18/2018 Z. z.

Osobné údaje možno spracúvať len zákonným spôsobom a tak, aby nedošlo k porušeniu základných práv dotknutej osoby.

Osobné údaje sa môžu získavať len na konkrétne určený, výslovne uvedený a oprávnený účel a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmto účelom; ďalšie spracúvanie osobných údajov na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel, ak je v súlade s osobitným predpisom⁸) a ak sú dodržané primerané záruky ochrany práv dotknutej osoby podľa § 78 ods. 8, sa nepovažuje za nezlučiteľné s pôvodným účelom.

Spracúvané osobné údaje musia byť primerané, relevantné a obmedzené na nevyhnutný rozsah daný účelom, na ktorý sa spracúvajú.

Spracúvané osobné údaje musia byť správne a podľa potreby aktualizované; musia sa prijať primerané a účinné opatrenia na zabezpečenie toho, aby sa osobné údaje, ktoré sú nesprávne z hľadiska účelov, na ktoré sa spracúvajú, bez zbytočného odkladu vymazali alebo opravili.

Osobné údaje musia byť uchovávané vo forme, ktorá umožňuje identifikáciu dotknutej osoby najneskôr dovtedy, kým je to potrebné na účel, na ktorý sa osobné údaje spracúvajú; osobné údaje sa môžu uchovávať dlhšie, ak sa majú spracúvať výlučne na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel na základe osobitného predpisu⁸) a ak sú dodržané primerané záruky ochrany práv dotknutej osoby podľa § 78 ods. 8.

Osobné údaje musia byť spracúvané spôsobom, ktorý prostredníctvom primeraných technických a organizačných opatrení zaručuje primeranú bezpečnosť osobných údajov vrátane ochrany pred neoprávneným spracúvaním osobných údajov, nezákonným spracúvaním osobných údajov, náhodnou stratou osobných údajov, výmazom osobných údajov alebo poškodením osobných údajov.

Prevádzkovateľ je zodpovedný za dodržiavanie základných zásad spracúvania osobných údajov, za súlad spracúvania osobných údajov so zásadami spracúvania osobných údajov a je povinný tento súlad so zásadami spracúvania osobných údajov na požiadanie úradu preukázať.

Spracúvanie osobných údajov je zákonné, ak sa vykonáva na základe aspoň jedného z týchto právnych základov:

Právny základ na spracúvanie osobných údajov podľa odseku 1 písm. c) a e) musí byť ustanovený v tomto zákone, osobitnom predpise alebo v medzinárodnej zmluve, ktorou je Slovenská republika viazaná; osobitný zákon musí ustanovovať účel spracúvania osobných údajov, kategóriu dotknutých osôb a zoznam spracúvaných osobných údajov alebo rozsah spracúvaných osobných údajov. Spracúvané osobné údaje na základe osobitného zákona možno z informačného systému poskytnúť, preniesť alebo zverejniť len vtedy, ak osobitný zákon ustanovuje účel poskytovania alebo účel zverejňovania, zoznam spracúvaných osobných údajov alebo rozsah spracúvaných osobných údajov, ktoré možno poskytnúť alebo zverejniť, prípadne príjemcov, ktorým sa osobné údaje poskytnú.

Ak spracúvanie osobných údajov na iný účel ako na účel, na ktorý boli osobné údaje získané, nie je založené na súhlase dotknutej osoby alebo na osobitnom predpise, prevádzkovateľ na zistenie toho, či je spracúvanie osobných údajov na iný účel zlučiteľné s účelom, na ktorý boli osobné údaje pôvodne získané, okrem iného musí zohľadniť

Ak je spracúvanie osobných údajov založené na súhlase dotknutej osoby, prevádzkovateľ je povinný kedykoľvek vedieť preukázať, že dotknutá osoba poskytla súhlas so spracúvaním svojich osobných údajov.

Ak prevádzkovateľ žiada o udelenie súhlasu na spracovanie osobných údajov dotknutú osobu, tento súhlas musí byť odlíšený od iných skutočností a musí byť vyjadrený jasne a v zrozumiteľnej a ľahko dostupnej forme.

Dotknutá osoba má právo kedykoľvek odvolať súhlas so spracovaním osobných údajov, ktoré sa jej týkajú. Odvolanie súhlasu nemá vplyv na zákonnosť spracúvania osobných údajov založeného na súhlase pred jeho odvolaním; pred poskytnutím súhlasu musí byť dotknutá osoba o tejto skutočnosti informovaná. Dotknutá osoba môže súhlas odvolať rovnakým spôsobom, akým súhlas udelila.

Pri posudzovaní, či bol súhlas poskytnutý slobodne, sa najmä zohľadní skutočnosť, či sa plnenie zmluvy vrátane poskytnutia služby podmieňuje súhlasom so spracúvaním osobných údajov, ktorý nie je na plnenie tejto zmluvy nevyhnutný.

Prevádzkovateľ v súvislosti s ponukou služieb informačnej spoločnosti⁹) spracúva osobné údaje na základe súhlasu dotknutej osoby zákonne, ak dotknutá osoba dovŕšila 16 rokov veku. Ak má dotknutá osoba menej ako 16 rokov, takéto spracúvanie osobných údajov je zákonné iba za podmienky a v rozsahu, v akom takýto súhlas poskytol alebo schválil jej zákonný zástupca.¹⁰)

Prevádzkovateľ je povinný vynaložiť primerané úsilie, aby si overil, že zákonný zástupca dotknutej osoby poskytol alebo schválil súhlas so spracúvaním osobných údajov podľa odseku 1, pričom zohľadní dostupnú technológiu.

Zakazuje sa spracúvanie osobitných kategórií osobných údajov. Osobitnými kategóriami osobných údajov sú údaje, ktoré odhaľujú rasový pôvod alebo etnický pôvod, politické názory, náboženskú vieru, filozofické presvedčenie, členstvo v odborových organizáciách, genetické údaje, biometrické údaje, údaje týkajúce sa zdravia alebo údaje týkajúce sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby.

