi
povinnosť zverejniť skutočnosti v rozsahu podľa odseku 1 písm. c) v hromadných informačných
prostriedkoch.
(3)
Prevádzkovateľ je povinný splniť povinnosť uloženú predsedom úradu alebo vrchným
inšpektorom podľa odseku 2. Štatutárny orgán prevádzkovateľa je povinný zabezpečiť
zverejnenie oznamu v hromadných informačných prostriedkoch v rozsahu podľa odseku
1 písm. c) na vlastné náklady prevádzkovateľa; obsah, formu, hromadný informačný prostriedok
a najneskorší termín zverejnenia oznamu určí predseda úradu alebo vrchný inšpektor.
(4)
Povinnosť podľa odseku 3 sa vzťahuje aj na sprostredkovateľa.“.
51.
V § 49 odseky 1 až 4 znejú:
„(1)
Úrad môže uložiť pokutu od 50 000 Sk do 10 000 000 Sk prevádzkovateľovi alebo sprostredkovateľovi,
ktorý
a)
nesplnil alebo porušil niektorú z povinností alebo niektoré povinnosti ustanovené
v § 5, 6, 7, 10, alebo pri plnení niektorej z povinností alebo niektorých povinností
ustanovených v § 5, 6, 7, 10 obchádzal ustanovenia tohto zákona, alebo spracúva alebo
spracúval osobné údaje v rozpore s § 5, 6, 7, 10,
b)
nesplnil alebo porušil niektorú z povinností alebo niektoré povinnosti ustanovené
v § 8, 9, alebo spracúva alebo spracúval osobitné kategórie osobných údajov v rozpore
s § 8, 9, alebo
c)
neprijal primerané technické, organizačné a personálne opatrenia zodpovedajúce spôsobu
spracúvania alebo nepreukázal alebo nevedel preukázať úradu na jeho žiadosť uplatňovanie
opatrení v praxi podľa § 15 ods. 1, 3, alebo neprijal primerané technické, organizačné
a personálne opatrenia zodpovedajúce spôsobu spracúvania vo forme bezpečnostného projektu
alebo nepredložil úradu na jeho žiadosť bezpečnostný projekt, pričom bol povinný zabezpečiť
jeho vypracovanie podľa § 15 ods. 2, 3, alebo predložil bezpečnostný projekt, ktorý
neobsahoval náležitosti ustanovené týmto zákonom podľa § 16, alebo nepredložil úradu
na jeho žiadosť zdokumentované technické, organizačné a personálne opatrenia zodpovedajúce
spôsobu spracúvania alebo nezdokumentoval technické, organizačné a personálne opatrenia
v rozsahu ustanovenom týmto zákonom, pričom bol povinný takúto dokumentáciu vypracovať
podľa § 15 ods. 2 písm. b), alebo preukázateľne zanedbal uplatňovanie alebo neuplatňoval
technické, organizačné a personálne opatrenia zodpovedajúce spôsobu spracúvania v
praxi uvedené v bezpečnostnom projekte alebo v dokumentácii podľa § 15 ods. 2 písm.
b).
(2)
Úrad môže uložiť pokutu od 50 000 Sk do 5 000 000 Sk prevádzkovateľovi alebo sprostredkovateľovi,
ktorý
a)
nesplnil alebo porušil niektorú z povinností alebo niektoré povinnosti ustanovené
v § 13, alebo spracúva alebo spracúval osobné údaje v rozpore s § 13,
b)
na žiadosť úradu nezabezpečil vykonanie auditu bezpečnosti informačného systému alebo
zabezpečil vykonanie auditu bezpečnosti informačného systému v rozpore s týmto zákonom
alebo včas nepredložil hodnotiacu správu podľa § 15 ods. 4, 5, alebo predložil hodnotiacu
správu, ktorá nekonkretizuje zistené nedostatky,
c)
včas nepoučil svoje oprávnené osoby alebo nevedel úradu hodnoverne preukázať, že
poučenie oprávnených osôb vykonal včas, alebo nepredložil na požiadanie úradu písomný
záznam o poučení oprávnených osôb podľa § 17, alebo
d)
vykonal prenos osobných údajov do tretích krajín v rozpore s § 23, alebo spracúva
alebo spracúval osobné údaje v rozpore s niektorou z podmienok alebo niektorými podmienkami
ustanovenými v § 23, § 23a ods. 2, 3, alebo nesplnil niektorú z podmienok alebo niektoré
podmienky ustanovené v § 23, § 23a ods. 2, 3.
