18/2018 Z. z.
Časová verzia predpisu účinná od 30.03.2022 do 31.01.2024
Obsah zobrazeného právneho predpisu má informatívny charakter, právne záväzný obsah sa nachádza v pdf verzii právneho predpisu.
Otvoriť všetky
Číslo predpisu: | 18/2018 Z. z. |
Názov: | Zákon o ochrane osobných údajov a o zmene a doplnení niektorých zákonov |
Typ: | Zákon |
Dátum schválenia: | 29.11.2017 |
Dátum vyhlásenia: | 30.01.2018 |
Dátum účinnosti od: | 30.03.2022 |
Dátum účinnosti do: | 31.01.2024 |
Autor: | Národná rada Slovenskej republiky |
Právna oblasť: |
|
158/2018 Z. z. | Vyhláška Úradu na ochranu osobných údajov Slovenskej republiky o postupe pri posudzovaní vplyvu na ochranu osobných údajov |
124/1992 Zb. | Zákon o Vojenskej polícii |
171/1993 Z. z. | Zákon Národnej rady Slovenskej republiky o Policajnom zbore |
145/1995 Z. z. | Zákon Národnej rady Slovenskej republiky o správnych poplatkoch |
4/2001 Z. z. | Zákon o Zbore väzenskej a justičnej stráže |
153/2001 Z. z. | Zákon o prokuratúre |
483/2001 Z. z. | Zákon o bankách a o zmene a doplnení niektorých zákonov |
395/2002 Z. z. | Zákon o archívoch a registratúrach a o doplnení niektorých zákonov |
417/2002 Z. z. | Zákon o používaní analýzy deoxyribonukleovej kyseliny na identifikáciu osôb |
586/2003 Z. z. | Zákon o advokácii a o zmene a doplnení zákona č. 455/1991 Zb. o živnostenskom podnikaní (živnostenský zákon) v znení neskorších predpisov |
541/2004 Z. z. | Zákon o mierovom využívaní jadrovej energie (atómový zákon) a o zmene a doplnení niektorých zákonov |
652/2004 Z. z. | Zákon o orgánoch štátnej správy v colníctve a o zmene a doplnení niektorých zákonov |
757/2004 Z. z. | Zákon o súdoch a o zmene a doplnení niektorých zákonov |
129/2010 Z. z. | Zákon o spotrebiteľských úveroch a o iných úveroch a pôžičkách pre spotrebiteľov a o zmene a doplnení niektorých zákonov |
39/2015 Z. z. | Zákon o poisťovníctve a o zmene a doplnení niektorých zákonov |
221/2019 Z. z. | Zákon, ktorým sa mení a dopĺňa zákon č. 177/2018 Z. z. o niektorých opatreniach na znižovanie administratívnej záťaže využívaním informačných systémov verejnej správy a o zmene a doplnení niektorých zákonov (zákon proti byrokracii) a ktorým sa menia a dopĺňajú niektoré zákony |
373/2021 Z. z. | Zákon, ktorým sa dopĺňa zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov a ktorým sa mení zákon č. 211/2000 Z. z. o slobodnom prístupe k informáciám a o zmene a doplnení niektorých zákonov (zákon o slobode informácií) v znení neskorších predpisov |
92/2022 Z. z. | Zákon o niektorých ďalších opatreniach v súvislosti so situáciou na Ukrajine |
7/2024 Z. z. | Zákon, ktorým sa mení a dopĺňa zákon č. 575/2001 Z. z. o organizácii činnosti vlády a organizácii ústrednej štátnej správy v znení neskorších predpisov a ktorým sa menia a dopĺňajú niektoré zákony |
109/2024 Z. z. | Zákon, ktorým sa menia a dopĺňajú niektoré zákony v súvislosti so zlepšovaním podnikateľského prostredia a znižovaním administratívnej záťaže |
122/2013 Z. z. | Zákon o ochrane osobných údajov a o zmene a doplnení niektorých zákonov |
164/2013 Z. z. | Vyhláška Úradu na ochranu osobných údajov Slovenskej republiky o rozsahu a dokumentácii bezpečnostných opatrení |
165/2013 Z. z. | Vyhláška Úradu na ochranu osobných údajov Slovenskej republiky, ktorou sa ustanovujú podrobnosti o skúške fyzickej osoby na výkon funkcie zodpovednej osoby |
18
ZÁKON
z 29. novembra 2017
o ochrane osobných údajov a o zmene a doplnení niektorých zákonov
Národná rada Slovenskej republiky sa uzniesla na tomto zákone:
Čl. I
PRVÁ ČASŤ
ZÁKLADNÉ USTANOVENIA
§ 1
Predmet úpravy
Tento zákon upravuje
a)
ochranu práv fyzických osôb pred neoprávneným spracúvaním ich osobných údajov,
b)
práva, povinnosti a zodpovednosť pri spracúvaní osobných údajov fyzických osôb,
c)
postavenie, pôsobnosť a organizáciu Úradu na ochranu osobných údajov Slovenskej republiky
(ďalej len „úrad“).
§ 2
Osobnými údajmi sú údaje týkajúce sa identifikovanej fyzickej osoby alebo identifikovateľnej
fyzickej osoby, ktorú možno identifikovať priamo alebo nepriamo, najmä na základe
všeobecne použiteľného identifikátora, iného identifikátora, ako je napríklad meno,
priezvisko, identifikačné číslo, lokalizačné údaje,1) alebo online identifikátor, alebo na základe jednej alebo viacerých charakteristík
alebo znakov, ktoré tvoria jej fyzickú identitu, fyziologickú identitu, genetickú
identitu, psychickú identitu, mentálnu identitu, ekonomickú identitu, kultúrnu identitu
alebo sociálnu identitu.
§ 3
Pôsobnosť
(1)
Tento zákon sa vzťahuje na spracúvanie osobných údajov vykonávané úplne alebo čiastočne
automatizovanými prostriedkami a na spracúvanie osobných údajov inými než automatizovanými
prostriedkami, ak ide o osobné údaje, ktoré tvoria súčasť informačného systému alebo
sú určené na to, aby tvorili súčasť informačného systému.
(2)
(3)
Tento zákon sa vzťahuje na spracúvanie osobných údajov Policajným zborom, Vojenskou
políciou, Zborom väzenskej a justičnej stráže, Finančnou správou, prokuratúrou a súdmi
(ďalej len „príslušný orgán“) na účely predchádzania a odhaľovania trestnej činnosti,
zisťovania páchateľov trestných činov, stíhania trestných činov alebo na účely výkonu
rozhodnutí v trestnom konaní vrátane ochrany pred ohrozením verejného poriadku a predchádzania
takémuto ohrozeniu (ďalej len „plnenie úloh na účely trestného konania“); z druhej
časti tohto zákona sa na spracúvanie osobných údajov podľa predchádzajúcej časti vety
vzťahujú len ustanovenia uvedené v § 52, § 59, § 67 a § 73.
(4)
Tento zákon sa vzťahuje na spracúvanie osobných údajov
a)
v rámci činnosti prevádzkovateľa alebo sprostredkovateľa, ktorého sídlo, miesto podnikania,
organizačná zložka, prevádzkareň alebo trvalý pobyt je na území Slovenskej republiky,
a to bez ohľadu na to, či sa spracúvanie osobných údajov vykonáva na území Slovenskej
republiky alebo mimo územia Slovenskej republiky,
b)
v rámci činnosti prevádzkovateľa alebo sprostredkovateľa, ktorého sídlo, miesto podnikania,
organizačná zložka, prevádzkareň alebo trvalý pobyt nie je na území Slovenskej republiky,
ale je v mieste, kde sa na základe medzinárodného práva verejného uplatňuje právny
poriadok Slovenskej republiky,
c)
dotknutej osoby, ktorá sa nachádza na území Slovenskej republiky, prevádzkovateľom
alebo sprostredkovateľom, ktorého sídlo, miesto podnikania, organizačná zložka, prevádzkareň
alebo trvalý pobyt nie je v členskom štáte, pričom spracúvanie osobných údajov súvisí
1.
s ponukou tovaru alebo služieb tejto dotknutej osobe na území Slovenskej republiky
bez ohľadu na to, či sa od dotknutej osoby vyžaduje platba alebo nie, alebo
2.
so sledovaním jej správania na území Slovenskej republiky.
(5)
Tento zákon sa nevzťahuje na spracúvanie osobných údajov
a)
fyzickou osobou v rámci výlučne osobnej činnosti alebo domácej činnosti,
c)
Národným bezpečnostným úradom na účely vykonávania bezpečnostných previerok a na
účely zabezpečovania podkladov na rozhodovanie Súdnej rady Slovenskej republiky o
splnení predpokladov sudcovskej spôsobilosti.5)
(6)
Tento zákon sa nevzťahuje na spracúvanie osobných údajov zosnulých osôb, ku spracovaniu
ktorých dochádza na vedecký účel, na štatistický účel, na účel umeleckej činnosti,
tlačového spravodajstva, rozhlasového a televízneho vysielania, archivácie, dokumentačnej
činnosti, historického výskumu, činností pohrebísk, umiestnenia pamätníkov a pamätných
tabúľ, konania spomienkových podujatí a piety v rozsahu nevyhnutnom pre jeho naplnenie.
§ 4
Voľný pohyb osobných údajov medzi Slovenskou republikou a členskými štátmi sa zaručuje;
Slovenská republika neobmedzí ani nezakáže prenos osobných údajov z dôvodu ochrany
základných práv fyzických osôb, najmä ich práva na súkromie v súvislosti so spracúvaním
ich osobných údajov.
§ 5
Vymedzenie základných pojmov
Na účely tohto zákona sa rozumie
a)
súhlasom dotknutej osoby akýkoľvek vážny a slobodne daný, konkrétny, informovaný
a jednoznačný prejav vôle dotknutej osoby vo forme vyhlásenia alebo jednoznačného
potvrdzujúceho úkonu, ktorým dotknutá osoba vyjadruje súhlas so spracúvaním svojich
osobných údajov,
b)
genetickými údajmi osobné údaje týkajúce sa zdedených genetických charakteristických
znakov fyzickej osoby alebo nadobudnutých genetických charakteristických znakov fyzickej
osoby, ktoré poskytujú jedinečné informácie o fyziológii alebo zdraví tejto fyzickej
osoby a ktoré vyplývajú najmä z analýzy biologickej vzorky danej fyzickej osoby,
c)
biometrickými údajmi osobné údaje, ktoré sú výsledkom osobitného technického spracúvania
osobných údajov týkajúcich sa fyzických charakteristických znakov fyzickej osoby,
fyziologických charakteristických znakov fyzickej osoby alebo behaviorálnych charakteristických
znakov fyzickej osoby a ktoré umožňujú jedinečnú identifikáciu alebo potvrdzujú jedinečnú
identifikáciu tejto fyzickej osoby, ako najmä vyobrazenie tváre alebo daktyloskopické
údaje,
d)
údajmi týkajúcimi sa zdravia osobné údaje týkajúce sa fyzického zdravia alebo duševného
zdravia fyzickej osoby vrátane údajov o poskytovaní zdravotnej starostlivosti alebo
služieb súvisiacich s poskytovaním zdravotnej starostlivosti, ktorými sa odhaľujú
informácie o jej zdravotnom stave,
e)
spracúvaním osobných údajov spracovateľská operácia alebo súbor spracovateľských
operácií s osobnými údajmi alebo so súbormi osobných údajov, najmä získavanie, zaznamenávanie,
usporadúvanie, štruktúrovanie, uchovávanie, zmena, vyhľadávanie, prehliadanie, využívanie,
poskytovanie prenosom, šírením alebo iným spôsobom, preskupovanie alebo kombinovanie,
obmedzenie, vymazanie, bez ohľadu na to, či sa vykonáva automatizovanými prostriedkami
alebo neautomatizovanými prostriedkami,
f)
obmedzením spracúvania osobných údajov označenie uchovávaných osobných údajov s cieľom
obmedziť ich spracúvanie v budúcnosti,
g)
profilovaním akákoľvek forma automatizovaného spracúvania osobných údajov spočívajúceho
v použití osobných údajov na vyhodnotenie určitých osobných znakov alebo charakteristík
týkajúcich sa fyzickej osoby, najmä na analýzu alebo predvídanie znakov alebo charakteristík
dotknutej osoby súvisiacich s jej výkonnosťou v práci, majetkovými pomermi, zdravím,
osobnými preferenciami, záujmami, spoľahlivosťou, správaním, polohou alebo pohybom,
h)
pseudonymizáciou spracúvanie osobných údajov spôsobom, že ich nie je možné priradiť
ku konkrétnej dotknutej osobe bez použitia dodatočných informácií, ak sa takéto dodatočné
informácie uchovávajú oddelene a vzťahujú sa na ne technické a organizačné opatrenia
na zabezpečenie toho, aby osobné údaje nebolo možné priradiť identifikovanej fyzickej
osobe alebo identifikovateľnej fyzickej osobe,
i)
logom záznam o priebehu činnosti používateľa v automatizovanom informačnom systéme,
j)
šifrovaním transformácia osobných údajov spôsobom, ktorým opätovné spracúvanie je
možné len po zadaní zvoleného parametra, ako je kľúč alebo heslo,
k)
online identifikátorom identifikátor poskytnutý aplikáciou, nástrojom alebo protokolom,
najmä IP adresa, cookies, prihlasovacie údaje do online služieb, rádiofrekvenčná identifikácia,
ktoré môžu zanechávať stopy, ktoré sa najmä v kombinácii s jedinečnými identifikátormi
alebo inými informáciami môžu použiť na vytvorenie profilu dotknutej osoby a na jej
identifikáciu,
l)
informačným systémom akýkoľvek usporiadaný súbor osobných údajov, ktoré sú prístupné
podľa určených kritérií, bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný
alebo distribuovaný na funkčnom základe alebo geografickom základe,
m)
porušením ochrany osobných údajov porušenie bezpečnosti, ktoré vedie k náhodnému
alebo nezákonnému zničeniu, strate, zmene alebo k neoprávnenému poskytnutiu prenášaných,
uchovávaných osobných údajov alebo inak spracúvaných osobných údajov, alebo k neoprávnenému
prístupu k nim,
n)
dotknutou osobou každá fyzická osoba, ktorej osobné údaje sa spracúvajú,
o)
prevádzkovateľom každý, kto sám alebo spoločne s inými vymedzí účel a prostriedky
spracúvania osobných údajov a spracúva osobné údaje vo vlastnom mene; prevádzkovateľ
alebo konkrétne požiadavky na jeho určenie môžu byť ustanovené v osobitnom predpise
alebo medzinárodnej zmluve, ktorou je Slovenská republika viazaná, ak takýto predpis
alebo táto zmluva ustanovuje účel a prostriedky spracúvania osobných údajov,
p)
sprostredkovateľom každý, kto spracúva osobné údaje v mene prevádzkovateľa,
q)
príjemcom každý, komu sa osobné údaje poskytnú bez ohľadu na to, či je treťou stranou;
za príjemcu sa nepovažuje orgán verejnej moci, ktorý spracúva osobné údaje na základe
osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná,
v súlade s pravidlami ochrany osobných údajov vzťahujúcimi sa na daný účel spracúvania
osobných údajov,
r)
treťou stranou každý, kto nie je dotknutou osobou, prevádzkovateľ, sprostredkovateľ
alebo inou fyzickou osobou, ktorá na základe poverenia prevádzkovateľa alebo sprostredkovateľa
spracúva osobné údaje,
s)
zodpovednou osobou osoba určená prevádzkovateľom alebo sprostredkovateľom, ktorá
plní úlohy podľa tohto zákona,
t)
zástupcom fyzická osoba alebo právnická osoba so sídlom, miestom podnikania, organizačnou
zložkou, prevádzkarňou alebo trvalým pobytom v členskom štáte, ktorú prevádzkovateľ
alebo sprostredkovateľ písomne poveril podľa § 35,
u)
podnikom fyzická osoba – podnikateľ alebo právnická osoba vykonávajúca hospodársku
činnosť bez ohľadu na jej právnu formu vrátane združení fyzických osôb alebo združení
právnických osôb, ktoré pravidelne vykonávajú hospodársku činnosť,
v)
skupinou podnikov ovládajúci podnik a ním ovládané podniky,
w)
hlavnou prevádzkarňou
1.
miesto centrálnej správy prevádzkovateľa v Európskej únii, ak ide o prevádzkovateľa
s prevádzkarňami vo viac než jednom členskom štáte, okrem prípadu, keď sa rozhodnutia
o účeloch a prostriedkoch spracúvania osobných údajov prijímajú v inej prevádzkarni
prevádzkovateľa v Európskej únii a táto iná prevádzkareň má právomoc presadiť vykonanie
takýchto rozhodnutí, pričom v takom prípade sa za hlavnú prevádzkareň považuje prevádzkareň,
ktorá takéto rozhodnutia prijala,
2.
miesto centrálnej správy sprostredkovateľa v Európskej únii, ak ide o sprostredkovateľa
s prevádzkarňami vo viac než jednom členskom štáte alebo ak sprostredkovateľ nemá
centrálnu správu v Európskej únii, prevádzkareň sprostredkovateľa v Európskej únii,
v ktorej sa v kontexte činností prevádzkarne sprostredkovateľa uskutočňujú hlavné
spracovateľské činnosti, a to v rozsahu, v akom sa na sprostredkovateľa vzťahujú osobitné
povinnosti podľa tohto zákona,
x)
vnútropodnikovými pravidlami postupy ochrany osobných údajov, ktoré dodržiava prevádzkovateľ
alebo sprostredkovateľ so sídlom, miestom podnikania, organizačnou zložkou, prevádzkarňou
alebo trvalým pobytom na území Slovenskej republiky na účely prenosu osobných údajov
prevádzkovateľovi alebo sprostredkovateľovi v tretej krajine,
y)
kódexom správania súbor pravidiel ochrany osobných údajov dotknutej osoby, ktorý
sa prevádzkovateľ alebo sprostredkovateľ zaviazal dodržiavať,
z)
medzinárodnou organizáciou organizácia a jej podriadené subjekty, ktoré sa riadia
medzinárodným právom verejným, alebo akýkoľvek iný subjekt, ktorý bol zriadený dohodou
medzi dvoma alebo viacerými krajinami alebo na základe takejto dohody,
aa)
členským štátom štát, ktorý je členským štátom Európskej únie alebo zmluvnou stranou
Dohody o Európskom hospodárskom priestore,
ab)
treťou krajinou krajina, ktorá nie je členským štátom,
DRUHÁ ČASŤ
VŠEOBECNÉ PRAVIDLÁ OCHRANY OSOBNÝCH ÚDAJOV FYZICKÝCH OSÔB PRI ICH SPRACÚVANÍ
PRVÁ HLAVA
ZÁSADY SPRACÚVANIA OSOBNÝCH ÚDAJOV
§ 6
Zásada zákonnosti
Osobné údaje možno spracúvať len zákonným spôsobom a tak, aby nedošlo k porušeniu
základných práv dotknutej osoby.
§ 7
Zásada obmedzenia účelu
Osobné údaje sa môžu získavať len na konkrétne určený, výslovne uvedený a oprávnený
účel a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmto účelom;
ďalšie spracúvanie osobných údajov na účel archivácie, na vedecký účel, na účel historického
výskumu alebo na štatistický účel, ak je v súlade s osobitným predpisom8) a ak sú dodržané primerané záruky ochrany práv dotknutej osoby podľa § 78 ods. 8, sa nepovažuje za nezlučiteľné s pôvodným účelom.
§ 8
Zásada minimalizácie osobných údajov
Spracúvané osobné údaje musia byť primerané, relevantné a obmedzené na nevyhnutný
rozsah daný účelom, na ktorý sa spracúvajú.
§ 9
Zásada správnosti
Spracúvané osobné údaje musia byť správne a podľa potreby aktualizované; musia sa
prijať primerané a účinné opatrenia na zabezpečenie toho, aby sa osobné údaje, ktoré
sú nesprávne z hľadiska účelov, na ktoré sa spracúvajú, bez zbytočného odkladu vymazali
alebo opravili.
§ 10
Zásada minimalizácie uchovávania
Osobné údaje musia byť uchovávané vo forme, ktorá umožňuje identifikáciu dotknutej
osoby najneskôr dovtedy, kým je to potrebné na účel, na ktorý sa osobné údaje spracúvajú;
osobné údaje sa môžu uchovávať dlhšie, ak sa majú spracúvať výlučne na účel archivácie,
na vedecký účel, na účel historického výskumu alebo na štatistický účel na základe
osobitného predpisu8) a ak sú dodržané primerané záruky ochrany práv dotknutej osoby podľa § 78 ods. 8.
§ 11
Zásada integrity a dôvernosti
Osobné údaje musia byť spracúvané spôsobom, ktorý prostredníctvom primeraných technických
a organizačných opatrení zaručuje primeranú bezpečnosť osobných údajov vrátane ochrany
pred neoprávneným spracúvaním osobných údajov, nezákonným spracúvaním osobných údajov,
náhodnou stratou osobných údajov, výmazom osobných údajov alebo poškodením osobných
údajov.
§ 12
Zásada zodpovednosti
Prevádzkovateľ je zodpovedný za dodržiavanie základných zásad spracúvania osobných
údajov, za súlad spracúvania osobných údajov so zásadami spracúvania osobných údajov
a je povinný tento súlad so zásadami spracúvania osobných údajov na požiadanie úradu
preukázať.
§ 13
Zákonnosť spracúvania
(1)
Spracúvanie osobných údajov je zákonné, ak sa vykonáva na základe aspoň jedného z
týchto právnych základov:
a)
dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov aspoň na jeden
konkrétny účel,
b)
spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou
je dotknutá osoba, alebo na vykonanie opatrenia pred uzatvorením zmluvy na základe
žiadosti dotknutej osoby,
c)
spracúvanie osobných údajov je nevyhnutné podľa osobitného predpisu alebo medzinárodnej
zmluvy, ktorou je Slovenská republika viazaná,
d)
spracúvanie osobných údajov je nevyhnutné na ochranu života, zdravia alebo majetku
dotknutej osoby alebo inej fyzickej osoby,
e)
spracúvanie osobných údajov je nevyhnutné na splnenie úlohy realizovanej vo verejnom
záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi, alebo
f)
spracúvanie osobných údajov je nevyhnutné na účel oprávnených záujmov prevádzkovateľa
alebo tretej strany okrem prípadov, keď nad týmito záujmami prevažujú záujmy alebo
práva dotknutej osoby vyžadujúce si ochranu osobných údajov, najmä ak je dotknutou
osobou dieťa; tento právny základ sa nevzťahuje na spracúvanie osobných údajov orgánmi
verejnej moci pri plnení ich úloh.
(2)
Právny základ na spracúvanie osobných údajov podľa odseku 1 písm. c) a e) musí byť
ustanovený v tomto zákone, osobitnom predpise alebo v medzinárodnej zmluve, ktorou
je Slovenská republika viazaná; osobitný zákon musí ustanovovať účel spracúvania osobných
údajov, kategóriu dotknutých osôb a zoznam spracúvaných osobných údajov alebo rozsah
spracúvaných osobných údajov. Spracúvané osobné údaje na základe osobitného zákona
možno z informačného systému poskytnúť, preniesť alebo zverejniť len vtedy, ak osobitný
zákon ustanovuje účel poskytovania alebo účel zverejňovania, zoznam spracúvaných osobných
údajov alebo rozsah spracúvaných osobných údajov, ktoré možno poskytnúť alebo zverejniť,
prípadne príjemcov, ktorým sa osobné údaje poskytnú.
(3)
Ak spracúvanie osobných údajov na iný účel ako na účel, na ktorý boli osobné údaje
získané, nie je založené na súhlase dotknutej osoby alebo na osobitnom predpise, prevádzkovateľ
na zistenie toho, či je spracúvanie osobných údajov na iný účel zlučiteľné s účelom,
na ktorý boli osobné údaje pôvodne získané, okrem iného musí zohľadniť
a)
akúkoľvek súvislosť medzi účelom, na ktorý sa osobné údaje pôvodne získali, a účelom
zamýšľaného ďalšieho spracúvania osobných údajov,
b)
okolnosti, za akých sa osobné údaje získali, najmä okolnosti týkajúce sa vzťahu medzi
dotknutou osobou a prevádzkovateľom,
c)
d)
možné následky zamýšľaného ďalšieho spracúvania osobných údajov pre dotknutú osobu
a
e)
existenciu primeraných záruk, ktoré môžu zahŕňať šifrovanie alebo pseudonymizáciu.
§ 14
Podmienky poskytnutia súhlasu so spracúvaním osobných údajov
(1)
Ak je spracúvanie osobných údajov založené na súhlase dotknutej osoby, prevádzkovateľ
je povinný kedykoľvek vedieť preukázať, že dotknutá osoba poskytla súhlas so spracúvaním
svojich osobných údajov.
(2)
Ak prevádzkovateľ žiada o udelenie súhlasu na spracovanie osobných údajov dotknutú
osobu, tento súhlas musí byť odlíšený od iných skutočností a musí byť vyjadrený jasne
a v zrozumiteľnej a ľahko dostupnej forme.
(3)
Dotknutá osoba má právo kedykoľvek odvolať súhlas so spracovaním osobných údajov,
ktoré sa jej týkajú. Odvolanie súhlasu nemá vplyv na zákonnosť spracúvania osobných
údajov založeného na súhlase pred jeho odvolaním; pred poskytnutím súhlasu musí byť
dotknutá osoba o tejto skutočnosti informovaná. Dotknutá osoba môže súhlas odvolať
rovnakým spôsobom, akým súhlas udelila.
(4)
Pri posudzovaní, či bol súhlas poskytnutý slobodne, sa najmä zohľadní skutočnosť,
či sa plnenie zmluvy vrátane poskytnutia služby podmieňuje súhlasom so spracúvaním
osobných údajov, ktorý nie je na plnenie tejto zmluvy nevyhnutný.
§ 15
Podmienky poskytnutia súhlasu v súvislosti so službami informačnej spoločnosti
(1)
Prevádzkovateľ v súvislosti s ponukou služieb informačnej spoločnosti9) spracúva osobné údaje na základe súhlasu dotknutej osoby zákonne, ak dotknutá osoba
dovŕšila 16 rokov veku. Ak má dotknutá osoba menej ako 16 rokov, takéto spracúvanie
osobných údajov je zákonné iba za podmienky a v rozsahu, v akom takýto súhlas poskytol
alebo schválil jej zákonný zástupca.10)
(2)
Prevádzkovateľ je povinný vynaložiť primerané úsilie, aby si overil, že zákonný zástupca
dotknutej osoby poskytol alebo schválil súhlas so spracúvaním osobných údajov podľa
odseku 1, pričom zohľadní dostupnú technológiu.
§ 16
Spracúvanie osobitných kategórií osobných údajov
(1)
Zakazuje sa spracúvanie osobitných kategórií osobných údajov. Osobitnými kategóriami
osobných údajov sú údaje, ktoré odhaľujú rasový pôvod alebo etnický pôvod, politické
názory, náboženskú vieru, filozofické presvedčenie, členstvo v odborových organizáciách,
genetické údaje, biometrické údaje, údaje týkajúce sa zdravia alebo údaje týkajúce
sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby.
(2)
Zákaz spracúvania osobitných kategórií osobných údajov neplatí, ak
a)
dotknutá osoba vyjadrila výslovný súhlas so spracúvaním týchto osobných údajov aspoň
na jeden konkrétny účel; súhlas je neplatný, ak jeho poskytnutie vylučuje osobitný
predpis,
b)
spracúvanie je nevyhnutné na účel plnenia povinností a výkonu osobitných práv prevádzkovateľa
alebo dotknutej osoby v oblasti pracovného práva, práva sociálneho zabezpečenia, sociálnej
ochrany alebo verejného zdravotného poistenia podľa osobitného predpisu,11) medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, alebo podľa kolektívnej
zmluvy, ak poskytujú primerané záruky ochrany základných práv a záujmov dotknutej
osoby,
c)
spracúvanie je nevyhnutné na ochranu života, zdravia alebo majetku dotknutej osoby
alebo inej fyzickej osoby, ak dotknutá osoba nie je fyzicky spôsobilá alebo právne
spôsobilá vyjadriť svoj súhlas,
d)
spracúvanie vykonáva v rámci oprávnenej činnosti občianske združenie, nadácia alebo
nezisková organizácia poskytujúca všeobecne prospešné služby, politická strana alebo
politické hnutie, odborová organizácia, štátom uznaná cirkev alebo náboženská spoločnosť
a toto spracúvanie sa týka iba ich členov alebo tých fyzických osôb, ktoré sú s nimi
vzhľadom na ich ciele v pravidelnom styku, osobné údaje slúžia výlučne pre ich vnútornú
potrebu a nebudú poskytnuté príjemcovi bez písomného alebo inak hodnoverne preukázateľného
súhlasu dotknutej osoby,
e)
spracúvanie sa týka osobných údajov, ktoré dotknutá osoba preukázateľne zverejnila,
f)
spracúvanie je nevyhnutné na uplatnenie právneho nároku,12) alebo pri výkone súdnej právomoci,
g)
spracúvanie je nevyhnutné z dôvodu verejného záujmu na základe tohto zákona, osobitného
predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ktoré
sú primerané vzhľadom na sledovaný cieľ, rešpektujú podstatu práva na ochranu osobných
údajov a ustanovujú vhodné a konkrétne opatrenia na zabezpečenie základných práv a
záujmov dotknutej osoby,
h)
spracúvanie je nevyhnutné na účel preventívneho pracovného lekárstva, poskytovania
zdravotnej starostlivosti a služieb súvisiacich s poskytovaním zdravotnej starostlivosti
alebo na účel vykonávania verejného zdravotného poistenia, ak tieto údaje spracúva
poskytovateľ zdravotnej starostlivosti, zdravotná poisťovňa, osoba vykonávajúca služby
súvisiace s poskytovaním zdravotnej starostlivosti alebo osoba vykonávajúca dohľad
nad zdravotnou starostlivosťou a v jej mene odborne spôsobilá oprávnená osoba, ktorá
je viazaná povinnosťou mlčanlivosti o skutočnostiach, o ktorých sa dozvedela pri výkone
svojej činnosti, a povinnosťou dodržiavať zásady profesijnej etiky,
i)
spracúvanie je nevyhnutné na účel sociálneho poistenia, sociálneho zabezpečenia policajtov
a vojakov, poskytovania štátnych sociálnych dávok, podpory sociálneho začlenenia fyzickej
osoby s ťažkým zdravotným postihnutím do spoločnosti,13) poskytovania sociálnych služieb, vykonávania opatrení sociálnoprávnej ochrany detí
a sociálnej kurately alebo na účel poskytovania pomoci v hmotnej núdzi, alebo je spracúvanie
nevyhnutné na účel plnenia povinností alebo uplatnenia práv prevádzkovateľa zodpovedného
za spracúvanie v oblasti pracovného práva a v oblasti služieb zamestnanosti, ak to
prevádzkovateľovi vyplýva z osobitného predpisu14) alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná,
j)
spracúvanie je nevyhnutné z dôvodu verejného záujmu v oblasti verejného zdravia,
ako je ochrana proti závažným cezhraničným ohrozeniam zdravia alebo zabezpečenie vysokej
úrovne kvality a bezpečnosti zdravotnej starostlivosti, liekov, dietetických potravín
alebo zdravotníckych pomôcok, na základe tohto zákona, osobitného predpisu alebo medzinárodnej
zmluvy, ktorou je Slovenská republika viazaná, ktorými sa ustanovujú vhodné a konkrétne
opatrenia na ochranu práv dotknutej osoby, najmä povinnosť mlčanlivosti,15)
k)
spracúvanie je nevyhnutné na účel archivácie, na vedecký účel, na účel historického
výskumu alebo na štatistický účel podľa tohto zákona, osobitného predpisu alebo medzinárodnej
zmluvy, ktorou je Slovenská republika viazaná, ktoré sú primerané vzhľadom na sledovaný
cieľ, rešpektujú podstatu práva na ochranu osobných údajov a ustanovené vhodné a konkrétne
opatrenia na zabezpečenie základných práv a záujmov dotknutej osoby.
§ 17
Spracúvanie osobných údajov týkajúcich sa uznania viny za spáchanie trestného činu
alebo priestupku
Prevádzkovateľom na účel spracúvania osobných údajov v registri trestov podľa osobitného
predpisu16) môže byť len štátny orgán. Spracúvať osobné údaje týkajúce sa uznania viny za spáchanie
trestného činu alebo priestupku alebo súvisiacich bezpečnostných opatrení možno len
na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika
viazaná, ktoré poskytujú primerané záruky ochrany práv dotknutej osoby.
§ 18
Spracúvanie osobných údajov bez potreby identifikácie
(1)
Ak si účel, na ktorý prevádzkovateľ spracúva osobné údaje, vyžaduje alebo vyžadoval
od prevádzkovateľa, aby identifikoval dotknutú osobu, prevádzkovateľ nie je povinný
uchovávať, získať alebo spracúvať dodatočné informácie na zistenie totožnosti dotknutej
osoby výlučne na to, aby dosiahol súlad s týmto zákonom.
(2)
Ak v prípadoch uvedených v odseku 1 prevádzkovateľ vie preukázať, že dotknutú osobu
nie je schopný identifikovať, je povinný ju o tom primeraným spôsobom informovať,
ak je to možné. V takých prípadoch sa § 21 až 26 neuplatňujú okrem toho, ak dotknutá osoba na účel vykonania svojich práv podľa uvedených
ustanovení poskytne dodatočné informácie umožňujúce jej identifikáciu.
DRUHÁ HLAVA
PRÁVA DOTKNUTEJ OSOBY
PRVÝ DIEL
INFORMÁCIE A PRÍSTUP K OSOBNÝM ÚDAJOM
§ 19
Poskytované informácie, ak osobné údaje sú získané od dotknutej osoby
(1)
Ak sa od dotknutej osoby získavajú osobné údaje, ktoré sa jej týkajú, je prevádzkovateľ
povinný poskytnúť dotknutej osobe pri ich získavaní
a)
identifikačné údaje a kontaktné údaje prevádzkovateľa a zástupcu prevádzkovateľa,
ak bol poverený,
b)
kontaktné údaje zodpovednej osoby, ak je určená,
c)
účel spracúvania osobných údajov, na ktorý sú osobné údaje určené, ako aj právny
základ spracúvania osobných údajov,
d)
oprávnené záujmy prevádzkovateľa alebo tretej strany, ak sa osobné údaje spracúvajú
podľa
§ 13 ods. 1 písm. f),
§ 13 ods. 1 písm. f),
e)
identifikáciu príjemcu alebo kategóriu príjemcu, ak existuje,
f)
informáciu o tom, že prevádzkovateľ zamýšľa preniesť osobné údaje do tretej krajiny
alebo medzinárodnej organizácii, identifikáciu tretej krajiny alebo medzinárodnej
organizácie, informáciu o existencii alebo neexistencii rozhodnutia Európskej komisie
(ďalej len „Komisia“) o primeranosti alebo odkaz na primerané záruky alebo vhodné
záruky a prostriedky na získanie ich kópie alebo informáciu o tom, kde boli sprístupnené,
ak prevádzkovateľ zamýšľa prenos podľa § 48 ods. 2, § 49 alebo § 51 ods. 1 a 2.
(2)
Okrem informácií podľa odseku 1 je prevádzkovateľ povinný pri získavaní osobných
údajov poskytnúť dotknutej osobe informácie o
a)
dobe uchovávania osobných údajov; ak to nie je možné, informácie o kritériách jej
určenia,
b)
práve požadovať od prevádzkovateľa prístup k osobným údajom týkajúcich sa dotknutej
osoby, o práve na opravu osobných údajov, o práve na vymazanie osobných údajov alebo
o práve na obmedzenie spracúvania osobných údajov, o práve namietať spracúvanie osobných
údajov, ako aj o práve na prenosnosť osobných údajov,
c)
práve kedykoľvek svoj súhlas odvolať,
d)
práve podať návrh na začatie konania podľa § 100,
e)
tom, či je poskytovanie osobných údajov zákonnou požiadavkou alebo zmluvnou požiadavkou
alebo požiadavkou, ktorá je potrebná na uzavretie zmluvy, a o tom, či je dotknutá
osoba povinná poskytnúť osobné údaje, ako aj o možných následkoch neposkytnutia osobných
údajov,
f)
existencii automatizovaného individuálneho rozhodovania vrátane profilovania podľa
§ 28 ods. 1 a 4; v týchto prípadoch poskytne prevádzkovateľ dotknutej osobe informácie o použitom
postupe, ako aj o význame a predpokladaných dôsledkoch takého spracúvania osobných
údajov pre dotknutú osobu.