Zákaz spracúvania osobitných kategórií osobných údajov neplatí, ak

Prevádzkovateľom na účel spracúvania osobných údajov v registri trestov podľa osobitného predpisu¹⁶) môže byť len štátny orgán. Spracúvať osobné údaje týkajúce sa uznania viny za spáchanie trestného činu alebo priestupku alebo súvisiacich bezpečnostných opatrení možno len na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ktoré poskytujú primerané záruky ochrany práv dotknutej osoby.

Ak si účel, na ktorý prevádzkovateľ spracúva osobné údaje, vyžaduje alebo vyžadoval od prevádzkovateľa, aby identifikoval dotknutú osobu, prevádzkovateľ nie je povinný uchovávať, získať alebo spracúvať dodatočné informácie na zistenie totožnosti dotknutej osoby výlučne na to, aby dosiahol súlad s týmto zákonom.

Ak v prípadoch uvedených v odseku 1 prevádzkovateľ vie preukázať, že dotknutú osobu nie je schopný identifikovať, je povinný ju o tom primeraným spôsobom informovať, ak je to možné. V takých prípadoch sa § 21 až 26 neuplatňujú okrem toho, ak dotknutá osoba na účel vykonania svojich práv podľa uvedených ustanovení poskytne dodatočné informácie umožňujúce jej identifikáciu.

Prenos osobných údajov, ktoré sa spracúvajú alebo sú určené na spracúvanie po prenose do tretej krajiny alebo medzinárodnej organizácii, sa môže uskutočniť len vtedy, ak prevádzkovateľ a sprostredkovateľ dodržiavajú podmienky vrátane podmienok následného prenosu osobných údajov z predmetnej tretej krajiny alebo od predmetnej medzinárodnej organizácie do inej tretej krajiny alebo inej medzinárodnej organizácii.

Prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii sa môže uskutočniť, ak Komisia rozhodla, že tretia krajina, územie alebo jeden či viaceré určené odvetvia v danej tretej krajine alebo medzinárodná organizácia zaručujú primeranú úroveň ochrany osobných údajov. Taký prenos nevyžaduje osobitné povolenie.

Ak neexistuje rozhodnutie Komisie podľa odseku 1, prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii sa môže uskutočniť len vtedy, ak sa poskytnú primerané záruky ochrany osobných údajov.

Primerané záruky podľa odseku 2 sa môžu ustanoviť bez toho, aby bolo potrebné žiadať úrad o osobitné povolenie, prostredníctvom

Primerané záruky podľa odseku 2 sa môžu tiež zabezpečiť na základe povolenia úradu najmä

Úrad schváli vnútropodnikové pravidlá, ak

Vo vnútropodnikových pravidlách sa uvedie aspoň

Rozhodnutie súdu, rozhodnutie tribunálu alebo rozhodnutie správneho orgánu tretej krajiny, ktoré od prevádzkovateľa alebo sprostredkovateľa vyžaduje preniesť osobné údaje alebo poskytnúť osobné údaje, môže byť uznané alebo vykonateľné len vtedy, ak je v súlade s medzinárodnou zmluvou uzavretou s treťou krajinou, ktorou je Slovenská republika alebo Európska únia viazaná.

Ak neexistuje rozhodnutie o primeranosti podľa § 48 ods. 1 ani primerané záruky podľa § 48 ods. 2 až 4 vrátane vnútropodnikových pravidiel, prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii sa môže uskutočniť len vtedy, ak

Ak prenos nemožno uskutočniť podľa § 48 a nemožno ani uplatniť žiadnu výnimku pre osobitnú situáciu podľa odseku 1, prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii sa môže uskutočniť len vtedy, ak

Prevádzkovateľ je povinný o prenose podľa odseku 2 vopred informovať úrad. Prevádzkovateľ je okrem poskytnutia informácií podľa § 19 a 20 povinný informovať dotknutú osobu o prenose podľa odseku 2 a o svojich oprávnených záujmoch v lehotách podľa § 19 a 20. Prevádzkovateľ alebo sprostredkovateľ zdokumentujú posúdenie, ako aj vhodné záruky v záznamoch o spracovateľských činnostiach podľa § 37.

Prenos podľa odseku 1 písm. g) nesmie zahŕňať osobné údaje alebo celé kategórie osobných údajov, ktoré obsahuje register. Ak je register určený na nahliadanie pre osoby s oprávneným záujmom, prenos sa môže uskutočniť iba na žiadosť týchto osôb alebo vtedy, keď majú byť tieto osoby príjemcami.

Odsek 1 písm. a) až c) a odsek 2 sa nevzťahujú na činnosti, ktoré vykonávajú orgány verejnej moci pri výkone verejnej moci.

Na postup príslušných orgánov pri spracúvaní osobných údajov na plnenie úloh na účely trestného konania sa vzťahujú § 6, § 8, § 9, § 11, § 12 a § 13 ods. 2 rovnako.

Osobné údaje musia byť získavané na konkrétne určený, výslovne uvedený a oprávnený účel a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmto účelom; ten istý príslušný orgán alebo iný príslušný orgán je oprávnený spracúvať osobné údaje na archiváciu, na vedecký účel, na účel historického výskumu alebo na štatistický účel v súvislosti s plnením úloh na účely trestného konania, ak prijme primerané záruky ochrany práv dotknutej osoby.

Osobné údaje musia byť uchovávané vo forme, ktorá umožňuje identifikáciu dotknutej osoby najneskôr dovtedy, kým je to potrebné na účel, na ktorý sa osobné údaje spracúvajú.

Príslušný orgán je oprávnený spracúvať osobné údaje na plnenie úloh na účely trestného konania podľa tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.

Spracúvať osobné údaje na plnenie úloh na účely trestného konania, ktoré boli pôvodne získané na iný účel, je možné, ak spracúvanie osobných údajov je na účel trestného konania nevyhnutné a primerané.

