Zákon o ochrane osobných údajov a o zmene a doplnení niektorých zákonov
Z 29. novembra 2017
Čl.I Čl.II Čl.III Čl.IV Čl.V Čl.VI Čl.VII Čl.VIII Čl.IX Čl.X Čl.XI Čl.XII Čl.XIII Čl.XIV Čl.XV Čl.XVI PrílohyDÔVODOVÁ SPRÁVA
- VŠEOBECNÁ ČASŤ
- spracúvanie na základe súhlasu dotknutej osoby
- spracúvanie bez súhlasu dotknutej osoby na účely nevyhnutné na plnenie zmluvy, ak zmluvnou stranou je dotknutá osoba, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzavretím zmluvy,
- spracúvanie nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa;
- spracúvanie nevyhnutné, na ochranu životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby;
- spracúvanie nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi;
- spracúvanie nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov, najmä ak je dotknutou osobu dieťa, pričom tento právny základ sa nevzťahuje na spracúvanie vykonávané orgánmi verejnej moci pri výkone ich úloh;
- spracúvanie nevyhnutné na účely akademické, umelecké, literárne alebo na účely informovania v masovokomunikačných prostriedkoch;
- prevádzkovateľ, ktorý je zamestnávateľom dotknutej osoby, je oprávnený sprístupniť, poskytovať alebo zverejniť jej osobné údaje v rozsahu titul, meno, priezvisko, pracovné, služobné alebo funkčné zaradenie, odborný útvar, miesto výkonu práce, telefónne číslo, faxové číslo alebo elektronická pošta na pracovisko a identifikačné údaje zamestnávateľa, ak je to potrebné v súvislosti s plnením pracovných, služobných alebo funkčných povinností dotknutej osoby. Sprístupnenie, poskytovanie alebo zverejnenie osobných údajov nemôže narušiť vážnosť, dôstojnosť a bezpečnosť dotknutej osoby.
- prevádzkovateľ môže spracúvať genetické údaje, biometrické údaje a údaje týkajúce sa zdravia aj na právnom základe uvedenom v osobitnom predpise alebo medzinárodnej zmluve, ktorou je Slovenská republika viazaná;
- právne základy uvedené v súvislosti so spracúvaním osobitnej kategórie osobných údajov (rasový a etnický pôvod, politické názory, náboženské a filozofické presvedčenie alebo členstvo v odborových organizáciách, genetické údaje, biometrické údaje na individuálnu identifikáciu fyzickej osoby, údaje týkajúce sa zdravia, údaje týkajúce sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby).
- pre spracúvanie osobných údajov v rámci činností, ktoré podliehajú právu Európskej únie tak nariadenie, ako aj návrh zákona, s výnimkou 1 časti až 3 časti návrhu zákona,
- pre spracúvanie osobných údajov v rámci činností, ktoré nepodliehajú právu Európskej únie návrh zákona ako celok,
- pre spracúvanie osobných údajov na účely plnenia trestného konania príslušným orgánom návrh zákona, s výnimkou vybraných ustanovení 3 časti návrhu zákona.
Čl. I
PRVÁ ČASŤ
ZÁKLADNÉ USTANOVENIA
§ 1
Predmet úpravy
Tento zákon upravuje:- ochranu práv fyzických osôb pred neoprávneným spracúvaním ich osobných údajov,
- práva, povinnosti a zodpovednosť pri spracúvaní osobných údajov fyzických osôb,
- postavenie, pôsobnosť a organizáciu Úradu na ochranu osobných údajov Slovenskej republiky (ďalej len „úrad“).
K § 1
Návrh zákona upravuje ochranu osobných údajov fyzických osôb v súlade s čl. 19 ods. 3 a čl. 22 ods. 1 Ústavy Slovenskej republiky. Predmetom úpravy návrhu zákona je ochrana práv fyzických osôb pred neoprávneným spracúvaním ich osobných údajov. Návrh zákona tiež upravuje práva, povinnosti a zodpovednosť subjektov pri spracúvaní osobných údajov fyzických osôb a postavenie, pôsobnosť a organizáciu Úradu na ochranu osobných údajov Slovenskej republiky (ďalej len „úrad“).§ 2
Osobnými údajmi sú údaje týkajúce sa identifikovanej fyzickej osoby alebo identifikovateľnej fyzickej osoby, ktorú možno identifikovať priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora, iného identifikátora ako je napríklad meno, priezvisko, identifikačné číslo, lokalizačné údaje,[1]) alebo online identifikátor, alebo na základe jednej alebo viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú identitu, fyziologickú identitu, genetickú identitu, psychickú identitu, mentálnu identitu, ekonomickú identitu, kultúrnu identitu alebo sociálnu identitu.K § 2