(3)
Úrad môže uložiť pokutu od 30 000 Sk do 3 000 000 Sk prevádzkovateľovi, ktorý
a)
nesplnil povinnosť osobitnej registrácie informačného systému podľa § 27, alebo nesplnil
niektorú z povinností alebo niektoré povinnosti súvisiace s osobitnou registráciou
vyplývajúce z tohto zákona podľa § 28,
b)
nesplnil povinnosť registrácie informačného systému podľa tohto zákona, alebo nesplnil
niektorú z povinností alebo niektoré povinnosti súvisiace s registráciou informačného
systému podľa § 28,
c)
písomne nepoveril zodpovednú osobu výkonom dohľadu nad ochranou osobných údajov alebo
nevie hodnoverne preukázať jej písomné poverenie podľa § 19 ods. 2, alebo nezabezpečil
odborné vyškolenie zodpovednej osoby v súlade s týmto zákonom podľa § 19 ods. 3, alebo
d)
preukázateľne neumožnil, rušil, maril alebo inak sťažoval zodpovednej osobe plnenie
jej povinností ustanovených týmto zákonom, alebo nerešpektoval oprávnené písomné oznámenia
zodpovednej osoby podľa § 19 ods. 4, 7, 10.
(4)
Úrad môže uložiť pokutu od 10 000 Sk do 1 000 000 Sk prevádzkovateľovi, ktorý
a)
nesplnil oznamovaciu povinnosť o oprave alebo likvidácii osobných údajov podľa §
14,
b)
písomne poveril zodpovednou osobou fyzickú osobu, ktorá nespĺňa niektorú podmienku
alebo niektoré podmienky ustanovené v § 19 ods. 12, alebo nevie preukázať výpisom
z registra trestov bezúhonnosť zodpovednej osoby, alebo nesplnil alebo porušil niektorú
z povinností alebo niektoré povinnosti ustanovené v § 19 ods. 5, 6, alebo nesplnil
povinnosť uloženú úradom podľa § 19 ods. 11,
c)
nesplnil oprávnené požiadavky dotknutej osoby alebo pri ich vybavovaní nepostupoval
v súlade s týmto zákonom, alebo neposkytol dotknutej osobe informácie v zákonom stanovenej
lehote, alebo neinformoval dotknutú osobu spôsobom, ktorý ustanovuje zákon podľa §
20, 21,
d)
nevykonal oznámenie o obmedzení práv dotknutej osoby podľa § 22, alebo
e)
nesplnil povinnosť vedenia evidencie informačného systému podľa § 29, 30, alebo odmietol
údaje z evidencie sprístupniť podľa § 32.“.
52.
V § 50 sa odsek 1 dopĺňa písmenami c) a d), ktoré znejú:
„c)
do 1 000 000 Sk, ak oznam určený na zverejnenie predsedom úradu alebo vrchným inšpektorom
v hromadných informačných prostriedkoch nezverejnil vôbec, alebo nezverejnil včas,
alebo nezverejnil v určenej forme alebo v určenom hromadnom informačnom prostriedku,
alebo nedodržal určený obsah tohto oznamu podľa § 48 ods. 3, 4, a to opakovane až
do splnenia povinnosti,
d)
do 2 000 000 Sk, ak neposkytol úradu súčinnosť podľa § 44 ods. 2, 3, 4, alebo nevyhovel
požiadavkám úradu alebo úrad v určenej lehote včas neinformoval podľa § 46 ods. 1,
2.“.
53.
V § 51 ods. 2 písmeno e) znie:
„e)
prešetrenie oznámenia (§ 45),“.
54.
§ 51 sa dopĺňa odsekom 3, ktorý znie:
„(3)
Úrad zverejňuje na svojej internetovej stránke správu o stave ochrany osobných údajov
po jej prerokovaní v Národnej rade Slovenskej republiky.“.
55.
§ 55 vrátane nadpisu znie:
㤠55
Prechodné ustanovenia k úpravám účinným od 1. mája 2005
(1)
Úrad na ochranu osobných údajov podľa doterajších predpisov je Úradom na ochranu
osobných údajov Slovenskej republiky podľa tohto zákona. Ak sa v iných právnych predpisoch
používa pojem „Úrad na ochranu osobných údajov" vo všetkých gramatických tvaroch,
rozumie sa tým „Úrad na ochranu osobných údajov Slovenskej republiky" v príslušnom
gramatickom tvare.