Príslušný orgán je oprávnený osobné údaje spracúvať aj na iný účel, ako je plnenie úloh na účely trestného konania, ak to je zlučiteľné s účelom, na ktorý sa zhromaždili, a ak spracúvanie je na tento iný účel nevyhnutné a primerané. Na spracúvanie osobných údajov na iný účel sa vzťahuje osobitný predpis,²) ak ide o spracúvanie osobných údajov v rámci činnosti, ktorá patrí do pôsobnosti práva Európskej únie; ak nejde o spracúvanie v rámci činnosti, ktorá patrí do pôsobnosti práva Európskej únie, na spracúvanie osobných údajov na iný účel sa vzťahuje tento zákon okrem tejto časti.

Ak príslušný orgán vykonáva iné činnosti, ako je plnenie úloh na účely trestného konania, na spracúvanie osobných údajov na iné činnosti sa vzťahuje osobitný predpis,²) ak ide o spracúvanie osobných údajov v rámci činnosti, ktorá patrí do pôsobnosti práva Európskej únie; ak nejde o spracúvanie osobných údajov v rámci činnosti, ktorá patrí do pôsobnosti práva Európskej únie, na spracúvanie osobných údajov na iné činnosti sa vzťahuje tento zákon okrem tejto časti.

Osobitné kategórie osobných údajov môže príslušný orgán spracúvať len vtedy, ak

Príslušný orgán musí pri spracúvaní osobitných kategórií osobných údajov prijať primerané záruky na ochranu práv dotknutej osoby.

Príslušný orgán je, ak je to možné, povinný rozlišovať medzi osobnými údajmi rôznych kategórií dotknutých osôb, ako sú najmä

Príslušný orgán označí, ak je to možné, osobné údaje založené na skutočnostiach a osobné údaje založené na osobných hodnoteniach.

Príslušný orgán pred poskytnutím osobných údajov alebo pred prenosom osobných údajov overí ich správnosť, úplnosť a aktuálnosť, ak je to možné, a prijme opatrenia na zabezpečenie toho, aby sa neposkytovali alebo neprenášali osobné údaje, ktoré sú nesprávne, neúplné alebo neaktuálne.

Príslušný orgán k poskytnutiu a prenosu osobných údajov pripojí dostupné informácie, ktoré umožnia prijímajúcemu príslušnému orgánu posúdiť ich mieru správnosti, úplnosti, aktuálnosti a spoľahlivosti, ak to okolnosti dovoľujú. Nesprávne osobné údaje príslušný orgán nemôže poskytovať a prenášať; neoverené osobné údaje príslušný orgán musí pri poskytovaní alebo prenose takto označiť a musí uviesť mieru ich spoľahlivosti. Ak príslušný orgán neoprávnene poskytne osobné údaje alebo neoprávnene prenesie osobné údaje alebo poskytne nesprávne osobné údaje alebo prenesie nesprávne osobné údaje, je povinný bez zbytočného odkladu informovať príjemcu a žiadať príjemcov osobných údajov, ktorým sa také osobné údaje poskytli, aby ich bez zbytočného odkladu opravili, doplnili, vymazali alebo aby obmedzili spracúvanie takých osobných údajov.

Na postup príslušných orgánov pri spracúvaní osobných údajov na plnenie úloh na účely trestného konania sa vzťahuje § 29 rovnako.

Príslušný orgán na svojom webovom sídle sprístupní najmä

Na žiadosť dotknutej osoby je príslušný orgán povinný poskytnúť v osobitných prípadoch dotknutej osobe informácie o

Dotknutá osoba má právo získať od príslušného orgánu potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú, a ak to tak je, má právo získať prístup k týmto osobným údajom a informácie o

Dotknutá osoba má právo na to, aby príslušný orgán bez zbytočného odkladu opravil nesprávne osobné údaje, ktoré sa jej týkajú. So zreteľom na účel spracúvania osobných údajov má dotknutá osoba právo na doplnenie neúplných osobných údajov.

Dotknutá osoba má právo na to, aby príslušný orgán bez zbytočného odkladu vymazal osobné údaje, ktoré sa jej týkajú, a príslušný orgán je povinný bez zbytočného odkladu vymazať osobné údaje, ak

Namiesto vymazania príslušný orgán obmedzí spracúvanie osobných údajov, ak

Ak je obmedzené spracúvanie osobných údajov podľa odseku 3 písm. a), príslušný orgán je povinný pred zrušením obmedzenia spracúvania osobných údajov o tom dotknutú osobu informovať.

Príslušný orgán je povinný písomne informovať dotknutú osobu o zamietnutí práva na opravu podľa odseku 1, práva na vymazanie podľa odseku 2 alebo obmedzenie spracúvania osobných údajov podľa odseku 3 a o dôvodoch zamietnutia.

Príslušný orgán môže odložiť poskytnutie informácií, obmedziť poskytnutie informácií alebo upustiť od poskytnutia informácií podľa § 60 ods. 2, úplne alebo čiastočne obmedziť právo na prístup podľa § 61 alebo môže úplne alebo čiastočne obmedziť povinnosť informovať podľa § 62 ods. 5, ak

Osobitný predpis môže ustanoviť kategórie spracúvania osobných údajov, na ktoré sa vzťahuje odsek 1.

Príslušný orgán je povinný písomne informovať dotknutú osobu o zamietnutí práva na prístup alebo obmedzení práva na prístup podľa § 61 a o dôvodoch tohto zamietnutia alebo obmedzenia; to neplatí, ak by sa poskytnutím takej informácie ohrozil účel podľa odseku 1.

Príslušný orgán musí zdokumentovať skutkové dôvody alebo právne dôvody, na základe ktorých sa obmedzilo právo na prístup podľa § 61, a poskytnúť ich na požiadanie úradu.