Poskytuje definíciou osobného údaja. Zákon neupravuje konkrétny konečný zoznam údajov, ktoré sú považované za osobné údaje. Poskytuje tzv. demonštratívny výpočet charakteristík určujúcich fyzickú osobu. Uvedená definícia osobných údajov nevyžaduje, aby išlo o konkrétnu identitu fyzickej osoby, ale postačuje, aby za splnenia daných podmienok bola osoba identifikovateľná. Z vecnej stránky sa pojem osobných údajov vzťahuje na také údaje, ktoré sa týkajú identifikovanej alebo identifikovateľnej fyzickej osoby, t. j. určenej alebo určiteľnej, či už priamo alebo nepriamo. Z pohľadu ochrany osobných údajov sa „určiteľnosťou fyzickej osoby“ rozumie taký stav, keď na základe jedného alebo viacerých dostupných údajov o danej osobe túto možno identifikovať. Identifikácia sa realizuje prostredníctvom konkrétnych charakteristických znakov, t. j. „identifikátorov“, ktoré možno priradiť ku konkrétnej fyzickej osobe (napr.: meno, priezvisko, tetovanie, zdravotné postihnutie, dátum narodenia, adresa a iné). Miera, do akej sú určité identifikátory dostačujúce pre dosiahnutie identifikácie konkrétnej fyzickej osoby závisí od komplexného posúdenia dostupných údajov v ich vzájomnej súvislosti a konkrétnej situácie. V závislosti od kvality, kvantity a druhu údajov sa v určitom momente konvertuje určiteľnosť do určenia konkrétnej fyzickej osoby. Fyzickú osobu považujeme za určenú, keď na základe dostupných údajov je jednoznačne identifikovaná a odlíšená od ostatných osôb v danom informačnom systéme, v ktorom sa osobné údaje spracúvajú. Na určenie toho, či je fyzická osoba identifikovateľná, sa majú vziať do úvahy všetky prostriedky, pri ktorých existuje primeraná pravdepodobnosť, že ich prevádzkovateľ alebo akákoľvek iná osoba využije, napríklad osobitným výberom, na priamu alebo nepriamu identifikáciu fyzickej osoby. Osobnými údajmi môžu byť v konkrétnej situácii napríklad: titul, meno, priezvisko, adresa trvalého pobytu, dátum narodenia, rodné číslo, údaj o zdravotnom stave, konkrétne tetovanie, lokalizačný údaj, online identifikátor a pod. Z pohľadu definície osobného údaja, ktorá je veľmi široká, nie je možné jednoznačne určiť rozdiel medzi fyzickou osobou – nepodnikateľom a fyzickou osobou – podnikateľom, a to najmä s ohľadom na skutočnosť, že fyzickú osobu je možné identifikovať nepriamo, najmä na základe jej charakteristík alebo znakov, ktoré tvoria jej ekonomickú identitu. Na základe uvedeného, samotný názov fyzickej osoby – podnikateľa ešte sám o sebe nie je osobným údajom. Ak k takémuto údaju priradíme ďalšie údaje, na základe ktorých je už možné identifikovať fyzickú osobu, napríklad rodné číslo alebo pobyt, pôjde o spracúvanie osobných údajov. Na základe toho, že z dostupných osobných údajov je možné identifikácia fyzickej osoby, sa tento zákon logicky nevzťahuje a neuplatňuje na anonymné údaje, ktoré sa neviažu na identifikovanú alebo identifikovateľnú fyzickú osobu, ani na osobné údaje, ktoré sa stali anonymnými takým spôsobom, že dotknutá osoba nie je alebo už nie je na ich základe identifikovateľná. Tento zákon sa preto netýka spracúvania anonymných údajov vrátane ich spracúvania na štatistické účely alebo účely výskumu.§ 3
Pôsobnosť
- Tento zákon sa vzťahuje na spracúvanie osobných údajov vykonávané úplne alebo čiastočne automatizovanými prostriedkami a na spracúvanie osobných údajov inými než automatizovanými prostriedkami, ak ide o osobné údaje, ktoré tvoria súčasť informačného systému alebo sú určené na to, aby tvorili súčasť informačného systému.
- Tento zákon, okrem § 2, § 5, druhej a tretej časti zákona, sa vzťahuje na spracúvanie osobných údajov, na ktoré sa vzťahuje osobitný predpis o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov.[2])
- Tento zákon sa vzťahuje na spracúvanie osobných údajov Policajným zborom, Vojenskou políciou, Zborom väzenskej a justičnej stráže, Finančnou správou, prokuratúrou a súdmi (ďalej len „príslušný orgán“) na účely predchádzania a odhaľovania trestnej činnosti, zisťovania páchateľov trestných činov, stíhania trestných činov alebo na účely výkonu rozhodnutí v trestnom konaní vrátane ochrany pred ohrozením verejného poriadku a predchádzania takémuto ohrozeniu (ďalej len „plnenie úloh na účely trestného konania“); z druhej časti tohto zákona sa na spracúvanie osobných údajov podľa predchádzajúcej časti vety vzťahujú len ustanovenia uvedené v § 52, § 59, § 67 a § 73.