(3)
Prevádzkovateľ je povinný poskytnúť dotknutej osobe pred ďalším spracúvaním osobných
údajov informácie o inom účele a ďalšie relevantné informácie podľa odseku 2, ak má
prevádzkovateľ v úmysle ďalej spracúvať osobné údaje na iný účel ako ten, na ktorý
boli získané.
(4)
Odseky 1 až 3 sa neuplatňujú v rozsahu, v akom boli informácie dotknutej osobe poskytnuté
pred spracúvaním osobných údajov.
§ 20
Poskytované informácie, ak osobné údaje nie sú získané od dotknutej osoby
(1)
Ak osobné údaje neboli získané od dotknutej osoby, prevádzkovateľ je povinný dotknutej
osobe poskytnúť
a)
identifikačné údaje a kontaktné údaje prevádzkovateľa a zástupcu prevádzkovateľa,
ak bol poverený,
b)
kontaktné údaje zodpovednej osoby, ak je určená,
c)
účel spracúvania osobných údajov, na ktorý sú osobné údaje určené, ako aj právny
základ spracúvania osobných údajov,
d)
kategórie spracúvaných osobných údajov,
e)
identifikáciu príjemcu alebo kategóriu príjemcu, ak existuje,
f)
informáciu o tom, že prevádzkovateľ zamýšľa preniesť osobné údaje do tretej krajiny
alebo medzinárodnej organizácii, identifikáciu tretej krajiny alebo medzinárodnej
organizácie, informáciu o existencii alebo neexistencii rozhodnutia Komisie o primeranosti
alebo odkaz na primerané záruky alebo vhodné záruky a prostriedky na získanie ich
kópie alebo informáciu o tom, kde boli sprístupnené, ak prevádzkovateľ zamýšľa prenos
podľa § 48 ods. 2, § 49 alebo
§ 51 ods. 1 a 2.
§ 51 ods. 1 a 2.
(2)
Okrem informácií podľa odseku 1 je prevádzkovateľ povinný poskytnúť dotknutej osobe
informácie o
a)
dobe uchovávania osobných údajov; ak to nie je možné, informáciu o kritériách jej
určenia,
b)
oprávnených záujmoch prevádzkovateľa alebo tretej strany, ak sa spracúvajú osobné
údaje podľa § 13 ods. 1 písm. f),
c)
práve požadovať od prevádzkovateľa prístup k osobným údajom týkajúcich sa dotknutej
osoby o práve na opravu osobných údajov, o práve na vymazanie osobných údajov alebo
o práve na obmedzenie spracúvania osobných údajov, o práve namietať spracúvanie osobných
údajov, ako aj o práve na prenosnosť osobných údajov,
d)
práve kedykoľvek svoj súhlas odvolať,
e)
práve podať návrh na začatie konania podľa § 100,
f)
zdroji, z ktorého pochádzajú osobné údaje, prípadne informácie o tom, či pochádzajú
z verejne prístupných zdrojov,
g)
existencii automatizovaného individuálneho rozhodovania vrátane profilovania podľa
§ 28 ods. 1 a 4; v týchto prípadoch poskytne prevádzkovateľ dotknutej osobe informácie o použitom
postupe, ako aj o význame automatizovaného individuálneho rozhodovania a predpokladaných
dôsledkoch takého spracúvania osobných údajov pre dotknutú osobu.
(3)
Prevádzkovateľ je povinný poskytnúť informácie podľa odsekov 1 a 2
a)
najneskôr do jedného mesiaca po získaní osobných údajov, pričom zohľadní konkrétne
okolnosti, za ktorých sa osobné údaje spracúvajú,
b)
najneskôr v čase prvej komunikácie s touto dotknutou osobou, ak sa osobné údaje majú
použiť na komunikáciu s dotknutou osobou, alebo
c)
najneskôr vtedy, keď sa osobné údaje prvýkrát poskytnú, ak sa predpokladá poskytnutie
osobných údajov ďalšiemu príjemcovi.
(4)
Prevádzkovateľ je povinný poskytnúť dotknutej osobe pred ďalším spracúvaním osobných
údajov informácie o inom účele a ďalšie relevantné informácie podľa odseku 2, ak má
prevádzkovateľ v úmysle ďalej spracúvať osobné údaje na iný účel ako ten, na ktorý
boli získané.
(5)
Odseky 1 až 4 sa neuplatňujú
a)
v rozsahu, v akom dotknutá osoba už dané informácie má,
b)
v rozsahu, v akom sa poskytovanie týchto informácií ukáže ako nemožné alebo by si
vyžadovalo neprimerané úsilie, najmä ak sa spracúvajú osobné údaje na účel archivácie,
na vedecký účel, na účel historického výskumu alebo na štatistický účel, na ktorý
sa vzťahujú podmienky a záruky podľa § 78 ods. 8, alebo ak je pravdepodobné, že povinnosť uvedená v odseku 1 znemožní alebo závažným
spôsobom sťaží dosiahnutie cieľov takého spracúvania osobných údajov; prevádzkovateľ
je v takom prípade povinný prijať vhodné opatrenia na ochranu práv a oprávnených záujmov
dotknutej osoby vrátane sprístupnenia daných informácií verejnosti,
c)
v rozsahu, v akom sa získanie týchto informácií alebo poskytnutie týchto informácií
ustanovuje v osobitnom predpise, ktorý sa na prevádzkovateľa vzťahuje a v ktorom sú
ustanovené primerané opatrenia na ochranu práv a oprávnených záujmov dotknutej osoby,
alebo
d)
ak osobné údaje musia zostať dôverné na základe povinnosti mlčanlivosti podľa osobitného
predpisu.15)
§ 21
Právo na prístup k osobným údajom
(1)
Dotknutá osoba má právo získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú
osobné údaje, ktoré sa jej týkajú. Ak prevádzkovateľ takéto osobné údaje spracúva,
dotknutá osoba má právo získať prístup k týmto osobným údajom a informácie o
a)
účele spracúvania osobných údajov,
b)
kategórii spracúvaných osobných údajov,
c)
identifikácii príjemcu alebo o kategórii príjemcu, ktorému boli alebo majú byť osobné
údaje poskytnuté, najmä o príjemcovi v tretej krajine alebo o medzinárodnej organizácii,
ak je to možné,
d)
dobe uchovávania osobných údajov; ak to nie je možné, informáciu o kritériách jej
určenia,
e)
práve požadovať od prevádzkovateľa opravu osobných údajov týkajúcich sa dotknutej
osoby, ich vymazanie alebo obmedzenie ich spracúvania, alebo o práve namietať spracúvanie
osobných údajov,
f)
práve podať návrh na začatie konania podľa § 100,
g)
zdroji osobných údajov, ak sa osobné údaje nezískali od dotknutej osoby,
h)
existencii automatizovaného individuálneho rozhodovania vrátane profilovania podľa
§ 28 ods. 1 a 4; v týchto prípadoch poskytne prevádzkovateľ dotknutej osobe informácie najmä o použitom
postupe, ako aj o význame a predpokladaných dôsledkoch takého spracúvania osobných
údajov pre dotknutú osobu.
(2)
Dotknutá osoba má právo byť informovaná o primeraných zárukách týkajúcich sa prenosu
podľa § 48 ods. 2 až 4, ak sa osobné údaje prenášajú do tretej krajiny alebo medzinárodnej organizácii.
(3)
Prevádzkovateľ je povinný poskytnúť dotknutej osobe jej osobné údaje, ktoré spracúva.
Za opakované poskytnutie osobných údajov, o ktoré dotknutá osoba požiada, môže prevádzkovateľ
účtovať primeraný poplatok zodpovedajúci administratívnym nákladom. Prevádzkovateľ
je povinný poskytnúť osobné údaje dotknutej osobe spôsobom podľa jej požiadavky.
(4)
Právo získať osobné údaje podľa odseku 3 nesmie mať nepriaznivé dôsledky na práva
iných fyzických osôb.
DRUHÝ DIEL
OPRAVA A VYMAZANIE A OBMEDZENIE SPRACÚVANIA OSOBNÝCH ÚDAJOV
§ 22
Právo na opravu osobných údajov
Dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu opravil nesprávne
osobné údaje, ktoré sa jej týkajú. So zreteľom na účel spracúvania osobných údajov
má dotknutá osoba právo na doplnenie neúplných osobných údajov.
§ 23
Právo na výmaz osobných údajov
(1)
Dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu vymazal
osobné údaje, ktoré sa jej týkajú.
(2)
Prevádzkovateľ je povinný bez zbytočného odkladu vymazať osobné údaje, ak dotknutá
osoba uplatnila právo na výmaz podľa odseku 1, ak
a)
osobné údaje už nie sú potrebné na účel, na ktorý sa získali alebo inak spracúvali,
b)
dotknutá osoba odvolá súhlas podľa § 13 ods. 1 písm. a) alebo § 16 ods. 2 písm. a), na základe ktorého sa spracúvanie osobných údajov vykonáva, a neexistuje iný právny
základ pre spracúvanie osobných údajov,
c)
dotknutá osoba namieta spracúvanie osobných údajov podľa § 27 ods. 1 a neprevažujú žiadne oprávnené dôvody na spracúvanie osobných údajov alebo dotknutá
osoba namieta spracúvanie osobných údajov podľa § 27 ods. 2,
d)
osobné údaje sa spracúvajú nezákonne,
e)
je dôvodom pre výmaz splnenie povinnosti podľa tohto zákona, osobitného predpisu
alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, alebo
f)
sa osobné údaje získavali v súvislosti s ponukou služieb informačnej spoločnosti
podľa § 15 ods. 1.
(3)
Ak prevádzkovateľ zverejnil osobné údaje a je povinný ich podľa odseku 1 vymazať,
je zároveň povinný prijať primerané bezpečnostné opatrenia vrátane technických opatrení
so zreteľom na dostupnú technológiu a náklady na ich vykonanie na účel informovania
ostatných prevádzkovateľov, ktorí spracúvajú osobné údaje dotknutej osoby o jej žiadosti,
aby títo prevádzkovatelia vymazali odkazy na jej osobné údaje a ich kópie alebo odpisy.
(4)
Odseky 1 a 2 sa neuplatňujú, ak je spracúvanie osobných údajov potrebné
a)
na uplatnenie práva na slobodu prejavu alebo práva na informácie,
b)
na splnenie povinnosti podľa tohto zákona, osobitného predpisu alebo medzinárodnej
zmluvy, ktorou je Slovenská republika viazaná, alebo na splnenie úlohy realizovanej
vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi,
c)
z dôvodov verejného záujmu v oblasti verejného zdravia v súlade s § 16 ods. 2 písm. h) až j),
d)
na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický
účel podľa § 78 ods. 8, ak je pravdepodobné, že právo podľa odseku 1 znemožní alebo závažným spôsobom sťaží
dosiahnutie cieľov takého spracúvania, alebo
e)
na uplatnenie právneho nároku.
§ 24
Právo na obmedzenie spracúvania osobných údajov
(1)
Dotknutá osoba má právo na to, aby prevádzkovateľ obmedzil spracúvanie osobných údajov,
ak
a)
dotknutá osoba namieta správnosť osobných údajov, a to počas obdobia umožňujúceho
prevádzkovateľovi overiť správnosť osobných údajov,
b)
spracúvanie osobných údajov je nezákonné a dotknutá osoba namieta vymazanie osobných
údajov a žiada namiesto toho obmedzenie ich použitia,
c)
prevádzkovateľ už nepotrebuje osobné údaje na účel spracúvania osobných údajov, ale
potrebuje ich dotknutá osoba na uplatnenie právneho nároku, alebo
d)
dotknutá osoba namieta spracúvanie osobných údajov podľa § 27 ods. 1, a to až do overenia, či oprávnené dôvody na strane prevádzkovateľa prevažujú nad
oprávnenými dôvodmi dotknutej osoby.
(2)
Ak sa spracúvanie osobných údajov obmedzilo podľa odseku 1, okrem uchovávania môže
osobné údaje prevádzkovateľ spracúvať len so súhlasom dotknutej osoby alebo na účel
uplatnenia právneho nároku, na ochranu osôb alebo z dôvodov verejného záujmu.
(3)
Dotknutú osobu, ktorej spracúvanie osobných údajov sa obmedzí podľa odseku 1, je
prevádzkovateľ povinný informovať pred tým, ako bude obmedzenie spracúvania osobných
údajov zrušené.
§ 25
Oznamovacia povinnosť v súvislosti s opravou, vymazaním alebo obmedzením spracúvania
osobných údajov
(1)
Prevádzkovateľ je povinný oznámiť príjemcovi opravu osobných údajov, vymazanie osobných
údajov alebo obmedzenie spracúvania osobných údajov uskutočnené podľa § 22, § 23 ods. 1 alebo § 24, ak sa to neukáže ako nemožné alebo si to nevyžaduje neprimerané úsilie.
(2)
Prevádzkovateľ o príjemcoch podľa odseku 1 informuje dotknutú osobu, ak to dotknutá
osoba požaduje.
TRETÍ DIEL
PRÁVO NA PRENOSNOSŤ, PRÁVO NAMIETAŤ A AUTOMATIZOVANÉ INDIVIDUÁLNE ROZHODOVANIE
§ 26
Právo na prenosnosť osobných údajov
(1)
Dotknutá osoba má právo získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla
prevádzkovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte
a má právo preniesť tieto osobné údaje ďalšiemu prevádzkovateľovi, ak je to technicky
možné a ak
a)
sa osobné údaje spracúvajú podľa § 13 ods. 1 písm. a), § 16 ods. 2 písm. a) alebo § 13 ods. 1 písm. b) a
b)
spracúvanie osobných údajov sa vykonáva automatizovanými prostriedkami.
(2)
Uplatnením práva uvedeného v odseku 1 nie je dotknuté právo podľa § 23. Právo na prenosnosť sa nevzťahuje na spracúvanie osobných údajov nevyhnutné na splnenie
úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi.
(3)
Právo podľa odseku 1 nesmie mať nepriaznivé dôsledky na práva iných osôb.
§ 27
Právo namietať spracúvanie osobných údajov
(1)
Dotknutá osoba má právo namietať spracúvanie jej osobných údajov z dôvodu týkajúceho
sa jej konkrétnej situácie vykonávané podľa § 13 ods. 1 písm. e) alebo písm. f) vrátane profilovania založeného na týchto ustanoveniach. Prevádzkovateľ nesmie ďalej
spracúvať osobné údaje, ak nepreukáže nevyhnutné oprávnené záujmy na spracúvanie osobných
údajov, ktoré prevažujú nad právami alebo záujmami dotknutej osoby, alebo dôvody na
uplatnenie právneho nároku.
(2)
Dotknutá osoba má právo namietať spracúvanie osobných údajov, ktoré sa jej týkajú,
na účel priameho marketingu vrátane profilovania v rozsahu, v akom súvisí s priamym
marketingom. Ak dotknutá osoba namieta spracúvanie osobných údajov na účel priameho
marketingu, prevádzkovateľ ďalej osobné údaje na účel priameho marketingu nesmie spracúvať.
(3)
Prevádzkovateľ je povinný dotknutú osobu výslovne upozorniť na práva podľa odsekov
1 a 2 najneskôr pri prvej komunikácii s ňou, pričom informácia o tomto práve musí
byť uvedená jasne a oddelene od akýchkoľvek iných informácií.
(4)
V súvislosti s používaním služieb informačnej spoločnosti môže dotknutá osoba svoje
právo namietať uplatňovať automatizovanými prostriedkami s použitím technických špecifikácií.
(5)
Dotknutá osoba má právo namietať spracúvanie osobných údajov, ktoré sa jej týkajú,
z dôvodov týkajúcich sa jej konkrétnej situácie, okrem prípadov, keď je spracúvanie
osobných údajov nevyhnutné na plnenie úlohy z dôvodov verejného záujmu, ak sa osobné
údaje spracúvajú na vedecký účel, na účel historického výskumu alebo na štatistický
účel podľa § 78 ods. 8.
§ 28
Automatizované individuálne rozhodovanie vrátane profilovania
(1)
Dotknutá osoba má právo na to, aby sa na ňu nevzťahovalo rozhodnutie, ktoré je založené
výlučne na automatizovanom spracúvaní osobných údajov vrátane profilovania a ktoré
má právne účinky, ktoré sa jej týkajú alebo ju obdobne významne ovplyvňujú.
(2)
Odsek 1 sa neuplatňuje, ak je rozhodnutie
a)
nevyhnutné na uzavretie zmluvy alebo plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom,
b)
vykonané na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská
republika viazaná, a v ktorých sú zároveň ustanovené aj vhodné opatrenia zaručujúce
ochranu práv a oprávnených záujmov dotknutej osoby, alebo
c)
založené na výslovnom súhlase dotknutej osoby.
(3)
V prípadoch podľa odseku 2 písm. a) a c) je prevádzkovateľ povinný vykonať vhodné
opatrenia na ochranu práv a oprávnených záujmov dotknutej osoby, a to najmä práva
na overenie rozhodnutia nie automatizovaným spôsobom zo strany prevádzkovateľa, práva
vyjadriť svoje stanovisko a práva napadnúť rozhodnutie.
(4)
Rozhodnutia podľa odseku 2 sa nesmú zakladať na osobitných kategóriách osobných údajov
podľa § 16 ods. 1 okrem prípadov, ak sa uplatňuje § 16 ods. 2 písm. a) alebo písm. g) a súčasne sú zavedené vhodné opatrenia na zaručenie práv a oprávnených záujmov dotknutej
osoby.
ŠTVRTÝ DIEL
POVINNOSTI PREVÁDZKOVATEĽA PRI UPLATŇOVANÍ PRÁV DOTKNUTEJ OSOBY
§ 29
(1)
Prevádzkovateľ je povinný prijať vhodné opatrenia a poskytnúť dotknutej osobe informácie
podľa § 19 a 20 a oznámenia podľa § 21 až 28 a 41, ktoré sa týkajú spracúvania jej osobných údajov, v stručnej, transparentnej, zrozumiteľnej
a ľahko dostupnej forme, formulované jasne, a to najmä pri informáciách určených osobitne
dieťaťu. Informácie je povinný poskytnúť v listinnej podobe alebo elektronickej podobe,
spravidla v rovnakej podobe, v akej bola podaná žiadosť. Ak o to požiada dotknutá
osoba, informácie môže prevádzkovateľ poskytnúť aj ústne, ak dotknutá osoba preukáže
svoju totožnosť iným spôsobom.
(2)
Prevádzkovateľ poskytuje súčinnosť dotknutej osobe pri uplatňovaní jej práv podľa
§ 21 až 28. V prípadoch uvedených v § 18 ods. 2 nemôže prevádzkovateľ odmietnuť konať na základe žiadosti dotknutej osoby pri výkone
jej práv podľa § 21 až 28, ak nepreukáže, že dotknutú osobu nie je schopný identifikovať.
(3)
Prevádzkovateľ je povinný poskytnúť dotknutej osobe informácie o opatreniach, ktoré
sa prijali na základe jej žiadosti podľa § 21 až 28 do jedného mesiaca od doručenia žiadosti. Uvedenú lehotu môže prevádzkovateľ v odôvodnených
prípadoch s ohľadom na komplexnosť a počet žiadostí predĺžiť o ďalšie dva mesiace,
a to aj opakovane. Prevádzkovateľ je povinný informovať o každom takom predĺžení dotknutú
osobu do jedného mesiaca od doručenia žiadosti spolu s dôvodmi predĺženia lehoty.
Ak dotknutá osoba podala žiadosť v elektronickej podobe, prevádzkovateľ poskytne informácie
v elektronickej podobe, ak dotknutá osoba nepožiadala o poskytnutie informácie iným
spôsobom.
(4)
Ak prevádzkovateľ neprijme opatrenia na základe žiadosti dotknutej osoby, je povinný
do jedného mesiaca od doručenia žiadosti informovať dotknutú osobu o dôvodoch nekonania
a o možnosti podať návrh podľa § 100 na úrad.
(5)
Informácie podľa § 19 a 20 a oznámenia a opatrenia prijaté podľa § 21 až 28 a 41 sa poskytujú bezodplatne. Ak je žiadosť dotknutej osoby zjavne neopodstatnená alebo
neprimeraná najmä pre jej opakujúcu sa povahu, prevádzkovateľ môže
a)
požadovať primeraný poplatok zohľadňujúci administratívne náklady na poskytnutie
informácií alebo primeraný poplatok zohľadňujúci administratívne náklady na oznámenie
alebo primeraný poplatok zohľadňujúci administratívne náklady na uskutočnenie požadovaného
opatrenia, alebo
b)
odmietnuť konať na základe žiadosti.
(6)
Zjavnú neopodstatnenosť žiadosti alebo neprimeranosť žiadosti preukazuje prevádzkovateľ.
(7)
Prevádzkovateľ môže požiadať o poskytnutie dodatočných informácií potrebných na potvrdenie
totožnosti dotknutej osoby, ak má oprávnené pochybnosti o totožnosti fyzickej osoby,
ktorá podáva žiadosť podľa § 21 až 27; ustanovenie § 18 tým nie je dotknuté.
(8)
Informácie, ktoré sa majú poskytnúť dotknutej osobe podľa § 19 a 20, možno podať v kombinácii so štandardizovanými ikonami s cieľom poskytnúť dobre viditeľný,
jasný a zrozumiteľný prehľad zamýšľaného spracúvania osobných údajov. Štandardizované
ikony musia byť strojovo čitateľné, ak sú použité v elektronickej podobe.
(9)
Informácie, ktoré majú byť obsiahnuté v štandardizovaných ikonách, a postupy určovania
štandardizovaných ikon ustanoví všeobecne záväzný právny predpis, ktorý vydá úrad.
PIATY DIEL
OBMEDZENIA
§ 30
Obmedzenie práv dotknutej osoby
(1)
Prevádzkovateľ alebo sprostredkovateľ môže za podmienok ustanovených osobitným predpisom
alebo medzinárodnou zmluvou, ktorou je Slovenská republika viazaná, obmedziť rozsah
povinností a práv podľa § 19 až 29 a podľa § 41, ako aj zásady podľa § 6 až 12, ak sa týkajú práv a povinností podľa § 19 až 29, ak je také obmedzenie ustanovené s cieľom zaistiť
a)
bezpečnosť Slovenskej republiky,
b)
obranu Slovenskej republiky,
c)
verejný poriadok,
d)
plnenie úloh na účely trestného konania,
e)
iné dôležité ciele všeobecného verejného záujmu Európskej únie alebo Slovenskej republiky,
najmä predmet dôležitého hospodárskeho záujmu alebo dôležitého finančného záujmu Európskej
únie alebo Slovenskej republiky vrátane peňažných, rozpočtových a daňových záležitostí,
verejného zdravia alebo sociálneho zabezpečenia,
f)
ochranu nezávislosti súdnictva a súdnych konaní,
g)
predchádzanie porušeniu etiky v regulovaných povolaniach alebo regulovaných odborných
činnostiach,
h)
monitorovaciu funkciu, kontrolnú funkciu alebo regulačnú funkciu spojenú s výkonom
verejnej moci v prípadoch uvedených v písmenách a) až e) a g),
i)
ochranu práv dotknutej osoby alebo iných osôb,
j)
uplatnenie právneho nároku,
k)
hospodársku mobilizáciu.
(2)
Prevádzkovateľ alebo sprostredkovateľ môže postupovať podľa odseku 1 len vtedy, ak
osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná,
ustanovuje aspoň
a)
účel spracúvania osobných údajov alebo kategóriu spracúvania osobných údajov,
b)
kategóriu osobných údajov,
c)
rozsah zavedeného obmedzenia,
d)
záruky zabraňujúce zneužitiu osobných údajov alebo nezákonnému prístupu alebo nezákonnému
prenosu,
e)
určenie prevádzkovateľa alebo kategórií prevádzkovateľov,
f)
lehotu uchovávania a uplatniteľné záruky s ohľadom na povahu, rozsah a účel spracúvania
osobných údajov alebo kategóriu spracúvania osobných údajov,
g)
riziká pre práva dotknutej osoby a
h)
práva dotknutej osoby na informovanie o obmedzení, ak tým nie je ohrozený účel obmedzenia.
TRETIA HLAVA
PRÁVA A POVINNOSTI PREVÁDZKOVATEĽA A SPROSTREDKOVATEĽA
PRVÝ DIEL
VŠEOBECNÉ POVINNOSTI PREVÁDZKOVATEĽA A SPROSTREDKOVATEĽA
§ 31
Prevádzkovateľ
(1)
S ohľadom na povahu, rozsah a účel spracúvania osobných údajov a na riziká s rôznou
pravdepodobnosťou a závažnosťou pre práva fyzickej osoby je prevádzkovateľ povinný
prijať vhodné technické a organizačné opatrenia na zabezpečenie a preukázanie toho,
že spracúvanie osobných údajov sa vykonáva v súlade s týmto zákonom. Uvedené opatrenia
je prevádzkovateľ povinný podľa potreby aktualizovať.
(2)
Opatrenia podľa odseku 1 zahŕňajú zavedenie primeraných postupov ochrany osobných
údajov zo strany prevádzkovateľa, ak je to vzhľadom na spracovateľské činnosti primerané.
(3)
(4)
Prevádzkovateľ je povinný pravidelne preverovať trvanie účelu spracúvania osobných
údajov a po jeho splnení bez zbytočného odkladu zabezpečiť výmaz osobných údajov;
to neplatí, ak osobné údaje sú súčasťou registratúrneho záznamu.17)
(5)
Prevádzkovateľ zabezpečuje vyradenie registratúrneho záznamu, ktorý obsahuje osobné
údaje, podľa osobitného predpisu.18)
§ 32
Špecificky navrhnutá a štandardná ochrana osobných údajov
(1)
Prevádzkovateľ je povinný pred spracúvaním osobných údajov zaviesť a počas spracúvania
osobných údajov mať zavedenú špecificky navrhnutú ochranu osobných údajov, ktorá spočíva
v prijatí primeraných technických a organizačných opatrení, najmä vo forme pseudonymizácie,
na účinné zavedenie primeraných záruk ochrany osobných údajov a dodržiavanie základných
zásad podľa § 6 až 12.
(2)
Prevádzkovateľ je povinný pri špecificky navrhnutej ochrane osobných údajov podľa
odseku 1 zohľadniť najnovšie poznatky ochrany osobných údajov, náklady na vykonanie
opatrení podľa odseku 1, povahu, rozsah, kontext a účel spracúvania osobných údajov
a riziká spracúvania osobných údajov s rôznou pravdepodobnosťou a závažnosťou, ktoré
spracúvanie osobných údajov predstavuje pre práva dotknutej osoby.
(3)
Prevádzkovateľ je povinný zaviesť štandardnú ochranu osobných údajov, ktorá spočíva
v prijatí primeraných technických a organizačných opatrení na zabezpečenie spracúvania
osobných údajov len na konkrétny účel, minimalizácie množstva získaných osobných údajov
a rozsahu ich spracúvania, doby uchovávania a dostupnosti osobných údajov. Prevádzkovateľ
je povinný zabezpečiť, aby osobné údaje neboli bez zásahu fyzickej osoby štandardne
prístupné neobmedzenému počtu fyzických osôb.
(4)
Na preukázanie splnenia povinností podľa odsekov 1 až 3 môže prevádzkovateľ použiť
certifikát podľa § 86.
§ 33
Spoloční prevádzkovatelia
(1)
Spoločnými prevádzkovateľmi sú dvaja prevádzkovatelia alebo viacerí prevádzkovatelia,
ktorí si dohodou určia účel a prostriedky spracúvania osobných údajov. V dohode sú
zároveň povinní transparentne určiť zodpovednosť každého z nich za plnenie povinností
a úloh podľa tohto zákona, najmä ak ide o vykonávanie práv dotknutej osoby, a svoje
povinnosti poskytovať informácie podľa § 19 a 20, ak nie sú tieto povinnosti prevádzkovateľa ustanovené osobitným predpisom alebo
medzinárodnou zmluvou, ktorou je Slovenská republika viazaná. V dohode sa tiež určí
kontaktné miesto pre dotknutú osobu.
(2)
Základné náležitosti dohody podľa odseku 1 je prevádzkovateľ povinný poskytnúť dotknutej
osobe, a to najmä identifikáciu zmluvných strán, predmet zmluvy, dobu platnosti zmluvy,
ustanovenia upravujúce výkon práv dotknutej osoby, povinnosti prevádzkovateľov poskytovať
informácie podľa § 19 a 20 a kontaktné miesto pre dotknutú osobu.
(3)
Bez ohľadu na podmienky dohody podľa odseku 1 môže dotknutá osoba uplatniť svoje
práva u každého prevádzkovateľa a voči každému prevádzkovateľovi.
§ 34
Sprostredkovateľ
(1)
Ak sa má spracúvanie osobných údajov uskutočniť v mene prevádzkovateľa, prevádzkovateľ
môže poveriť len sprostredkovateľa, ktorý poskytuje dostatočné záruky na prijatie
primeraných technických a organizačných opatrení tak, aby spracúvanie osobných údajov
spĺňalo požiadavky tohto zákona a aby sa zabezpečila ochrana práv dotknutej osoby.
Na poverenie sprostredkovateľa spracúvaním osobných údajov podľa prvej vety sa súhlas
dotknutej osoby nevyžaduje.
(2)
Sprostredkovateľ nesmie poveriť spracúvaním osobných údajov ďalšieho sprostredkovateľa
bez predchádzajúceho osobitného písomného súhlasu prevádzkovateľa alebo všeobecného
písomného súhlasu prevádzkovateľa. Sprostredkovateľ je povinný vopred informovať prevádzkovateľa
o poverení ďalšieho sprostredkovateľa, ak sa poverenie vykonalo na základe všeobecného
písomného súhlasu.
(3)
Spracúvanie osobných údajov sprostredkovateľom sa riadi zmluvou alebo iným právnym
úkonom, ktorý zaväzuje sprostredkovateľa voči prevádzkovateľovi a v ktorom je ustanovený
predmet a doba spracúvania, povaha a účel spracúvania, zoznam alebo rozsah osobných
údajov, kategórie dotknutých osôb a povinnosti a práva prevádzkovateľa. V zmluve alebo
inom právnom úkone sa musí najmä ustanoviť, že sprostredkovateľ je povinný
a)
spracúvať osobné údaje len na základe písomných pokynov prevádzkovateľa, a to aj
vtedy, ak ide o prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii
okrem prenosu na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je
Slovenská republika viazaná; sprostredkovateľ je pri takom prenose povinný oznámiť
prevádzkovateľovi túto požiadavku pred spracúvaním osobných údajov, ak osobitný predpis
alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, takéto oznámenie
nezakazuje z dôvodov verejného záujmu,
b)
zabezpečiť, aby sa osoby oprávnené spracúvať osobné údaje zaviazali, že zachovajú
mlčanlivosť o informáciách, o ktorých sa dozvedeli, ak nie sú viazané povinnosťou
mlčanlivosti podľa osobitného zákona,15)
c)
vykonať opatrenia podľa § 39,
d)
dodržiavať podmienky zapojenia ďalšieho sprostredkovateľa podľa odsekov 2 a 5,
e)
po zohľadnení povahy spracúvania osobných údajov v čo najväčšej miere poskytnúť súčinnosť
prevádzkovateľovi vhodnými technickými a organizačnými opatreniami pri plnení jeho
povinnosti prijímať opatrenia na základe žiadosti dotknutej osoby podľa druhej časti
druhej hlavy,
f)
poskytnúť súčinnosť prevádzkovateľovi pri zabezpečovaní plnenia povinností podľa
§ 39 až 43 s prihliadnutím na povahu spracúvania osobných údajov a informácie dostupné sprostredkovateľovi,
g)
vymazať osobné údaje alebo vrátiť prevádzkovateľovi osobné údaje po ukončení poskytovania
služieb týkajúcich sa spracúvania osobných údajov na základe rozhodnutia prevádzkovateľa
a vymazať existujúce kópie, ktoré obsahujú osobné údaje, ak osobitný predpis alebo
medzinárodná zmluva, ktorou je Slovenská republika viazaná, nepožaduje uchovávanie
týchto osobných údajov,
h)
po ukončení poskytovania služieb týkajúcich sa spracúvania osobných údajov na základe
rozhodnutia prevádzkovateľa osobné údaje vymazať alebo vrátiť prevádzkovateľovi a
vymazať existujúce kópie, ktoré obsahujú osobné údaje, ak osobitný predpis alebo medzinárodná
zmluva, ktorou je Slovenská republika viazaná, nepožaduje uchovávanie týchto osobných
údajov,
i)
poskytnúť prevádzkovateľovi informácie potrebné na preukázanie splnenia povinností
a poskytnúť súčinnosť v rámci auditu ochrany osobných údajov a kontroly zo strany
prevádzkovateľa alebo audítora, ktorého poveril prevádzkovateľ.
(4)
Sprostredkovateľ je povinný bez zbytočného odkladu informovať prevádzkovateľa, ak
má za to, že sa pokynom prevádzkovateľa porušuje tento zákon, osobitný predpis alebo
medzinárodná zmluva, ktorou je Slovenská republika viazaná, ktoré sa týkajú ochrany
osobných údajov.
(5)
Ak sprostredkovateľ zapojí do vykonávania osobitných spracovateľských činností v
mene prevádzkovateľa ďalšieho sprostredkovateľa, tomuto ďalšiemu sprostredkovateľovi
v zmluve alebo inom právnom úkone je povinný uložiť rovnaké povinnosti týkajúce sa
ochrany osobných údajov, ako sú ustanovené v zmluve alebo v inom právnom úkone medzi
prevádzkovateľom a sprostredkovateľom podľa odseku 3, a to najmä poskytnutie dostatočných
záruk na prijatie primeraných technických a organizačných opatrení tak, aby spracúvanie
osobných údajov spĺňalo požiadavky tohto zákona. Zodpovednosť voči prevádzkovateľovi
nesie pôvodný sprostredkovateľ, ak ďalší sprostredkovateľ nesplní svoje povinnosti
týkajúce sa ochrany osobných údajov.
(6)
(7)
Zmluva alebo iný právny úkon podľa odsekov 3 a 5 sa musí uzatvoriť v listinnej podobe
alebo elektronickej podobe.
(8)
Sprostredkovateľ, ktorý porušil tento zákon tým, že určí účel a prostriedky spracúvania
osobných údajov, sa považuje v súvislosti s týmto spracúvaním osobných údajov za prevádzkovateľa;
ustanovenie § 38 a § 104 až 106 tým nie je dotknuté.
§ 35
Zástupca prevádzkovateľa alebo zástupca sprostredkovateľa
(1)
Prevádzkovateľ alebo sprostredkovateľ, ktorý nemá sídlo, organizačnú zložku, prevádzkareň
alebo trvalý pobyt v členskom štáte, je povinný písomne poveriť svojho zástupcu na
území členského štátu, ak vykonáva spracúvanie osobných údajov dotknutej osoby, ktorá
sa nachádza na území Slovenskej republiky, pričom spracovateľská činnosť súvisí
a)
s ponukou tovaru alebo služieb tejto dotknutej osobe na území Slovenskej republiky
bez ohľadu na to, či sa od dotknutej osoby vyžaduje platba alebo nie, alebo
b)
so sledovaním ich správania na území Slovenskej republiky.
(2)
Povinnosť podľa odseku 1 sa nevzťahuje na
a)
spracúvanie osobných údajov, ktoré je občasné, nezahŕňa vo veľkom rozsahu spracúvanie
osobitných kategórií osobných údajov podľa § 16 ods. 1 alebo spracúvanie osobných
údajov týkajúcich sa uznania viny za spáchanie trestného činu alebo priestupku podľa
§ 17 a nie je pravdepodobné, že s ohľadom na povahu, kontext, rozsah alebo účel spracúvania
povedie k riziku pre práva fyzických osôb, alebo
b)
orgán verejnej moci alebo verejnoprávnu inštitúciu.
(3)
Úrad a dotknutá osoba môžu požadovať informácie týkajúce sa spracúvania osobných
údajov na účely zabezpečenia súladu s týmto zákonom okrem prevádzkovateľa a sprostredkovateľa
aj zástupcu prevádzkovateľa alebo zástupcu sprostredkovateľa.
§ 36
Spracúvanie osobných údajov pod dohľadom prevádzkovateľa alebo sprostredkovateľa
Sprostredkovateľ a každá osoba konajúca za prevádzkovateľa alebo sprostredkovateľa,
ktorá má prístup k osobným údajom, môže spracúvať tieto osobné údaje len na základe
pokynov prevádzkovateľa alebo podľa osobitného predpisu alebo medzinárodnej zmluvy,
ktorou je Slovenská republika viazaná.