Ak príslušný orgán obmedzí poskytnutie informácií alebo obmedzí právo dotknutej osoby podľa odseku 1, je povinný dotknutú osobu písomne informovať o možnosti podania návrhu na začatie konania podľa § 100 vrátane možnosti uplatnenia práva na preverenie zákonnosti postupov príslušného orgánu podľa odsekov 1 a 3 úradom a o možnosti uplatnenia práv dotknutej osoby na inú právnu ochranu.¹⁹)

Príslušný orgán je povinný oznámiť opravu nesprávnych osobných údajov príslušnému orgánu, od ktorého nesprávne osobné údaje získal. Ak príslušný orgán nesprávne osobné údaje opraví, vymaže nesprávne osobné údaje alebo obmedzí ich spracúvanie podľa § 62 ods. 1 až 3, informuje o tom príjemcu, ktorý je také osobné údaje povinný opraviť, vymazať alebo obmedziť ich spracúvanie.

Ustanovenia § 61 až 64 sa neuplatňujú, ak ide o osobné údaje, ktoré sú súčasťou vyšetrovacieho spisu alebo súdneho spisu v rámci trestného konania; práva uvedené v týchto ustanoveniach sa vykonávajú podľa osobitného predpisu.²¹)

Rozhodnutie príslušného orgánu, ktoré má na dotknutú osobu nepriaznivé právne účinky, nesmie byť založené výlučne na automatizovanom spracúvaní osobných údajov vrátane profilovania, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, neustanovuje inak. Osobitým predpisom alebo medzinárodnou zmluvou, ktorou je Slovenská republika viazaná, musia byť ustanovené primerané záruky ochrany práv dotknutej osoby, najmä právo na overenie rozhodnutia nie automatizovaným spôsobom zo strany príslušného orgánu.

Rozhodnutie podľa odseku 1 nesmie byť založené na osobitných kategóriách osobných údajov, ak sa neuplatňujú vhodné opatrenia na zaručenie práv a oprávnených záujmov dotknutej osoby.

Profilovanie, ktoré vedie k diskriminácii osôb na základe osobitných kategórií osobných údajov, sa zakazuje.

Na postup príslušných orgánov pri spracúvaní osobných údajov na plnenie úloh na účely trestného konania sa vzťahujú § 31, § 32, § 33 ods. 1 a 3, § 34, § 36, § 37, § 39 až 41, § 42 ods. 1 až 5 a 7 a § 44 až 46 rovnako.

Príslušný orgán raz za tri roky preverí, či sú spracúvané osobné údaje naďalej potrebné na plnenie úloh na účely trestného konania, ak osobitný predpis neustanovuje inak.

Príslušný orgán vedie záznamy o spracovateľských činnostiach, za ktoré je zodpovedný. Záznamy o spracovateľských činnostiach musia obsahovať okrem informácií podľa § 37 aj informácie o

Príslušný orgán pri získavaní, zmene, prehliadaní, poskytovaní vrátane prenosu, kombinovaní a vymazaní osobných údajov v systéme automatizovaného spracúvania uchováva logy. Z logov o prehliadaní a poskytovaní musí byť možné určiť dôvod, dátum a čas prehliadania alebo poskytovania a identifikačné údaje osoby, ktorá tieto osobné údaje prehliadala alebo ich poskytovala, ako aj totožnosť príjemcov.

Príslušný orgán využíva a uchováva logy výlučne na účely overovania zákonnosti spracúvania osobných údajov, vlastného monitorovania, na účely zabezpečenia integrity a bezpečnosti osobných údajov a na účely trestného konania.

Príslušný orgán a sprostredkovateľ príslušného orgánu na požiadanie sprístupnia logy úradu, ak sú dostupné.

Príslušný orgán uskutoční s úradom konzultáciu pred spracúvaním osobných údajov, ktoré má tvoriť súčasť nového informačného systému, ak je z posúdenia vplyvu na ochranu osobných údajov podľa § 42 zrejmé, že toto spracúvanie povedie k vysokému riziku pre práva fyzických osôb, ak príslušný orgán neprijme opatrenia na zmiernenie tohto rizika alebo sa s typom spracúvania, najmä s využitím nových technológií, mechanizmov alebo postupov, spája vysoké riziko porušenia práv dotknutej osoby.

Príslušný orgán spolu so žiadosťou o predchádzajúcu konzultáciu poskytne úradu aj posúdenie vplyvu na ochranu osobných údajov podľa § 42, ktoré vykonal, a na požiadanie úradu aj ďalšie informácie, ktoré úradu umožnia posúdiť súlad spracúvania osobných údajov s týmto zákonom a najmä riziká z hľadiska ochrany osobných údajov dotknutej osoby a súvisiacich záruk.

Ak sa úrad domnieva, že by zamýšľané spracúvanie osobných údajov podľa odseku 1 bolo nezákonné, najmä ak príslušný orgán nedostatočne identifikoval riziko alebo zmiernil riziko, úrad do šiestich týždňov od prijatia žiadosti o konzultáciu poskytne príslušnému orgánu, prípadne aj sprostredkovateľovi, písomné poradenstvo. Úrad môže s ohľadom na zložitosť zamýšľaného spracúvania osobných údajov predĺžiť lehotu podľa predchádzajúcej vety o jeden mesiac; predĺženie lehoty a dôvody predĺženia úrad oznámi prevádzkovateľovi, prípadne aj sprostredkovateľovi, do jedného mesiaca od prijatia žiadosti o konzultáciu. Lehota na poskytnutie poradenstva úradom neplynie dovtedy, kým úrad nezíska informácie, o ktoré požiadal na účely predchádzajúcej konzultácie.

Ďalšie spracovateľské operácie pre príslušný orgán, ktoré podliehajú povinnosti uskutočniť predchádzajúce konzultácie podľa odseku 1, ustanoví všeobecne záväzný právny predpis, ktorý vydá úrad.

Príslušný orgán alebo sprostredkovateľ príslušného orgánu pri automatizovanom spracúvaní osobných údajov prijme na základe vyhodnotenia rizík opatrenia na

Príslušný orgán je povinný bez zbytočného odkladu oznámiť informácie podľa § 40 ods. 4 orgánu členského štátu príslušnému na plnenie úloh na účely trestného konania, ak porušenie ochrany osobných údajov zahŕňa osobné údaje, ktorých prenos vykonal orgán členského štátu príslušný na plnenie úloh na účely trestného konania alebo ktoré boli prenesené takému orgánu.