(2)
Písomné poverenie zodpovednej osoby vydané podľa doterajších predpisov sa považuje
za písomné poverenie podľa tohto zákona, ak zodpovedná osoba spĺňa podmienky ustanovené
v § 19 ods. 12, prevádzkovateľ oznámi úradu najneskôr do 30. júna 2005 údaje podľa
§ 19 ods. 5 a doloží potvrdenie alebo vyhlásenie o tom, že zodpovedná osoba bola odborne
vyškolená.
(3)
Zodpovedná osoba, ktorá bola písomne poverená dohľadom nad ochranou osobných údajov
podľa doterajších predpisov a nespĺňa podmienky ustanovené v § 19 ods. 12, musí byť
odvolaná z funkcie zodpovednej osoby najneskôr do 30. júna 2005 a prevádzkovateľ je
povinný písomne poveriť výkonom dohľadu inú zodpovednú osobu. Týmto nie je dotknuté
ustanovenie § 19 ods. 5.
(4)
Prevádzkovatelia už fungujúcich informačných systémov, na ktoré sa podľa doterajších
predpisov nevzťahovala osobitná registrácia podľa § 27, sú povinní prihlásiť ich na
osobitnú registráciu najneskôr do 30. júna 2005, inak právo na spracúvanie osobných
údajov v týchto informačných systémoch zanikne uplynutím tejto lehoty.
(5)
Predseda úradu do 31. decembra 2005 rozhodne o tom, či informačný systém prihlásený
na registráciu a zaregistrovaný podľa doterajších predpisov možno považovať za zaregistrovaný
podľa tohto zákona. Ak predseda úradu rozhodne, že takýto informačný systém nepodlieha
registrácii podľa tohto zákona, úrad registráciu informačného systému zruší a v tej
istej lehote zverejní na svojej internetovej stránke registračné čísla tých informačných
systémov, ktorých registrácia bola zrušená.
(6)
Konania začaté a právoplatne neukončené pred nadobudnutím účinnosti tohto zákona
sa dokončia podľa doterajších predpisov. Právne účinky úkonov, ktoré v konaní nastali
pred nadobudnutím účinnosti tohto zákona, zostávajú zachované.
(7)
Na lehoty, ktoré v deň nadobudnutia účinnosti tohto zákona ešte neuplynuli, sa vzťahujú
ustanovenia doterajších predpisov.
(8)
Prevádzkovatelia už fungujúcich informačných systémov sú povinní ich uviesť do súladu
s týmto zákonom do 31. októbra 2005. Týmto nie sú dotknuté odseky 2 až 4.“.
56.
Za § 56 sa vkladá § 56a, ktorý znie:
㤠56a
Týmto zákonom sa preberá právny akt Európskych spoločenstiev a Európskej únie uvedený
v prílohe.“.
57.
Zákon sa dopĺňa prílohou, ktorá znie:
„Príloha
k zákonu č. 428/2002 Z. z.
k zákonu č. 428/2002 Z. z.
ZOZNAM PREBERANÝCH PRÁVNYCH AKTOV EURÓPSKYCH SPOLOČENSTIEV A EURÓPSKEJ ÚNIE
Smernica Európskeho parlamentu a Rady 95/46/ES z 24. októbra 1995 o ochrane jednotlivcov pri spracúvaní osobných údajov a voľnom
pohybe týchto údajov (Ú.v. ES, L 281, 23. 11. 1995) v znení nariadenia Európskeho
parlamentu a Rady (ES) č. 1882/2003 z 29. septembra 2003 (Ú.v. EÚ L 284, 31. 10. 2003).“.
Čl. II
Predseda Národnej rady Slovenskej republiky sa splnomocňuje, aby v Zbierke zákonov
Slovenskej republiky vyhlásil úplné znenie zákona č. 428/2002 Z. z. o ochrane osobných
údajov, ako vyplýva zo zmien a doplnení vykonaných zákonom č. 602/2003 Z. z., zákonom
č. 576/2004 Z. z. a týmto zákonom.
Čl. III
Tento zákon nadobúda účinnosť 1. mája 2005.
Ivan Gašparovič v. r.
Pavol Hrušovský v. r.
Mikuláš Dzurinda v. r.
Pavol Hrušovský v. r.
Mikuláš Dzurinda v. r.