§ 37
Záznamy o spracovateľských činnostiach
(1)
Prevádzkovateľ a zástupca prevádzkovateľa, ak bol poverený, je povinný viesť záznam
o spracovateľských činnostiach, za ktoré je zodpovedný. Tento záznam musí obsahovať
a)
identifikačné údaje a kontaktné údaje prevádzkovateľa, spoločného prevádzkovateľa,
zástupcu prevádzkovateľa, ak bol poverený, a zodpovednej osoby,
b)
účel spracúvania osobných údajov,
c)
opis kategórií dotknutých osôb a kategórií osobných údajov,
d)
kategórie príjemcov vrátane príjemcu v tretej krajine alebo medzinárodnej organizácii,
e)
označenie tretej krajiny alebo medzinárodnej organizácie, ak prevádzkovateľ zamýšľa
prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii a dokumentáciu
o primeraných zárukách, ak prevádzkovateľ zamýšľa prenos podľa § 51 ods. 1 a 2,
f)
predpokladané lehoty na vymazanie rôznych kategórií osobných údajov,
g)
všeobecný opis technických a organizačných bezpečnostných opatrení podľa § 39 ods. 1.
(2)
Sprostredkovateľ a zástupca sprostredkovateľa, ak bol poverený, je povinný viesť
záznam o kategóriách spracovateľských činností, ktoré vykonal v mene prevádzkovateľa.
Tento záznam musí obsahovať
a)
identifikačné údaje a kontaktné údaje sprostredkovateľa a prevádzkovateľa, v mene
ktorého sprostredkovateľ koná, zástupcu prevádzkovateľa alebo sprostredkovateľa, ak
bol poverený, a zodpovednej osoby,
b)
kategórie spracúvania osobných údajov vykonávaného v mene každého prevádzkovateľa,
c)
označenie tretej krajiny alebo medzinárodnej organizácie, ak prevádzkovateľ zamýšľa
prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii, a dokumentáciu
o primeraných zárukách, ak prevádzkovateľ zamýšľa prenos podľa § 51 ods. 1 a 2,
d)
všeobecný opis technických a organizačných bezpečnostných opatrení podľa § 39 ods. 1.
(3)
Záznamy podľa odsekov 1 a 2 sa vedú v listinnej podobe alebo elektronickej podobe.
(4)
Prevádzkovateľ alebo sprostredkovateľ a zástupca prevádzkovateľa alebo zástupca sprostredkovateľa,
ak bol poverený, sú povinní na požiadanie sprístupniť záznam o spracovateľských činnostiach
úradu.
(5)
Povinnosti podľa odsekov 1 a 2 sa nevzťahujú na zamestnávateľa s menej ako 250 zamestnancami,
ak nie je pravdepodobné, že spracúvanie osobných údajov, ktoré vykonáva, povedie k
riziku ochrany práv dotknutej osoby, ak je spracúvanie osobných údajov príležitostné
alebo ak nezahŕňa osobitné kategórie osobných údajov podľa § 16 ods. 1 alebo osobné údaje týkajúce sa uznania viny za spáchanie trestného činu alebo priestupku
podľa § 17.
(6)
Vzor záznamu o spracovateľských činnostiach zverejní úrad na svojom webovom sídle.
§ 38
Právo na náhradu škody a zodpovednosť
(1)
Každá osoba, ktorej vznikla majetková ujma alebo nemajetková ujma v dôsledku porušenia
tohto zákona, má právo na náhradu škody20) od prevádzkovateľa alebo sprostredkovateľa.
(2)
Prevádzkovateľ, ktorý sa zúčastnil na spracúvaní osobných údajov, je zodpovedný za
škodu spôsobenú nezákonným spracúvaním. Sprostredkovateľ zodpovedá za škodu spôsobenú
spracúvaním osobných údajov, len ak nesplnil povinnosti podľa § 34 až 37, § 39, § 40 ods. 3,
§ 44, § 45, § 51 ods. 3 alebo ak konal nad rámec alebo v rozpore s pokynmi prevádzkovateľa, ktoré boli v súlade so zákonom.
§ 44, § 45, § 51 ods. 3 alebo ak konal nad rámec alebo v rozpore s pokynmi prevádzkovateľa, ktoré boli v súlade so zákonom.
(3)
Prevádzkovateľ alebo sprostredkovateľ sa môže zbaviť zodpovednosti podľa odseku 2,
ak preukáže, že vznik škody nezavinil.
(4)
Ak sa na tom istom spracúvaní osobných údajov zúčastnil viac než jeden prevádzkovateľ
alebo sprostredkovateľ alebo prevádzkovateľ aj sprostredkovateľ spoločne a sú podľa
odsekov 2 a 3 zodpovední za škodu spôsobenú spracúvaním osobných údajov, za škodu
zodpovedajú spoločne a nerozdielne.
(5)
Ak prevádzkovateľ alebo sprostredkovateľ v súlade s odsekom 4 uhradil náhradu škody
v plnej výške, má právo žiadať od ostatných prevádzkovateľov alebo sprostredkovateľov
zapojených do toho istého spracúvania osobných údajov tú časť náhrady škody, ktorá
zodpovedá ich podielu zodpovednosti za škodu za podmienok ustanovených v odseku 2.
DRUHÝ DIEL
BEZPEČNOSŤ OSOBNÝCH ÚDAJOV
§ 39
Bezpečnosť spracúvania
(1)
Prevádzkovateľ a sprostredkovateľ sú povinní prijať so zreteľom na najnovšie poznatky,
na náklady na vykonanie opatrení, na povahu, rozsah, kontext a účel spracúvania osobných
údajov a na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva fyzických osôb
primerané technické a organizačné opatrenia na zaistenie úrovne bezpečnosti primeranej
tomuto riziku, pričom uvedené opatrenia môžu zahŕňať najmä
a)
pseudonymizáciu a šifrovanie osobných údajov,
b)
zabezpečenie trvalej dôvernosti, integrity, dostupnosti a odolnosti systémov spracúvania
osobných údajov,
c)
proces obnovy dostupnosti osobných údajov a prístup k nim v prípade fyzického incidentu
alebo technického incidentu,
d)
proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a
organizačných opatrení na zaistenie bezpečnosti spracúvania osobných údajov.
(2)
Pri posudzovaní primeranej úrovne bezpečnosti sa prihliada na riziká, ktoré predstavuje
spracúvanie osobných údajov, a to najmä náhodné zničenie alebo nezákonné zničenie,
strata, zmena alebo neoprávnené poskytnutie prenášaných osobných údajov, uchovávaných
osobných údajov alebo inak spracúvaných osobných údajov, alebo neoprávnený prístup
k takýmto osobným údajom.
(3)
(4)
Prevádzkovateľ a sprostredkovateľ sú povinní zabezpečiť, aby fyzická osoba konajúca
za prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, spracúvala
tieto údaje len na základe pokynov prevádzkovateľa alebo podľa osobitného predpisu
alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.
§ 40
Oznámenie porušenia ochrany osobných údajov úradu
(1)
Prevádzkovateľ je povinný oznámiť úradu porušenie ochrany osobných údajov do 72 hodín
po tom, ako sa o ňom dozvedel; to neplatí, ak nie je pravdepodobné, že porušenie ochrany
osobných údajov povedie k riziku pre práva fyzickej osoby.
(2)
Ak prevádzkovateľ nesplní oznamovaciu povinnosť podľa odseku 1, musí zmeškanie lehoty
zdôvodniť.
(3)
Sprostredkovateľ je povinný oznámiť prevádzkovateľovi porušenie ochrany osobných
údajov bez zbytočného odkladu po tom, ako sa o ňom dozvedel.
(4)
Oznámenie podľa odseku 1 musí obsahovať najmä
a)
opis povahy porušenia ochrany osobných údajov vrátane, ak je to možné, kategórií
a približného počtu dotknutých osôb, ktorých sa porušenie týka, a kategórií a približného
počtu dotknutých záznamov o osobných údajoch,
b)
kontaktné údaje zodpovednej osoby alebo iného kontaktného miesta, kde možno získať
viac informácií,
c)
opis pravdepodobných následkov porušenia ochrany osobných údajov,
d)
opis opatrení prijatých alebo navrhovaných prevádzkovateľom na nápravu porušenia
ochrany osobných údajov vrátane opatrení na zmiernenie jeho potenciálnych nepriaznivých
dôsledkov, ak je to potrebné.
(5)
Prevádzkovateľ je povinný poskytnúť informácie podľa odseku 4 v rozsahu, v akom sú
mu známe v čase oznámenia podľa odseku 1; ak v čase oznámenia podľa odseku 1 nie sú
prevádzkovateľovi známe všetky informácie podľa odseku 4, poskytne ich bezodkladne
po tom, čo sa o nich dozvie.
(6)
Prevádzkovateľ je povinný zdokumentovať každý prípad porušenia ochrany osobných údajov
podľa odseku 1 vrátane skutočností spojených s porušením ochrany osobných údajov,
jeho následky a prijaté opatrenia na nápravu.
§ 41
Oznámenie porušenia ochrany osobných údajov dotknutej osobe
(1)
Prevádzkovateľ je povinný bez zbytočného odkladu oznámiť dotknutej osobe porušenie
ochrany osobných údajov, ak takéto porušenie ochrany osobných údajov môže viesť k
vysokému riziku pre práva fyzickej osoby.
(2)
Oznámenie podľa odseku 1 musí obsahovať jasne a jednoducho formulovaný opis povahy
porušenia ochrany osobných údajov a informácie a opatrenia podľa § 40 ods. 4 písm. b) až d).
(3)
Oznámenie podľa odseku 1 sa nevyžaduje, ak
a)
prevádzkovateľ prijal primerané technické a organizačné ochranné opatrenia a uplatnil
ich na osobné údaje, ktorých sa porušenie ochrany osobných údajov týka, a to najmä
šifrovanie alebo iné opatrenia, na základe ktorých sú osobné údaje nečitateľné pre
osoby, ktoré nie sú oprávnené mať k nim prístup,
b)
prevádzkovateľ prijal následné opatrenia na zabezpečenie vysokého rizika porušenia
práv dotknutej osoby podľa odseku 1,
c)
by to vyžadovalo neprimerané úsilie; prevádzkovateľ je povinný informovať verejnosť
alebo prijať iné opatrenie na zabezpečenie toho, že dotknutá osoba bude informovaná
rovnako efektívnym spôsobom.
(4)
Ak prevádzkovateľ ešte porušenie ochrany osobných údajov neoznámil dotknutej osobe,
úrad môže po zvážení pravdepodobnosti porušenia ochrany osobných údajov vedúceho k
vysokému riziku požadovať, aby tak urobil, alebo môže rozhodnúť, že je splnená niektorá
z podmienok uvedených v odseku 3.
TRETÍ DIEL
POSÚDENIE VPLYVU NA OCHRANU OSOBNÝCH ÚDAJOV A PREDCHÁDZAJÚCA KONZULTÁCIA
§ 42
Posúdenie vplyvu na ochranu osobných údajov
(1)
Ak typ spracúvania osobných údajov, najmä s využitím nových technológií a s ohľadom
na povahu, rozsah, kontext a účel spracúvania osobných údajov, môže viesť k vysokému
riziku pre práva fyzických osôb, prevádzkovateľ je povinný pred spracúvaním osobných
údajov vykonať posúdenie vplyvu plánovaných spracovateľských operácií na ochranu osobných
údajov. Pre súbor podobných spracovateľských operácií, ktoré predstavujú podobné vysoké
riziko, postačí jedno posúdenie.
(2)
Prevádzkovateľ je povinný počas vykonávania posúdenia vplyvu na ochranu osobných
údajov konzultovať jednotlivé postupy so zodpovednou osobou, ak bola určená.
(3)
Posúdenie vplyvu na ochranu osobných údajov sa vyžaduje najmä, ak ide o
a)
systematické a rozsiahle hodnotenie osobných znakov alebo charakteristík týkajúcich
sa dotknutej osoby, ktoré je založené na automatizovanom spracúvaní osobných údajov
vrátane profilovania a z ktorého vychádzajú rozhodnutia s právnymi účinkami týkajúcimi
sa dotknutej osoby alebo s podobne závažným vplyvom na ňu,
b)
spracúvanie vo veľkom rozsahu osobitných kategórií osobných údajov podľa § 16 ods. 1 alebo osobných údajov týkajúcich sa uznania viny za spáchanie trestného činu alebo
priestupku podľa § 17, alebo
c)
systematické monitorovanie verejne prístupných miest vo veľkom rozsahu.
(4)
Posúdenie vplyvu na ochranu osobných údajov obsahuje najmä
a)
systematický opis plánovaných spracovateľských operácií a účel spracúvania osobných
údajov vrátane uvedenia prípadného oprávneného záujmu, ktorý sleduje prevádzkovateľ,
b)
posúdenie nutnosti a primeranosti spracovateľských operácií vo vzťahu k účelu,
c)
posúdenie rizika pre práva dotknutej osoby a
d)
opatrenia na elimináciu rizík vrátane záruk, bezpečnostných opatrení a mechanizmov
na zabezpečenie ochrany osobných údajov a na preukázanie súladu s týmto zákonom s
prihliadnutím na práva a oprávnené záujmy dotknutej osoby a ďalších fyzických osôb,
ktorých sa to týka.
(5)
Pri posudzovaní dosahu spracovateľských operácií vykonávaných prevádzkovateľom alebo
sprostredkovateľom úrad zohľadňuje, či prevádzkovateľ alebo sprostredkovateľ postupuje
v súlade so schváleným kódexom správania podľa § 85 alebo certifikátom podľa § 86, a to najmä na účely posúdenia vplyvu na ochranu osobných údajov.
(6)
Prevádzkovateľ je oprávnený získavať názory dotknutej osoby alebo organizácie, ktorá
zastupuje jej záujmy, na zamýšľané spracúvanie osobných údajov; ochrana obchodných
záujmov, verejného záujmu alebo bezpečnosť spracovateľských operácií nesmie byť dotknutá.
(7)
Prevádzkovateľ je povinný posúdiť, či sa spracúvanie osobných údajov uskutočňuje
v súlade s posúdením vplyvu na ochranu osobných údajov, a to najmä, ak došlo k zmene
rizika, ktoré predstavuje spracovateľská operácia.
§ 43
Predchádzajúca konzultácia
(1)
Prevádzkovateľ je povinný s úradom uskutočniť konzultáciu pred spracúvaním osobných
údajov, ak je z posúdenia vplyvu na ochranu osobných údajov podľa § 42 zrejmé, že spracúvanie osobných údajov povedie k vysokému riziku pre práva fyzických
osôb, ak prevádzkovateľ neprijme opatrenia na zmiernenie tohto rizika.
(2)
Ak sa úrad domnieva, že zamýšľané spracúvanie osobných údajov podľa odseku 1 bude
v rozpore s týmto zákonom, najmä ak prevádzkovateľ nedostatočne identifikoval riziko
alebo zmiernil riziko, úrad do ôsmich týždňov od prijatia žiadosti o konzultáciu poskytne
prevádzkovateľovi, prípadne aj sprostredkovateľovi, písomné poradenstvo. Úrad môže
s ohľadom na zložitosť zamýšľaného spracúvania osobných údajov predĺžiť lehotu podľa
predchádzajúcej vety o šesť týždňov; predĺženie lehoty a dôvody predĺženia úrad písomne
oznámi prevádzkovateľovi, prípadne aj sprostredkovateľovi do jedného mesiaca od prijatia
žiadosti o konzultáciu. Lehota na poskytnutie poradenstva neplynie, kým úrad nezíska
informácie, o ktoré požiadal na účely konzultácie.
(3)
Počas konzultácií s úradom podľa odseku 1 je prevádzkovateľ povinný poskytnúť úradu
a)
informácie o povinnostiach prevádzkovateľa, ktoré má v súvislosti s jeho spracovateľskou
činnosťou podliehajúcou predchádzajúcej konzultácii podľa odseku 1, o spoločných prevádzkovateľoch
a sprostredkovateľoch zapojených do spracúvania osobných údajov, najmä pri spracúvaní
osobných údajov v rámci skupiny podnikov,
b)
informácie o účeloch zamýšľaného spracúvania osobných údajov a prostriedkoch na jeho
vykonanie,
c)
informácie o opatreniach a zárukách poskytnutých na ochranu práv dotknutej osoby
podľa tohto zákona,
d)
kontaktné údaje zodpovednej osoby, ak je určená,
e)
posúdenie vplyvu na ochranu osobných údajov podľa § 42 a
f)
ďalšie informácie, o ktoré úrad požiada.
ŠTVRTÝ DIEL
ZODPOVEDNÁ OSOBA
§ 44
Určenie zodpovednej osoby
(1)
Prevádzkovateľ a sprostredkovateľ sú povinní určiť zodpovednú osobu, ak
a)
spracúvanie osobných údajov vykonáva orgán verejnej moci alebo verejnoprávna inštitúcia
okrem súdov pri výkone ich súdnej právomoci,
b)
hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie,
ktoré si vzhľadom na svoju povahu, rozsah alebo účel vyžadujú pravidelné a systematické
monitorovanie dotknutej osoby vo veľkom rozsahu, alebo
(2)
Skupina podnikov môže určiť jednu zodpovednú osobu, ak táto osoba bude spôsobilá
plniť úlohy podľa § 46 pre každý podnik zo skupiny podnikov.
(3)
Ak je prevádzkovateľom alebo sprostredkovateľom orgán verejnej moci alebo verejnoprávna
inštitúcia, môže byť pre viaceré takéto orgány alebo inštitúcie určená jedna zodpovedná
osoba, pričom sa zohľadní ich rozsah a ich organizačná štruktúra.
(4)
Okrem prípadov podľa odseku 1 zodpovednú osobu môže určiť prevádzkovateľ alebo sprostredkovateľ
alebo združenia a iné subjekty zastupujúce kategórie prevádzkovateľov alebo sprostredkovateľov.
Zodpovedná osoba môže konať v mene takých združení a iných subjektov zastupujúcich
prevádzkovateľov alebo sprostredkovateľov.
(5)
Okrem prípadov podľa odseku 1 je prevádzkovateľ alebo sprostredkovateľ alebo združenia
a iné subjekty zastupujúce kategórie prevádzkovateľov alebo sprostredkovateľov povinný
určiť zodpovednú osobu, ak sa to vyžaduje v osobitnom predpise alebo medzinárodnej
zmluve, ktorou je Slovenská republika viazaná. Zodpovedná osoba môže konať v mene
takýchto združení a iných subjektov zastupujúcich prevádzkovateľov alebo sprostredkovateľov.
(6)
Zodpovedná osoba sa určí na základe jej odborných kvalít, a to najmä na základe jej
odborných znalostí práva a postupov v oblasti ochrany osobných údajov a na základe
spôsobilosti plniť úlohy podľa § 46.
(7)
Zodpovedná osoba môže byť zamestnancom prevádzkovateľa alebo sprostredkovateľa alebo
môže plniť úlohy na základe zmluvy.
(8)
Prevádzkovateľ a sprostredkovateľ sú povinní zverejniť, napríklad na ich webovom
sídle, kontaktné údaje zodpovednej osoby, ak je určená, a oznámiť ich úradu.
§ 45
Postavenie zodpovednej osoby
(1)
Prevádzkovateľ a sprostredkovateľ sú povinní zabezpečiť, aby zodpovedná osoba riadne
a včas vykonávala činnosti súvisiace s ochranou osobných údajov.
(2)
Prevádzkovateľ a sprostredkovateľ sú povinní poskytnúť zodpovednej osobe pri plnení
úloh podľa § 46 potrebnú súčinnosť; najmä sú povinní jej poskytnúť prostriedky potrebné na plnenie
týchto úloh a prístup k osobným údajom a spracovateľským operáciám, ako aj zabezpečiť
udržiavanie jej odborných znalostí.
(3)
Prevádzkovateľ a sprostredkovateľ sú povinní zabezpečiť, aby zodpovedná osoba v súvislosti
s plnením úloh podľa § 46 nedostávala žiadne pokyny. Prevádzkovateľ ani sprostredkovateľ ju nesmú odvolať alebo
postihovať za výkon jej úloh podľa § 46. Zodpovedná osoba je pri plnení úloh podľa § 46 priamo zodpovedná štatutárnemu orgánu prevádzkovateľa alebo štatutárnemu orgánu sprostredkovateľa.
(4)
Dotknutá osoba môže kontaktovať zodpovednú osobu s otázkami týkajúcimi sa spracúvania
jej osobných údajov a uplatňovania jej práv podľa tohto zákona.
(5)
Zodpovedná osoba je v súvislosti s výkonom svojich úloh viazaná povinnosťou mlčanlivosti
v súlade s týmto zákonom alebo osobitným predpisom.15)
(6)
Zodpovedná osoba môže plniť aj iné úlohy a povinnosti ako podľa § 46; prevádzkovateľ alebo sprostredkovateľ sú povinní zabezpečiť, aby žiadna z takýchto
iných úloh alebo povinností neviedla ku konfliktu záujmov.
§ 46
Úlohy zodpovednej osoby
(1)
Zodpovedná osoba najmä
a)
poskytuje informácie a poradenstvo prevádzkovateľovi alebo sprostredkovateľovi a
zamestnancom, ktorí vykonávajú spracúvanie osobných údajov, o ich povinnostiach podľa
tohto zákona, osobitných predpisov alebo medzinárodných zmlúv, ktorými je Slovenská
republika viazaná, týkajúcich sa ochrany osobných údajov,
b)
monitoruje súlad s týmto zákonom, osobitnými predpismi alebo medzinárodnými zmluvami,
ktorými je Slovenská republika viazaná, týkajúcimi sa ochrany osobných údajov a s
pravidlami prevádzkovateľa alebo sprostredkovateľa súvisiacimi s ochranou osobných
údajov vrátane rozdelenia povinností, zvyšovania povedomia a odbornej prípravy osôb,
ktoré sú zapojené do spracovateľských operácií a súvisiacich auditov ochrany osobných
údajov,
c)
poskytuje na požiadanie poradenstvo, ak ide o posúdenie vplyvu na ochranu osobných
údajov a monitorovanie jeho vykonávania podľa § 42,
d)
spolupracuje s úradom pri plnení svojich úloh,
e)
plní úlohy kontaktného miesta pre úrad v súvislosti s otázkami týkajúcimi sa spracúvania
osobných údajov vrátane predchádzajúcej konzultácie podľa § 43 a podľa potreby aj konzultácie v iných veciach.
(2)
Zodpovedná osoba pri výkone svojich úloh náležite zohľadňuje riziko spojené so spracovateľskými
operáciami, pričom berie do úvahy povahu, rozsah, kontext a účel spracúvania osobných
údajov.
ŠTVRTÁ HLAVA
PRENOS OSOBNÝCH ÚDAJOV DO TRETEJ KRAJINY
ALEBO MEDZINÁRODNEJ ORGANIZÁCII
ALEBO MEDZINÁRODNEJ ORGANIZÁCII
§ 47
Všeobecná zásada prenosu
Prenos osobných údajov, ktoré sa spracúvajú alebo sú určené na spracúvanie po prenose
do tretej krajiny alebo medzinárodnej organizácii, sa môže uskutočniť len vtedy, ak
prevádzkovateľ a sprostredkovateľ dodržiavajú podmienky vrátane podmienok následného
prenosu osobných údajov z predmetnej tretej krajiny alebo od predmetnej medzinárodnej
organizácie do inej tretej krajiny alebo inej medzinárodnej organizácii.
§ 48
Prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii
(1)
Prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii sa môže
uskutočniť, ak Komisia rozhodla, že tretia krajina, územie alebo jeden či viaceré
určené odvetvia v danej tretej krajine alebo medzinárodná organizácia zaručujú primeranú
úroveň ochrany osobných údajov. Taký prenos nevyžaduje osobitné povolenie.
(2)
Ak neexistuje rozhodnutie Komisie podľa odseku 1, prenos osobných údajov do tretej
krajiny alebo medzinárodnej organizácii sa môže uskutočniť len vtedy, ak sa poskytnú
primerané záruky ochrany osobných údajov.
(3)
Primerané záruky podľa odseku 2 sa môžu ustanoviť bez toho, aby bolo potrebné žiadať
úrad o osobitné povolenie, prostredníctvom
a)
medzinárodnej zmluvy, ktorou je Slovenská republika viazaná,
b)
vnútropodnikových pravidiel podľa § 49,
c)
štandardnej doložky o ochrane údajov, ktoré prijala Komisia,
d)
štandardnej doložky o ochrane údajov, ktoré prijal úrad,
e)
schváleného kódexu správania podľa § 85 spolu so záväzkami prevádzkovateľa alebo sprostredkovateľa v tretej krajine spočívajúcimi
v uplatňovaní primeraných záruk, a to aj ak ide o práva dotknutej osoby, alebo
f)
certifikátu podľa § 86 spolu so záväzkom prevádzkovateľa alebo sprostredkovateľa v tretej krajine spočívajúcim
v uplatňovaní primeraných záruk, a to aj ak ide o práva dotknutej osoby.
(4)
Primerané záruky podľa odseku 2 sa môžu tiež zabezpečiť na základe povolenia úradu
najmä
a)
zmluvnými doložkami medzi prevádzkovateľom alebo sprostredkovateľom a prevádzkovateľom,
sprostredkovateľom alebo príjemcom v tretej krajine alebo medzinárodnej organizácii,
alebo
§ 49
Vnútropodnikové pravidlá
(1)
Úrad schváli vnútropodnikové pravidlá, ak
a)
sa vzťahujú na každého člena skupiny podnikov alebo zoskupenia podnikov zapojených
do spoločnej hospodárskej činnosti vrátane ich zamestnancov a títo členovia ich uplatňujú,
b)
sa nimi upravujú vnútorné postupy pre uplatnenie práv dotknutej osoby, ak ide o spracúvanie
osobných údajov, a
c)
spĺňajú požiadavky podľa odseku 2.
(2)
Vo vnútropodnikových pravidlách sa uvedie aspoň
a)
štruktúra a kontaktné údaje skupiny podnikov alebo zoskupenia podnikov zapojených
do spoločnej hospodárskej činnosti a každého z ich členov,
b)
prenos osobných údajov alebo súbor prenosov vrátane kategórií osobných údajov, typu
spracúvania a jeho účelov, typu dotknutých osôb a identifikácia predmetnej tretej
krajiny alebo krajín,
c)
ich záväznosť pre prevádzkovateľa a sprostredkovateľa,
d)
uplatňovanie všeobecných zásad ochrany osobných údajov, najmä obmedzenie účelu, minimalizácia
osobných údajov, obmedzenie lehoty uchovávania, kvalita osobných údajov, špecificky
navrhnutá a štandardná ochrana osobných údajov, právny základ pre spracúvanie osobných
údajov, spracúvanie osobitných kategórií osobných údajov, opatrenia na zaistenie bezpečnosti
osobných údajov, ako aj požiadavky v súvislosti s následnými prenosmi subjektom, ktoré
nie sú viazané vnútropodnikovými pravidlami,
e)
právo dotknutej osoby v súvislosti so spracúvaním osobných údajov a prostriedky na
uplatnenie týchto práv vrátane práva na to, aby sa na ne nevzťahovalo rozhodovanie
založené výlučne na automatizovanom spracúvaní vrátane profilovania podľa § 28, práva na podanie návrhu na začatie konania podľa § 100 a na inú právnu ochranu práva podľa osobitného predpisu19) a práva na náhradu škody za porušenie vnútropodnikových pravidiel,
f)
vyhlásenie, že prevádzkovateľ alebo sprostredkovateľ so sídlom, organizačnou zložkou,
prevádzkarňou alebo trvalým pobytom na území Slovenskej republiky prijíma zodpovednosť
za porušenia vnútropodnikových pravidiel ktorýmkoľvek z dotknutých členov, ktorý nemá
sídlo, organizačnú zložku, prevádzkareň alebo trvalý pobyt v členskom štáte; prevádzkovateľ
alebo sprostredkovateľ je úplne oslobodený alebo čiastočne oslobodený od tejto zodpovednosti,
len ak preukáže, že spôsobenú škodu nezavinil,
g)
spôsob, akým sa okrem spôsobov podľa § 19 a 20 poskytujú dotknutej osobe informácie o vnútropodnikových pravidlách, najmä ak ide
o ustanovenia podľa písmen d) až f),
h)
úloha zodpovednej osoby alebo inej osoby alebo subjektu zodpovedného za monitorovanie
dodržiavania vnútropodnikových pravidiel, ako aj za monitorovanie odbornej prípravy
a vybavovania sťažností,
i)
postup týkajúci sa podávania sťažností,
j)
mechanizmus, ktorý má v rámci skupiny podnikov alebo zoskupenia podnikov zapojených
do spoločnej hospodárskej činnosti zabezpečiť overovanie dodržiavania vnútropodnikových
pravidiel a ktorý zahŕňa audity ochrany osobných údajov a metódy na zabezpečenie opatrení
na nápravu s cieľom chrániť práva dotknutej osoby; výsledky overovania oznamujú zodpovednej
osobe alebo subjektu uvedenému v písmene h) a štatutárnemu orgánu riadiaceho podniku
skupiny podnikov alebo zoskupenia podnikov zapojených do spoločnej hospodárskej činnosti
a na požiadanie poskytujú úradu,
k)
mechanizmus ohlasovania a zaznamenávania zmien pravidiel a ohlasovania týchto zmien
úradu,
l)
mechanizmus spolupráce s úradom na zabezpečenie dodržiavania pravidiel, najmä poskytovania
výsledkov overovania podľa písmena j) úradu,
m)
mechanizmus ohlasovania právnych požiadaviek, ktorým prevádzkovateľ alebo sprostredkovateľ
podlieha v tretej krajine a ktoré pravdepodobne budú mať podstatné nepriaznivé následky
na záruky poskytované vnútropodnikovými pravidlami úradu, a
n)
primeraná odborná príprava fyzických osôb, ktoré majú stály alebo pravidelný prístup
k osobným údajom, v oblasti ochrany osobných údajov.
§ 50
Prenos alebo poskytnutie osobných údajov, ktoré právny poriadok v Slovenskej republike
nepovoľuje
Rozhodnutie súdu, rozhodnutie tribunálu alebo rozhodnutie správneho orgánu tretej
krajiny, ktoré od prevádzkovateľa alebo sprostredkovateľa vyžaduje preniesť osobné
údaje alebo poskytnúť osobné údaje, môže byť uznané alebo vykonateľné len vtedy, ak
je v súlade s medzinárodnou zmluvou uzavretou s treťou krajinou, ktorou je Slovenská
republika alebo Európska únia viazaná.
§ 51
Výnimky pre osobitné situácie
(1)
Ak neexistuje rozhodnutie o primeranosti podľa § 48 ods. 1 ani primerané záruky podľa § 48 ods. 2 až 4 vrátane vnútropodnikových pravidiel, prenos osobných údajov do tretej krajiny alebo
medzinárodnej organizácii sa môže uskutočniť len vtedy, ak
a)
dotknutá osoba vyjadrila výslovný súhlas s navrhovaným prenosom po tom, ako bola
informovaná o možných rizikách takého prenosu z dôvodu neexistencie rozhodnutia o
primeranosti a primeraných záruk,
b)
prenos je nevyhnutný na plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom
alebo na vykonanie predzmluvných opatrení prijatých na žiadosť dotknutej osoby,
c)
prenos je nevyhnutný na uzatvorenie zmluvy alebo plnenie zmluvy uzatvorenej v záujme
dotknutej osoby medzi prevádzkovateľom a inou osobou,
d)
prenos je nevyhnutný z verejného záujmu podľa osobitného predpisu alebo medzinárodnej
zmluvy, ktorou je Slovenská republika viazaná,
e)
prenos je nevyhnutný na uplatnenie právneho nároku dotknutej osoby,
f)
prenos je nevyhnutný na ochranu života, zdravia alebo majetku dotknutej osoby alebo
inej fyzickej osoby, ak je dotknutá osoba fyzicky nespôsobilá alebo právne nespôsobilá
vyjadriť súhlas, alebo
g)
prenos sa uskutočňuje z registra, ktorý je podľa osobitného predpisu alebo medzinárodnej
zmluvy, ktorou je Slovenská republika viazaná, určený na poskytovanie informácií verejnosti
a do ktorého môže nahliadať verejnosť, pričom musia byť splnené podmienky nahliadania
podľa tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská
republika viazaná.
(2)
Ak prenos nemožno uskutočniť podľa § 48 a nemožno ani uplatniť žiadnu výnimku pre osobitnú situáciu podľa odseku 1, prenos
osobných údajov do tretej krajiny alebo medzinárodnej organizácii sa môže uskutočniť
len vtedy, ak
a)
prenos nie je opakujúcej sa povahy,
b)
prenos sa týka len obmedzeného počtu dotknutých osôb,
c)
prenos je nevyhnutný na účel závažných oprávnených záujmov prevádzkovateľa, nad ktorými
neprevažujú práva alebo záujmy dotknutej osoby, a
d)
prevádzkovateľ posúdil okolnosti sprevádzajúce prenos osobných údajov a na základe
tohto posúdenia poskytol vhodné záruky ochrany osobných údajov.
(3)
Prevádzkovateľ je povinný o prenose podľa odseku 2 vopred informovať úrad. Prevádzkovateľ
je okrem poskytnutia informácií podľa § 19 a 20 povinný informovať dotknutú osobu o prenose podľa odseku 2 a o svojich oprávnených
záujmoch v lehotách podľa § 19 a 20. Prevádzkovateľ alebo sprostredkovateľ zdokumentujú
posúdenie, ako aj vhodné záruky v záznamoch o spracovateľských činnostiach podľa § 37.
(4)
Prenos podľa odseku 1 písm. g) nesmie zahŕňať osobné údaje alebo celé kategórie osobných
údajov, ktoré obsahuje register. Ak je register určený na nahliadanie pre osoby s
oprávneným záujmom, prenos sa môže uskutočniť iba na žiadosť týchto osôb alebo vtedy,
keď majú byť tieto osoby príjemcami.
(5)
Odsek 1 písm. a) až c) a odsek 2 sa nevzťahujú na činnosti, ktoré vykonávajú orgány
verejnej moci pri výkone verejnej moci.
TRETIA ČASŤ
OSOBITNÉ PRAVIDLÁ OCHRANY OSOBNÝCH ÚDAJOV FYZICKÝCH OSÔB
PRI ICH SPRACÚVANÍ PRÍSLUŠNÝMI ORGÁNMI
PRI ICH SPRACÚVANÍ PRÍSLUŠNÝMI ORGÁNMI
PRVÁ HLAVA
ZÁSADY SPRACÚVANIA OSOBNÝCH ÚDAJOV
§ 52
Na postup príslušných orgánov pri spracúvaní osobných údajov na plnenie úloh na účely
trestného konania sa vzťahujú § 6, § 8, § 9, § 11, § 12 a § 13 ods. 2 rovnako.
§ 53
Zásada obmedzenia účelu
Osobné údaje musia byť získavané na konkrétne určený, výslovne uvedený a oprávnený
účel a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmto účelom;
ten istý príslušný orgán alebo iný príslušný orgán je oprávnený spracúvať osobné údaje
na archiváciu, na vedecký účel, na účel historického výskumu alebo na štatistický
účel v súvislosti s plnením úloh na účely trestného konania, ak prijme primerané záruky
ochrany práv dotknutej osoby.
§ 54
Zásada minimalizácie uchovávania
Osobné údaje musia byť uchovávané vo forme, ktorá umožňuje identifikáciu dotknutej
osoby najneskôr dovtedy, kým je to potrebné na účel, na ktorý sa osobné údaje spracúvajú.
§ 55
Zákonnosť spracúvania
(1)
Príslušný orgán je oprávnený spracúvať osobné údaje na plnenie úloh na účely trestného
konania podľa tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou
je Slovenská republika viazaná.
(2)
Spracúvať osobné údaje na plnenie úloh na účely trestného konania, ktoré boli pôvodne
získané na iný účel, je možné, ak spracúvanie osobných údajov je na účel trestného
konania nevyhnutné a primerané.
(3)
Príslušný orgán je oprávnený osobné údaje spracúvať aj na iný účel, ako je plnenie
úloh na účely trestného konania, ak to je zlučiteľné s účelom, na ktorý sa zhromaždili,
a ak spracúvanie je na tento iný účel nevyhnutné a primerané. Na spracúvanie osobných
údajov na iný účel sa vzťahuje osobitný predpis,2) ak ide o spracúvanie osobných údajov v rámci činnosti, ktorá patrí do pôsobnosti
práva Európskej únie; ak nejde o spracúvanie v rámci činnosti, ktorá patrí do pôsobnosti
práva Európskej únie, na spracúvanie osobných údajov na iný účel sa vzťahuje tento
zákon okrem tejto časti.