Príslušný orgán môže odložiť oznámenie o porušení ochrany osobných údajov, obmedziť oznámenie o porušení ochrany osobných údajov alebo upustiť od oznámenia porušenia ochrany osobných údajov dotknutej osobe podľa § 41, ak

Na postup príslušných orgánov pri spracúvaní osobných údajov na plnenie úloh na účely trestného konania sa vzťahujú § 48 ods. 1 a § 50 rovnako.

Prenos osobných údajov medzi príslušnými orgánmi a orgánmi členských štátov príslušnými na plnenie úloh na účely trestného konania sa zaručuje, ak sa taký prenos vyžaduje podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.

Prenos osobných údajov, ktoré sa spracúvajú alebo sú určené na spracúvanie po prenose do tretej krajiny alebo medzinárodnej organizácii, vrátane následného prenosu do ďalšej tretej krajiny či ďalšej medzinárodnej organizácii príslušný orgán môže uskutočniť len vtedy, ak

Prenos bez predchádzajúceho povolenia členského štátu podľa odseku 1 písm. c) možno uskutočniť len vtedy, ak je prenos nevyhnutný na zabránenie bezprostrednému a vážnemu ohrozeniu verejnej bezpečnosti členského štátu alebo tretej krajiny, alebo základných záujmov členského štátu a predchádzajúce povolenie nie je možné získať včas; orgán zodpovedný za vydanie predchádzajúceho povolenia sa o tom musí informovať bez zbytočného odkladu.

Ak príslušný orgán uskutočňuje prenos osobných údajov, na ktorých spracúvanie sa podľa osobitného predpisu vzťahujú osobitné podmienky spracúvania, musí o podmienkach a požiadavke dodržiavať ich informovať príjemcu. Pri prenose osobných údajov príjemcovi v inom členskom štáte alebo agentúre, úradu alebo orgánu Európskej únie nemôže príslušný orgán uplatňovať iné podmienky, ako sa uplatňujú na prenos osobných údajov v rámci Slovenskej republiky.

Ak neexistuje rozhodnutie Komisie o primeranosti podľa § 48 ods. 1, príslušný orgán môže uskutočniť prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii len vtedy, ak

Príslušný orgán informuje úrad o kategóriách prenosov podľa odseku 1 písm. b).

Ak príslušný orgán uskutočňuje prenos podľa odseku 1 písm. b), musí sa taký prenos zdokumentovať; dokumentácia sa na žiadosť poskytne úradu. V dokumentácii musí byť uvedený dátum a čas prenosu, informácie o prijímajúcom príslušnom orgáne, odôvodnenie prenosu osobných údajov a prenášané osobné údaje.

Rozhodnutím Komisie o zrušení, zmene alebo pozastavení svojho rozhodnutia o primeranosti podľa § 48 ods. 1 nie je dotknutý prenos osobných údajov podľa odseku 1 a § 76.

Ak neexistuje rozhodnutie Komisie o primeranosti podľa § 48 ods. 1 ani primerané záruky podľa § 75, prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii môže príslušný orgán uskutočniť len vtedy, ak je prenos nevyhnutný

Prenos osobných údajov podľa odseku 1 sa nesmie uskutočniť, ak príslušný orgán, ktorý prenos uskutočňuje, určí, že práva dotknutej osoby prevažujú nad verejným záujmom na prenose podľa odseku 1 písm. d) a e).

Ak sa prenos osobných údajov uskutočňuje podľa odseku 1, musí sa taký prenos zdokumentovať; dokumentácia sa na žiadosť poskytne úradu. V dokumentácii musí byť uvedený dátum a čas prenosu, informácie o prijímajúcom príslušnom orgáne, odôvodnenie prenosu osobných údajov a prenášané osobné údaje.

Príslušný orgán v osobitných prípadoch môže uskutočniť prenos osobných údajov príjemcovi so sídlom, miestom podnikania, organizačnou zložkou, prevádzkarňou alebo trvalým pobytom v tretej krajine, ak okrem iných podmienok prenosu osobných údajov ustanovených týmto zákonom

Prenosom príjemcovi z tretej krajiny podľa odseku 1 nie je dotknutá medzinárodná zmluva, ktorou je Slovenská republika viazaná v oblasti justičnej spolupráce v trestných veciach a policajnej spolupráce.

Príslušný orgán, ktorý uskutočňuje prenos podľa odseku 1, musí o tom informovať úrad.

Ak príslušný orgán uskutočňuje prenos podľa odseku 1, je povinný ho zdokumentovať.

Úrad je orgánom štátnej správy s celoslovenskou pôsobnosťou, ktorý sa podieľa na ochrane základných práv fyzických osôb pri spracúvaní osobných údajov a ktorý vykonáva dozor nad ochranou osobných údajov vrátane dozoru nad ochranou osobných údajov spracúvaných príslušnými orgánmi pri plnení úloh na účely trestného konania, ak nie je v § 81 ods. 7 a 8 ustanovené inak.

Sídlom úradu je Bratislava.

Úrad na plnenie úloh dozorného orgánu nad ochranou osobných údajov môže zriaďovať a zrušovať detašované pracoviská mimo svojho sídla a určovať územný obvod ich pôsobnosti.

Úrad pri výkone svojej pôsobnosti postupuje nezávisle a riadi sa ústavou, ústavnými zákonmi, zákonmi, ostatnými všeobecne záväznými právnymi predpismi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná.

Úrad je rozpočtovou organizáciou.²⁷) Návrh rozpočtu predkladá úrad ako súčasť kapitoly Všeobecná pokladničná správa. Schválený rozpočet úradu môže znížiť v priebehu kalendárneho roku iba Národná rada Slovenskej republiky.

Podrobnosti o organizácii úradu upraví organizačný poriadok úradu, ktorý vydá predseda úradu.