(4)
Ak príslušný orgán vykonáva iné činnosti, ako je plnenie úloh na účely trestného
konania, na spracúvanie osobných údajov na iné činnosti sa vzťahuje osobitný predpis,2) ak ide o spracúvanie osobných údajov v rámci činnosti, ktorá patrí do pôsobnosti
práva Európskej únie; ak nejde o spracúvanie osobných údajov v rámci činnosti, ktorá
patrí do pôsobnosti práva Európskej únie, na spracúvanie osobných údajov na iné činnosti
sa vzťahuje tento zákon okrem tejto časti.
§ 56
Spracúvanie osobitných kategórií osobných údajov
(1)
Osobitné kategórie osobných údajov môže príslušný orgán spracúvať len vtedy, ak
a)
ich preukázateľne poskytla dotknutá osoba,
b)
je ich spracúvanie nevyhnutné podľa osobitného predpisu alebo medzinárodnej zmluvy,
ktorou je Slovenská republika viazaná, alebo
c)
je ich spracúvanie nevyhnutné na ochranu života, zdravia alebo majetku dotknutej
osoby alebo inej fyzickej osoby.
(2)
Príslušný orgán musí pri spracúvaní osobitných kategórií osobných údajov prijať primerané
záruky na ochranu práv dotknutej osoby.
§ 57
Kategórie dotknutých osôb
Príslušný orgán je, ak je to možné, povinný rozlišovať medzi osobnými údajmi rôznych
kategórií dotknutých osôb, ako sú najmä
a)
osoby, u ktorých sa možno odôvodnene domnievať, že spáchali alebo majú v úmysle spáchať
trestný čin,
b)
osoby odsúdené za spáchanie trestného činu,
c)
obete trestného činu alebo osoby, u ktorých sú na základe určitých skutočností dôvody
domnievať sa, že sú alebo by mohli byť obeťami trestného činu,
d)
iné tretie osoby v súvislosti s trestným činom, a to najmä osoby, ktoré môžu byť
vyzvané, aby svedčili v rámci trestného konania, osoby, ktoré môžu poskytnúť informácie
o trestných činoch, alebo kontaktné osoby alebo spoločníci niektorej z osôb podľa
písmen a) a b).
§ 58
Pôvod a pravdivosť osobných údajov
(1)
Príslušný orgán označí, ak je to možné, osobné údaje založené na skutočnostiach a
osobné údaje založené na osobných hodnoteniach.
(2)
Príslušný orgán pred poskytnutím osobných údajov alebo pred prenosom osobných údajov
overí ich správnosť, úplnosť a aktuálnosť, ak je to možné, a prijme opatrenia na zabezpečenie
toho, aby sa neposkytovali alebo neprenášali osobné údaje, ktoré sú nesprávne, neúplné
alebo neaktuálne.
(3)
Príslušný orgán k poskytnutiu a prenosu osobných údajov pripojí dostupné informácie,
ktoré umožnia prijímajúcemu príslušnému orgánu posúdiť ich mieru správnosti, úplnosti,
aktuálnosti a spoľahlivosti, ak to okolnosti dovoľujú. Nesprávne osobné údaje príslušný
orgán nemôže poskytovať a prenášať; neoverené osobné údaje príslušný orgán musí pri
poskytovaní alebo prenose takto označiť a musí uviesť mieru ich spoľahlivosti. Ak
príslušný orgán neoprávnene poskytne osobné údaje alebo neoprávnene prenesie osobné
údaje alebo poskytne nesprávne osobné údaje alebo prenesie nesprávne osobné údaje,
je povinný bez zbytočného odkladu informovať príjemcu a žiadať príjemcov osobných
údajov, ktorým sa také osobné údaje poskytli, aby ich bez zbytočného odkladu opravili,
doplnili, vymazali alebo aby obmedzili spracúvanie takých osobných údajov.
DRUHÁ HLAVA
PRÁVA DOTKNUTEJ OSOBY
§ 59
Na postup príslušných orgánov pri spracúvaní osobných údajov na plnenie úloh na účely
trestného konania sa vzťahuje § 29 rovnako.
§ 60
Informácie, ktoré sa majú sprístupniť alebo poskytnúť dotknutej osobe
(1)
Príslušný orgán na svojom webovom sídle sprístupní najmä
a)
svoje identifikačné údaje a kontaktné údaje,
b)
kontaktné údaje zodpovednej osoby,
c)
informácie o účele spracúvania, na ktoré sú osobné údaje určené,
d)
kontaktné údaje úradu,
e)
informácie o práve podať návrh na začatie konania podľa § 100,
f)
informácie o práve žiadať od príslušného orgánu prístup k osobným údajom, ktoré sa
dotknutej osoby týkajú, ich opravu, vymazanie alebo obmedzenie ich spracúvania.
(2)
Na žiadosť dotknutej osoby je príslušný orgán povinný poskytnúť v osobitných prípadoch
dotknutej osobe informácie o
a)
právnom základe spracúvania osobných údajov,
b)
dobe uchovávania osobných údajov; ak to nie je možné, informáciu o kritériách jej
určenia,
c)
kategóriách príjemcov osobných údajov, a to aj v tretej krajine a medzinárodnej organizácii,
d)
o iných skutočnostiach, najmä ak sa osobné údaje získali bez vedomia dotknutej osoby.
§ 61
Právo na prístup k osobným údajom
Dotknutá osoba má právo získať od príslušného orgánu potvrdenie o tom, či sa spracúvajú
osobné údaje, ktoré sa jej týkajú, a ak to tak je, má právo získať prístup k týmto
osobným údajom a informácie o
a)
účele spracúvania osobných údajov a právnom základe spracúvania osobných údajov,
b)
kategórii spracúvaných osobných údajov,
c)
príjemcovi alebo kategórii príjemcov, ktorým boli alebo majú byť osobné údaje poskytnuté,
najmä o príjemcovi v tretej krajine alebo o medzinárodnej organizácii,
d)
dobe uchovávania osobných údajov; ak to nie je možné, informáciu o kritériách jej
určenia,
e)
práve žiadať od príslušného orgánu opravu osobných údajov týkajúcich sa dotknutej
osoby alebo ich vymazanie alebo obmedzenie spracúvania osobných údajov alebo práve
namietať spracúvanie osobných údajov,
f)
kontaktných údajoch úradu,
g)
práve podať návrh na začatie konania podľa § 100,
h)
zdroji osobných údajov, ak sú dostupné.
§ 62
Právo na opravu osobných údajov, právo na vymazanie osobných údajov
a obmedzenie týchto práv
a obmedzenie týchto práv
(1)
Dotknutá osoba má právo na to, aby príslušný orgán bez zbytočného odkladu opravil
nesprávne osobné údaje, ktoré sa jej týkajú. So zreteľom na účel spracúvania osobných
údajov má dotknutá osoba právo na doplnenie neúplných osobných údajov.
(2)
Dotknutá osoba má právo na to, aby príslušný orgán bez zbytočného odkladu vymazal
osobné údaje, ktoré sa jej týkajú, a príslušný orgán je povinný bez zbytočného odkladu
vymazať osobné údaje, ak
a)
spracúvanie osobných údajov je v rozpore so zásadami spracúvania osobných údajov
podľa § 52 až 55,
b)
spracúvanie osobných údajov je v rozpore s § 56, alebo
c)
výmaz osobných údajov je nevyhnutný na účel splnenia povinností podľa tohto zákona,
osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.
(3)
Namiesto vymazania príslušný orgán obmedzí spracúvanie osobných údajov, ak
a)
dotknutá osoba napadla správnosť osobných údajov a ich správnosť alebo nesprávnosť
nemožno určiť, alebo
b)
osobné údaje sa musia zachovať na účely dokazovania.
(4)
Ak je obmedzené spracúvanie osobných údajov podľa odseku 3 písm. a), príslušný orgán
je povinný pred zrušením obmedzenia spracúvania osobných údajov o tom dotknutú osobu
informovať.
(5)
Príslušný orgán je povinný písomne informovať dotknutú osobu o zamietnutí práva na
opravu podľa odseku 1, práva na vymazanie podľa odseku 2 alebo obmedzenie spracúvania
osobných údajov podľa odseku 3 a o dôvodoch zamietnutia.
§ 63
Obmedzenie poskytnutia informácií a práv dotknutej osoby
(1)
Príslušný orgán môže odložiť poskytnutie informácií, obmedziť poskytnutie informácií
alebo upustiť od poskytnutia informácií podľa § 60 ods. 2, úplne alebo čiastočne obmedziť právo na prístup podľa § 61 alebo môže úplne alebo čiastočne obmedziť povinnosť informovať podľa § 62 ods. 5, ak
a)
by mohlo dôjsť k ovplyvňovaniu alebo mareniu úradného postupu alebo súdneho postupu
alebo šetrenia,
b)
by mohlo dôjsť k ohrozeniu plnenia úloh na účely trestného konania,
c)
je to potrebné na zabezpečenie ochrany verejného poriadku alebo bezpečnosti štátu,
alebo
d)
je to potrebné na ochranu práv iných osôb.
(2)
Osobitný predpis môže ustanoviť kategórie spracúvania osobných údajov, na ktoré sa
vzťahuje odsek 1.
(3)
Príslušný orgán je povinný písomne informovať dotknutú osobu o zamietnutí práva na
prístup alebo obmedzení práva na prístup podľa § 61 a o dôvodoch tohto zamietnutia alebo obmedzenia; to neplatí, ak by sa poskytnutím
takej informácie ohrozil účel podľa odseku 1.
(4)
Príslušný orgán musí zdokumentovať skutkové dôvody alebo právne dôvody, na základe
ktorých sa obmedzilo právo na prístup podľa § 61, a poskytnúť ich na požiadanie úradu.
(5)
Ak príslušný orgán obmedzí poskytnutie informácií alebo obmedzí právo dotknutej osoby
podľa odseku 1, je povinný dotknutú osobu písomne informovať o možnosti podania návrhu
na začatie konania podľa § 100 vrátane možnosti uplatnenia práva na preverenie zákonnosti postupov príslušného orgánu
podľa odsekov 1 a 3 úradom a o možnosti uplatnenia práv dotknutej osoby na inú právnu
ochranu.19)
§ 64
Oznámenie opravy, vymazania alebo obmedzenia spracúvania osobných údajov
Príslušný orgán je povinný oznámiť opravu nesprávnych osobných údajov príslušnému
orgánu, od ktorého nesprávne osobné údaje získal. Ak príslušný orgán nesprávne osobné
údaje opraví, vymaže nesprávne osobné údaje alebo obmedzí ich spracúvanie podľa § 62 ods. 1 až 3, informuje o tom príjemcu, ktorý je také osobné údaje povinný opraviť, vymazať alebo
obmedziť ich spracúvanie.
§ 65
Ustanovenia § 61 až 64 sa neuplatňujú, ak ide o osobné údaje, ktoré sú súčasťou vyšetrovacieho spisu alebo
súdneho spisu v rámci trestného konania; práva uvedené v týchto ustanoveniach sa vykonávajú
podľa osobitného predpisu.21)
§ 66
Automatizované individuálne rozhodovanie
(1)
Rozhodnutie príslušného orgánu, ktoré má na dotknutú osobu nepriaznivé právne účinky,
nesmie byť založené výlučne na automatizovanom spracúvaní osobných údajov vrátane
profilovania, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika
viazaná, neustanovuje inak. Osobitým predpisom alebo medzinárodnou zmluvou, ktorou
je Slovenská republika viazaná, musia byť ustanovené primerané záruky ochrany práv
dotknutej osoby, najmä právo na overenie rozhodnutia nie automatizovaným spôsobom
zo strany príslušného orgánu.
(2)
Rozhodnutie podľa odseku 1 nesmie byť založené na osobitných kategóriách osobných
údajov, ak sa neuplatňujú vhodné opatrenia na zaručenie práv a oprávnených záujmov
dotknutej osoby.
(3)
Profilovanie, ktoré vedie k diskriminácii osôb na základe osobitných kategórií osobných
údajov, sa zakazuje.
TRETIA HLAVA
PRÁVA A POVINNOSTI PRÍSLUŠNÉHO ORGÁNU A SPROSTREDKOVATEĽA
§ 67
Na postup príslušných orgánov pri spracúvaní osobných údajov na plnenie úloh na účely
trestného konania sa vzťahujú § 31, § 32, § 33 ods. 1 a 3, § 34, § 36, § 37, § 39 až 41, § 42 ods. 1 až 5 a 7 a § 44 až 46 rovnako.
§ 68
(1)
Príslušný orgán raz za tri roky preverí, či sú spracúvané osobné údaje naďalej potrebné
na plnenie úloh na účely trestného konania, ak osobitný predpis neustanovuje inak.
(2)
Príslušný orgán vedie záznamy o spracovateľských činnostiach, za ktoré je zodpovedný.
Záznamy o spracovateľských činnostiach musia obsahovať okrem informácií podľa § 37 aj informácie o
a)
použití profilovania, ak príslušný orgán zamýšľa profilovanie,
b)
právnom základe pre spracovateľské operácie vrátane prenosu, pre ktorý sú osobné
údaje určené.
§ 69
Vedenie logov
(1)
Príslušný orgán pri získavaní, zmene, prehliadaní, poskytovaní vrátane prenosu, kombinovaní
a vymazaní osobných údajov v systéme automatizovaného spracúvania uchováva logy. Z
logov o prehliadaní a poskytovaní musí byť možné určiť dôvod, dátum a čas prehliadania
alebo poskytovania a identifikačné údaje osoby, ktorá tieto osobné údaje prehliadala
alebo ich poskytovala, ako aj totožnosť príjemcov.
(2)
Príslušný orgán využíva a uchováva logy výlučne na účely overovania zákonnosti spracúvania
osobných údajov, vlastného monitorovania, na účely zabezpečenia integrity a bezpečnosti
osobných údajov a na účely trestného konania.
(3)
Príslušný orgán a sprostredkovateľ príslušného orgánu na požiadanie sprístupnia logy
úradu, ak sú dostupné.
§ 70
Predchádzajúca konzultácia
(1)
Príslušný orgán uskutoční s úradom konzultáciu pred spracúvaním osobných údajov,
ktoré má tvoriť súčasť nového informačného systému, ak je z posúdenia vplyvu na ochranu
osobných údajov podľa § 42 zrejmé, že toto spracúvanie povedie k vysokému riziku pre práva fyzických osôb, ak
príslušný orgán neprijme opatrenia na zmiernenie tohto rizika alebo sa s typom spracúvania,
najmä s využitím nových technológií, mechanizmov alebo postupov, spája vysoké riziko
porušenia práv dotknutej osoby.
(2)
Príslušný orgán spolu so žiadosťou o predchádzajúcu konzultáciu poskytne úradu aj
posúdenie vplyvu na ochranu osobných údajov podľa § 42, ktoré vykonal, a na požiadanie úradu aj ďalšie informácie, ktoré úradu umožnia posúdiť
súlad spracúvania osobných údajov s týmto zákonom a najmä riziká z hľadiska ochrany
osobných údajov dotknutej osoby a súvisiacich záruk.
(3)
Ak sa úrad domnieva, že by zamýšľané spracúvanie osobných údajov podľa odseku 1 bolo
nezákonné, najmä ak príslušný orgán nedostatočne identifikoval riziko alebo zmiernil
riziko, úrad do šiestich týždňov od prijatia žiadosti o konzultáciu poskytne príslušnému
orgánu, prípadne aj sprostredkovateľovi, písomné poradenstvo. Úrad môže s ohľadom
na zložitosť zamýšľaného spracúvania osobných údajov predĺžiť lehotu podľa predchádzajúcej
vety o jeden mesiac; predĺženie lehoty a dôvody predĺženia úrad oznámi prevádzkovateľovi,
prípadne aj sprostredkovateľovi, do jedného mesiaca od prijatia žiadosti o konzultáciu.
Lehota na poskytnutie poradenstva úradom neplynie dovtedy, kým úrad nezíska informácie,
o ktoré požiadal na účely predchádzajúcej konzultácie.
(4)
Ďalšie spracovateľské operácie pre príslušný orgán, ktoré podliehajú povinnosti uskutočniť
predchádzajúce konzultácie podľa odseku 1, ustanoví všeobecne záväzný právny predpis,
ktorý vydá úrad.
§ 71
Bezpečnosť spracúvania osobných údajov
Príslušný orgán alebo sprostredkovateľ príslušného orgánu pri automatizovanom spracúvaní
osobných údajov prijme na základe vyhodnotenia rizík opatrenia na
a)
kontrolu prístupu k zariadeniam, aby sa zabránilo neoprávnenému prístupu k zariadeniam
na spracúvanie osobných údajov, ktoré sa používajú na spracúvanie,
b)
kontrolu nosičov osobných údajov, aby sa zabránilo neoprávnenému čítaniu nosičov
osobných údajov, kopírovaniu nosičov osobných údajov, pozmeňovaniu nosičov osobných
údajov alebo odstráneniu nosičov osobných údajov,
c)
kontrolu uchovávania osobných údajov, aby sa zabránilo neoprávnenému vkladaniu osobných
údajov do informačného systému a neoprávnenému prehliadaniu osobných údajov v informačnom
systéme, pozmeňovaniu osobných údajov v informačnom systéme alebo vymazaniu osobných
údajov z informačného systému,
d)
kontrolu užívateľa informačného systému, aby sa zabránilo použitiu systémov automatizovaného
spracúvania neoprávnenými osobami pomocou zariadenia na prenos osobných údajov,
e)
kontrolu prístupu k osobným údajom, aby sa zabezpečilo, že osoby oprávnené používať
systém automatizovaného spracúvania budú mať prístup iba k tým osobným údajom, na
ktoré sa vzťahuje ich oprávnenie na prístup,
f)
kontrolu prenosu údajov, aby sa zabezpečila možnosť overiť a zistiť subjekty, ktorým
sa preniesli osobné údaje alebo poskytli osobné údaje, alebo overiť a zistiť subjekty,
ktorým sa môžu preniesť osobné údaje, alebo poskytnúť osobné údaje prostredníctvom
zariadenia na prenos osobných údajov,
g)
kontrolu vkladania údajov do informačného systému, aby sa zabezpečilo, že bude možné
overiť a zistiť, aké osobné údaje sa vložili do systému automatizovaného spracúvania,
a kedy a kto ich tam vložil,
h)
kontrolu prepravy osobných údajov, aby sa zabránilo neoprávnenému čítaniu osobných
údajov, kopírovaniu osobných údajov, pozmeňovaniu osobných údajov alebo vymazaniu
osobných údajov počas ich prenosu alebo počas prepravy nosiča osobných údajov,
i)
obnovu osobných údajov, aby sa zabezpečilo, že sa inštalované systémy obnovia, ak
dôjde k ich prerušeniu,
j)
zabezpečenie spoľahlivosti informačného systému, aby sa zabezpečilo, že funkcie tohto
systému fungujú a hlási sa výskyt chýb v jeho funkciách,
k)
zabezpečenie integrity informačného systému, aby sa uchovávané osobné údaje nemohli
poškodiť, ak nastane porucha tohto systému.
§ 72
Oznámenie porušenia ochrany osobných údajov
(1)
Príslušný orgán je povinný bez zbytočného odkladu oznámiť informácie podľa § 40 ods. 4 orgánu členského štátu príslušnému na plnenie úloh na účely trestného konania, ak
porušenie ochrany osobných údajov zahŕňa osobné údaje, ktorých prenos vykonal orgán
členského štátu príslušný na plnenie úloh na účely trestného konania alebo ktoré boli
prenesené takému orgánu.
(2)
Príslušný orgán môže odložiť oznámenie o porušení ochrany osobných údajov, obmedziť
oznámenie o porušení ochrany osobných údajov alebo upustiť od oznámenia porušenia
ochrany osobných údajov dotknutej osobe podľa § 41, ak
a)
by mohlo dôjsť k ovplyvňovaniu alebo mareniu úradného postupu alebo súdneho postupu
alebo šetrenia,
b)
by mohlo dôjsť k ohrozeniu plnenia úloh na účely trestného konania,
c)
je to potrebné na zabezpečenie ochrany verejného poriadku alebo bezpečnosti štátu,
alebo
d)
je to potrebné na ochranu práv iných osôb.
ŠTVRTÁ HLAVA
PRENOS OSOBNÝCH ÚDAJOV DO TRETEJ KRAJINY ALEBO MEDZINÁRODNEJ ORGANIZÁCII
§ 73
(1)
Na postup príslušných orgánov pri spracúvaní osobných údajov na plnenie úloh na účely
trestného konania sa vzťahujú § 48 ods. 1 a § 50 rovnako.
(2)
Prenos osobných údajov medzi príslušnými orgánmi a orgánmi členských štátov príslušnými
na plnenie úloh na účely trestného konania sa zaručuje, ak sa taký prenos vyžaduje
podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika
viazaná.
§ 74
Všeobecné zásady prenosu osobných údajov
(1)
Prenos osobných údajov, ktoré sa spracúvajú alebo sú určené na spracúvanie po prenose
do tretej krajiny alebo medzinárodnej organizácii, vrátane následného prenosu do ďalšej
tretej krajiny či ďalšej medzinárodnej organizácii príslušný orgán môže uskutočniť
len vtedy, ak
a)
je prenos potrebný na plnenie úloh na účely trestného konania,
b)
sa osobné údaje prenášajú prevádzkovateľovi v tretej krajine alebo medzinárodnej
organizácii, ktorý je orgánom príslušným na plnenie úloh na účely trestného konania,
ak nie je v § 77 ods. 1 ustanovené inak,
c)
členský štát vydal povolenie na prenos v súlade so svojím vnútroštátnym právom, ak
sa prenesú osobné údaje alebo poskytnú osobné údaje z iného členského štátu, ešte
pred uskutočnením prenosu,
d)
Komisia prijala rozhodnutie o primeranosti podľa § 48 ods. 1 alebo boli poskytnuté alebo existujú primerané záruky podľa § 75 alebo platia výnimky pre osobitné situácie podľa § 76,
e)
pri následnom prenose do ďalšej tretej krajiny alebo medzinárodnej organizácii príslušný
orgán, ktorý uskutočnil pôvodný prenos, alebo iný príslušný orgán v Slovenskej republike
vydá povolenie na následný prenos, a to po náležitom zohľadnení relevantných faktorov
vrátane závažnosti trestného činu, účelu, na ktorý sa osobné údaje pôvodne preniesli,
a úrovne ochrany osobných údajov v tretej krajine alebo medzinárodnej organizácii,
do ktorej sa osobné údaje následne prenášajú.
(2)
Prenos bez predchádzajúceho povolenia členského štátu podľa odseku 1 písm. c) možno
uskutočniť len vtedy, ak je prenos nevyhnutný na zabránenie bezprostrednému a vážnemu
ohrozeniu verejnej bezpečnosti členského štátu alebo tretej krajiny, alebo základných
záujmov členského štátu a predchádzajúce povolenie nie je možné získať včas; orgán
zodpovedný za vydanie predchádzajúceho povolenia sa o tom musí informovať bez zbytočného
odkladu.
(3)
Ak príslušný orgán uskutočňuje prenos osobných údajov, na ktorých spracúvanie sa
podľa osobitného predpisu vzťahujú osobitné podmienky spracúvania, musí o podmienkach
a požiadavke dodržiavať ich informovať príjemcu. Pri prenose osobných údajov príjemcovi
v inom členskom štáte alebo agentúre, úradu alebo orgánu Európskej únie nemôže príslušný
orgán uplatňovať iné podmienky, ako sa uplatňujú na prenos osobných údajov v rámci
Slovenskej republiky.
§ 75
Primerané záruky
(1)
Ak neexistuje rozhodnutie Komisie o primeranosti podľa § 48 ods. 1, príslušný orgán môže uskutočniť prenos osobných údajov do tretej krajiny alebo medzinárodnej
organizácii len vtedy, ak
a)
osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná,
poskytuje primerané záruky ochrany osobných údajov, alebo
b)
príslušný orgán posúdil okolnosti prenosu osobných údajov a dospel k záveru, že existujú
primerané záruky ochrany osobných údajov.
(2)
Príslušný orgán informuje úrad o kategóriách prenosov podľa odseku 1 písm. b).
(3)
Ak príslušný orgán uskutočňuje prenos podľa odseku 1 písm. b), musí sa taký prenos
zdokumentovať; dokumentácia sa na žiadosť poskytne úradu. V dokumentácii musí byť
uvedený dátum a čas prenosu, informácie o prijímajúcom príslušnom orgáne, odôvodnenie
prenosu osobných údajov a prenášané osobné údaje.
§ 76
Výnimky pre osobitné situácie
(1)
Ak neexistuje rozhodnutie Komisie o primeranosti podľa § 48 ods. 1 ani primerané záruky podľa § 75, prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii môže príslušný
orgán uskutočniť len vtedy, ak je prenos nevyhnutný
a)
na ochranu života, zdravia alebo majetku dotknutej osoby, alebo inej fyzickej osoby,
b)
na zabezpečenie oprávnených záujmov dotknutej osoby, ak tak ustanovuje osobitný predpis
alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná,
c)
na predídenie bezprostredného a vážneho ohrozenia verejnej bezpečnosti členského
štátu alebo tretej krajiny,
d)
v osobitných prípadoch na plnenie úloh na účely trestného konania, alebo
e)
v osobitných prípadoch na uplatnenie právneho nároku súvisiaceho s plnením úloh na
účely trestného konania.
(2)
Prenos osobných údajov podľa odseku 1 sa nesmie uskutočniť, ak príslušný orgán, ktorý
prenos uskutočňuje, určí, že práva dotknutej osoby prevažujú nad verejným záujmom
na prenose podľa odseku 1 písm. d) a e).
(3)
Ak sa prenos osobných údajov uskutočňuje podľa odseku 1, musí sa taký prenos zdokumentovať;
dokumentácia sa na žiadosť poskytne úradu. V dokumentácii musí byť uvedený dátum a
čas prenosu, informácie o prijímajúcom príslušnom orgáne, odôvodnenie prenosu osobných
údajov a prenášané osobné údaje.
§ 77
Prenos osobných údajov príjemcovi z tretej krajiny
(1)
Príslušný orgán v osobitných prípadoch môže uskutočniť prenos osobných údajov príjemcovi
so sídlom, miestom podnikania, organizačnou zložkou, prevádzkarňou alebo trvalým pobytom
v tretej krajine, ak okrem iných podmienok prenosu osobných údajov ustanovených týmto
zákonom
a)
je prenos nevyhnutný na plnenie úlohy na účely trestného konania príslušného orgánu,
ktorý prenos uskutočňuje,
b)
príslušný orgán, ktorý prenos uskutočňuje, určí, že žiadne práva dotknutej osoby
neprevažujú nad verejným záujmom, z ktorého v danom prípade vyplynula nevyhnutnosť
prenosu,
c)
príslušný orgán, ktorý prenos uskutočňuje, sa domnieva, že prenos orgánu, ktorý je
v tretej krajine príslušný na plnenie úloh na účely trestného konania, je neefektívny
alebo nevhodný, najmä preto, že prenos nemožno dosiahnuť v primeranom čase,
d)
orgán, ktorý je v tretej krajine príslušný na plnenie úloh na účely trestného konania,
je bez zbytočného odkladu informovaný, okrem prípadov, ak je také opatrenie neúčinné
alebo nevhodné, a
e)
príslušný orgán, ktorý prenos uskutočňuje, informuje príjemcu o konkrétnom účele
alebo účeloch, na ktoré má príjemca tieto osobné údaje výlučne spracúvať, ak je také
spracúvanie nevyhnutné.
(2)
Prenosom príjemcovi z tretej krajiny podľa odseku 1 nie je dotknutá medzinárodná
zmluva, ktorou je Slovenská republika viazaná v oblasti justičnej spolupráce v trestných
veciach a policajnej spolupráce.
(3)
Príslušný orgán, ktorý uskutočňuje prenos podľa odseku 1, musí o tom informovať úrad.
(4)
Ak príslušný orgán uskutočňuje prenos podľa odseku 1, je povinný ho zdokumentovať.
ŠTVRTÁ ČASŤ
OSOBITNÉ SITUÁCIE ZÁKONNÉHO SPRACÚVANIA OSOBNÝCH ÚDAJOV
§ 78
(1)
Prevádzkovateľ môže spracúvať osobné údaje bez súhlasu dotknutej osoby aj vtedy,
ak spracúvanie osobných údajov je nevyhnutné na akademický účel, umelecký účel alebo
literárny účel; to neplatí, ak spracúvaním osobných údajov na taký účel prevádzkovateľ
porušuje právo dotknutej osoby na ochranu jej osobnosti alebo právo na ochranu súkromia
alebo také spracúvanie osobných údajov bez súhlasu dotknutej osoby vylučuje osobitný
predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná.
(2)
Prevádzkovateľ môže spracúvať osobné údaje bez súhlasu dotknutej osoby aj vtedy,
ak spracúvanie osobných údajov je nevyhnutné pre potreby informovania verejnosti masovokomunikačnými
prostriedkami a ak osobné údaje spracúva prevádzkovateľ, ktorému to vyplýva z predmetu
činnosti; to neplatí, ak spracúvaním osobných údajov na taký účel prevádzkovateľ porušuje
právo dotknutej osoby na ochranu jej osobnosti alebo právo na ochranu súkromia alebo
také spracúvanie osobných údajov bez súhlasu dotknutej osoby vylučuje osobitný predpis
alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná.
(3)
Prevádzkovateľ, ktorý je zamestnávateľom dotknutej osoby, je oprávnený poskytovať
jej osobné údaje alebo zverejniť jej osobné údaje v rozsahu titul, meno, priezvisko,
pracovné zaradenie, služobné zaradenie, funkčné zaradenie, osobné číslo zamestnanca
alebo zamestnanecké číslo zamestnanca, odborný útvar, miesto výkonu práce, telefónne
číslo, faxové číslo, adresa elektronickej pošty na pracovisko a identifikačné údaje
zamestnávateľa, ak je to potrebné v súvislosti s plnením pracovných povinností, služobných
povinností alebo funkčných povinností dotknutej osoby. Poskytovanie osobných údajov
alebo zverejnenie osobných údajov nesmie narušiť vážnosť, dôstojnosť a bezpečnosť
dotknutej osoby.
(4)
Pri spracúvaní osobných údajov možno využiť na účely identifikovania fyzickej osoby
všeobecne použiteľný identifikátor podľa osobitného predpisu22) len vtedy, ak jeho využitie je nevyhnutné na dosiahnutie daného účelu spracúvania.
Súhlas so spracúvaním všeobecne použiteľného identifikátora musí byť výslovný a nesmie
ho vylučovať osobitný predpis, ak ide o jeho spracúvanie na právnom základe súhlasu
dotknutej osoby. Zverejňovať všeobecne použiteľný identifikátor sa zakazuje; to neplatí,
ak všeobecne použiteľný identifikátor zverejní sama dotknutá osoba.
(5)
Prevádzkovateľ môže spracúvať genetické údaje, biometrické údaje a údaje týkajúce
sa zdravia aj na právnom základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou
je Slovenská republika viazaná.
(6)
Osobné údaje o dotknutej osobe možno získať od inej fyzickej osoby a spracúvať v
informačnom systéme len s predchádzajúcim písomným súhlasom dotknutej osoby; to neplatí,
ak poskytnutím osobných údajov o dotknutej osobe do informačného systému iná fyzická
osoba chráni svoje práva alebo právom chránené záujmy, oznamuje skutočnosti, ktoré
odôvodňujú uplatnenie právnej zodpovednosti dotknutej osoby, alebo sa osobné údaje
spracúvajú na základe osobitného zákona podľa § 13 ods. 1 písm. c) a e). Ten, kto
také osobné údaje spracúva, musí vedieť preukázať úradu na jeho žiadosť, že ich získal
v súlade s týmto zákonom.
(7)
(8)
Pri spracúvaní osobných údajov na účel archivácie, na vedecký účel, na účel historického
výskumu alebo na štatistický účel je prevádzkovateľ a sprostredkovateľ povinný prijať
primerané záruky pre práva dotknutej osoby. Tieto záruky obsahujú zavedenie primeraných
a účinných technických a organizačných opatrení najmä na zabezpečenie dodržiavania
zásady minimalizácie údajov a pseudonymizácie. Ustanovenie prvej a druhej vety sa
nevzťahuje na spracúvanie osobných údajov zosnulých osôb.
(9)
Ak sa osobné údaje spracúvajú na vedecký účel, účel historického výskumu alebo na
štatistický účel, môžu byť práva dotknutej osoby podľa § 21, § 22, § 24 a 27 alebo podľa osobitného predpisu24) obmedzené osobitným predpisom alebo medzinárodnou zmluvou, ktorou je Slovenská republika
viazaná, ak sú prijaté primerané podmienky a záruky podľa odseku 6, ak by tieto práva
dotknutej osoby pravdepodobne znemožnili alebo závažným spôsobom sťažili dosiahnutie
týchto účelov a také obmedzenie práv dotknutej osoby je nevyhnutné na dosiahnutie
týchto účelov.
(10)
Ak sa osobné údaje spracúvajú na účel archivácie, môžu byť práva dotknutej osoby
podľa
§ 21, § 22 a § 24 až 27 alebo podľa osobitného predpisu25) obmedzené osobitným predpisom, ak sú prijaté primerané podmienky a záruky podľa odseku 6, ak by tieto práva dotknutej osoby pravdepodobne znemožnili alebo závažným spôsobom sťažili dosiahnutie týchto účelov a také obmedzenie práv dotknutej osoby je nevyhnutné na dosiahnutie týchto účelov.
§ 21, § 22 a § 24 až 27 alebo podľa osobitného predpisu25) obmedzené osobitným predpisom, ak sú prijaté primerané podmienky a záruky podľa odseku 6, ak by tieto práva dotknutej osoby pravdepodobne znemožnili alebo závažným spôsobom sťažili dosiahnutie týchto účelov a také obmedzenie práv dotknutej osoby je nevyhnutné na dosiahnutie týchto účelov.
(11)
Prevádzkovateľ a sprostredkovateľ pri prijímaní bezpečnostných opatrení a pri posudzovaní
vplyvu na ochranu osobných údajov postupuje primerane podľa medzinárodných noriem
a štandardov bezpečnosti.
Mlčanlivosť
§ 79
(1)
Prevádzkovateľ a sprostredkovateľ je povinný zachovávať mlčanlivosť o osobných údajoch,
ktoré spracúva. Povinnosť mlčanlivosti trvá aj po ukončení spracúvania osobných údajov.
(2)
Prevádzkovateľ a sprostredkovateľ je povinný zaviazať mlčanlivosťou o osobných údajoch
fyzické osoby, ktoré prídu do styku s osobnými údajmi u prevádzkovateľa alebo sprostredkovateľa.
Povinnosť mlčanlivosti podľa prvej vety musí trvať aj po skončení pracovného pomeru,
štátnozamestnaneckého pomeru, služobného pomeru alebo obdobného pracovného vzťahu
tejto fyzickej osoby.
(3)
Povinnosť mlčanlivosti podľa odsekov 1 a 2 neplatí, ak je to nevyhnutné na plnenie
úloh súdu a orgánov činných v trestnom konaní podľa osobitného zákona; tým nie sú
dotknuté ustanovenia o mlčanlivosti podľa osobitných predpisov.26)
(4)
Ustanovenia o povinnosti mlčanlivosti podľa odsekov 1 a 2, § 45 ods. 5 sa nepoužijú vo vzťahu k úradu pri plnení jeho úloh podľa tohto zákona alebo osobitného
predpisu.2)
PIATA ČASŤ
ÚRAD
PRVÁ HLAVA
POSTAVENIE, PÔSOBNOSŤ A ORGANIZÁCIA ÚRADU
§ 80
Postavenie úradu
(1)
Úrad je orgánom štátnej správy s celoslovenskou pôsobnosťou, ktorý sa podieľa na
ochrane základných práv fyzických osôb pri spracúvaní osobných údajov a ktorý vykonáva
dozor nad ochranou osobných údajov vrátane dozoru nad ochranou osobných údajov spracúvaných
príslušnými orgánmi pri plnení úloh na účely trestného konania, ak nie je v § 81 ods. 7 a 8 ustanovené inak.
(2)
Sídlom úradu je Bratislava.
(3)
Úrad na plnenie úloh dozorného orgánu nad ochranou osobných údajov môže zriaďovať
a zrušovať detašované pracoviská mimo svojho sídla a určovať územný obvod ich pôsobnosti.
(4)
Úrad pri výkone svojej pôsobnosti postupuje nezávisle a riadi sa ústavou, ústavnými
zákonmi, zákonmi, ostatnými všeobecne záväznými právnymi predpismi a medzinárodnými
zmluvami, ktorými je Slovenská republika viazaná.
(5)
Úrad je rozpočtovou organizáciou.27) Návrh rozpočtu predkladá úrad ako súčasť kapitoly Všeobecná pokladničná správa. Schválený
rozpočet úradu môže znížiť v priebehu kalendárneho roku iba Národná rada Slovenskej
republiky.
(6)
Podrobnosti o organizácii úradu upraví organizačný poriadok úradu, ktorý vydá predseda
úradu.
§ 81
Úlohy úradu
(1)
(2)
Úrad
a)
monitoruje uplatňovanie tohto zákona,
b)
vyjadruje sa k návrhom zákonov a k návrhom ostatných všeobecne záväzných právnych
predpisov, v ktorých sa upravuje spracúvanie osobných údajov,
c)
poskytuje konzultácie v oblasti ochrany osobných údajov,
d)
metodicky usmerňuje prevádzkovateľov a sprostredkovateľov pri spracúvaní osobných
údajov,
e)
zvyšuje povedomie verejnosti najmä v oblasti rizík a práv súvisiacich so spracúvaním
osobných údajov,
f)
zvyšuje povedomie prevádzkovateľov a sprostredkovateľov o ich povinnostiach podľa
tohto zákona,
g)
na požiadanie poskytuje informácie dotknutej osobe v súvislosti s uplatnením jej
práv podľa tohto zákona a na tento účel spolupracuje s dozornými orgánmi iných členských
štátov,30)
h)
pri výkone dozoru nad ochranou osobných údajov preveruje zákonnosť spracúvania osobných
údajov príslušným orgánom pri výkone práva dotknutou osobou podľa § 63 ods. 5 a informuje dotknutú osobu o výsledku preverenia do 30 dní odo dňa podania žiadosti
o preverenie alebo o dôvodoch, prečo k prevereniu nedošlo, a o možnosti uplatnenia
práva dotknutej osoby na podanie návrhu na začatie konania podľa § 100 a na inú právnu ochranu podľa osobitného predpisu,19)
i)
monitoruje vývoj najmä informačných a komunikačných technológií a obchodných praktík,
ak má dosah na ochranu osobných údajov,
j)
spolupracuje s Európskym výborom pre ochranu údajov v oblasti ochrany osobných údajov,31)
k)
predkladá Národnej rade Slovenskej republiky správu o stave ochrany osobných údajov
najmenej raz za rok; správu o stave ochrany osobných údajov zverejňuje úrad na svojom
webovom sídle a poskytuje ju Európskemu výboru pre ochranu údajov a Komisii,
l)
spolupracuje s dozornými orgánmi iných členských štátov vrátane výmeny informácií
a poskytuje im vzájomnú pomoc s cieľom zabezpečiť spoločný postup pri ochrane osobných
údajov podľa tohto zákona a osobitného predpisu.32)
(3)
Úrad je pri plnení svojich úloh oprávnený
a)
nariadiť prevádzkovateľovi a sprostredkovateľovi, prípadne aj zástupcovi prevádzkovateľa
alebo sprostredkovateľa, ak bol poverený, aby poskytli informácie, ktoré sú nevyhnutné
na plnenie jeho úloh,
b)
získať od prevádzkovateľa a sprostredkovateľa prístup k osobným údajom a informáciám,
ktoré sú nevyhnutné na plnenie jeho úloh; tým nie sú dotknuté ustanovenia o mlčanlivosti
podľa osobitných predpisov,26)
c)
vstupovať do priestorov prevádzkovateľa a sprostredkovateľa, ako aj k akémukoľvek
zariadeniu a prostriedkom na spracúvanie osobných údajov, a to v rozsahu nevyhnutnom
na plnenie jeho úloh, ak na to nie je potrebné povolenie podľa osobitného predpisu,33)
d)
upozorniť prevádzkovateľa alebo sprostredkovateľa na to, že plánované spracovateľské
operácie pravdepodobne porušia ustanovenia tohto zákona alebo osobitného predpisu,2)
e)
f)
nariadiť prevádzkovateľovi alebo sprostredkovateľovi, aby vyhovel žiadosti dotknutej
osoby o uplatnenie jej práv podľa tohto zákona alebo osobitného predpisu,2)
g)
nariadiť prevádzkovateľovi alebo sprostredkovateľovi, aby svoje spracovateľské operácie
zosúladil podľa potreby určeným spôsobom a v rámci určenej lehoty s ustanoveniami
tohto zákona alebo osobitného predpisu,2)
h)
nariadiť prevádzkovateľovi, aby porušenie ochrany osobných údajov oznámil dotknutej
osobe,
i)
nariadiť dočasné obmedzenie spracúvania osobných údajov alebo trvalé obmedzenie spracúvania
osobných údajov,
j)
predvolať prevádzkovateľa alebo sprostredkovateľa na účel podania vysvetlenia pri
podozrení z porušenia povinností uložených týmto zákonom, osobitným predpisom alebo
medzinárodnou zmluvou, ktorou je Slovenská republika viazaná,
k)
odporučiť prevádzkovateľovi alebo sprostredkovateľovi opatrenia na zabezpečenie ochrany
osobných údajov v informačných systémoch,
l)
nariadiť pozastavenie prenosu osobných údajov príjemcovi v tretej krajine alebo medzinárodnej
organizácii.
(4)
Okrem plnenia úloh podľa odseku 1 a 2 úrad ďalej
a)
plní oznamovaciu povinnosť voči Komisii v oblasti ochrany osobných údajov,
b)
prijíma opatrenia na vykonanie rozhodnutí Komisie vydaných v oblasti ochrany osobných
údajov,
c)
spolupracuje pri výkone dozoru nad ochranou osobných údajov s dozornými orgánmi iných
členských štátov a s obdobnými orgánmi dozoru mimo územia členských štátov.
(5)
Predmetom dozoru nad ochranou osobných údajov nie sú spory zo zmluvných vzťahov alebo
predzmluvných vzťahov medzi prevádzkovateľom alebo sprostredkovateľom a dotknutou
osobou alebo inými osobami, na ktorých prejednávanie a rozhodovanie sú príslušné súdy
alebo iné orgány podľa osobitných predpisov.
(6)
Úrad môže účtovať primeraný poplatok zodpovedajúci administratívnym nákladom alebo
môže odmietnuť konať na základe žiadosti, ak je žiadosť zjavne neopodstatnená alebo
neprimeraná, najmä pre jej opakujúcu sa povahu. Zjavnú neopodstatnenosť alebo neprimeranosť
žiadosti preukazuje úrad.
(7)
Ak osobné údaje spracúvajú súdy pri výkone ich súdnej právomoci, dozor podľa § 90 až 98 nad ochranou osobných údajov vykonáva Ministerstvo spravodlivosti Slovenskej republiky.
(8)
Ak osobné údaje spracúva Národný bezpečnostný úrad podľa osobitného predpisu,5) dozor podľa § 90 až 98 nad ochranou osobných údajov vykonáva Národná rada Slovenskej republiky podľa osobitného
predpisu.34)
§ 82
Predseda úradu
(1)
Na čele úradu je predseda, ktorého volí a odvoláva Národná rada Slovenskej republiky
na návrh vlády Slovenskej republiky.
(2)
Funkčné obdobie predsedu úradu je päť rokov a možno ho zvoliť najviac na dve po sebe
nasledujúce funkčné obdobia. Predseda úradu zostáva vo funkcii aj po uplynutí funkčného
obdobia, kým Národná rada Slovenskej republiky nezvolí nového predsedu.
(3)
Za predsedu úradu možno zvoliť občana Slovenskej republiky, ktorý je voliteľný do
Národnej rady Slovenskej republiky, má vysokoškolské vzdelanie druhého stupňa, má
najmenej dvojročné skúsenosti v oblasti ochrany osobných údajov a je bezúhonný.
(4)
Za bezúhonného sa na účely tohto zákona považuje ten, kto nebol právoplatne odsúdený
za úmyselný trestný čin alebo za trestný čin, pri ktorom mu výkon trestu odňatia slobody
nebol podmienečne odložený, ak sa podľa rozhodnutia súdu alebo na základe zákona nehľadí
na neho, ako keby nebol odsúdený alebo odsúdenie mu nebolo zahladené. Bezúhonnosť
sa preukazuje doloženým výpisom z registra trestov.
(5)
Predseda úradu musí byť pri výkone svojej funkcie nezávislý a nesmie byť pri plnení
svojich úloh a výkone svojich právomocí podľa tohto zákona pod vonkajším vplyvom,
či už priamym alebo nepriamym, a nesmie od nikoho požadovať ani prijímať pokyny.
(6)
Predseda úradu je povinný sa zdržať akéhokoľvek konania nezlučiteľného s jeho povinnosťami
podľa tohto zákona a podľa osobitného predpisu.35)
(7)
Predseda úradu je štátnym zamestnancom podľa osobitného predpisu.7) Predsedovi úradu patrí plat vo výške štvornásobku priemernej nominálnej mesačnej
mzdy zamestnanca v národnom hospodárstve Slovenskej republiky za predchádzajúci kalendárny
rok zaokrúhlený na celé euro nahor. Platové a ďalšie náležitosti predsedu úradu určuje
vláda Slovenskej republiky.
(8)
K zániku výkonu funkcie predsedu úradu dochádza uplynutím jeho funkčného obdobia
alebo zvolením nového predsedu po uplynutí funkčného obdobia predsedu úradu podľa
odseku 2.
(9)
Pred uplynutím funkčného obdobia výkon funkcie zaniká
a)
vzdaním sa funkcie,
b)
stratou voliteľnosti do Národnej rady Slovenskej republiky,
c)
nadobudnutím právoplatnosti rozsudku, ktorým bol odsúdený za úmyselný trestný čin
alebo ktorým bol odsúdený za trestný čin a výkon trestu odňatia slobody mu nebol podmienečne
odložený,
d)
výkonom činnosti, ktorá je nezlučiteľná s jeho povinnosťami podľa odseku 6, alebo
e)
smrťou alebo právoplatným rozhodnutím súdu o vyhlásení predsedu úradu za mŕtveho.
(10)
Predseda úradu môže byť z funkcie odvolaný, ak
a)
mu zdravotný stav dlhodobo, najmenej však počas jedného roka, nedovoľuje riadne vykonávať
povinnosti vyplývajúce z jeho funkcie,
b)
porušil povinnosť nezávislosti podľa odseku 5, alebo
c)
porušil povinnosť mlčanlivosti o skutočnostiach, o ktorých sa dozvedel v súvislosti
s výkonom svojej funkcie podľa § 84.
§ 83
Podpredseda úradu
(1)
Predsedu úradu zastupuje podpredseda úradu, ktorého vymenúva a odvoláva vláda Slovenskej
republiky na návrh predsedu úradu. Podpredseda úradu je štátnym zamestnancom podľa
osobitného predpisu.7)
(2)
Funkčné obdobie podpredsedu úradu je päť rokov a možno ho vymenovať najviac na dve
po sebe nasledujúce funkčné obdobia. Podpredseda úradu zostáva vo funkcii aj po uplynutí
funkčného obdobia, kým vláda Slovenskej republiky nevymenuje nového podpredsedu.
(3)
Na výkon funkcie podpredsedu úradu sa § 82 ods. 3 až 6 a ods. 8 až 10 vzťahujú rovnako.
§ 84
Povinnosť mlčanlivosti
(1)
Predseda úradu, podpredseda úradu a zamestnanci úradu sú povinní zachovávať mlčanlivosť
o skutočnostiach, o ktorých sa dozvedeli počas plnenia úloh podľa tohto zákona alebo
osobitného predpisu,2) a to aj po skončení výkonu svojej funkcie, štátnozamestnaneckého pomeru, pracovného
pomeru alebo obdobného pracovného vzťahu.
(2)
(3)
Od povinnosti mlčanlivosti podľa odseku 1 môže podpredsedu úradu a zamestnancov úradu
oslobodiť predseda úradu. Od povinnosti mlčanlivosti podľa odseku 1 môže predsedu
úradu v konkrétnom prípade oslobodiť Národná rada Slovenskej republiky.
DRUHÁ HLAVA
KÓDEX SPRÁVANIA, CERTIFIKÁT A AKREDITÁCIA
§ 85
Kódex správania
(1)
Združenie zastupujúce kategóriu prevádzkovateľov alebo sprostredkovateľov alebo iný
subjekt zastupujúci kategóriu prevádzkovateľov alebo sprostredkovateľov môže prijať
kódex správania, a to najmä na účely spresnenia uplatňovania tohto zákona alebo osobitného
predpisu2) v súvislosti s predmetom kódexu správania podľa osobitného predpisu.38)
(2)
Schválením kódexu správania zo strany úradu nie je dotknutá zodpovednosť prevádzkovateľa
alebo zodpovednosť sprostredkovateľa dodržiavať tento zákon alebo osobitný predpis.2)
(3)
Žiadosť o schválenie návrhu kódexu správania, návrhu zmeny schváleného kódexu správania
alebo návrhu rozšírenia schváleného kódexu správania podáva úradu združenie alebo
iný subjekt podľa odseku 1 (ďalej len „žiadateľ“).
(4)
Žiadosť o schválenie kódexu správania musí obsahovať
a)
identifikačné údaje žiadateľa,
b)
meno a priezvisko štatutárneho zástupcu alebo osoby oprávnenej konať v mene žiadateľa,
c)
označenie, či ide o návrh kódexu správania, návrh zmeny schváleného kódexu správania
alebo návrh rozšírenia schváleného kódexu správania,
d)
postup združenia, ktorým sa člen združenia zaväzuje dodržiavať schválený kódex správania,
e)
záväzok prevádzkovateľa alebo sprostredkovateľa podrobiť sa monitorovaniu dodržiavania
schváleného kódexu správania v súlade s pravidlami a postupmi na monitorovanie dodržiavania
kódexu správania,
f)
opis práv a povinností prevádzkovateľa alebo sprostredkovateľa pri výkone monitorovania
dodržiavania schváleného kódexu správania,
g)
uvedenie predmetu, na ktorý sa návrh kódexu správania, návrh zmeny schváleného kódexu
správania alebo návrh rozšírenia schváleného kódexu správania vzťahuje,
h)
účel spracúvania osobných údajov, na ktorý sú osobné údaje určené, ako aj právny
základ spracúvania osobných údajov,
i)
kategórie osobných údajov,
j)
kategórie dotknutých osôb,
k)
identifikáciu príjemcu alebo kategóriu príjemcu osobných údajov, ak existuje,
l)
opis spracovateľských činností, informácie o existencii automatizovaného individuálneho
rozhodovania a informácie o existencii profilovania,
m)
opis postupu žiadateľa pri uplatnení práv dotknutou osobou,
n)
informáciu, či sa návrh kódexu správania týka spracovateľských činností vo viacerých
členských štátoch,
o)
identifikáciu tretej krajiny alebo medzinárodnej organizácie pri prenose osobných
údajov a informáciu o prijatých primeraných zárukách tohto prenosu,
p)
prijaté pravidlá a postupy na monitorovanie dodržiavania kódexu správania.
(5)
Žiadateľ k žiadosti o schválenie kódexu správania podľa odseku 4 musí priložiť
a)
návrh kódexu správania, návrh zmeny schváleného kódexu správania alebo návrh rozšírenia
schváleného kódexu správania, a to aj v anglickom jazyku, ak sa týka spracovateľských
činností vo viacerých členských štátoch,
b)
potvrdenie o zaplatení správneho poplatku,
c)
ďalšie informácie a podklady nevyhnutné na posúdenie súladu návrhu kódexu správania
s týmto zákonom alebo osobitným predpisom.2)
(6)
Ak žiadosť o schválenie kódexu správania nespĺňa náležitosti podľa odsekov 4 a 5
alebo ak v konaní o schválenie kódexu správania vzniknú pochybnosti o preukázaní súladu
s týmto zákonom alebo osobitným predpisom,2) úrad vyzve žiadateľa na doplnenie podkladov v lehote, ktorá nesmie byť kratšia ako
15 dní; počas tejto doby lehota v konaní o schválenie kódexu správania neplynie.
(7)
Účastníkom konania o schválení kódexu správania je žiadateľ, ktorý podal žiadosť
podľa odseku 4.
(8)
Ak úrad počas konania o schválenie kódexu správania zistí nesúlad s týmto zákonom
alebo osobitným predpisom,2) vyzve žiadateľa na odstránenie zisteného nesúladu v určenej lehote, ktorá nesmie
byť kratšia ako 30 dní; počas plynutia lehoty na odstránenie zisteného nesúladu neplynie
lehota v konaní o schválenie kódexu správania. Na odôvodnenú žiadosť žiadateľa úrad
určenú lehotu môže predĺžiť najviac o 60 dní.
(9)
Úrad konanie o schválenie kódexu správania zastaví, ak žiadateľ
a)
neodstráni nedostatky žiadosti v lehote určenej podľa odseku 6,
b)
neodstráni úradom zistené nedostatky v lehote určenej podľa odseku 8.
(10)
Úrad rozhodne o schválení kódexu správania, o zmene schváleného kódexu správania
alebo o rozšírení schváleného kódexu správania do 90 dní odo dňa začatia konania.
(11)
Ak je potrebné predložiť návrh kódexu správania, návrh zmeny schváleného kódexu správania
alebo návrh rozšírenia schváleného kódexu Európskemu výboru pre ochranu údajov podľa
osobitného predpisu,39) lehota podľa odseku 10 neplynie odo dňa predloženia návrhu kódexu správania, návrhu
zmeny schváleného kódexu správania alebo návrhu rozšírenia schváleného kódexu správania
Európskemu výboru pre ochranu údajov až do dňa doručenia stanoviska Európskeho výboru
pre ochranu údajov podľa osobitného predpisu40) úradu.
(12)
Úrad po preskúmaní žiadosti o schválenie kódexu správania podľa odsekov 4 a 5 a súvisiacej
dokumentácie vydá rozhodnutie o schválení kódexu správania, rozhodnutie o schválení
zmeny schváleného kódexu správania alebo rozhodnutie o schválení rozšírenia schváleného
kódexu správania, ak návrh kódexu správania, návrh zmeny schváleného kódexu správania
alebo návrh rozšírenia schváleného kódexu správania je v súlade a poskytuje dostatočné
primerané záruky ochrany osobných údajov podľa tohto zákona alebo osobitného predpisu.2)
(13)
Proti rozhodnutiu o schválení kódexu správania, rozhodnutiu o zmene schváleného kódexu
správania alebo rozhodnutiu o rozšírení schváleného kódexu správania nie je prípustný
rozklad.
(14)
Proti rozhodnutiu o neschválení kódexu správania, rozhodnutiu o neschválení zmeny
schváleného kódexu správania alebo rozhodnutiu o neschválení rozšírenia schváleného
kódexu správania je prípustný rozklad, o ktorom rozhodne predseda úradu.
(15)
Úrad zverejňuje zoznam schválených kódexov správania na svojom webovom sídle.
(16)
Združenie zastupujúce kategóriu prevádzkovateľov alebo sprostredkovateľov alebo iný
subjekt zastupujúci kategóriu prevádzkovateľov alebo sprostredkovateľov, ktorému úrad
schválil kódex správania, schválil návrh zmeny schváleného kódexu správania alebo
schválil návrh rozšírenia schváleného kódexu správania, je povinný najneskôr do 15
dní odo dňa zistenia písomne oznámiť úradu zmeny podľa odseku 4 písm. a) a d).
§ 86
Certifikát
(1)
Vydanie certifikátu, obnovu certifikátu alebo odňatie certifikátu vykonáva subjekt,
ktorému bola udelená akreditácia podľa § 88 v súlade s týmto zákonom (ďalej len „certifikačný subjekt“), alebo úrad.
(2)
Prevádzkovateľ alebo sprostredkovateľ na účely preukázania súladu spracúvania osobných
údajov a existencie primeraných záruk ochrany osobných údajov podľa tohto zákona alebo
osobitného predpisu2) môže požiadať úrad alebo certifikačný subjekt o vydanie certifikátu alebo obnovenie
certifikátu. Certifikát sa vydá alebo obnoví najviac na obdobie troch rokov.
(3)
Úrad alebo certifikačný subjekt posudzuje súlad spracúvania osobných údajov a existenciu
primeraných záruk ochrany osobných údajov prevádzkovateľa alebo sprostredkovateľa
podľa odseku 2 na základe certifikačných kritérií v súlade s týmto zákonom. Vydaním
certifikátu nie je dotknutá zodpovednosť prevádzkovateľa alebo zodpovednosť sprostredkovateľa
za dodržiavanie tohto zákona a osobitného predpisu2) ani nie sú dotknuté právomoci úradu podľa tohto zákona.
(4)
Certifikát je verejnou listinou.
(5)
Úrad zverejňuje vydané certifikáty na svojom webovom sídle.
(6)
Žiadosť o vydanie certifikátu alebo žiadosť o obnovu certifikátu úradom musí obsahovať
a)
identifikačné údaje žiadateľa,
b)
meno a priezvisko štatutárneho orgánu žiadateľa alebo osoby oprávnenej konať v mene
žiadateľa,
c)
kontaktné údaje zodpovednej osoby, ak je určená,
d)
predmet certifikátu, na ktorý sa má certifikát udeliť,
e)
účel spracúvania osobných údajov,
f)
právny základ spracúvania osobných údajov,
g)
kategórie dotknutých osôb,
h)
kategórie osobných údajov,
i)
identifikáciu príjemcu alebo kategóriu príjemcu osobných údajov, ak existuje,
j)
opis spracovateľských činností vrátane informácií o existencii automatizovaného individuálneho
rozhodovania vrátane profilovania,
k)
opis postupu žiadateľa pri uplatnení práv dotknutou osobou,
l)
identifikáciu tretej krajiny alebo medzinárodnej organizácie pri prenose osobných
údajov.
(7)
Žiadateľ k žiadosti podľa odseku 6 priloží
a)
technickú a bezpečnostnú dokumentáciu nevyhnutnú na vydanie certifikátu,
b)
výsledok auditu ochrany osobných údajov nie starší ako šesť mesiacov,
c)
dokumenty preukazujúce splnenie certifikačných kritérií,
d)
opis primeraných záruk pri prenose osobných údajov do tretej krajiny alebo medzinárodnej
organizácii,
e)
potvrdenie o zaplatení správneho poplatku,
f)
ďalšie informácie a podklady nevyhnutné na posúdenie súladu s týmto zákonom alebo
osobitným predpisom2) a dodržania certifikačného postupu.
(8)
Ak žiadosť o vydanie certifikátu alebo žiadosť o obnovu certifikátu nespĺňa náležitosti
podľa odsekov 6 a 7 alebo ak v konaní o vydanie certifikátu alebo v konaní o obnovu
certifikátu vzniknú pochybnosti o preukázaní splnenia certifikačných kritérií alebo
podmienok na vydanie certifikátu, úrad vyzve žiadateľa na doplnenie podkladov v lehote,
ktorá nesmie byť kratšia ako 15 dní; počas tejto doby lehota v konaní o vydanie certifikátu
alebo v konaní o obnovu certifikátu neplynie.
(9)
Ak úrad počas konania o vydanie certifikátu alebo konania o obnovu certifikátu zistí
nesúlad s týmto zákonom alebo osobitným predpisom,2) vyzve žiadateľa na odstránenie zisteného nesúladu v určenej lehote, ktorá nesmie
byť kratšia ako 30 dní; počas tejto doby lehota v konaní o vydanie certifikátu alebo
v konaní o obnovu certifikátu neplynie. Na odôvodnenú žiadosť žiadateľa úrad určenú
lehotu predĺži najviac o 60 dní.
(10)
Úrad konanie o vydanie certifikátu alebo konanie o obnovu certifikátu zastaví, ak
žiadateľ neodstráni
a)
nedostatky žiadosti a vzniknuté pochybnosti podľa odseku 8 v určenej lehote,
b)
úradom zistené nedostatky podľa odseku 9 v určenej lehote.
(11)
Úrad rozhodne o vydaní certifikátu alebo obnove certifikátu do 90 dní odo dňa začatia
konania.
(12)
Úrad po preskúmaní žiadosti o vydanie certifikátu alebo žiadosti o obnovu certifikátu
podľa odsekov 6 a 7 a súvisiacej dokumentácie vydá rozhodnutie o vydaní certifikátu,
ak žiadateľ spĺňa certifikačné kritériá, spĺňa podmienky certifikačného postupu, ak
jeho spracovateľské činnosti sú v súlade s týmto zákonom alebo osobitným predpisom2) a ak ním prijaté bezpečnostné opatrenia poskytujú dostatočné primerané záruky ochrany
osobných údajov podľa tohto zákona alebo osobitného predpisu.2)
(13)
Na základe rozhodnutia o vydaní certifikátu alebo rozhodnutia o obnove certifikátu
úrad vydá žiadateľovi certifikát na obdobie troch rokov, ktorý obsahuje
a)
identifikačné údaje úradu,
b)
identifikačné údaje žiadateľa,
c)
predmet certifikátu,
d)
označenie certifikačných kritérií, na ktorých základe sa vydáva certifikát,
e)
číslo certifikátu,
f)
dátum vydania certifikátu; ak ide o obnovu certifikátu, aj dátum skoršieho vydania
certifikátu,
g)
dobu platnosti certifikátu,
h)
odtlačok pečiatky úradu a podpis osoby oprávnenej konať v mene úradu s uvedením jej
mena, priezviska a funkcie.
(14)
Proti rozhodnutiu o vydaní certifikátu alebo rozhodnutiu o obnove certifikátu nie
je prípustný rozklad.
(15)
Proti rozhodnutiu o nevydaní certifikátu alebo rozhodnutiu o neobnovení certifikátu
je prípustný rozklad, o ktorom rozhodne predseda úradu.
(16)
Ak prevádzkovateľ alebo sprostredkovateľ, ktorému bol vydaný certifikát alebo obnovený
certifikát (ďalej len „certifikovaná osoba“), naďalej spĺňa certifikačné kritériá
a podmienky vydania certifikátu podľa tohto zákona, úrad na základe žiadosti certifikovanej
osoby podanej najneskôr šesť mesiacov pred uplynutím platnosti certifikátu skôr vydaného
alebo skôr obnoveného rozhodne o obnovení certifikátu na obdobie ďalších troch rokov.
Na konanie o obnovenie certifikátu sa primerane použijú ustanovenia o vydaní certifikátu.
(17)
Ak certifikovaná osoba podá žiadosť o obnovenie certifikátu v lehote menej ako šesť
mesiacov pred uplynutím platnosti certifikátu, úrad na takú žiadosť neprihliada. Tým
nie je dotknuté oprávnenie tejto certifikovanej osoby na podanie žiadosti o vydanie
certifikátu podľa odsekov 6 a 7.
(18)
Certifikovaná osoba je počas platnosti certifikátu povinná
a)
spĺňať požiadavky ustanovené týmto zákonom a požiadavky na vydanie certifikátu v
súlade s rozhodnutím o vydaní certifikátu,
b)
najneskôr do 15 dní odo dňa vzniku zmeny písomne oznámiť úradu akékoľvek zmeny týkajúce
sa rozhodnutia o vydaní certifikátu,
c)
umožniť úradu vykonanie dozoru podľa tohto zákona,
d)
archivovať dokumentáciu súvisiacu s výkonom certifikačného postupu podľa osobitného
predpisu.41)
(19)
Certifikačné kritériá, podmienky certifikačného postupu, obsahové náležitosti technickej
a bezpečnostnej dokumentácie a podmienky výkonu auditu ochrany osobných údajov vrátane
podmienok odborných znalostí audítora vykonávajúceho audit ochrany osobných údajov
ustanoví všeobecne záväzný právny predpis, ktorý vydá úrad.
§ 87
Monitorujúci subjekt
(1)
Monitorovanie súladu spracúvania osobných údajov podľa tohto zákona alebo osobitného
predpisu2) s kódexom správania vykonáva subjekt, ktorý spĺňa kritériá a podmienky na udelenie
akreditácie podľa tohto zákona alebo osobitného predpisu2) a bola mu udelená akreditácia úradom v súlade s týmto zákonom (ďalej len „monitorujúci
subjekt“).
(2)
Kódexy správania schválené úradom pre orgány verejnej moci a verejnoprávne inštitúcie
nepodliehajú činnosti monitorovacieho subjektu podľa tohto zákona; tým nie je dotknutý
výkon dozoru úradom podľa tohto zákona.
(3)
Monitorujúcim subjektom môže byť právnická osoba alebo fyzická osoba – podnikateľ,
ktorý má vytvorené technické a organizačné podmienky na vykonávanie monitorovania
kódexu správania a ktorému bola udelená akreditácia.
(4)
Monitorujúci subjekt je oprávnený
a)
monitorovať súlad spracúvania osobných údajov podľa tohto zákona alebo osobitného
predpisu2) prevádzkovateľom alebo sprostredkovateľom, ktorý je členom združenia, ktorý sa zaviazal
dodržiavať schválený kódex správania,
b)
prijať primerané opatrenia v prípadoch porušenia kódexu správania prevádzkovateľom
alebo sprostredkovateľom,
c)
dočasne pozastaviť záväznosť schváleného kódexu správania pre prevádzkovateľa alebo
sprostredkovateľa, ktorý sa zaviazal dodržiavať schválený kódex správania,
d)
zrušiť záväznosť schváleného kódexu správania pre prevádzkovateľa alebo sprostredkovateľa,
ktorý sa zaviazal dodržiavať schválený kódex správania.
(5)
O opatreniach podľa odseku 4 vrátane dôvodov prijatia takých opatrení je monitorujúci
subjekt povinný písomne informovať úrad do 15 dní od ich prijatia. Tým nie je dotknutá
zodpovednosť prevádzkovateľa alebo sprostredkovateľa, ktorý podlieha monitorovaniu
kódexu správania, dodržiavať tento zákon alebo osobitný predpis.2)
(6)
Žiadosť o udelenie akreditácie musí obsahovať
a)
identifikačné údaje žiadateľa,
b)
meno a priezvisko štatutárneho zástupcu žiadateľa alebo osoby oprávnenej konať v
mene žiadateľa,
c)
uvedenie predmetu kódexu správania.38)
(7)
Žiadateľ k žiadosti podľa odseku 6 priloží
a)
technickú a bezpečnostnú dokumentáciu nevyhnutnú pre monitorovanie kódexu správania,
b)
dokumenty preukazujúce nezávislosť žiadateľa,
c)
postup a spôsob vysporiadania sa s konfliktom záujmu medzi žiadateľom a subjektom
podliehajúcim monitorovaniu, ktorý by mohol narušiť objektivitu monitorovania kódexu
správania alebo obmedziť objektivitu monitorovania kódexu správania alebo porušiť
princíp transparentnosti pre dotknutú osobu a verejnosť; konflikt záujmov zahŕňa najmä
situáciu, ak žiadateľ, ktorý môže ovplyvniť výsledok alebo priebeh monitorovania kódexu
správania, má priamy finančný záujem alebo nepriamy finančný záujem, ekonomický záujem
alebo iný osobný záujem, ktorý možno považovať za ohrozenie jeho nezávislosti v súvislosti
s monitorovaním kódexu správania,
d)
dokumenty stanovujúce kvalifikačné požiadavky vo vzťahu k monitorovaniu kódexu správania
osôb žiadateľa, ktoré budú vykonávať monitorovanie,
e)
pravidlá a postupy výkonu činností, najmä procesy monitorovania dodržiavania kódexu
správania prevádzkovateľom alebo sprostredkovateľom, spôsob preukázania vykonávania
kódexu správania prevádzkovateľom alebo sprostredkovateľom, spôsob preukázania súladu
spracovateľských činností prevádzkovateľa a sprostredkovateľa vo vzťahu k predmetu
kódexu správania, frekvenciu monitorovania súladu,
f)
dokumenty preukazujúce, že pravidlá a postupy na výkon monitorovania kódexu správania
sú transparentné pre dotknutú osobu a verejnosť,
g)
výsledok auditu výkonu monitorovania kódexu správania,
h)
potvrdenie o zaplatení správneho poplatku,
i)
ďalšie informácie a podklady, ktoré sú nevyhnutné na posúdenie súladu s týmto zákonom
alebo osobitným predpisom2) a na posúdenie žiadosti o udelenie akreditácie.
(8)
Ak žiadosť o udelenie akreditácie nespĺňa náležitosti podľa odsekov 6 a 7 alebo ak
v konaní o udelenie akreditácie vzniknú pochybnosti o preukázaní splnenia kritérií
alebo podmienok na udelenie akreditácie, úrad vyzve žiadateľa na odstránenie nedostatkov
v lehote, ktorá nesmie byť kratšia ako 15 dní; počas tejto lehoty lehota v konaní
o udelení akreditácie neplynie.
(9)
Ak úrad počas konania podľa odseku 11 zistí nesúlad s týmto zákonom alebo osobitným
predpisom,2) vyzve žiadateľa na odstránenie zisteného nesúladu v určenej lehote, ktorá nesmie
byť kratšia ako 30 dní; počas tejto doby lehota podľa odseku 11 neplynie. Na odôvodnenú
žiadosť žiadateľa úrad určenú lehotu predĺži najviac o 60 dní.
(10)
Úrad konanie podľa odseku 11 zastaví, ak žiadateľ neodstráni
a)
nedostatky žiadosti a vzniknuté pochybnosti podľa odseku 8 v určenej lehote,
b)
úradom zistené nedostatky podľa odseku 9 v určenej lehote.
(11)
Úrad rozhodne o udelení akreditácie do 90 dní odo dňa začatia konania.
(12)
Úrad po preskúmaní žiadosti o udelenie akreditácie podľa odsekov 6 a 7 a súvisiacej
dokumentácie vydá rozhodnutie o udelení akreditácie, ak žiadateľ spĺňa požiadavky,
má primeranú úroveň odborných znalostí vo vzťahu k predmetu kódexu správania a spĺňa
kritériá a podmienky na udelenie akreditácie podľa tohto zákona.
(13)
Na základe rozhodnutia o udelení akreditácie úrad vydá monitorujúcemu subjektu osvedčenie
o udelení akreditácie, ktoré obsahuje
a)
identifikačné údaje úradu,
b)
identifikačné údaje žiadateľa,
c)
predmet akreditácie,
d)
číslo osvedčenia o udelení akreditácie,
e)
dátum vydania osvedčenia o udelení akreditácie,
f)
odtlačok pečiatky úradu a podpis osoby oprávnenej konať v mene úradu s uvedením jej
mena, priezviska a funkcie.
(14)
Osvedčenie o udelení akreditácie je verejnou listinou.
(15)
Proti rozhodnutiu o udelení akreditácie nie je prípustný rozklad.
(16)
Proti rozhodnutiu o neudelení akreditácie je prípustný rozklad, o ktorom rozhodne
predseda úradu.
(17)
Úrad zverejňuje vydané osvedčenia o udelení akreditácie na svojom webovom sídle.
(18)
Ak sa preukáže, že monitorujúci subjekt vykonáva monitorovanie kódexu správania v
rozpore s týmto zákonom alebo osobitným predpisom,2) dobrými mravmi, osvedčením o udelení akreditácie alebo ďalej nespĺňa požiadavky na
udelenie akreditácie, úrad pozastaví platnosť akreditácie na tri mesiace a zároveň
uloží monitorujúcemu subjektu vykonanie opatrení na nápravu. Ak monitorujúci subjekt
v určenej lehote uložené opatrenia neprijme, úrad jeho akreditáciu rozhodnutím zruší.
Monitorujúci subjekt, ktorému bola akreditácia zrušená, môže znova požiadať o udelenie
akreditácie.
(19)
Monitorujúci subjekt je povinný
a)
spĺňať požiadavky ustanovené týmto zákonom a akreditačné požiadavky v súlade s rozhodnutím
o udelení akreditácie,
b)
písomne oznámiť úradu akékoľvek zmeny udelenej akreditácie do 15 dní odo dňa vzniku
zmeny,
c)
informovať dotknutého prevádzkovateľa alebo sprostredkovateľa o oprávnenosti monitorovať
dodržiavanie kódexu správania a o predmete monitorovaného kódexu správania, podrobne
a zrozumiteľne informovať o bezpečnostných opatreniach, pravidlách a o postupoch monitorovania
kódexu správania a informovať o možných právnych dôsledkoch monitorovania dodržiavania
predmetu kódexu správania pred výkonom monitorovania schváleného kódexu správania,
d)
bez zbytočného odkladu informovať dotknutého prevádzkovateľa alebo sprostredkovateľa
o prijatých opatreniach, ak bolo zistené porušenie dodržiavania kódexu správania dotknutého
prevádzkovateľa alebo sprostredkovateľa podľa odseku 4,
e)
dodržiavať zásadu nezávislosti,
f)
archivovať dokumentáciu súvisiacu s monitorovaním kódexu správania podľa osobitného
predpisu.42)
(20)
Kritériá na udelenie akreditácie, podmienky akreditačného postupu, obsahové náležitosti
technickej a bezpečnostnej dokumentácie a podmienky výkonu auditu monitorovania kódexu
správania vrátane podmienok odborných znalostí audítora ustanoví všeobecne záväzný
právny predpis, ktorý vydá úrad.