Úrad je dozorný orgán podľa tohto zákona alebo osobitného predpisu²⁸) a plní úlohy a vykonáva právomoci, ktoré sú mu zverené podľa tohto zákona a podľa osobitného predpisu.²⁹)

Úrad

Úrad je pri plnení svojich úloh oprávnený

Okrem plnenia úloh podľa odseku 1 a 2 úrad ďalej

Predmetom dozoru nad ochranou osobných údajov nie sú spory zo zmluvných vzťahov alebo predzmluvných vzťahov medzi prevádzkovateľom alebo sprostredkovateľom a dotknutou osobou alebo inými osobami, na ktorých prejednávanie a rozhodovanie sú príslušné súdy alebo iné orgány podľa osobitných predpisov.

Úrad môže účtovať primeraný poplatok zodpovedajúci administratívnym nákladom alebo môže odmietnuť konať na základe žiadosti, ak je žiadosť zjavne neopodstatnená alebo neprimeraná, najmä pre jej opakujúcu sa povahu. Zjavnú neopodstatnenosť alebo neprimeranosť žiadosti preukazuje úrad.

Ak osobné údaje spracúvajú súdy pri výkone ich súdnej právomoci, dozor podľa § 90 až 98 nad ochranou osobných údajov vykonáva Ministerstvo spravodlivosti Slovenskej republiky.

Ak osobné údaje spracúva Národný bezpečnostný úrad podľa osobitného predpisu,⁵) dozor podľa § 90 až 98 nad ochranou osobných údajov vykonáva Národná rada Slovenskej republiky podľa osobitného predpisu.³⁴)

Na čele úradu je predseda, ktorého volí a odvoláva Národná rada Slovenskej republiky na návrh vlády Slovenskej republiky.

Funkčné obdobie predsedu úradu je päť rokov a možno ho zvoliť najviac na dve po sebe nasledujúce funkčné obdobia. Predseda úradu zostáva vo funkcii aj po uplynutí funkčného obdobia, kým Národná rada Slovenskej republiky nezvolí nového predsedu.

Za predsedu úradu možno zvoliť občana Slovenskej republiky, ktorý je voliteľný do Národnej rady Slovenskej republiky, má vysokoškolské vzdelanie druhého stupňa, má najmenej dvojročné skúsenosti v oblasti ochrany osobných údajov a je bezúhonný.

Za bezúhonného sa na účely tohto zákona považuje ten, kto nebol právoplatne odsúdený za úmyselný trestný čin alebo za trestný čin, pri ktorom mu výkon trestu odňatia slobody nebol podmienečne odložený, ak sa podľa rozhodnutia súdu alebo na základe zákona nehľadí na neho, ako keby nebol odsúdený alebo odsúdenie mu nebolo zahladené. Bezúhonnosť sa preukazuje doloženým výpisom z registra trestov nie starším ako tri mesiace.

Predseda úradu musí byť pri výkone svojej funkcie nezávislý a nesmie byť pri plnení svojich úloh a výkone svojich právomocí podľa tohto zákona pod vonkajším vplyvom, či už priamym alebo nepriamym, a nesmie od nikoho požadovať ani prijímať pokyny.

Predseda úradu je povinný sa zdržať akéhokoľvek konania nezlučiteľného s jeho povinnosťami podľa tohto zákona a podľa osobitného predpisu.³⁵)

Predseda úradu je štátnym zamestnancom podľa osobitného predpisu.⁷) Predsedovi úradu patrí plat vo výške štvornásobku priemernej nominálnej mesačnej mzdy zamestnanca v národnom hospodárstve Slovenskej republiky za predchádzajúci kalendárny rok zaokrúhlený na celé euro nahor. Platové a ďalšie náležitosti predsedu úradu určuje vláda Slovenskej republiky.

K zániku výkonu funkcie predsedu úradu dochádza uplynutím jeho funkčného obdobia alebo zvolením nového predsedu po uplynutí funkčného obdobia predsedu úradu podľa odseku 2.

Pred uplynutím funkčného obdobia výkon funkcie zaniká

Predseda úradu môže byť z funkcie odvolaný, ak

Predsedu úradu zastupuje podpredseda úradu, ktorého vymenúva a odvoláva vláda Slovenskej republiky na návrh predsedu úradu. Podpredseda úradu je štátnym zamestnancom podľa osobitného predpisu.⁷)

Funkčné obdobie podpredsedu úradu je päť rokov a možno ho vymenovať najviac na dve po sebe nasledujúce funkčné obdobia. Podpredseda úradu zostáva vo funkcii aj po uplynutí funkčného obdobia, kým vláda Slovenskej republiky nevymenuje nového podpredsedu.

Na výkon funkcie podpredsedu úradu sa § 82 ods. 3 až 6 a ods. 8 až 10 vzťahujú rovnako.

Predseda úradu, podpredseda úradu a zamestnanci úradu sú povinní zachovávať mlčanlivosť o skutočnostiach, o ktorých sa dozvedeli počas plnenia úloh podľa tohto zákona alebo osobitného predpisu,²) a to aj po skončení výkonu svojej funkcie, štátnozamestnaneckého pomeru, pracovného pomeru alebo obdobného pracovného vzťahu.

Povinnosť mlčanlivosti podľa odseku 1 neplatí, ak je to nevyhnutné na plnenie úloh súdu a orgánov činných v trestnom konaní podľa osobitného predpisu;³⁶) tým nie sú dotknuté ustanovenia o mlčanlivosti podľa osobitného predpisu.³⁷)

Od povinnosti mlčanlivosti podľa odseku 1 môže podpredsedu úradu a zamestnancov úradu oslobodiť predseda úradu. Od povinnosti mlčanlivosti podľa odseku 1 môže predsedu úradu v konkrétnom prípade oslobodiť Národná rada Slovenskej republiky.