§ 88
Certifikačný subjekt
(1)
Vydanie certifikátu, obnovu certifikátu alebo odňatie certifikátu vykonáva certifikačný
subjekt, ktorý spĺňa kritériá a podmienky na udelenie akreditácie podľa tohto zákona
alebo osobitného predpisu43) a bola mu udelená akreditácia úradom v súlade s týmto zákonom.
(2)
Certifikačným subjektom môže byť právnická osoba alebo fyzická osoba – podnikateľ,
ktorý má primeranú úroveň odborných znalostí vo vzťahu k ochrane osobných údajov a
má vytvorené technické a organizačné podmienky na certifikačný postup a ktorému bola
udelená akreditácia.
(3)
Certifikačný subjekt je zodpovedný za posúdenie súladu spracúvania osobných údajov
a existencie primeraných záruk ochrany osobných údajov podľa tohto zákona alebo osobitného
predpisu2) prevádzkovateľa alebo sprostredkovateľa, na ktorého základe udelí certifikát, obnoví
certifikát alebo odníme certifikát.
(4)
Žiadosť o udelenie akreditácie musí obsahovať
a)
identifikačné údaje žiadateľa,
b)
meno a priezvisko štatutárneho orgánu žiadateľa alebo osoby oprávnenej konať v mene
žiadateľa,
c)
uvedenie predmetu certifikačných kritérií.
(5)
Žiadateľ k žiadosti podľa odseku 4 musí priložiť
a)
technickú a bezpečnostnú dokumentáciu nevyhnutnú pre certifikačný postup,
b)
postup a spôsob vysporiadania sa s konfliktom záujmu medzi žiadateľom a prevádzkovateľom
alebo sprostredkovateľom, ktorý požiadal o vydanie certifikátu alebo obnovu certifikátu,
ktorý by mohol narušiť objektivitu vydania certifikátu alebo obnovy certifikátu alebo
obmedziť objektivitu vydania certifikátu alebo obnovy certifikátu alebo porušiť princíp
transparentnosti pre dotknutú osobu a verejnosť; konflikt záujmov zahŕňa najmä situáciu,
ak žiadateľ, ktorý môže ovplyvniť výsledok alebo priebeh vydania alebo obnovy certifikátu,
má priamy finančný záujem alebo nepriamy finančný záujem, ekonomický záujem alebo
iný osobný záujem, ktorý možno považovať za ohrozenie jeho nezávislosti v súvislosti
s vydaním alebo obnovením certifikátu,
c)
dokumenty určujúce kvalifikačné požiadavky vo vzťahu k certifikačnému postupu osôb
žiadateľa, ktoré budú realizovať certifikačný postup,
d)
pravidlá a postupy výkonu certifikačného postupu vrátane postupu na vydanie certifikátu,
pravidelné preskúmanie certifikátu, obnovu certifikátu a odňatie certifikátu,
e)
vyhlásenie o dodržiavaní certifikačných kritérií pre certifikačný postup,
f)
dokumenty preukazujúce postupy a pravidlá na vybavovanie sťažností týkajúcich sa
porušení vydaného certifikátu alebo spôsobu, akým sú oprávnenia z certifikátu dotknutým
prevádzkovateľom alebo sprostredkovateľom vykonávané,
g)
dokumenty preukazujúce, že pravidlá a postupy vybavovania sťažností v súvislosti
s vydaným certifikátom sú transparentné pre verejnosť,
h)
výsledok auditu výkonu certifikačného postupu,
i)
potvrdenie o zaplatení správneho poplatku,
j)
ďalšie informácie a podklady, ktoré sú nevyhnutné na posúdenie súladu s týmto zákonom
alebo osobitným predpisom2) na účely posúdenia žiadosti o udelenie akreditácie.
(6)
Ak žiadosť o udelenie akreditácie nespĺňa náležitosti podľa odsekov 4 a 5 alebo ak
v konaní podľa odseku 9 vzniknú pochybnosti o preukázaní splnenia kritérií alebo podmienok
na udelenie akreditácie, úrad vyzve žiadateľa na odstránenie nedostatkov žiadosti
v lehote, ktorá nesmie byť kratšia ako 15 dní; počas tejto doby lehota podľa odseku
9 neplynie.
(7)
Ak úrad počas konania podľa odseku 9 zistí nesúlad s týmto zákonom alebo osobitným
predpisom,2) vyzve žiadateľa na odstránenie zisteného nesúladu v určenej lehote, ktorá nesmie
byť kratšia ako 30 dní; počas tejto doby lehota v konaní o udelenie akreditácie neplynie.
Na odôvodnenú žiadosť žiadateľa úrad určenú lehotu predĺži najviac o 60 dní.
(8)
Úrad konanie o udelení akreditácie zastaví, ak žiadateľ neodstráni
a)
nedostatky žiadosti a vzniknuté pochybnosti podľa odseku 6 v určenej lehote,
b)
úradom zistené nedostatky podľa odseku 7 v určenej lehote.
(9)
Úrad rozhodne o udelení akreditácie do 90 dní odo dňa začatia konania.
(10)
Úrad po preskúmaní žiadosti o udelenie akreditácie podľa odsekov 4 a 5 a súvisiacej
dokumentácie vydá rozhodnutie o udelení akreditácie a schváli certifikačné kritériá,
ak žiadateľ spĺňa požiadavky na primeranú úroveň odborných znalostí vo vzťahu k ochrane
údajov a spĺňa kritériá a podmienky na udelenie akreditácie podľa tohto zákona.
(11)
Na základe rozhodnutia o udelení akreditácie úrad vydá certifikačnému subjektu osvedčenie
o udelení akreditácie na obdobie piatich rokov, ktoré obsahuje
a)
identifikačné údaje úradu,
b)
identifikačné údaje žiadateľa,
c)
predmet akreditácie,
d)
číslo osvedčenia o udelení akreditácie,
e)
dátum vydania osvedčenia o udelení akreditácie; ak ide o obnovu udelenia akreditácie,
aj dátum skoršieho vydania udelenia akreditácie,
f)
dobu platnosti osvedčenia o udelení akreditácie,
g)
odtlačok pečiatky úradu a podpis osoby oprávnenej konať v mene úradu s uvedením jej
mena, priezviska a funkcie.
(12)
Osvedčenie o udelení akreditácie je verejnou listinou.
(13)
Proti rozhodnutiu o udelení akreditácie nie je prípustný rozklad.
(14)
Proti rozhodnutiu o neudelení akreditácie je prípustný rozklad, o ktorom rozhodne
predseda úradu.
(15)
Úrad zverejní zoznam certifikačných subjektov a schválené certifikačné kritériá na
svojom webovom sídle.
(16)
Ak certifikačný subjekt spĺňa požiadavky na primeranú úroveň odborných znalostí vo
vzťahu k ochrane osobných údajov, spĺňa kritériá a podmienky na udelenie akreditácie
podľa tohto zákona, úrad na základe žiadosti certifikačného subjektu o obnovenie akreditácie
podanej najneskôr šesť mesiacov pred uplynutím platnosti osvedčenia o udelení akreditácie
rozhodne o obnovení akreditácie na obdobie ďalších piatich rokov. Na konanie o obnovenie
akreditácie sa primerane použijú ustanovenia konania o udelenie akreditácie.
(17)
Ak certifikačný subjekt podá žiadosť o obnovenie akreditácie v lehote menej ako šesť
mesiacov pred uplynutím platnosti osvedčenia o udelení akreditácie, úrad na takú žiadosť
neprihliada. Tým nie je dotknuté oprávnenie tohto subjektu na podanie žiadosti podľa
odsekov 4 a 5.
(18)
Ak sa preukáže, že certifikačný subjekt vykonáva certifikačný postup vrátane udeľovania
certifikátu a odnímania certifikátu v rozpore s týmto zákonom alebo osobitným predpisom,2) dobrými mravmi, s vydaným osvedčením o udelení akreditácie alebo už nespĺňa požiadavky
na udelenie akreditácie, úrad pozastaví platnosť akreditácie na tri mesiace a zároveň
uloží certifikačnému subjektu vykonanie opatrení na nápravu. Ak certifikačný subjekt
v určenej lehote uložené opatrenia neprijme, úrad jeho akreditáciu rozhodnutím zruší.
Subjekt, ktorému bola akreditácia zrušená, môže znova požiadať o udelenie akreditácie.
(19)
Kritériá na udelenie akreditácie, podmienky certifikačného postupu, certifikačné
kritériá, obsahové náležitosti technickej a bezpečnostnej dokumentácie a podmienky
výkonu auditu certifikačného postupu vrátane podmienok odborných znalostí audítora
ustanoví všeobecne záväzný právny predpis, ktorý vydá úrad.
§ 89
Povinnosti certifikačného subjektu
(1)
Certifikačný subjekt je oprávnený v rozsahu osvedčenia o udelení akreditácie vydať
certifikát alebo obnoviť certifikát prevádzkovateľovi alebo sprostredkovateľovi na
obdobie troch rokov.
(2)
Certifikačný subjekt je povinný pred vydaním certifikátu alebo obnovením certifikátu
oznámiť úradu
a)
jeho identifikačné údaje,
b)
číslo osvedčenia, ktoré mu bolo vydané,
c)
identifikačné údaje prevádzkovateľa alebo sprostredkovateľa, ktorý žiada o vydanie
certifikátu, alebo certifikovanej osoby, ktorá žiada o obnovu certifikátu,
d)
predmet certifikátu,
e)
označenie certifikačných kritérií,
f)
dôvody vydania alebo obnovy certifikátu.
(3)
Ak oznámenie nespĺňa náležitosti podľa odseku 2, úrad vyzve certifikačný subjekt
na odstránenie nedostatkov v lehote, ktorá nesmie byť kratšia ako 15 dní; počas tejto
lehoty lehota podľa odseku 4 neplynie.
(4)
Úrad rozhodne o povolení vydania certifikátu alebo o povolení obnovy certifikátu
certifikačným subjektom do 60 dní odo dňa začatia konania.
(5)
V konaní podľa odseku 4 úrad neposudzuje splnenie certifikačných kritérií, podmienok
na vydanie certifikátu alebo obnovu certifikátu.
(6)
Povolením úradu na vydanie certifikátu alebo povolením úradu na obnovu certifikátu
certifikačným subjektom nie je dotknutá zodpovednosť príslušného prevádzkovateľa alebo
sprostredkovateľa za dodržiavanie tohto zákona a osobitného predpisu.2)
(7)
Ak úrad počas konania o povolení vydania certifikátu alebo počas konania o povolení
obnovy certifikátu certifikačným subjektom zistí nesúlad s týmto zákonom alebo osobitným
predpisom2) nepovolí certifikačnému subjektu vydanie certifikátu alebo obnovu certifikátu, o
čom vydá rozhodnutie.
(8)
Proti rozhodnutiu o povolení vydania certifikátu alebo rozhodnutiu o povolení obnovy
certifikátu certifikačným subjektom nie je prípustný rozklad.
(9)
Proti rozhodnutiu o nepovolení vydania certifikátu alebo rozhodnutiu o nepovolení
obnovy certifikátu certifikačným subjektom je prípustný rozklad, o ktorom rozhodne
predseda úradu.
(10)
Certifikačný subjekt je povinný do 15 dní od vydania certifikátu, obnovenia certifikátu
alebo odňatia certifikátu oznámiť úradu:
a)
jeho identifikačné údaje,
b)
číslo osvedčenia, ktoré mu bolo vydané,
c)
identifikačné údaje dotknutého prevádzkovateľa alebo sprostredkovateľa,
d)
predmet certifikátu,
e)
číslo certifikátu,
f)
dôvody vydania, obnovy alebo odňatia certifikátu.
(11)
Certifikát vydaný certifikačným subjektom obsahuje najmä
a)
identifikačné údaje certifikačného subjektu vrátane čísla osvedčenia o udelení akreditácie,
b)
identifikačné údaje žiadateľa,
c)
predmet certifikátu,
d)
označenie certifikačných kritérií, na základe ktorých sa certifikát vydáva,
e)
číslo certifikátu,
f)
dátum vydania certifikátu; ak ide o obnovu certifikátu, aj dátum skoršieho vydania
certifikátu,
g)
odtlačok pečiatky certifikačného subjektu a podpis osoby oprávnenej konať v mene
certifikačného subjektu s uvedením jej mena, priezviska.
(12)
Certifikačný subjekt je povinný
a)
spĺňať požiadavky ustanovené týmto zákonom a akreditačné požiadavky v súlade s rozhodnutím
o udelení akreditácie,
b)
najneskôr do 15 dní písomne oznámiť úradu akékoľvek zmeny udelenej akreditácie,
c)
umožniť úradu vykonanie dozoru podľa tohto zákona,
d)
dodržiavať zásadu nezávislosti,
e)
archivovať dokumentáciu súvisiacu s výkonom certifikačného postupu podľa osobitného
predpisu.41)
TRETIA HLAVA
KONTROLA
§ 90
Začatie kontroly
(1)
Kontrolu spracúvania osobných údajov, kontrolu dodržiavania kódexu správania schváleného
úradom podľa § 85, kontrolu súladu spracúvania osobných údajov s vydaným certifikátom podľa § 86 a kontrolu dodržiavania vydaného osvedčenia o udelení akreditácie podľa
§ 87 a § 88 (ďalej len „kontrola“) vykonáva úrad prostredníctvom kontrolného orgánu zloženého zo zamestnancov úradu (ďalej len „kontrolný orgán“).
§ 87 a § 88 (ďalej len „kontrola“) vykonáva úrad prostredníctvom kontrolného orgánu zloženého zo zamestnancov úradu (ďalej len „kontrolný orgán“).
(2)
Každý člen kontrolného orgánu vykonáva kontrolu na základe písomného poverenia vedúceho
zamestnanca; ak je vedúci zamestnanec členom kontrolného orgánu, členovia kontrolného
orgánu vykonávajú kontrolu na základe písomného poverenia predsedu úradu.
(3)
Člen kontrolného orgánu musí byť zamestnanec úradu, ktorý je bezúhonný, má príslušné
odborné vzdelanie a prax v oblasti patriacej do dozornej činnosti úradu.
(4)
Písomné poverenie na vykonanie kontroly obsahuje
a)
identifikačné údaje úradu,
b)
identifikačné údaje kontrolovanej osoby,
c)
titul, meno a priezvisko člena kontrolného orgánu, ktorý má kontrolu vykonať,
d)
odtlačok úradnej pečiatky a podpis.
(5)
Vzor poverenia na vykonanie kontroly zverejní úrad na svojom webovom sídle.
(6)
(7)
Kontrolný orgán vykoná kontrolu na základe plánu kontrol alebo na základe podozrenia
z porušenia povinností pri spracúvaní osobných údajov ustanovených týmto zákonom alebo
osobitným predpisom2) alebo v rámci konania o ochrane osobných údajov.
(8)
Pri výkone kontroly je kontrolný orgán povinný postupovať tak, aby neboli dotknuté
práva a právom chránené záujmy kontrolovanej osoby.
§ 91
Zaujatosť kontrolného orgánu
(1)
Člen kontrolného orgánu, ktorý sa dozvedel o skutočnostiach zakladajúcich pochybnosti
o jeho nezaujatosti alebo pochybnosti o nezaujatosti iného člena kontrolného orgánu,
je povinný tieto skutočnosti bez zbytočného odkladu písomne oznámiť tomu, kto ho poveril
podľa § 90 ods. 2.
(2)
Ak má kontrolovaná osoba pochybnosti o nezaujatosti kontrolného orgánu alebo jeho
člena so zreteľom na jeho vzťah k predmetu kontroly alebo ku kontrolovanej osobe,
je oprávnená podať písomné námietky s uvedením dôvodu najneskôr do 15 dní odo dňa,
keď sa o tejto skutočnosti dozvedela. Podanie námietok nemá odkladný účinok; kontrolný
orgán je podľa prvej vety oprávnený vykonať pri kontrole len také úkony, ktoré neznesú
odklad.
(3)
O námietkach zaujatosti kontrolovanej osoby a o oznámení zaujatosti člena kontrolného
orgánu rozhodne ten, kto kontrolný orgán poveril podľa § 90 ods. 2 v lehote desiatich pracovných dní od ich uplatnenia a písomné vyhodnotenie rozhodnutia
doručí tomu, kto námietku uplatnil. Proti rozhodnutiu o námietkach zaujatosti a proti
rozhodnutiu o oznámení zaujatosti člena kontrolného orgánu nemožno podať rozklad.
§ 92
Povinnosti kontrolného orgánu
Kontrolný orgán je povinný
a)
vopred písomne oznámiť kontrolovanej osobe predmet kontroly; ak by oznámenie o kontrole
pred začatím výkonu kontroly mohlo viesť k zmareniu účelu kontroly alebo podstatnému
sťaženiu výkonu kontroly, môže predmet kontroly oznámiť bezprostredne pred výkonom
kontroly,
b)
písomne oznámiť dátum a čas výkonu kontroly v lehote najmenej desiatich dní pred
vykonaním kontroly; ak by oznámenie o začatí výkonu kontroly mohlo viesť k zmareniu
účelu kontroly alebo podstatnému sťaženiu výkonu kontroly, môže začatie výkonu kontroly
oznámiť bezprostredne pred výkonom kontroly,
c)
pred začatím výkonu kontroly a kedykoľvek na požiadanie kontrolovanej osoby, sa preukázať
poverením na vykonanie kontroly a služobným preukazom,
d)
vypracovať zápisnicu o priebehu výkonu kontroly,
e)
vypracovať protokol o kontrole, v ktorom sú uvedené kontrolné zistenia (ďalej len
„protokol“), alebo záznam o kontrole,
f)
uviesť vyjadrenia kontrolovanej osoby podľa § 95 písm. a) v protokole alebo zázname o kontrole,
g)
vypracovať zápisnicu o podaní vysvetlenia podľa § 93 písm. j) a § 94 písm. e),
h)
odovzdať kontrolovanej osobe jedno vyhotovenie zápisnice o priebehu výkonu kontroly,
zápisnice o podaní vysvetlenia, protokolu alebo záznamu o kontrole,
i)
písomne potvrdiť kontrolovanej osobe prevzatie originálu dokladov alebo kópií dokladov,
písomných dokumentov, kópií pamäťových médií a iných materiálov a dôkazov a zabezpečiť
ich riadnu ochranu pred ich stratou, zničením, poškodením alebo ich zneužitím,
j)
posúdiť opodstatnenosť námietok ku kontrolným zisteniam uvedeným v protokole a zohľadniť
opodstatnenosť námietok v dodatku k protokolu a oboznámiť s ním kontrolovanú osobu,
k)
prerokovať protokol s kontrolovanou osobou a vyhotoviť zápisnicu o jeho prerokovaní.
§ 93
Oprávnenia kontrolného orgánu
Kontrolný orgán je oprávnený
a)
vstupovať na pozemok a do priestorov kontrolovanej osoby, ak na to nie je potrebné
povolenie podľa osobitného predpisu,33)
b)
mať prístup k prostriedkom a zariadeniam, ktoré môžu slúžiť alebo slúžia, alebo mali
slúžiť na spracúvanie osobných údajov kontrolovanou osobou,
c)
mať prístup k údajom v automatizovaných prostriedkoch spracúvania do úrovne správcu
systému vrátane v rozsahu potrebnom na vykonanie kontroly,
d)
overovať totožnosť fyzických osôb, ktoré v mene kontrolovanej osoby konajú alebo
poskytujú kontrolnému orgánu súčinnosť,
e)
vyžadovať od kontrolovanej osoby, aby kontrolnému orgánu v určenej lehote poskytla
originál dokladov alebo kópiu dokladov, iných písomností, vyjadrenia a informácie,
osobné údaje spracúvané na pamäťových médiách vrátane technických nosičov osobných
údajov, výpisy a zdrojové kódy programov, ak ich vlastní alebo má k dispozícii v súlade
s podmienkami ich nadobudnutia, a ďalšie materiály alebo podklady potrebné na výkon
kontroly a v odôvodnených prípadoch mu umožnila odoberať originály alebo kópie aj
mimo priestorov kontrolovanej osoby,
f)
požadovať v primeranej lehote od kontrolovanej osoby úplné a pravdivé ústne a písomné
informácie, vyjadrenia a vysvetlenia ku kontrolovaným skutočnostiam a s kontrolou
súvisiacim skutočnostiam,
g)
zdokumentovať dôkazy súvisiace s výkonom kontroly vyhotovovaním fotodokumentácie,
audiozáznamu, videozáznamu alebo audiovizuálneho záznamu, a to aj bez súhlasu dotknutej
osoby,
h)
vyžadovať aj inú súčinnosť kontrolovanej osoby v rozsahu predmetu kontroly,
i)
vyžadovať poskytnutie súčinnosti na mieste výkonu kontroly aj od inej než kontrolovanej
osoby, najmä od sprostredkovateľa kontrolovanej osoby a jeho zamestnancov, alebo iných
osôb, ak je dôvod predpokladať, že ich činnosť má vzťah k predmetu kontroly alebo
ak je to potrebné na objasnenie skutočností súvisiacich s predmetom kontroly,
j)
predvolať v určenom čase a na určené miesto kontrolovanú osobu a aj inú než kontrolovanú
osobu s cieľom podať vysvetlenie k predmetu kontroly,
k)
vykonávať spoločné operácie spolu s dozornými orgánmi iných členských štátov podľa
osobitného predpisu.44)
§ 94
Povinnosti kontrolovanej osoby
Kontrolovaná osoba je povinná
a)
strpieť výkon kontroly a vytvoriť kontrolnému orgánu primerané podmienky na výkon
kontroly a spracovanie kontrolných zistení,
b)
poskytnúť kontrolnému orgánu súčinnosť nevyhnutnú na riadny výkon kontroly, najmä
pri dokumentovaní primeranej úrovne bezpečnosti s ohľadom na riziká, ktoré predstavuje
spracúvanie osobných údajov v podmienkach prevádzkovateľa a sprostredkovateľa,
c)
v čase výkonu kontroly zabezpečiť kontrolnému orgánu dostupný a bezpečný prístup
k zariadeniam, prostriedkom a k informačným systémom,
d)
poskytnúť kontrolnému orgánu požadovanú súčinnosť v súlade s jeho oprávneniami podľa
§ 93 a zdržať sa konania, ktoré by mohlo mariť výkon kontroly,
e)
dostaviť sa na predvolanie kontrolného orgánu s cieľom podať vysvetlenia k predmetu
kontroly,
f)
v určenej lehote poskytnúť kontrolnému orgánu originál alebo kópiu dokladov, iných
písomností, vyjadrenia a informácie, osobné údaje spracúvané na pamäťových médiách
vrátane technických nosičov osobných údajov, výpisy a zdrojové kódy programov, ak
ich vlastní alebo má k dispozícii, a ďalšie materiály alebo podklady potrebné na výkon
kontroly a v odôvodnených prípadoch umožniť odoberať originály alebo kópie aj mimo
priestorov kontrolovanej osoby,
g)
poskytnúť kontrolnému orgánu úplné a pravdivé ústne a písomné informácie, vyjadrenia
a vysvetlenia ku kontrolovaným a s kontrolou súvisiacim skutočnostiam,
h)
na požiadanie kontrolného orgánu sa dostaviť na prerokovanie protokolu.
§ 95
Oprávnenia kontrolovanej osoby
Kontrolovaná osoba je oprávnená
a)
priebežne sa vyjadrovať ku skutočnostiam zisteným v priebehu kontroly,
b)
oboznámiť sa s obsahom protokolu a podať písomné námietky po oboznámení sa s kontrolnými
zisteniami v protokole,
c)
vyžadovať od kontrolného orgánu preukázanie skutočností podľa § 92 písm. b) a c),
d)
vyžadovať od prizvanej osoby preukázanie sa písomným poverením predsedu úradu podľa
§ 96 ods. 2,
e)
vyžadovať od kontrolného orgánu potvrdenie o odobratí originálu dokladov alebo kópie
dokladov podľa § 93 písm. e).
§ 96
Prizvaná osoba
(1)
Kontrolný orgán môže prizvať na vykonanie kontroly inú fyzickú osobu alebo zástupcu
dozorného orgánu z iného členského štátu (ďalej spolu len „prizvaná osoba“), ak je
to odôvodnené osobitnou povahou kontroly. Účasť prizvanej osoby pri výkone kontroly
sa považuje za iný úkon vo všeobecnom záujme.
(2)
Prizvaná osoba sa zúčastňuje kontroly na základe písomného poverenia predsedu úradu;
o prizvaní kontrolný orgán upovedomí kontrolovanú osobu podľa § 92 písm. a).
(3)
Prizvaná osoba najneskôr pri začatí výkonu kontroly preukazuje svoje oprávnenie na
vykonanie kontroly kontrolovanej osobe písomným poverením na vykonanie kontroly podľa
§ 90 ods. 2 a § 92 písm. c).
(4)
Prizvaná osoba je povinná zachovávať mlčanlivosť o skutočnostiach, o ktorých sa dozvedela
počas výkonu kontroly, a to aj po jej ukončení. Povinnosti mlčanlivosti môže prizvanú
osobu zbaviť predseda úradu. Zástupca dozorného orgánu z iného členského štátu, ako
prizvaná osoba, nie je viazaný povinnosťou mlčanlivosti vo vzťahu k vysielajúcemu
dozornému orgánu iného členského štátu v rozsahu nevyhnutnom na plnenie úloh spojených
s jeho účasťou na kontrole.
(5)
Prizvaná osoba nemôže vykonávať úlohy podľa tohto zákona alebo osobitného predpisu,2) ak so zreteľom na jej vzťah k predmetu kontroly alebo ku kontrolovanej osobe možno
mať pochybnosti o jej nezaujatosti. Prizvaná osoba, ktorá vie o skutočnostiach zakladajúcich
pochybnosti o jej nezaujatosti, oznámi tieto skutočnosti bez zbytočného odkladu predsedovi
úradu.
(6)
Kontrolovaná osoba môže písomne vzniesť odôvodnené námietky o zaujatosti prizvanej
osoby. Prizvaná osoba môže do rozhodnutia o námietkach zaujatosti vykonať v rámci
kontroly len také úkony, ktoré neznesú odklad.
(7)
O oznámení zaujatosti prizvanou osobou podľa odseku 5 a o námietkach zaujatosti kontrolovanej
osoby podľa odseku 6 rozhodne predseda úradu v lehote do desiatich pracovných dní
od ich doručenia. Proti rozhodnutiu predsedu úradu nemožno podať rozklad.
§ 97
Ukončenie kontroly
(1)
Výsledkom kontroly je protokol alebo záznam o kontrole.
(2)
Ak boli kontrolou zistené nedostatky pri spracúvaní osobných údajov, kontrolný orgán
vypracuje protokol, ktorý obsahuje
a)
identifikačné údaje úradu,
b)
identifikačné údaje kontrolovanej osoby,
c)
dátum začatia kontroly,
d)
predmet kontroly,
e)
preukázané kontrolné zistenia s ich odôvodnením,
f)
titul, meno a priezvisko člena kontrolného orgánu, ktorý kontrolu vykonal,
g)
dátum vypracovania protokolu,
h)
odtlačok úradnej pečiatky úradu a podpisy členov kontrolného orgánu.
(3)
Ak protokol podľa odseku 2 obsahuje prílohy preukazujúce kontrolné zistenia, tieto
tvoria súčasť protokolu.
(4)
Kontrolovaná osoba je po oboznámení sa s kontrolnými zisteniami v protokole oprávnená
podať písomné námietky v lehote 21 dní odo dňa doručenia protokolu. Na neskôr podané
námietky kontrolný orgán neprihliada.
(5)
Ak sú proti kontrolným zisteniam podané námietky podľa odseku 4 alebo vyšli najavo
nové skutočnosti, týkajúce sa predmetu kontroly, kontrolný orgán posúdi ich obsah
z hľadiska ich opodstatnenosti a vypracuje o nich dodatok, ktorý je neoddeliteľnou
súčasťou protokolu. Ak kontrolný orgán neakceptuje námietky kontrolovanej osoby, je
povinný to v dodatku zdôvodniť; pri jeho vypracovaní sa postupuje primerane podľa
odseku 2.
(6)
Kontrolný orgán písomne informuje kontrolovanú osobu o výsledku preskúmania námietok
v lehote 15 pracovných dní odo dňa doručenia námietok.
(7)
Kontrolný orgán písomne vyzve kontrolovanú osobu na prerokovanie protokolu po doručení
výsledku preskúmania námietok kontrolovanej osobe podľa odseku 6 alebo po márnom uplynutí
lehoty na podanie námietok kontrolovanou osobou podľa odseku 4; kontrolný orgán vypracuje
zápisnicu o prerokovaní protokolu, ktorá je súčasťou protokolu.
(8)
Ak sa kontrolou nezistí porušenie povinností ustanovených týmto zákonom alebo osobitným
predpisom,2) kontrolný orgán vypracuje záznam o kontrole. Pri jeho vypracovaní sa postupuje primerane
podľa odsekov 2 a 3.
(9)
Kontrola je ukončená
a)
dňom podpísania zápisnice o prerokovaní protokolu,
b)
dňom odmietnutia podpísať zápisnicu o prerokovaní protokolu, o čom kontrolný orgán
vyhotoví v zápisnici o prerokovaní protokolu záznam,
c)
dňom nedostavenia sa na prerokovanie protokolu na písomnú výzvu kontrolného orgánu
podľa odseku 7, o čom kontrolný orgán vyhotoví v zápisnici o prerokovaní protokolu
záznam, alebo
d)
dňom doručenia záznamu o kontrole podľa odseku 8.
§ 98
Na výkon kontroly sa nevzťahuje osobitný predpis.45)
ŠTVRTÁ HLAVA
KONANIE O OCHRANE OSOBNÝCH ÚDAJOV
§ 99
Konanie o ochrane osobných údajov
(1)
Účelom konania o ochrane osobných údajov (ďalej len „konanie“) je zistiť, či došlo
k porušeniu práv fyzických osôb pri spracúvaní ich osobných údajov alebo došlo k porušeniu
tohto zákona alebo osobitného predpisu2) v oblasti ochrany osobných údajov, a v prípade zistenia nedostatkov, ak je to dôvodné
a účelné, uložiť opatrenia na nápravu, prípadne pokutu za porušenie tohto zákona alebo
osobitného predpisu2) pre oblasť ochrany osobných údajov.
(2)
Konanie je neverejné.
(3)
Účastníkom konania môže byť
a)
dotknutá osoba, ktorá podala návrh na začatie konania podľa § 100,
b)
prevádzkovateľ,
c)
sprostredkovateľ,
d)
certifikačný subjekt,
e)
monitorujúci subjekt.
(4)
Ak sa návrh dotknutej osoby podľa § 100 týka prevádzkovateľa alebo sprostredkovateľa, pri ktorom je príslušný dozorný orgán
hlavnej prevádzkarne alebo jedinej prevádzkarne prevádzkovateľa alebo sprostredkovateľa
pre cezhraničné spracúvanie vykonávané zo strany prevádzkovateľa alebo sprostredkovateľa
podľa osobitného predpisu (ďalej len „vedúci dozorný orgán“),46) úrad postupuje podľa osobitného predpisu.47)
(5)
(6)
Ak sa spracúvanie osobných údajov podľa odseku 4 týka prevádzkovateľa alebo sprostredkovateľa,
ktorý spracúva osobné údaje na právnom základe podľa § 13 ods. 1 písm. c) alebo písm. e), za vecne príslušný sa považuje úrad a postup podľa odseku 4 sa neuplatní.
§ 100
Začatie konania
(1)
Konanie sa začína na návrh dotknutej osoby alebo osoby, ktorá tvrdí, že je priamo
dotknutá na svojich právach ustanovených týmto zákonom (ďalej len „navrhovateľ“),
alebo bez návrhu.
(2)
Úrad začne konanie bez návrhu aj na základe zistenia úradu pri výkone dozoru nad
dodržiavaním povinností ustanovených týmto zákonom alebo osobitným predpisom.2)
(3)
Návrh na začatie konania podľa odseku 1 (ďalej len „návrh“) musí obsahovať
a)
meno, priezvisko, korešpondenčnú adresu a podpis navrhovateľa,
b)
označenie toho, proti komu návrh smeruje s uvedením mena, priezviska, trvalého pobytu
alebo názvu, sídla a identifikačného čísla, ak bolo pridelené,
c)
predmet návrhu s označením práv, ktoré mali byť pri spracúvaní osobných údajov porušené,
d)
dôkazy na podporu tvrdení uvedených v návrhu,
e)
kópiu listiny alebo iný dôkaz preukazujúci uplatnenie práva podľa druhej časti druhej
hlavy tohto zákona alebo osobitného predpisu,2) ak si takéto právo dotknutá osoba uplatnila, alebo uvedenie dôvodov hodných osobitného
zreteľa o neuplatnení predmetného práva, ak návrh podala dotknutá osoba.
(4)
Úrad uverejní vzor návrhu na svojom webovom sídle.
(5)
Úrad návrh odloží, ak
a)
návrh je zjavne neopodstatnený,
b)
vec, ktorej sa návrh týka, prejednáva súd alebo orgán činný v trestnom konaní,
c)
navrhovateľ neposkytol úradu na jeho žiadosť potrebnú súčinnosť, pričom bez jeho
aktívnej účasti nemožno vec vybaviť; úrad navrhovateľa o možnosti odloženia návrhu
upovedomí,
d)
od udalosti, ktorej sa návrh týka, uplynuli v deň jeho doručenia viac ako tri roky.
(6)
Ak návrh neobsahuje požiadavku na utajenie totožnosti navrhovateľa, úrad vybaví návrh
bez utajenia osobných údajov uvedených v návrhu. Ak je v návrhu požiadavka na utajenie
totožnosti, ale charakter návrhu neumožňuje jej vybavenie bez uvedenia niektorého
údaja o osobe, ktorá návrh podala, úrad po zistení tejto skutočnosti o tom navrhovateľa
upovedomí, pričom ho zároveň upozorní, že v návrhu bude pokračovať, len ak navrhovateľ
v určenej lehote udelí úradu súhlas s uvedením údaja alebo údajov o svojej osobe potrebných
na vybavenie návrhu.
(7)
Ak návrh doručí úradu iná osoba ako dotknutá osoba, návrh sa považuje za podnet na
začatie konania bez návrhu (ďalej len „podnet“).
(8)
Úrad posúdi podnet do 30 dní odo dňa doručenia podnetu úradu, a ak podnet neodloží
podľa odseku 5, začne konanie a vo veci rozhodne podľa § 102.
(9)
O spôsobe vybavenia podnetu podľa odseku 8 úrad informuje podávateľa do 30 dní odo
dňa doručenia podnetu úradu.
§ 101
Lehoty
(1)
Úrad rozhodne v konaní do 90 dní odo dňa začatia konania. V odôvodnených prípadoch
úrad túto lehotu primerane predĺži, najviac však o 180 dní. O predĺžení lehoty úrad
písomne informuje účastníkov konania.
(2)
Ak je počas konania potrebné vykonať kontrolu, lehota na vydanie rozhodnutia podľa
odseku 1 neplynie odo dňa začatia kontroly do dňa ukončenia kontroly.
(3)
Ak počas konania úrad zistí splnenie podmienok na prerušenie konania podľa osobitného
predpisu,48) úrad konanie preruší, o čom informuje účastníkov konania.
§ 102
Rozhodnutie
(1)
Ak úrad zistí porušenie práv dotknutej osoby alebo nesplnenie povinností pri spracúvaní
osobných údajov ustanovených týmto zákonom alebo osobitným predpisom2) pre oblasť ochrany osobných údajov účastníkom konania, rozhodnutím môže
a)
uložiť opatrenia na nápravu a lehotu na vykonanie nariadeného opatrenia podľa odseku
3, ak je to dôvodné a účelné,
b)
zrušiť záväznosť schváleného kódexu správania pre prevádzkovateľa alebo sprostredkovateľa,
ktorý sa zaviazal dodržiavať schválený kódex správania,
c)
odňať certifikát,
d)
nariadiť certifikačnému subjektu odňatie certifikátu,
e)
odňať osvedčenie o udelení akreditácie,
f)
uložiť pokutu podľa § 104.
(2)
Ak úrad v konaní nerozhodne podľa odseku 1, ak sa v konaní nepreukáže porušenie práv
dotknutej osoby alebo ak sa nepreukáže nesplnenie povinností pri spracúvaní osobných
údajov ustanovených týmto zákonom alebo osobitným predpisom2) účastníkom konania, úrad konanie zastaví.
(3)
Úrad je oprávnený uložiť povinnosť prevádzkovateľovi alebo sprostredkovateľovi, najmä
nariadiť
a)
odstránenie zistených nedostatkov a príčin ich vzniku v úradom určenej lehote,
b)
prijatie technických a organizačných opatrení s cieľom zaistiť úroveň bezpečnosti
primeranú rizikám pre práva fyzických osôb,
c)
posúdenie vplyvu spracovateľských operácií na ochranu osobných údajov v súlade s
týmto zákonom alebo osobitným predpisom.2)
(4)
Ak porušenie práv dotknutej osoby alebo nesplnenie povinností pri spracúvaní osobných
údajov neznesie odklad, úrad vydá predbežné opatrenie.
(5)
Prevádzkovateľ alebo sprostredkovateľ je povinný písomne informovať úrad o splnení
uložených opatrení v úradom určenej lehote.
§ 103
(1)
Proti rozhodnutiu podľa § 102 možno podať rozklad, o ktorom rozhodne predseda úradu.
(2)
Podávateľ rozkladu môže rozšíriť podaný rozklad alebo doplniť podaný rozklad o ďalší
návrh alebo o ďalšie body len v lehote určenej na podanie rozkladu.
PIATA HLAVA
SPRÁVNE DELIKTY
§ 104
(1)
Úrad môže uložiť pokutu do 10 000 000 eur, alebo ak ide o podnik do 2 % celkového
svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je
vyššia,
a)
prevádzkovateľovi, vrátane orgánu verejnej moci a verejnoprávnym inštitúciám, za
neplnenie alebo porušenie niektorej z povinností podľa § 15, § 18, § 31 až 35, § 37, § 39 až 45, § 79 a
§ 109 alebo podľa čl. 8, čl. 11, čl. 25 až 39, čl. 42 a čl. 43 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 4. 5. 2016) (ďalej len „nariadenie (EÚ) 2016/679“),
§ 109 alebo podľa čl. 8, čl. 11, čl. 25 až 39, čl. 42 a čl. 43 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 4. 5. 2016) (ďalej len „nariadenie (EÚ) 2016/679“),
b)
príslušnému orgánu za neplnenie alebo porušenie niektorej z povinností podľa § 67 až 72,
c)
sprostredkovateľovi vrátane orgánu verejnej moci a verejnoprávnej inštitúcii v postavení
sprostredkovateľa, za neplnenie alebo porušenie niektorej z povinností podľa § 34 až 37, § 39,
§ 40 ods. 3, § 44, § 45, § 69 ods. 3, § 71, § 79 a § 109 alebo podľa čl. 27 až 33, čl. 37 až 39, čl. 42 a čl. 43 nariadenia (EÚ) 2016/679,
§ 40 ods. 3, § 44, § 45, § 69 ods. 3, § 71, § 79 a § 109 alebo podľa čl. 27 až 33, čl. 37 až 39, čl. 42 a čl. 43 nariadenia (EÚ) 2016/679,
d)
certifikačnému subjektu za neplnenie alebo porušenie niektorej z povinností podľa
§ 88 a 89 alebo podľa čl. 42 a 43 nariadenia (EÚ) 2016/679,
e)
monitorujúcemu subjektu za neplnenie alebo porušenie niektorej z povinností podľa
§ 87 ods. 5 a 19 alebo podľa čl. 41 ods. 4 nariadenia (EÚ) 2016/679.
(2)
Úrad môže uložiť pokutu do 20 000 000 eur, alebo ak ide o podnik do 4 % celkového
svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je
vyššia, tomu, kto
a)
nesplnil alebo porušil niektorú zo základných zásad spracúvania osobných údajov vrátane
podmienok súhlasu podľa § 6 až 14, § 16 a § 52 až 58 alebo podľa čl. 5 až 7 a čl. 9 nariadenia (EÚ) 2016/679,
b)
nesplnil alebo porušil niektoré z práv dotknutej osoby podľa § 19 až 29 a § 59 až 66 alebo podľa čl. 12 až 22 nariadenia (EÚ) 2016/679,
c)
nesplnil alebo porušil niektorú z povinností pri prenose osobných údajov príjemcovi
v tretej krajine alebo medzinárodnej organizácii podľa § 49 až 51 a § 73 až 77 alebo podľa čl. 44 až 49 nariadenia (EÚ) 2016/679,
d)
nesplnil alebo porušil niektorú z povinností zákonného spracúvania osobných údajov
podľa
§ 78,
§ 78,
e)
nesplnil príkaz alebo nedodržal dočasné alebo trvalé obmedzenie spracúvania osobných
údajov alebo pozastavenie prenosu osobných údajov nariadeného úradom podľa § 81 ods. 3 alebo podľa čl. 58 ods. 2 nariadenia (EÚ) 2016/679 alebo v rozpore s čl. 58 ods.
1 nariadenia (EÚ) 2016/679 neposkytol prístup.
(3)
Tomu, kto nesplnil úradom uložené opatrenie podľa § 102 ods. 1 písm. a) alebo čl. 58 ods. 2 nariadenia (EÚ) 2016/679, môže úrad uložiť pokutu do 20 000 000
eur, alebo ak ide o podnik do 4 % celkového svetového ročného obratu za predchádzajúci
účtovný rok, podľa toho, ktorá suma je vyššia.
§ 105
(1)
(2)
Úrad môže uložiť poriadkovú pokutu prevádzkovateľovi alebo sprostredkovateľovi, prípadne
zástupcovi prevádzkovateľa alebo sprostredkovateľa
a)
do 2 000 eur, ak nezabezpečí primerané podmienky na výkon kontroly podľa § 94 písm. a),
b)
do 10 000 eur, ak marí výkon kontroly podľa § 94 písm. b) až h).
§ 106
(1)
Úrad ukladá pokuty a poriadkové pokuty v závislosti od okolností každého jednotlivého
prípadu. Pri rozhodovaní o uložení pokuty a určení jej výšky podľa § 104 úrad zohľadní najmä
a)
povahu, závažnosť a trvanie porušenia, povahu, rozsah alebo účel spracúvania osobných
údajov, ako aj počet dotknutých osôb, na ktoré malo vplyv, a rozsah škody, ak vznikla,
b)
prípadné zavinenie porušenia ochrany osobných údajov
c)
opatrenia, ktoré prevádzkovateľ alebo sprostredkovateľ prijal na zmiernenie škody,
ktorú dotknuté osoby utrpeli,
d)
e)
predchádzajúce porušenia ochrany osobných údajov zo strany prevádzkovateľa alebo
sprostredkovateľa,
f)
mieru spolupráce s úradom pri náprave porušenia ochrany osobných údajov a zmiernení
možných nepriaznivých dôsledkov porušenia ochrany osobných údajov,
g)
kategóriu osobných údajov, ktorých sa porušenie ochrany osobných údajov týka,
h)
spôsob, akým sa úrad o porušení ochrany osobných údajov dozvedel, a najmä to, či
prevádzkovateľ alebo sprostredkovateľ porušenie ochrany osobných údajov oznámili,
a ak áno, v akom rozsahu,
i)
splnenie opatrení prevádzkovateľom alebo sprostredkovateľom, ak boli skoršie v konaní
o ochrane osobných údajov uložené také opatrenia podľa § 102 ods. 1,
k)
priťažujúce okolnosti alebo poľahčujúce okolnosti, najmä finančné výhody alebo straty,
ktorým sa zabránilo, priamo alebo nepriamo v súvislosti s porušením ochrany osobných
údajov.
(2)
Ak prevádzkovateľ alebo sprostredkovateľ úmyselne alebo z nedbanlivosti tými istými
spracovateľskými operáciami alebo súvisiacimi spracovateľskými operáciami poruší viacero
ustanovení tohto zákona alebo osobitného predpisu,2) celková suma pokuty nesmie presiahnuť výšku ustanovenú za najzávažnejšie porušenie
ochrany osobných údajov podľa § 104.
(3)
Pokutu podľa § 104 možno uložiť do dvoch rokov odo dňa, keď úrad porušenie povinnosti zistil, najneskôr
však do piatich rokov odo dňa, keď k porušeniu povinnosti došlo.
(4)
Poriadkovú pokutu podľa § 105 úrad uloží opakovane, ak povinnosť nebola splnená v určenej lehote.
(5)
Poriadkovú pokutu podľa § 105 možno uložiť do 6 mesiacov odo dňa, keď k porušeniu povinnosti došlo.
(6)
Pokuty a poriadkové pokuty sú príjmom štátneho rozpočtu.
ŠIESTA ČASŤ
SPOLOČNÉ, PRECHODNÉ A ZÁVEREČNÉ USTANOVENIA
§ 107
Spoločné ustanovenia
(1)
Na konania podľa tohto zákona sa vzťahuje správny poriadok, ak odsek 2 neustanovuje
inak.
(2)
Správny poriadok sa nepoužije na rozhodovanie o zaujatosti kontrolného orgánu podľa
§ 91, na rozhodovanie o zaujatosti prizvanej osoby podľa § 96 ods. 5 až 7 a na výkon kontroly podľa piatej časti tretej hlavy okrem doručovania písomností
pri výkone kontroly.
(3)
Na účel preukázania bezúhonnosti podľa § 82 ods. 4 a § 83 ods. 3 poskytne fyzická osoba údaje potrebné na vyžiadanie výpisu z registra trestov.49) Údaje podľa prvej vety Kancelária Národnej rady Slovenskej republiky a úrad bezodkladne
zašlú v elektronickej podobe prostredníctvom elektronickej komunikácie Generálnej
prokuratúre Slovenskej republiky na vydanie výpisu z registra trestov.
§ 108
(1)
Úrad vydá všeobecne záväzný právny predpis na vykonanie § 29 ods. 9, § 70 ods. 4, § 86
ods. 19, § 87 ods. 20 a § 88 ods. 19.
ods. 19, § 87 ods. 20 a § 88 ods. 19.
(2)
Ďalšie prípady spracovateľských operácií, ktoré podliehajú posúdeniu vplyvu na ochranu
osobných údajov a postup pri posudzovaní vplyvu na ochranu osobných údajov podľa tohto
zákona ustanoví všeobecne záväzný právny predpis, ktorý vydá úrad.
§ 109
Súčinnosť
Každý je povinný poskytnúť úradu potrebnú súčinnosť pri výkone jeho úloh a právomoci
a umožniť úradu vykonať dozor nad dodržiavaním povinností podľa tohto zákona alebo
osobitného predpisu2) a rozhodnutí vydaných na základe tohto zákona. Týmto nie sú dotknuté ustanovenia
§ 81 ods. 7 a 8.
§ 81 ods. 7 a 8.
§ 110
Prechodné ustanovenia
(1)
Úrad na ochranu osobných údajov Slovenskej republiky podľa doterajšieho zákona je
úradom podľa tohto zákona a dozorným orgánom podľa osobitného predpisu.2)
(2)
Predseda Úradu na ochranu osobných údajov Slovenskej republiky zvolený do funkcie
podľa doterajšieho zákona je predsedom úradu podľa tohto zákona; týmto nie je dotknuté
plynutie jeho funkčného obdobia.
(3)
Podpredseda Úradu na ochranu osobných údajov Slovenskej republiky vymenovaný do funkcie
podľa doterajšieho zákona je podpredsedom úradu podľa tohto zákona; týmto nie je dotknuté
plynutie jeho funkčného obdobia.
(4)
Vykonávanie funkcie vrchného inšpektora úradu, ktorý bol vymenovaný do funkcie podľa
doterajšieho zákona skončí dňom nadobudnutia účinnosti tohto zákona.
(5)
Ak bol vrchný inšpektor úradu, ktorého vykonávanie funkcie skončilo podľa odseku
4, štátnym zamestnancom v stálej štátnej službe podľa osobitného predpisu,7) považuje sa odo dňa účinnosti tohto zákona za štátneho zamestnanca v stálej štátnej
službe podľa osobitného predpisu.7) Ak bol vrchný inšpektor úradu, ktorého vykonávanie funkcie skončilo podľa odseku
4, štátnym zamestnancom v dočasnej štátnej službe podľa osobitného predpisu,7) skončí sa jeho štátnozamestnanecký pomer dňom nadobudnutia účinnosti tohto zákona.
(6)
Vykonávanie funkcie inšpektora úradu, ktorý bol vymenovaný do funkcie podľa doterajšieho
zákona, skončí dňom nadobudnutia účinnosti tohto zákona.
(7)
Inšpektor úradu, ktorého funkcia skončila podľa odseku 6, sa odo dňa účinnosti tohto
zákona považuje za štátneho zamestnanca podľa osobitného predpisu.7)
(8)
Kontrola začatá podľa doterajšieho zákona sa dokončí podľa doterajšieho zákona.
(9)
Konanie o ochrane osobných údajov podľa doterajšieho zákona a konanie o pokute podľa
doterajšieho zákona začaté a právoplatne neskončené do 24. mája 2018 sa dokončí podľa
doterajšieho zákona.
(10)
Príslušný orgán je povinný zabezpečiť vedenie logov podľa § 69 v informačných systémoch
osobných údajov zriadených podľa doterajších predpisov od 6. mája 2023; ak by to spôsobilo
vážne problémy pre fungovanie daného informačného systému osobných údajov tak príslušný
orgán je povinný zabezpečiť vedenie logov podľa § 69 najneskôr od 6. mája 2026.
(11)
Súhlas so spracúvaním osobných údajov udelený podľa doterajšieho zákona, ktorý je
v súlade s týmto zákonom alebo osobitným predpisom,2) sa považuje za súhlas so spracúvaním osobných údajov podľa predpisov účinných od
25. mája 2018.
(12)
Zodpovedná osoba poverená podľa doterajšieho zákona, ktorá spĺňa podmienky podľa
tohto zákona alebo osobitného predpisu,2) sa považuje za zodpovednú osobu podľa predpisov účinných od 25. mája 2018.
§ 110a
Prechodné ustanovenie súvisiace s mimoriadnou situáciou vyhlásenou v súvislosti
s ozbrojeným konfliktom na území Ukrajiny
s ozbrojeným konfliktom na území Ukrajiny
V čase trvania mimoriadnej situácie vyhlásenej v súvislosti s hromadným prílevom cudzincov
na územie Slovenskej republiky spôsobeným ozbrojeným konfliktom na území Ukrajiny
môže prevádzkovateľ poskytnúť diplomatickej misii alebo konzulárnemu úradu cudzieho
štátu osobné údaje o jeho občanovi a rodinnom príslušníkovi v rozsahu meno a priezvisko,
dátum narodenia, štátna príslušnosť a telefónne číslo, a to aj bez súhlasu dotknutej
osoby, ak je odôvodnený predpoklad vykonania konzulárnej činnosti.50)
§ 111
Týmto zákonom sa preberajú právne záväzné akty Európskej únie uvedené v prílohe.
§ 112
Zrušovacie ustanovenie
Zrušujú sa:
1.
Zákon č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení zákona
č. 84/2014 Z. z.,
2.
vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 164/2013 Z. z. o rozsahu a dokumentácii bezpečnostných opatrení v znení vyhlášky č. 117/2014
Z. z.,
3.
vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 165/2013 Z. z., ktorou sa ustanovujú podrobnosti o skúške fyzickej osoby na výkon funkcie
zodpovednej osoby.
Čl. II
Zákon č. 124/1992 Zb. o Vojenskej polícii v znení zákona č. 422/2002 Z. z., zákona č. 240/2005 Z. z.,
zákona č. 393/2008 Z. z., zákona č. 491/2008 Z. z., zákona č. 192/2011 Z. z., zákona
č. 220/2011 Z. z., zákona č. 313/2011 Z. z. a zákona č. 96/2012 Z. z. sa mení takto:
1.
V § 35b sa vypúšťa odsek 6.
Doterajšie odseky 7 až 9 sa označujú ako odseky 6 až 8.
2.
V § 35c sa vypúšťa odsek 4.
Doterajšie odseky 5 a 6 sa označujú ako odseky 4 a 5.
3.
V § 35c ods. 5 sa slová „odsekov 1 až 4“ nahrádzajú slovami „odsekov 1 až 3“.
4.
V § 35gb sa vypúšťajú odseky 1 a 2.
Doterajšie odseky 3 až 8 sa označujú ako odseky 1 až 6.
5.
V § 35gb ods. 3 sa slová „§ 35gd ods. 3“ nahrádzajú slovami „§ 35ga ods. 3“.
6.
V § 35gb ods. 6 sa slová „§ 35b ods. 8 a 9“ nahrádzajú slovami „§ 35b ods. 7 a 8“.
7.
V § 35gc sa vypúšťajú odseky 3 až 5.
8.
V § 35gd sa vypúšťajú odseky 1 až 3 a 5 až 11 vrátane poznámok pod čiarou k odkazom
5l, 5m a 5n.
Súčasne sa zrušuje označenie odseku 4.
9.
§ 35ge sa vypúšťa.
Čl. III
Zákon Národnej rady Slovenskej republiky č. 171/1993 Z. z. o Policajnom zbore v znení zákona Národnej rady Slovenskej republiky č. 251/1994
Z. z., zákona Národnej rady Slovenskej republiky č. 233/1995 Z. z., zákona Národnej
rady Slovenskej republiky č. 315/1996 Z. z., zákona č. 353/1997 Z. z., zákona č. 12/1998
Z. z., zákona č. 73/1998 Z. z., zákona č. 256/1998 Z. z., zákona č. 116/2000 Z. z.,
zákona č. 323/2000 Z. z., zákona č. 367/2000 Z. z., zákona č. 490/2001 Z. z., zákona
č. 48/2002 Z. z., zákona č. 182/2002 Z. z., zákona č. 422/2002 Z. z., zákona č. 155/2003
Z. z., zákona č. 166/2003 Z. z., zákona č. 458/2003 Z. z., zákona č. 537/2004 Z. z.,
zákona č. 69/2005 Z. z., zákona č. 534/2005 Z. z., zákona č. 558/2005 Z. z., zákona
č. 255/2006 Z. z., zákona č. 25/2007 Z. z., zákona č. 247/2007 Z. z., zákona č. 342/2007
Z. z., zákona č. 86/2008 Z. z., zákona č. 297/2008 Z. z., zákona č. 491/2008 Z. z.,
zákona č. 214/2009 Z. z., nálezu Ústavného súdu Slovenskej republiky č. 290/2009 Z.
z., zákona č. 291/2009 Z. z., zákona č. 495/2009 Z. z., zákona č. 594/2009 Z. z.,
zákona č. 547/2010 Z. z., zákona č. 192/2011 Z. z., zákona č. 345/2012 Z. z., zákona
č. 75/2013 Z. z., zákona č. 307/2014 Z. z., nálezu Ústavného súdu Slovenskej republiky
č. 139/2015 Z. z., zákona č. 397/2015 Z. z., zákona č. 444/2015 Z. z., zákona č. 125/2016
Z. z. a zákona č. 82/2017 Z. z. sa mení a dopĺňa takto:
1.
V§ 69 sa vypúšťajú odseky 5, 7 a 8.
Doterajšie odseky 6 a 9 až 16 sa označujú ako odseky 5 až 13.
2.
V§ 69a ods. 1 sa za slovo „konaní“ vkladajú slová „vrátane ochrany pred ohrozením
verejného poriadku a predchádzania takému ohrozeniu“.
3.
V § 69a ods. 3 sa slová „osobné údaje, ktoré odhaľujú rasový alebo etnický pôvod,
politické názory, náboženskú vieru alebo svetonázor, členstvo v politických stranách
alebo politických hnutiach, členstvo v odborových organizáciách a údaje týkajúce sa
zdravia alebo pohlavného života (ďalej len „osobitné kategórie osobných údajov“)“
nahrádzajú slovami „osobitné kategórie osobných údajov28l)“.
Poznámka pod čiarkou k odkazu 28l znie:
„28l) Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých
zákonov.“.
4.
V § 69a sa vypúšťajú odseky 4 a 6.
Doterajšie odseky 5 a 7 sa označujú ako odseky 4 a 5.
5.
V § 69a ods. 5 sa v prvej vete a druhej vete slová „odsekov 1 a 6“ nahrádzajú slovami
„odseku 1“.
6.
§ 69c vrátane nadpisu znie:
„§ 69c
Informovanie o osobných údajoch
(1)
Policajný zbor je oprávnený požiadať toho, komu poskytol alebo sprístupnil osobné
údaje podľa osobitného predpisu, aby bez predchádzajúceho súhlasu Policajného zboru
neinformoval dotknutú osobu o spracúvaní poskytnutých alebo sprístupnených osobných
údajov.
(2)
Ak je Policajný zbor požiadaný o poskytnutie informácie o osobných údajoch podľa
osobitného predpisu a osobné údaje boli poskytnuté alebo sprístupnené orgánom členského
štátu Európskej únie (ďalej len „orgán členského štátu“) oprávneným na predchádzanie
a odhaľovanie trestnej činnosti, zisťovanie páchateľov trestných činov, stíhanie trestných
činov alebo na výkon rozhodnutí v trestnom konaní vrátane ochrany pred ohrozením verejného
poriadku a predchádzania takému ohrozeniu alebo od orgánu členského štátu s podmienkou,
aby dotknutá osoba nebola informovaná o spracúvaní osobných údajov bez jeho súhlasu,
Policajný zbor poskytne takej osobe informácie o spracúvaných osobných údajoch len
s predchádzajúcim súhlasom orgánu členského štátu, ktorý osobné údaje poskytol alebo
sprístupnil.
(3)
Policajný zbor je oprávnený spracúvať kópie dokladov a dokumentov, ktoré dotknutá
osoba poskytla Policajnému zboru pri uplatnení svojich práv podľa osobitného predpisu.“.
Poznámka pod čiarou k odkazu 27da sa vypúšťa.
7.
§ 69f sa vypúšťa.
Čl. IV
Zákon Národnej rady Slovenskej republiky č. 145/1995 Z. z. o správnych poplatkoch v znení zákona Národnej rady Slovenskej republiky č.
123/1996 Z. z., zákona Národnej rady Slovenskej republiky č. 224/1996 Z. z., zákona
č. 70/1997 Z. z., zákona č. 1/1998 Z. z., zákona č. 232/1999 Z. z., zákona č. 3/2000
Z. z., zákona č. 142/2000 Z. z., zákona č. 211/2000 Z. z., zákona č. 468/2000 Z. z.,
zákona č. 553/2001 Z. z., zákona č. 96/2002 Z. z., zákona č. 118/2002 Z. z., zákona
č. 215/2002 Z. z., zákona č. 237/2002 Z. z., zákona č. 418/2002 Z. z., zákona č. 457/2002
Z. z., zákona č. 465/2002 Z. z., zákona č. 477/2002 Z. z., zákona č. 480/2002 Z. z.,
zákona č. 190/2003 Z. z., zákona č. 217/2003 Z. z., zákona č. 245/2003 Z. z., zákona
č. 450/2003 Z. z., zákona č. 469/2003 Z. z., zákona č. 583/2003 Z. z., zákona č. 5/2004
Z. z., zákona č. 199/2004 Z. z., zákona č. 204/2004 Z. z., zákona č. 347/2004 Z. z.,
zákona č. 382/2004 Z. z., zákona č. 434/2004 Z. z., zákona č. 533/2004 Z. z., zákona
č. 541/2004 Z. z., zákona č. 572/2004 Z. z., zákona č. 578/2004 Z. z., zákona č. 581/2004
Z. z., zákona č. 633/2004 Z. z., zákona č. 653/2004 Z. z., zákona č. 656/2004 Z. z.,
zákona č. 725/2004 Z. z., zákona č. 725/2004 Z. z., zákona č. 5/2005 Z. z., zákona
č. 8/2005 Z. z., zákona č. 15/2005 Z. z., zákona č. 93/2005 Z. z., zákona č. 171/2005
Z. z., zákona č. 308/2005 Z. z., zákona č. 331/2005 Z. z., zákona č. 341/2005 Z. z.,
zákona č. 342/2005 Z. z., zákona č. 468/2005 Z. z., zákona č. 473/2005 Z. z., zákona
č. 491/2005 Z. z., zákona č. 538/2005 Z. z., zákona č. 558/2005 Z. z., zákona č. 572/2005
Z. z., zákona č. 573/2005 Z. z., zákona č. 610/2005 Z. z., zákona č. 14/2006 Z. z.,
zákona č. 15/2006 Z. z., zákona č. 24/2006 Z. z., zákona č. 117/2006 Z. z., zákona
č. 124/2006 Z. z., zákona č. 126/2006 Z. z., zákona č. 224/2006 Z. z., zákona č. 342/2006
Z. z., zákona č. 672/2006 Z. z., zákona č. 693/2006 Z. z., zákona č. 21/2007 Z. z.,
zákona č. 43/2007 Z. z., zákona č. 95/2007 Z. z., zákona č. 193/2007 Z. z., zákona
č. 220/2007 Z. z., zákona č. 279/2007 Z. z., zákona č. 295/2007 Z. z., zákona č. 309/2007
Z. z., zákona č. 342/2007 Z. z., zákona č. 342/2007 Z. z., zákona č. 343/2007 Z. z.,
zákona č. 344/2007 Z. z., zákona č. 355/2007 Z. z., zákona č. 358/2007 Z. z., zákona
č. 359/2007 Z. z., zákona č. 460/2007 Z. z., zákona č. 517/2007 Z. z., zákona č. 537/2007
Z. z., zákona č. 548/2007 Z. z., zákona č. 571/2007 Z. z., zákona č. 577/2007 Z. z.,
zákona č. 647/2007 Z. z., zákona č. 661/2007 Z. z., zákona č. 92/2008 Z. z., zákona
č. 112/2008 Z. z., zákona č. 167/2008 Z. z., zákona č. 214/2008 Z. z., zákona č. 264/2008
Z. z., zákona č. 405/2008 Z. z., zákona č. 408/2008 Z. z., zákona č. 451/2008 Z. z.,
zákona č. 465/2008 Z. z., zákona č. 495/2008 Z. z., zákona č. 514/2008 Z. z., zákona
č. 8/2009 Z. z., zákona č. 45/2009 Z. z., zákona č. 188/2009 Z. z., zákona č. 191/2009
Z. z., zákona č. 274/2009 Z. z., zákona č. 292/2009 Z. z., zákona č. 304/2009 Z. z.,
zákona č. 305/2009 Z. z., zákona č. 307/2009 Z. z., zákona č. 465/2009 Z. z., zákona
č. 478/2009 Z. z., zákona č. 513/2009 Z. z., zákona č. 568/2009 Z. z., zákona č. 570/2009
Z. z., zákona č. 594/2009 Z. z., zákona č. 67/2010 Z. z., zákona č. 92/2010 Z. z.,
zákona č. 136/2010 Z. z., zákona č. 144/2010 Z. z., zákona č. 144/2010 Z. z., zákona
č. 514/2010 Z. z., zákona č. 556/2010 Z. z., zákona č. 39/2011 Z. z., zákona č. 119/2011
Z. z., zákona č. 200/2011 Z. z., zákona č. 223/2011 Z. z., zákona č. 254/2011 Z. z.,
zákona č. 256/2011 Z. z., zákona č. 258/2011 Z. z., zákona č. 324/2011 Z. z., zákona
č. 342/2011 Z. z., zákona č. 363/2011 Z. z., zákona č. 381/2011 Z. z., zákona č. 392/2011
Z. z., zákona č. 404/2011 Z. z., zákona č. 405/2011 Z. z., zákona č. 409/2011 Z. z.,
zákona č. 519/2011 Z. z., zákona č. 547/2011 Z. z., zákona č. 49/2012 Z. z., zákona
č. 96/2012 Z. z., zákona č. 251/2012 Z. z., zákona č. 286/2012 Z. z., zákona č. 336/2012
Z. z., zákona č. 339/2012 Z. z., zákona č. 351/2012 Z. z., zákona č. 439/2012 Z. z.,
zákona č. 447/2012 Z. z., zákona č. 459/2012 Z. z., zákona č. 8/2013 Z. z., zákona
č. 39/2013 Z. z., zákona č. 40/2013 Z. z., zákona č. 72/2013 Z. z., zákona č. 75/2013
Z. z., zákona č. 94/2013 Z. z., zákona č. 96/2013 Z. z., zákona č. 122/2013 Z. z.,
zákona č. 144/2013 Z. z., zákona č. 154/2013 Z. z., zákona č. 213/2013 Z. z., zákona
č. 311/2013 Z. z., zákona č. 319/2013 Z. z., zákona č. 347/2013 Z. z., zákona č. 387/2013
Z. z., zákona č. 388/2013 Z. z., zákona č. 474/2013 Z. z., zákona č. 506/2013 Z. z.,
zákona č. 35/2014 Z. z., zákona č. 58/2014 Z. z., zákona č. 84/2014 Z. z., zákona
č. 152/2014 Z. z., zákona č. 162/2014 Z. z., zákona č. 182/2014 Z. z., zákona č. 204/2014
Z. z., zákona č. 262/2014 Z. z., zákona č. 293/2014 Z. z., zákona č. 335/2014 Z. z.,
zákona č. 399/2014 Z. z., zákona č. 40/2015 Z. z., zákona č. 79/2015 Z. z., zákona
č. 120/2015 Z. z., zákona č. 128/2015 Z. z., zákona č. 129/2015 Z. z., zákona č. 247/2015
Z. z., zákona č. 253/2015 Z. z., zákona č. 259/2015 Z. z., zákona č. 262/2015 Z. z.,
zákona č. 273/2015 Z. z., zákona č. 387/2015 Z. z., zákona č. 403/2015 Z. z., zákona
č. 125/2016 Z. z., zákona č. 272/2016 Z. z., zákona č. 342/2016 Z. z., zákona č. 386/2016
Z. z., zákona č. 51/2017 Z. z., zákona č. 238/2017 Z. z., zákona č. 242/2017 Z. z.,
zákona č. 276/2017 Z. z., zákona č. 292/2017 Z. z., zákona č. 293/2017 Z. z., zákona
č. 336/2017 Z. z. a zákona č. 17/2018 Z. z. sa mení takto:
V Sadzobníku správnych poplatkov časti XXIII. OCHRANA OSOBNÝCH ÚDAJOV položka 273
znie:
„Položka 273
a)
Konanie o schválení kódexu správania ..............................................................1
000 eur
b)
Konanie o zmene kódexu správania ..................................................................1
000 eur
c)
Konanie o rozšírení kódexu správania ...............................................................1
000 eur
d)
Konanie o vydaní certifikátu .............................................................................5
000 eur
e)
Konanie o obnove certifikátu ...........................................................................
5 000 eur
Konanie o udelení akreditácie ............................................................................
7 000 eur
g)
Konanie o povolení pre certifikačný subjekt .........................................................
250 eur.“.
Čl. V
Zákon č. 4/2001 Z. z. o Zbore väzenskej a justičnej stráže v znení zákona č. 422/2002 Z. z., zákona
č. 166/2003 Z. z., zákona č. 537/2004 Z. z., zákona č. 581/2004 Z. z., zákona č. 475/2005
Z. z., zákona č. 491/2008 Z. z., zákona č. 59/2009 Z. z., zákona č. 192/2011 Z. z.,
zákona č. 220/2011 Z. z., zákona č. 372/2013 Z. z., zákona č. 307/2014 Z. z., zákona
č. 176/2015 Z. z., zákona č. 386/2015 Z. z., zákona č. 444/2015 Z. z., zákona č. 125/2016
Z. z. a zákona č. 255/2016 Z. z. sa mení takto:
1.
§ 65b vrátane nadpisu znie:
„§ 65b
Kontrola, oprava a vymazanie informácií alebo osobných údajov
(1)
Ak to okolnosti dovoľujú, zbor pri každom poskytnutí osobných údajov posúdi ich správnosť;
ak je to potrebné, doplní dostupné informácie, ktoré umožnia posúdiť správnosť údajov.
(2)
Pri zistení nesprávnych osobných údajov alebo informácií uchovávaných v informačných
systémoch, zbor tieto bezodkladne opraví alebo vymaže. Ak došlo k poskytnutiu takých
údajov, je zbor povinný informovať o tom všetkých príjemcov.
(3)
Ak údaje uchovávané v informačnom systéme zboru už nie sú na plnenie ustanovených
úloh potrebné alebo ak je na to iný zákonný dôvod, zbor tieto údaje vymaže.
(4)
Ak by vymazanie osobných údajov mohlo ohroziť práva alebo právom chránené záujmy
dotknutej osoby, také údaje sa obmedzia.17i) Takto obmedzené údaje možno spracúvať len na účel, ktorý zabránil ich vymazaniu.
(5)
Zbor najmenej raz za tri roky preverí, či naďalej trvá potreba uchovávania spracovaných
osobných údajov.“.
Poznámka pod čiarou k odkazu 17i znie:
„17i) § 5 písm. f) zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení
niektorých zákonov.“.
2.
V § 65d sa vypúšťajú odseky 4 a 5.
Doterajšie odseky 6 a 7 sa označujú ako odseky 4 a 5.
Poznámka pod čiarou k odkazu 18b sa vypúšťa.
3.
V § 65d ods. 5 sa slová „odseku 6“ nahrádzajú slovami „odseku 4“.
Čl. VI
Zákon č. 153/2001 Z. z. o prokuratúre v znení zákona č. 458/2003 Z. z., zákona č. 36/2005
Z. z., zákona č. 59/2009 Z. z., nálezu Ústavného súdu Slovenskej republiky č. 290/2009 Z. z., zákona č. 291/2009 Z. z., zákona č. 102/2010 Z. z., zákona č. 403/2010 Z. z., zákona č. 192/2011 Z. z., zákona č. 220/2011 Z. z., zákona č. 436/2013 Z. z., nálezu Ústavného súdu Slovenskej republiky č. 217/2014 Z. z., zákona č. 401/2015 Z. z. a zákona č. 125/2016 Z. z. sa mení a dopĺňa takto:
Z. z., zákona č. 59/2009 Z. z., nálezu Ústavného súdu Slovenskej republiky č. 290/2009 Z. z., zákona č. 291/2009 Z. z., zákona č. 102/2010 Z. z., zákona č. 403/2010 Z. z., zákona č. 192/2011 Z. z., zákona č. 220/2011 Z. z., zákona č. 436/2013 Z. z., nálezu Ústavného súdu Slovenskej republiky č. 217/2014 Z. z., zákona č. 401/2015 Z. z. a zákona č. 125/2016 Z. z. sa mení a dopĺňa takto:
1.
Doterajší text § 55aa sa označuje ako odsek 1 a dopĺňa sa odsekmi 2 a 3, ktoré znejú:
„(2)
Generálna prokuratúra v spolupráci s ostatnými prokuratúrami aspoň raz za 12 mesiacov
preveruje, či sú spracúvané osobné údaje naďalej potrebné na plnenie úloh prokuratúry.
Ak generálna prokuratúra preverovaním alebo v priebehu spracúvania osobných údajov
zistí, že nie sú potrebné na plnenie úloh prokuratúry, bezodkladne také osobné údaje
vymaže alebo anonymizuje.
(3)
Ak by výmaz alebo anonymizácia osobných údajov podľa odseku 2 mohla ohroziť práva
a právom chránené záujmy dotknutej osoby, možno obmedziť spracúvanie osobných údajov,35a) spracúvať ich však možno len na účel, ktorý zabránil ich výmazu.“.
V poznámke pod čiarou k odkazu 35 sa slová „zákon č. 428/2002 Z. z. v znení neskorších
predpisov“ nahrádzajú slovami „zákon č. 18/2018 Z. z. o ochrane osobných údajov a
o zmene a doplnení niektorých zákonov“.
Poznámka pod čiarou k odkazu 35a znie:
„35a) Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane
fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým
sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119,
4. 5. 2016),
Zákon č. 18/2018 Z. z. ochrane osobných údajov a o zmene a doplnení niektorých zákonov.“.
Zákon č. 18/2018 Z. z. ochrane osobných údajov a o zmene a doplnení niektorých zákonov.“.
2.
V § 55ac sa vypúšťajú odseky 2 a 3.
Súčasne sa zrušuje označenie odseku 1.
Poznámka pod čiarou k odkazu 36 znie:
„36) Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých
zákonov.“.
3.
V § 55ad sa vypúšťa odsek 1.
Doterajšie odseky 2 až 4 sa označujú ako odseky 1 až 3.
4.
V § 55ad ods. 2 sa slová „odseku 2“ nahrádzajú slovami „odseku 1“.
5.
V § 55ae ods. 1 písm. f) sa vypúšťa odkaz 36b a poznámka pod čiarou k odkazu 36b.
6.
§ 55af sa vypúšťa vrátane poznámky pod čiarou k odkazu 36c.