Združenie zastupujúce kategóriu prevádzkovateľov alebo sprostredkovateľov alebo iný subjekt zastupujúci kategóriu prevádzkovateľov alebo sprostredkovateľov môže prijať kódex správania, a to najmä na účely spresnenia uplatňovania tohto zákona alebo osobitného predpisu²) v súvislosti s predmetom kódexu správania podľa osobitného predpisu.³⁸)

Schválením kódexu správania zo strany úradu nie je dotknutá zodpovednosť prevádzkovateľa alebo zodpovednosť sprostredkovateľa dodržiavať tento zákon alebo osobitný predpis.²)

Žiadosť o schválenie návrhu kódexu správania, návrhu zmeny schváleného kódexu správania alebo návrhu rozšírenia schváleného kódexu správania podáva úradu združenie alebo iný subjekt podľa odseku 1 (ďalej len „žiadateľ“).

Žiadosť o schválenie kódexu správania musí obsahovať

Žiadateľ k žiadosti o schválenie kódexu správania podľa odseku 4 musí priložiť

Ak žiadosť o schválenie kódexu správania nespĺňa náležitosti podľa odsekov 4 a 5 alebo ak v konaní o schválenie kódexu správania vzniknú pochybnosti o preukázaní súladu s týmto zákonom alebo osobitným predpisom,²) úrad vyzve žiadateľa na doplnenie podkladov v lehote, ktorá nesmie byť kratšia ako 15 dní; počas tejto doby lehota v konaní o schválenie kódexu správania neplynie.

Účastníkom konania o schválení kódexu správania je žiadateľ, ktorý podal žiadosť podľa odseku 4.

Ak úrad počas konania o schválenie kódexu správania zistí nesúlad s týmto zákonom alebo osobitným predpisom,²) vyzve žiadateľa na odstránenie zisteného nesúladu v určenej lehote, ktorá nesmie byť kratšia ako 30 dní; počas plynutia lehoty na odstránenie zisteného nesúladu neplynie lehota v konaní o schválenie kódexu správania. Na odôvodnenú žiadosť žiadateľa úrad určenú lehotu môže predĺžiť najviac o 60 dní.

Úrad konanie o schválenie kódexu správania zastaví, ak žiadateľ

Úrad rozhodne o schválení kódexu správania, o zmene schváleného kódexu správania alebo o rozšírení schváleného kódexu správania do 90 dní odo dňa začatia konania.

Ak je potrebné predložiť návrh kódexu správania, návrh zmeny schváleného kódexu správania alebo návrh rozšírenia schváleného kódexu Európskemu výboru pre ochranu údajov podľa osobitného predpisu,³⁹) lehota podľa odseku 10 neplynie odo dňa predloženia návrhu kódexu správania, návrhu zmeny schváleného kódexu správania alebo návrhu rozšírenia schváleného kódexu správania Európskemu výboru pre ochranu údajov až do dňa doručenia stanoviska Európskeho výboru pre ochranu údajov podľa osobitného predpisu⁴⁰) úradu.

Úrad po preskúmaní žiadosti o schválenie kódexu správania podľa odsekov 4 a 5 a súvisiacej dokumentácie vydá rozhodnutie o schválení kódexu správania, rozhodnutie o schválení zmeny schváleného kódexu správania alebo rozhodnutie o schválení rozšírenia schváleného kódexu správania, ak návrh kódexu správania, návrh zmeny schváleného kódexu správania alebo návrh rozšírenia schváleného kódexu správania je v súlade a poskytuje dostatočné primerané záruky ochrany osobných údajov podľa tohto zákona alebo osobitného predpisu.²)

Proti rozhodnutiu o schválení kódexu správania, rozhodnutiu o zmene schváleného kódexu správania alebo rozhodnutiu o rozšírení schváleného kódexu správania nie je prípustný rozklad.

Proti rozhodnutiu o neschválení kódexu správania, rozhodnutiu o neschválení zmeny schváleného kódexu správania alebo rozhodnutiu o neschválení rozšírenia schváleného kódexu správania je prípustný rozklad, o ktorom rozhodne predseda úradu.

Úrad zverejňuje zoznam schválených kódexov správania na svojom webovom sídle.

Združenie zastupujúce kategóriu prevádzkovateľov alebo sprostredkovateľov alebo iný subjekt zastupujúci kategóriu prevádzkovateľov alebo sprostredkovateľov, ktorému úrad schválil kódex správania, schválil návrh zmeny schváleného kódexu správania alebo schválil návrh rozšírenia schváleného kódexu správania, je povinný najneskôr do 15 dní odo dňa zistenia písomne oznámiť úradu zmeny podľa odseku 4 písm. a) a d).

Vydanie certifikátu, obnovu certifikátu alebo odňatie certifikátu vykonáva subjekt, ktorému bola udelená akreditácia podľa § 88 v súlade s týmto zákonom (ďalej len „certifikačný subjekt“), alebo úrad.

Prevádzkovateľ alebo sprostredkovateľ na účely preukázania súladu spracúvania osobných údajov a existencie primeraných záruk ochrany osobných údajov podľa tohto zákona alebo osobitného predpisu²) môže požiadať úrad alebo certifikačný subjekt o vydanie certifikátu alebo obnovenie certifikátu. Certifikát sa vydá alebo obnoví najviac na obdobie troch rokov.

Úrad alebo certifikačný subjekt posudzuje súlad spracúvania osobných údajov a existenciu primeraných záruk ochrany osobných údajov prevádzkovateľa alebo sprostredkovateľa podľa odseku 2 na základe certifikačných kritérií v súlade s týmto zákonom. Vydaním certifikátu nie je dotknutá zodpovednosť prevádzkovateľa alebo zodpovednosť sprostredkovateľa za dodržiavanie tohto zákona a osobitného predpisu²) ani nie sú dotknuté právomoci úradu podľa tohto zákona.

Certifikát je verejnou listinou.

Úrad zverejňuje vydané certifikáty na svojom webovom sídle.

Žiadosť o vydanie certifikátu alebo žiadosť o obnovu certifikátu úradom musí obsahovať

Žiadateľ k žiadosti podľa odseku 6 priloží

Ak žiadosť o vydanie certifikátu alebo žiadosť o obnovu certifikátu nespĺňa náležitosti podľa odsekov 6 a 7 alebo ak v konaní o vydanie certifikátu alebo v konaní o obnovu certifikátu vzniknú pochybnosti o preukázaní splnenia certifikačných kritérií alebo podmienok na vydanie certifikátu, úrad vyzve žiadateľa na doplnenie podkladov v lehote, ktorá nesmie byť kratšia ako 15 dní; počas tejto doby lehota v konaní o vydanie certifikátu alebo v konaní o obnovu certifikátu neplynie.