Čl. VII
Zákon č. 483/2001 Z. z. o bankách a o zmene a doplnení niektorých zákonov v znení zákona č. 430/2002
Z. z., zákona č. 510/2002 Z. z., zákona č. 165/2003 Z. z., zákona č. 603/2003 Z. z.,
zákona č. 215/2004 Z. z., zákona č. 554/2004 Z. z., zákona č. 747/2004 Z. z., zákona
č. 69/2005 Z. z., zákona č. 340/2005 Z. z., zákona č. 341/2005 Z. z., zákona č. 214/2006
Z. z., zákona č. 644/2006 Z. z., zákona č. 209/2007 Z. z., zákona č. 209/2007 Z. z.,
zákona č. 659/2007 Z. z., zákona č. 659/2007 Z. z., zákona č. 297/2008 Z. z., zákona
č. 552/2008 Z. z., zákona č. 552/2008 Z. z., zákona č. 66/2009 Z. z., zákona č. 186/2009
Z. z., zákona č. 186/2009 Z. z., zákona č. 276/2009 Z. z., zákona č. 492/2009 Z. z.,
zákona č. 492/2009 Z. z., zákona č. 129/2010 Z. z., zákona č. 129/2010 Z. z., zákona
č. 46/2011 Z. z., zákona č. 130/2011 Z. z., zákona č. 314/2011 Z. z., zákona č. 394/2011
Z. z., zákona č. 520/2011 Z. z., zákona č. 547/2011 Z. z., zákona č. 234/2012 Z. z.,
zákona č. 352/2012 Z. z., zákona č. 132/2013 Z. z., zákona č. 352/2013 Z. z., zákona
č. 213/2014 Z. z., zákona č. 213/2014 Z. z., zákona č. 213/2014 Z. z., zákona č. 213/2014
Z. z., zákona č. 371/2014 Z. z., zákona č. 374/2014 Z. z., zákona č. 35/2015 Z. z.,
zákona č. 252/2015 Z. z., zákona č. 359/2015 Z. z., zákona č. 392/2015 Z. z., zákona
č. 405/2015 Z. z., zákona č. 437/2015 Z. z., zákona č. 90/2016 Z. z., zákona č. 91/2016
Z. z., zákona č. 125/2016 Z. z., zákona č. 292/2016 Z. z., zákona č. 298/2016 Z. z.,
zákona č. 299/2016 Z. z., zákona č. 315/2016 Z. z., zákona č. 386/2016 Z. z., zákona
č. 2/2017 Z. z., zákona č. 264/2017 Z. z. a zákona č. 279/2017 Z. z. sa mení a dopĺňa
takto:
1.
V § 92a odsek 5 znie:
„(5)
Klient banky alebo pobočky zahraničnej banky, ktorý nie je fyzickou osobou, má právo
bezplatne sa oboznámiť s informáciami, ktoré sú o ňom alebo o jeho obchodoch vedené
v spoločnom bankovom registri, má právo najmenej raz ročne bezodplatne vyžadovať od
prevádzkovateľa spoločného bankového registra poskytnutie menovitého zoznamu osôb,
ktorým boli zo spoločného bankového registra poskytnuté informácie o príslušnom klientovi,
ktorý nie je fyzickou osobou, alebo o jeho obchodoch a tiež má právo vyžadovať bezplatnú
opravu alebo likvidáciu nesprávnych, neúplných alebo neaktuálnych informácií vedených
v spoločnom bankovom registri o príslušnom klientovi, ktorý nie je fyzickou osobou,
alebo o jeho obchodoch. Klient banky alebo pobočky zahraničnej banky, ktorý je fyzickou
osobou, má právo na prístup k osobným údajom podľa osobitného predpisu.37)“.
Poznámka pod čiarou k odkazu 37 znie:
„37) Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane
fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým
sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov). (Ú. v. EÚ L
119, 4. 5. 2016).
Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.“.
Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.“.
2.
V § 92b ods. 1 a § 93a ods. 2 až 4 sa vypúšťajú slová „a informovania“.
3.
V § 93a ods. 1 písm. a) prvom bode sa za slová „druh a číslo dokladu totožnosti“
vkladajú slová „a fotografiu z dokladu totožnosti“.
Čl. VIII
Zákon č. 395/2002 Z. z. o archívoch a registratúrach a o doplnení niektorých zákonov v znení zákona
č. 515/2003 Z. z., zákona č. 216/2007 Z. z., zákona č. 335/2007 Z. z., zákona č. 445/2008
Z. z., zákona č. 41/2011 Z. z., zákona č. 305/2013 Z. z., zákona č. 266/2015 Z. z.
a zákona č. 125/2016 Z. z. sa mení a dopĺňa takto:
1.
Poznámka pod čiarou k odkazu 25 znie:
„25) Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane
fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým
sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119,
4. 5. 2016).
Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.“.
Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.“.
2.
V § 13 ods. 5 písm. a) sa vypúšťa slovo „alebo“.
3.
V § 13 ods. 5 písm. b) sa na konci pripája slovo „alebo“.
4.
V § 13 sa odsek 5 dopĺňa písmenom c), ktoré znie:
„c)
ak účelom využitia archívneho dokumentu je historický výskum alebo iný vedecký výskum.“.
Čl. IX
Zákon č. 417/2002 Z. z. o používaní analýzy deoxyribonukleovej kyseliny na identifikáciu osôb sa mení
a dopĺňa takto:
1.
V § 2 písmeno b) znie:
„b)
analýzou deoxyribonukleovej kyseliny proces analýzy vzorky metódami molekulárnej
biológie a genetiky vykonávaný z nekódujúcich úsekov molekuly deoxyribonukleovej kyseliny
neobsahujúcich informácie o špecifických dedičných vlastnostiach; analýzou deoxyribonukleovej
kyseliny sa rozumie aj predikcia viditeľných fenotypových prejavov,“.
2.
§ 2 sa dopĺňa písmenom f), ktoré znie:
„f)
predikciou viditeľných fenotypových prejavov proces analýzy vzorky metódami molekulárnej
biológie a genetiky vykonávaný z kódujúcich úsekov molekuly deoxyribonukleovej kyseliny,
ktoré obsahujú informácie, napríklad o farbe vlasov, farbe očí a pigmentácii pleti.“.
3.
Poznámka pod čiarou k odkazu 1 znie:
„1) § 155 ods. 2, 3 a 5 a § 156 ods. 1 a 2 Trestného poriadku.
§ 20a zákona Národnej rady Slovenskej republiky č. 171/1993 Z. z. o Policajnom zbore v znení neskorších predpisov.“.
§ 20a zákona Národnej rady Slovenskej republiky č. 171/1993 Z. z. o Policajnom zbore v znení neskorších predpisov.“.
4.
V § 3 ods. 1 písm. a) sa slová „konaní, Policajného zboru2) a Železničnej polície,3)“ nahrádzajú slovami „konaní a Policajného zboru,2)“.
Poznámka pod čiarou k odkazu 3 sa vypúšťa.
5.
V § 3 odsek 3 znie:
„(3)
Odber vzorky vykonáva príslušník Policajného zboru2) (ďalej len „policajt“), orgán činný v trestnom konaní,4) alebo súd; odber si môže vykonať aj osoba sama za prítomnosti policajta, orgánu
činného v trestnom konaní alebo súdu. Odber vzorky podľa odseku 1 písm. b) vykonáva
na základe písomnej žiadosti policajta, orgánu činného v trestnom konaní alebo súdu
tiež príslušník Zboru väzenskej a justičnej stráže;5) odber si môže vykonať aj osoba sama za prítomnosti príslušníka Zboru väzenskej a
justičnej stráže. Ak ide o vzorku, ktorej odberom je narušená telesná integrita človeka
alebo ktorá je odoberaná z intímnej časti ľudského tela, jej odber vykonáva na základe
písomnej žiadosti policajta, orgánu činného v trestnom konaní alebo súdu zdravotnícky
pracovník s príslušnou odbornou spôsobilosťou.5a) Odber vzorky sa vykonáva spôsobom, ktorý nesmie ohroziť zdravie osoby ani ponížiť
jej ľudskú dôstojnosť.“.
Poznámky pod čiarou k odkazom 4 až 5a znejú:
„4) § 10 ods. 1 zákona č. 301/2005 Z. z. v znení neskorších predpisov.
5) Zákon č. 4/2001 Z. z. o Zbore väzenskej a justičnej stráže v znení neskorších predpisov.
5a) § 33 zákona č. 578/2004 Z. z. o poskytovateľoch zdravotnej starostlivosti, zdravotníckych
pracovníkoch, stavovských organizáciách v zdravotníctve a o zmene a doplnení niektorých
zákonov v znení neskorších predpisov.“.
6.
V § 4 sa za odsek 1 vkladá nový odsek 2, ktorý znie:
„(2)
Predikciu viditeľných fenotypových prejavov možno vykonať len zo vzorky zaistenej
v súvislosti s obzvlášť závažným zločinom,5b) trestným činom proti životu a zdraviu, trestným činom proti slobode a ľudskej dôstojnosti,5c) identifikáciou mŕtvoly alebo oddelených častí ľudského tela, ak sa analýzou deoxyribonukleovej
kyseliny nezistí identita osoby v databáze alebo v národných databázach profilov deoxyribonukleovej
kyseliny členských štátov Európskej únie podľa osobitného predpisu.5d)“.
Doterajšie odseky 2 až 7 sa označujú ako odseky 3 až 8.
Poznámky pod čiarou k odkazom 5b až 5d znejú:
„5b) § 11 ods. 3 Trestného zákona.
5c) §144 až § 203 Trestného zákona.
5d) Rozhodnutie Rady 2008/615/SVV z 23. júna 2008 o zintenzívnení cezhraničnej spolupráce,
najmä v boji proti terorizmu a cezhraničnej trestnej činnosti (Ú. v. EÚ L 210, 6.
8. 2008).“.
7.
V § 4 ods. 3 sa slovo „ôsmich“ nahrádza slovom „dvanástich“.
8.
V § 4 ods. 4 úvodnej vete sa na konci pripájajú tieto slová: „akreditovanými postupmi“.
9.
V § 4 ods. 4 písm. a) sa slová „v zozname ústavov a iných pracovísk špecializovaných
na znaleckú činnosť6)” nahrádzajú slovami „ako znalecký ústav v zozname podľa osobitného predpisu6)“.
Poznámka pod čiarou k odkazu 6 znie:
„6) Zákon č. 382/2004 Z. z. o znalcoch, tlmočníkoch a prekladateľoch a o zmene a doplnení
niektorých zákonov v znení neskorších predpisov.“.
10.
V § 4 ods. 5 druhej vete sa slová „pre Železničnú políciu“ nahrádzajú slovom „súd.“.
11.
V § 4 ods. 7 sa slová „odseku 5“ nahrádzajú slovami „odseku 6“.
12.
V § 4 ods. 8 sa slová „odseku 3“ nahrádzajú slovami „odseku 4“.
13.
V § 5 ods. 3 písm. b) druhom bode sa vypúšťajú slová „a miesto“.
14.
Poznámka pod čiarou k odkazu 7 znie:
„7) Zákon Národnej rady Slovenskej republiky č. 171/1993 Z. z. v znení neskorších predpisov.
Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.“.
Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.“.
15.
V § 8 odsek 1 znie:
„(1)
Poverený útvar vymaže z databázy údaje
a)
o osobe,
1.
proti ktorej bolo trestné stíhanie zastavené z dôvodu, že je nepochybné, že sa nestal
skutok, pre ktorý sa vedie trestné stíhanie, alebo že nie je tento skutok trestným
činom a nie je dôvod na postúpenie veci, alebo je nepochybné, že skutok nespáchal
obvinený,8)
2.
ktorá bola oslobodená spod obžaloby z dôvodu, že nebolo dokázané, že sa stal skutok,
pre ktorý je obžalovaný stíhaný, alebo že skutok nie je trestným činom,9)
b)
o odsúdenej osobe, o osobe, proti ktorej je trestné stíhanie neprípustné,10) o osobe, proti ktorej bolo trestné stíhanie zastavené z dôvodu, že obvinený nebol
v čase činu pre nepríčetnosť trestne zodpovedný,11) a o osobe, ktorá bola oslobodená spod obžaloby z dôvodu, že obžalovaný nie je pre
nepríčetnosť trestne zodpovedný,12) po uplynutí sto rokov od jej narodenia.“.
Poznámky pod čiarou k odkazom 8 až 12 znejú:
„8) § 215 ods. 1 písm. a) až c) Trestného poriadku.
9) § 285 písm. a) a b) Trestného poriadku.
10) § 9 ods. 1 Trestného poriadku.
11) § 215 ods. 1 písm. e) a f) Trestného poriadku.
12) § 285 písm. d) a e) Trestného poriadku.“.
16.
V § 8 odsek 3 znie:
„(3)
Orgán činný v trestnom konaní alebo súd, ktorý skončil trestné konanie týkajúce sa
osoby, ktorej profil deoxyribonukleovej kyseliny je uložený v databáze, je povinný
o tejto skutočnosti do troch pracovných dní od skončenia trestného konania písomne
informovať poverený útvar.“.
17.
Príloha č. 1 vrátane nadpisu znie:
„Príloha č. 1
k zákonu č. 417/2002 Z. z.
k zákonu č. 417/2002 Z. z.
POLYMORFNÉ SYSTÉMY
Polymorfné systémy deoxyribonukleovej kyseliny, v ktorých sa vykonáva analýza deoxyribonukleovej
kyseliny:
D3S1358
VWA
D8S1179
D21S11
D18S51
HUMTH01
FGA
D1S1656
D2S441
D10S1248
D12S391
D22S1045“.
Čl. X
Zákon č. 586/2003 Z. z. o advokácii a o zmene a doplnení zákona č. 455/1991 Zb. o živnostenskom podnikaní
(živnostenský zákon) v znení neskorších predpisov v znení zákona č. 8/2005 Z. z.,
zákona č. 327/2005 Z. z., zákona č. 331/2007 Z. z., zákona č. 297/2008 Z. z., zákona
č. 451/2008 Z. z., zákona č. 304/2009 Z. z., zákona č. 136/2010 Z. z., zákona č. 332/2011
Z. z., zákona č. 335/2012 Z. z., zákona č. 339/2013 Z. z., zákona č. 440/2015 Z. z.,
zákona č. 125/2016 Z. z. sa mení a dopĺňa takto:
1.
V § 18 odseky 6 a 7 znejú:
„(6)
Advokát spracúva osobné údaje klientov a iných fyzických osôb v rozsahu nevyhnutnom
na účely výkonu advokácie v súlade s týmto zákonom a s osobitným predpisom.12b) Advokát má pri spracúvaní osobných údajov v zmysle prvej vety tohto odseku postavenie
prevádzkovateľa podľa osobitného predpisu.12c)
(7)
Advokát je oprávnený získavať a spracúvať osobné údaje nevyhnutné na účely výkonu
advokácie kopírovaním, skenovaním alebo iným zaznamenávaním úradných dokladov na nosič
informácií bez súhlasu dotknutej osoby.“.
Poznámky pod čiarou k odkazu 12b a 12c znejú:
„12b) Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane
fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým
sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119,
4. 5. 2016).
12c) Čl. 4 ods. 7 nariadenia (EÚ) 2016/679.“.
2.
§ 18 sa dopĺňa odsekmi 8 a 9, ktoré znejú:
„(8)
Advokát nemá povinnosť poskytnúť informácie o spracúvaní osobných údajov, umožniť
prístup alebo prenosnosť osobných údajov podľa osobitného predpisu,12d) ak by to mohlo viesť k porušeniu povinnosti advokáta zachovávať mlčanlivosť podľa
tohto zákona.
(9)
Komora uznesením môže upraviť ďalšie práva a povinnosti komory, advokátov a dotknutých
osôb prijatím kódexu správania podľa osobitného predpisu.12e)“.
Poznámky pod čiarou k odkazom 12d a 12e znejú:
„12d) Čl. 14 ods. 5 písm. d), čl. 15 ods. 4 a čl. 20 ods. 4 nariadenia (EÚ) 2016/679.
12e) Čl. 23, čl. 40 a čl. 90 nariadenia (EÚ) 2016/679.“.
Čl. XI
Zákon č. 541/2004 Z. z. o mierovom využívaní jadrovej energie (atómový zákon) a o zmene a doplnení
niektorých zákonov v znení zákona č. 238/2006 Z. z., zákona č. 21/2007 Z. z., zákona
č. 94/2007 Z. z., zákona č. 335/2007 Z. z., zákona č. 408/2008 Z. z., zákona č. 120/2010
Z. z., zákona č. 145/2010 Z. z., zákona č. 350/2011 Z. z., zákona č. 143/2013 Z. z.,
zákona č. 314/2014 Z. z., zákona č. 54/2015 Z. z., zákona č. 91/2016 Z. z., zákona
č. 125/2016 Z. z. a zákona č. 96/2017 Z. z. sa mení a dopĺňa takto:
1.
V § 26 odsek 6 znie:
„(6)
Držiteľ povolenia je povinný zabezpečiť, že na povolenie a kontrolu vstupov do jadrového
zariadenia sa použije identifikácia osôb prostredníctvom občianskeho preukazu alebo
iného identifikačného dokladu, napríklad cestovného dokladu alebo cestovného dokladu
OSN, ktorý obsahuje najmä titul, meno a priezvisko, dátum narodenia, trvalé bydlisko,
číslo občianskeho preukazu alebo číslo iného identifikačného dokladu, štátnu príslušnosť,
biometrický údaj, rodné číslo a fotografiu osoby a zároveň v jadrových zariadeniach,
v ktorých sa nachádzajú jadrové materiály zaradené do I. alebo II. kategórie podľa
osobitného predpisu,37a) je držiteľ povolenia povinný zabezpečiť, že na povolenie a kontrolu vstupov osôb
do stráženého a vnútorného priestoru sa použije identifikácia osôb aj prostredníctvom
biometrických údajov.37b) Osoby vstupujúce do jadrového zariadenia alebo osoby vystupujúce z jadrového zariadenia
sú povinné strpieť identifikáciu podľa prvej vety. Ak tieto osoby odmietnu strpieť
identifikáciu podľa prvej vety, držiteľ povolenia je povinný zamedziť ich vstupu do
alebo výstupu z jadrového zariadenia. Držiteľ povolenia je oprávnený spracúvať osobné
údaje podľa prvej vety v súlade s osobitným predpisom.37c)“.
Poznámky pod čiarou k odkazom 37b a 37c znejú:
„37b) Čl. 9 ods. 2 písm. g) nariadenia Európskeho parlamentu a Rady (EÚ) č. 2016/679 z
27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom
pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie
o ochrane údajov) (Ú. v. EÚ L 119, 4. 5. 2016).
37c) Čl. 6 ods. 1 písm. c) nariadenia (EÚ) 2016/679.
Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.“.
Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.“.
2.
§ 31 sa dopĺňa odsekom 17, ktorý znie:
„(17)
Úrad je v súlade s osobitným predpisom41a) oprávnený spracúvať osobné údaje inšpektorov, inšpektorov – čakateľov, medzinárodných
inšpektorov a ďalších osôb prizvaných na inšpekciu alebo medzinárodnú inšpekciu pri
výkone inšpekčnej činnosti, ako aj ďalších osôb na účel zabezpečenia kontroly vstupov
a výstupov týchto osôb do jadrového zariadenia a z jadrového zariadenia v rozsahu
osobných údajov uvedených v § 26 ods. 6. Úrad je oprávnený poskytovať osobné údaje
podľa prvej vety držiteľovi povolenia na rovnaký účel a v rovnakom rozsahu, ako je
uvedené v prvej vete.“.
Poznámka pod čiarou k odkazu 41a znie:
„41a) Čl. 6 ods. 1 písm. e) nariadenia (EÚ) 2016/679.
Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.“.
Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.“.
Čl. XII
Zákon č. 652/2004 Z. z. o orgánoch štátnej správy v colníctve a o zmene a doplnení niektorých zákonov
v znení zákona č. 331/2005 Z. z., zákona č. 191/2007 Z. z., zákona č. 537/2007 Z.
z., zákona č. 166/2008 Z. z., zákona č. 491/2008 Z. z., zákona č. 207/2009 Z. z.,
zákona č. 305/2009 Z. z., zákona č. 465/2009 Z. z., zákona č. 508/2010 Z. z., zákona
č. 192/2011 Z. z., zákona č. 256/2011 Z. z., zákona č. 331/2011 Z. z., zákona č. 546/2011
Z. z., zákona č. 441/2012 Z. z., zákona č. 207/2014 Z. z., zákona č. 307/2014 Z. z.,
zákona č. 333/2014 Z. z., zákona č. 360/2015 Z. z., zákona č. 397/2015 Z. z. a zákona
č. 298/2016 Z. z. sa mení takto:
1.
V § 52 sa vypúšťa odsek 5.
Doterajšie odseky 6 až 9 sa označujú ako odseky 5 až 8.
2.
V § 54 sa vypúšťa odsek 6.
3.
V § 54b ods. 4 sa slová „uvedené v § 55 ods. 4“ nahrádzajú slovami „podľa osobitného
predpisu.46ba)“.
Poznámka pod čiarou k odkazu 46ba znie:
„46ba) § 64 zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých
zákonov.“.
4.
V § 54c sa vypúšťajú odseky 3 až 5.
5.
V § 55 sa vypúšťa nadpis pod paragrafom a odseky 1 a 4 až 11 vrátane poznámky pod
čiarou k odkazu 46f.
Doterajšie odseky 2 a 3 sa označujú ako odseky 1 a 2.
6.
V § 58 sa vypúšťa odsek 8.
Čl. XIII
Zákon č. 757/2004 Z. z. o súdoch a o zmene a doplnení niektorých zákonov v znení zákona č. 517/2008
Z. z., zákona č. 59/2009 Z. z., nálezu Ústavného súdu Slovenskej republiky č. 290/2009
Z. z., zákona č. 291/2009 Z. z., zákona č. 318/2009 Z. z., zákona č. 33/2011 Z. z.,
zákona č. 192/2011 Z. z., zákona č. 467/2011 Z. z., zákona č. 335/2012 Z. z., zákona
č. 195/2014 Z. z., nálezu Ústavného súdu Slovenskej republiky č. 216/2014 Z. z., zákona
č. 322/2014 Z. z., zákona č. 87/2015 Z. z., zákona č. 125/2016 Z. z., zákona č. 301/2016
Z. z., zákona č. 2/2017 Z. z. a zákona č. 152/2017 Z. z. sa mení a dopĺňa takto:
1.
Poznámka pod čiarou k odkazu 34 znie:
„34) Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane
fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým
sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119,
4. 5. 2016).
Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.“.
Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.“.
2.
V § 79 odsek 1 znie:
„(1)
Ministerstvo a súdy spracúvajú vo verejnom záujme pri plnení svojich úloh informácie,
osobné údaje a iné údaje (ďalej len „údaje“) týkajúce sa občianskeho súdneho konania
a trestného konania, ako aj údaje získané pri plnení svojich úloh vyplývajúcich z
osobitných predpisov,38) vrátane osobných údajov súvisiacich so zastupovaním Slovenskej republiky v konaniach
pred Súdnym dvorom Európskej únie a v štádiách predchádzajúcich týmto konaniam, ako
aj s personálnymi záležitosťami týkajúcimi sa Súdneho dvora Európskej únie.“.
3.
Doterajší text § 80 sa označuje ako odsek 1 a dopĺňa sa odsekom 2, ktorý znie:
„(2)
Osobné údaje súvisiace so zastupovaním Slovenskej republiky v konaniach pred Súdnym
dvorom Európskej únie a v štádiách predchádzajúcich týmto konaniam, ako aj s personálnymi
záležitosťami týkajúcimi sa Súdneho dvora Európskej únie môže ministerstvo na účely
plnenia úloh podľa osobitného predpisu39) poskytnúť aj iným orgánom verejnej moci alebo iným príjemcom.“.
4.
V § 81 sa vypúšťa odsek 1 a súčasne sa zrušuje označenie odseku 2.
5.
V § 82d sa nad slovom „predpis“ odkaz „34)“ nahrádza odkazom „42c)“.
Poznámka pod čiarou k odkazu 42c znie:
„42c) Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých
zákonov.“.
6.
V § 82e sa vypúšťa odsek 1.
Doterajšie odseky 2 až 5 sa označujú ako odseky 1 až 4.
7.
V § 82e ods. 2 sa slová „odseku 2“ nahrádzajú slovami „odseku 1“.
8.
V § 82f ods. 1 písm. f) sa vypúšťa odkaz 42d a poznámka pod čiarou k odkazu 42d.
9.
§ 82g sa vrátane poznámky pod čiarou k odkazu 42e vypúšťa.
Čl. XIV
Zákon č. 129/2010 Z. z. o spotrebiteľských úveroch a o iných úveroch a pôžičkách pre spotrebiteľov
a o zmene a doplnení niektorých zákonov v znení zákona č. 394/2011 Z. z., zákona č.
352/2012 Z. z., zákona č. 132/2013 Z. z., zákona č. 102/2014 Z. z., zákona č. 106/2014
Z. z., zákona č. 373/2014 Z. z., zákona č. 35/2015 Z. z., zákona č. 117/2015 Z. z.,
zákona č. 389/2015 Z. z., zákona č. 438/2015 Z. z., zákona č. 90/2016 Z. z., zákona
č. 91/2016 Z. z., zákona č. 299/2016 Z. z. a zákona č. 279/2017 Z. z. sa mení a dopĺňa
takto:
1.
V § 1 ods. 6 sa slová „až 15“ nahrádzajú slovami „až 14“.
2.
V § 7 sa vypúšťa odsek 14.
Doterajšie odseky 15 až 43 sa označujú ako odseky 14 až 42.
3.
V § 7 ods. 4 sa slová „17 a 18“ sa nahrádzajú slovami „16 a 17“.
4.
V § 7 ods. 21 sa za slovom „odseku“ číslo „21“ nahrádza číslom „20“.
5.
V § 7 ods. 24 úvodnej vete sa slová „20 až 24“ nahrádzajú slovami „19 až 23“.
6.
V § 7 ods. 25 sa číslo „25“ nahrádza číslom „24“ a číslo „39“ sa nahrádza číslom
„38“.
7.
V § 7 ods. 26 úvodnej vete sa číslo „20“ nahrádza číslom „19“.
8.
V § 7 ods. 27 sa slová „odseku 20“ nahrádzajú slovami „odseku 19“.
9.
V § 7 ods. 29 sa číslo „32“ nahrádza číslom „31“.
10.
V § 7 ods. 30 sa číslo „30“ nahrádza číslom „29“.
11.
V § 7 ods. 31 úvodnej vete sa slová „30 a 31“ nahrádzajú slovami „29 a 30“.
12.
V § 7 ods. 33 úvodnej vete sa slová „35, 36 a 38“ nahrádzajú slovami „34, 35 a 37“
a číslo „33“ sa nahrádza číslom „32“.
13.
V § 7 ods. 34 až 38 sa číslo „34“ nahrádza číslom „33“.
14.
V § 7 ods. 38 sa číslo „26“ nahrádza číslom „25“.
15.
V § 7 ods. 40 sa slová „20 až 40“ nahrádzajú slovami „19 až 39“ a slová „17 až 19“
sa nahrádzajú slovami „16 až 18“.
16.
V § 7 ods. 41 písm. a) sa slová „25 a 32“ nahrádzajú slovami „24 a 31“.
17.
V § 11 ods. 2 sa slová „20 až 43“ nahrádzajú slovami „19 až 42“.
18.
V § 20a ods. 3 písm. b) sa pred slová „zakladateľská listina“ vkladajú slová „informácia
a preukázanie totožnosti podľa osobitného predpisu,32b)“.
19.
V § 20a ods. 3 písm. h) a § 20b ods. 5 písm. e) sa slová „16 až 18“ nahrádzajú slovami
„15 až 17“.
20.
V § 24 ods. 1 sa slová „17 až 43“ nahrádzajú slovami „16 až 42“.
21.
V § 24 ods. 6 písm. b) sa slová „meno, priezvisko, adresu trvalého pobytu, štátnu
príslušnosť a dátum narodenia“ nahrádzajú slovami „informácia a preukázanie totožnosti
podľa osobitného predpisu32b)“.
22.
V § 24 ods. 7 písm. h) sa slová „17 až 19“ nahrádzajú slovami „16 až 18“.
Čl. XV
Zákon č. 39/2015 Z. z. o poisťovníctve a o zmene a doplnení niektorých zákonov v znení zákona č. 359/2015
Z. z., zákona č. 437/2015 Z. z., zákona č. 125/2016 Z. z., zákona č. 292/2016 Z. z.,
zákona č. 339/2016 Z. z. a zákona č. 282/2017 Z. z. sa mení takto:
V § 72 sa vypúšťa odsek 13.
Doterajší odsek 14 sa označuje ako odsek 13.
Čl. XVI
Tento zákon nadobúda účinnosť 25. mája 2018.
Andrej Kiska v. r.
Andrej Danko v. r.
Robert Fico v. r.
Andrej Danko v. r.
Robert Fico v. r.
1)
§ 57 ods. 2 zákona č. 351/2011 Z. z. o elektronických komunikáciách v znení neskorších predpisov.
2)
Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane
fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým
sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119,
4. 5. 2016).
3)
§ 17 ods. 9 zákona Národnej rady Slovenskej republiky č. 46/1993 Z. z. o Slovenskej informačnej službe v znení zákona č. 192/2011 Z. z.
4)
§ 17 ods. 6 zákona Národnej rady Slovenskej republiky č. 198/1994 Z. z. o Vojenskom spravodajstve v znení zákona č. 444/2015 Z. z.
§ 14 ods. 7 zákona č. 281/2015 Z. z. o štátnej službe profesionálnych vojakov a o zmene a doplnení niektorých zákonov.
§ 14 ods. 7 zákona č. 281/2015 Z. z. o štátnej službe profesionálnych vojakov a o zmene a doplnení niektorých zákonov.
5)
Zákon č. 215/2004 Z. z. o ochrane utajovaných skutočností a o zmene a doplnení niektorých zákonov v znení
neskorších predpisov.
6)
Zákon č. 552/2003 Z. z. o výkone práce vo verejnom záujme v znení neskorších predpisov.
7)
Zákon č. 55/2017 Z. z. o štátnej službe a o zmene a doplnení niektorých zákonov.
8)
Napríklad zákon Národnej rady Slovenskej republiky č. 171/1993 Z. z. o Policajnom zbore v znení neskorších predpisov, zákon č. 540/2001 Z. z. o štátnej štatistike v znení neskorších predpisov, zákon č. 395/2002 Z. z. o archívoch a registratúrach a o doplnení niektorých zákonov v znení neskorších predpisov
alebo zákon č. 553/2002 Z. z. o sprístupnení dokumentov o činnosti bezpečnostných zložiek štátu 1939-1989 a o založení
Ústavu pamäti národa a o doplnení niektorých zákonov (zákon o pamäti národa) v znení
neskorších predpisov.
9)
Zákon č. 22/2004 Z. z. o elektronickom obchode a o zmene a doplnení zákona č. 128/2002 Z. z. o štátnej kontrole vnútorného trhu vo veciach ochrany spotrebiteľa a o zmene a doplnení
niektorých zákonov v znení zákona č. 284/2002 Z. z. v znení neskorších predpisov.
10)
Zákon č. 36/2005 Z. z. o rodine a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
11)
Napríklad Zákonník práce v znení neskorších predpisov, zákon č. 461/2003 Z. z. o sociálnom poistení v znení neskorších predpisov alebo zákon č. 5/2004 Z. z. o službách zamestnanosti a o zmene a doplnení niektorých zákonov v znení neskorších
predpisov.
12)
Napríklad Občiansky zákonník, Obchodný zákonník, zákon č. 250/2007 Z. z. o ochrane spotrebiteľa a o zmene zákona Slovenskej národnej rady č. 372/1990 Zb. o priestupkoch v znení neskorších predpisov v znení neskorších predpisov, zákon č.
90/2016 Z. z. o úveroch na bývanie a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
13)
Zákon č. 447/2008 Z. z. o peňažných príspevkoch na kompenzáciu ťažkého zdravotného postihnutia a o zmene
a doplnení niektorých zákonov v znení neskorších predpisov.
14)
Zákon č. 328/2002 Z. z. o sociálnom zabezpečení policajtov a vojakov a o zmene a doplnení niektorých zákonov
v znení neskorších predpisov.
15)
Napríklad zákon č. 576/2004 Z. z. o zdravotnej starostlivosti, službách súvisiacich s poskytovaním zdravotnej starostlivosti
a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
16)
Zákon č. 330/2007 Z. z. o registri trestov a o zmene a doplnení niektorých zákonov v znení neskorších
predpisov.
17)
§ 2 ods. 15 zákona č. 395/2002 Z. z. v znení neskorších predpisov.
18)
§ 20 zákona č. 395/2002 Z. z. v znení neskorších predpisov.
19)
Napríklad Civilný sporový poriadok, Správny súdny poriadok.
21)
Zákon č. 757/2004 Z. z. o súdoch a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
Trestný poriadok.
Trestný poriadok.
22)
Zákon Národnej rady Slovenskej republiky č. 301/1995 Z. z. o rodnom čísle v znení zákona č. 515/2003 Z. z.
24)
Čl. 15, 16, 18 a 21 nariadenia (EÚ) 2016/679.
25)
Čl. 15, 16, 18 až 21 nariadenia (EÚ) 2016/679.
26)
Napríklad zákon Národnej rady Slovenskej republiky č. 566/1992 Zb. o Národnej banke Slovenska v znení neskorších predpisov, zákon Národnej rady Slovenskej
republiky č. 46/1993 Z. z. v znení neskorších predpisov, zákon Národnej rady Slovenskej republiky č. 171/1993 Z. z. v znení neskorších predpisov, zákon č. 215/2004 Z. z. v znení neskorších predpisov, zákon č. 563/2009 Z. z. o dani z motorových vozidiel a o zmene a doplnení niektorých zákonov v znení neskorších
predpisov, zákon č. 307/2014 Z. z. o niektorých opatreniach súvisiacich s oznamovaním protispoločenskej činnosti a o
zmene a doplnení niektorých zákonov v znení neskorších predpisov.
27)
§ 21 ods. 1 a ods. 5 písm. a) zákona č. 523/2004 Z. z. o rozpočtových pravidlách verejnej správy a o zmene a doplnení niektorých zákonov
v znení neskorších predpisov.
28)
Čl. 51 ods. 1 nariadenia (EÚ) 2016/679.
29)
Čl. 57 ods. 1 a čl. 58 ods. 1 až 3 nariadenia (EÚ) 2016/679.
30)
Napríklad čl. 56, 60 až 62 nariadenia (EÚ) 2016/679.
31)
Čl. 68 nariadenia (EÚ) 2016/679.
32)
Čl. 56, 60 a čl. 61 ods. 1 až 8 nariadenia (EÚ) 2016/679.
33)
Napríklad zákon č. 215/2004 Z. z. v znení neskorších predpisov.
34)
§ 60 zákona Národnej rady Slovenskej republiky č. 350/1996 Z. z. o rokovacom poriadku Národnej rady Slovenskej republiky v znení zákona č. 215/2004 Z. z.
35)
Ústavný zákon č. 357/2004 Z. z. o ochrane verejného záujmu pri výkone funkcií verejných funkcionárov v znení zákona
č. 545/2005 Z. z.
§ 112 zákona č. 55/2017 Z. z.
§ 112 zákona č. 55/2017 Z. z.
36)
Napríklad Trestný poriadok, Správny súdny poriadok.
37)
38)
Čl. 40 ods. 2 nariadenia (EÚ) 2016/679.
39)
Čl. 40 ods. 7 nariadenia (EÚ) 2016/679.
40)
Čl. 64 ods. 1 písm. b) nariadenia (EÚ) 2016/679.
41)
Zákon č. 395/2002 Z. z. v znení neskorších predpisov.
42)
Zákon č. 395/2002 Z. z. v znení neskorších predpisov.
Čl. 41 nariadenia (EÚ) 2016/679.
Čl. 41 nariadenia (EÚ) 2016/679.
43)
Čl. 43 ods. 2 a 3 nariadenia (EÚ) 2016/679.
44)
Čl. 62 nariadenia (EÚ) 2016/679.
45)
Zákon Národnej rady Slovenskej republiky č. 10/1996 Z. z. o kontrole v štátnej správe v znení neskorších predpisov.
46)
Čl. 56 ods. 1 nariadenia (EÚ) 2016/679.
47)
Čl. 56 nariadenia (EÚ) 2016/679.
48)
Zákon č. 71/1967 Zb. o správnom konaní (správny poriadok) v znení neskorších predpisov.
49)
50)
Zákon č. 151/2010 Z. z. o zahraničnej službe a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
Príloha k zákonu č. 18/2018 Z. z.
ZOZNAM PREBERANÝCH PRÁVNE ZÁVÄZNÝCH AKTOV EURÓPSKEJ ÚNIE
Smernica Európskeho parlamentu a Rady (EÚ) 2016/680 z 27. apríla 2016 o ochrane fyzických
osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným
činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných
sankcií a o voľnom pohybe takýchto údajov a o zrušení rámcového rozhodnutia Rady 2008/977/SVV
(Ú. v. EÚ L 119, 4. 5. 2016).
(Ú. v. EÚ L 119, 4. 5. 2016).