Ak úrad počas konania o vydanie certifikátu alebo konania o obnovu certifikátu zistí nesúlad s týmto zákonom alebo osobitným predpisom,²) vyzve žiadateľa na odstránenie zisteného nesúladu v určenej lehote, ktorá nesmie byť kratšia ako 30 dní; počas tejto doby lehota v konaní o vydanie certifikátu alebo v konaní o obnovu certifikátu neplynie. Na odôvodnenú žiadosť žiadateľa úrad určenú lehotu predĺži najviac o 60 dní.

Úrad konanie o vydanie certifikátu alebo konanie o obnovu certifikátu zastaví, ak žiadateľ neodstráni

Úrad rozhodne o vydaní certifikátu alebo obnove certifikátu do 90 dní odo dňa začatia konania.

Úrad po preskúmaní žiadosti o vydanie certifikátu alebo žiadosti o obnovu certifikátu podľa odsekov 6 a 7 a súvisiacej dokumentácie vydá rozhodnutie o vydaní certifikátu, ak žiadateľ spĺňa certifikačné kritériá, spĺňa podmienky certifikačného postupu, ak jeho spracovateľské činnosti sú v súlade s týmto zákonom alebo osobitným predpisom²) a ak ním prijaté bezpečnostné opatrenia poskytujú dostatočné primerané záruky ochrany osobných údajov podľa tohto zákona alebo osobitného predpisu.²)

Na základe rozhodnutia o vydaní certifikátu alebo rozhodnutia o obnove certifikátu úrad vydá žiadateľovi certifikát na obdobie troch rokov, ktorý obsahuje

Proti rozhodnutiu o vydaní certifikátu alebo rozhodnutiu o obnove certifikátu nie je prípustný rozklad.

Proti rozhodnutiu o nevydaní certifikátu alebo rozhodnutiu o neobnovení certifikátu je prípustný rozklad, o ktorom rozhodne predseda úradu.

Ak prevádzkovateľ alebo sprostredkovateľ, ktorému bol vydaný certifikát alebo obnovený certifikát (ďalej len „certifikovaná osoba“), naďalej spĺňa certifikačné kritériá a podmienky vydania certifikátu podľa tohto zákona, úrad na základe žiadosti certifikovanej osoby podanej najneskôr šesť mesiacov pred uplynutím platnosti certifikátu skôr vydaného alebo skôr obnoveného rozhodne o obnovení certifikátu na obdobie ďalších troch rokov. Na konanie o obnovenie certifikátu sa primerane použijú ustanovenia o vydaní certifikátu.

Ak certifikovaná osoba podá žiadosť o obnovenie certifikátu v lehote menej ako šesť mesiacov pred uplynutím platnosti certifikátu, úrad na takú žiadosť neprihliada. Tým nie je dotknuté oprávnenie tejto certifikovanej osoby na podanie žiadosti o vydanie certifikátu podľa odsekov 6 a 7.

Certifikovaná osoba je počas platnosti certifikátu povinná

Certifikačné kritériá, podmienky certifikačného postupu, obsahové náležitosti technickej a bezpečnostnej dokumentácie a podmienky výkonu auditu ochrany osobných údajov vrátane podmienok odborných znalostí audítora vykonávajúceho audit ochrany osobných údajov ustanoví všeobecne záväzný právny predpis, ktorý vydá úrad.

Monitorovanie súladu spracúvania osobných údajov podľa tohto zákona alebo osobitného predpisu²) s kódexom správania vykonáva subjekt, ktorý spĺňa kritériá a podmienky na udelenie akreditácie podľa tohto zákona alebo osobitného predpisu²) a bola mu udelená akreditácia úradom v súlade s týmto zákonom (ďalej len „monitorujúci subjekt“).

Kódexy správania schválené úradom pre orgány verejnej moci a verejnoprávne inštitúcie nepodliehajú činnosti monitorovacieho subjektu podľa tohto zákona; tým nie je dotknutý výkon dozoru úradom podľa tohto zákona.

Monitorujúcim subjektom môže byť právnická osoba alebo fyzická osoba – podnikateľ, ktorý má vytvorené technické a organizačné podmienky na vykonávanie monitorovania kódexu správania a ktorému bola udelená akreditácia.

Monitorujúci subjekt je oprávnený

O opatreniach podľa odseku 4 vrátane dôvodov prijatia takých opatrení je monitorujúci subjekt povinný písomne informovať úrad do 15 dní od ich prijatia. Tým nie je dotknutá zodpovednosť prevádzkovateľa alebo sprostredkovateľa, ktorý podlieha monitorovaniu kódexu správania, dodržiavať tento zákon alebo osobitný predpis.²)

Žiadosť o udelenie akreditácie musí obsahovať

Žiadateľ k žiadosti podľa odseku 6 priloží

Ak žiadosť o udelenie akreditácie nespĺňa náležitosti podľa odsekov 6 a 7 alebo ak v konaní o udelenie akreditácie vzniknú pochybnosti o preukázaní splnenia kritérií alebo podmienok na udelenie akreditácie, úrad vyzve žiadateľa na odstránenie nedostatkov v lehote, ktorá nesmie byť kratšia ako 15 dní; počas tejto lehoty lehota v konaní o udelení akreditácie neplynie.

Ak úrad počas konania podľa odseku 11 zistí nesúlad s týmto zákonom alebo osobitným predpisom,²) vyzve žiadateľa na odstránenie zisteného nesúladu v určenej lehote, ktorá nesmie byť kratšia ako 30 dní; počas tejto doby lehota podľa odseku 11 neplynie. Na odôvodnenú žiadosť žiadateľa úrad určenú lehotu predĺži najviac o 60 dní.

Úrad konanie podľa odseku 11 zastaví, ak žiadateľ neodstráni