- Tento zákon sa vzťahuje na spracúvanie osobných údajov
- v rámci činnosti prevádzkovateľa alebo sprostredkovateľa, ktorého sídlo, miesto podnikania, organizačná zložka, prevádzkareň alebo trvalý pobyt je na území Slovenskej republiky, a to bez ohľadu na to, či sa spracúvanie osobných údajov vykonáva na území Slovenskej republiky alebo mimo územia Slovenskej republiky,
- v rámci činnosti prevádzkovateľa alebo sprostredkovateľa, ktorého sídlo, miesto podnikania, organizačná zložka, prevádzkareň alebo trvalý pobyt nie je na území Slovenskej republiky, ale je v mieste, kde sa na základe medzinárodného práva verejného uplatňuje právny poriadok Slovenskej republiky,
- dotknutej osoby, ktorá sa nachádza na území Slovenskej republiky, prevádzkovateľom alebo sprostredkovateľom, ktorého sídlo, miesto podnikania, organizačná zložka, prevádzkareň alebo trvalý pobyt nie je v členskom štáte, pričom spracúvanie osobných údajov súvisí
- s ponukou tovaru alebo služieb tejto dotknutej osobe na území Slovenskej republiky bez ohľadu na to, či sa od dotknutej osoby vyžaduje platba alebo nie, alebo
- so sledovaním jej správania na území Slovenskej republiky.
- Tento zákon sa nevzťahuje na spracúvanie osobných údajov
- fyzickou osobou v rámci výlučne osobnej činnosti alebo domácej činnosti,
- Slovenskou informačnou službou,[3]) Vojenským spravodajstvom,[4])
- Národným bezpečnostným úradom na účely vykonávania bezpečnostných previerok a na účely zabezpečovania podkladov pre rozhodovanie Súdnej rady Slovenskej republiky o splnení predpokladov sudcovskej spôsobilosti.[5])
K § 3
Upravuje vecnú a územnú pôsobnosť zákona. odsek 1 Pozitívne je vecná pôsobnosť zákona vymedzená vo vzťahu k prostriedkom spracúvania, teda k tomu na čom, prípadne ako sú osobné údaje spracúvané. Primárne delenie prostriedkov spracúvania je na prostriedky spracúvania automatizované, teda používajúce napríklad počítačový program, alebo aplikáciu, druhou možnosťou je spracúvanie osobných údajov neautomatizovanou formou, napríklad vykonávaním zápisov osobných údajov fyzicky osobou do záznamovej knihy. Zákon sa vzťahuje na spracúvanie osobných údajov vykonávané prostredníctvom automatizovaných prostriedkov spracúvania (napr.: počítač, tablet, smartphone), ako aj na spracúvanie vykonávané prostredníctvom neautomatizovaných prostriedkov spracúvania (napr.: záznamová kniha, evidenčný zošit, papierová evidencia). Zákon sa tiež vzťahuje na spracúvanie osobných údajov, ktoré je vykonávané kombináciou oboch vyššie uvedených prostriedkov spracúvania v rámci jedného informačného systému osobných údajov. Napríklad, ak je časť spracúvania osobných údajov na konkrétny účel vykonávaná na počítači a časť je vykonávaná formou záznamov v papierovej evidencii v neautomatizovanej forme. V prípade kombinovaného spracúvania osobných údajov automatizovanou formou a neautomatizovane je podstatné, ak sa má spracúvanie vykonávať v rámci jedného informačného systému, aby toto spracúvanie osobných údajov, bolo vykonávané na jeden účel a osobné údaje boli súčasťou jedného informačného systému osobných údajov. Praktickým príkladom kombinovaného využívania prostriedkov spracúvania v rámci jedného informačného systému osobných údajov je vedenie dochádzky zamestnancov v dochádzkovej knihe, papierová neautomatizovaná podoba, a vedenie dochádzky zamestnancov aj v elektronickej podobe, automatizovaná forma, napríklad priložením dochádzkovej karty zamestnanca k čítačke. Účel spracúvania je jeden, vedenie dochádzky, no prostriedky spracúvania na dosiahnutie účelu sú typovo dva, automatizovaný a neautomatizovaný. Softvérový počítačový program nemusí byť vždy zároveň aj informačným systémom osobných údajov, nakoľko môže mať vymedzených viacero účelov spracúvania, prípadne sa v rámci jeho funkcionalít osobné údaje nemusia vôbec spracúvať. odsek 2 Tento zákon sa vzťahuje na spracúvanie osobných údajov, na ktoré sa vzťahuje Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 4.5.2016) (ďalej len „nariadenie“) okrem § 5 a druhej a tretej časti zákona. Tento zákon sa okrem svojej druhej a tretej časti vzťahuje aj na spracúvanie osobných údajov na základe nariadenia . odsek 3 Tento zákon sa vzťahuje na spracúvanie osobných údajov príslušnými orgánmi na účely predchádzania a odhaľovania trestnej činnosti, zisťovania páchateľov trestných činov, stíhania trestných činov alebo na účely výkonu rozhodnutí v trestnom konaní vrátane ochrany pred ohrozením verejného poriadku a predchádzania takémuto ohrozeniu (ďalej len „plnenie úloh na účely trestného konania“); z druhej časti tohto zákona sa na spracúvanie osobných údajov vzťahujú len ustanovenia § 51, § 60, § 68 a 74. odsek 4 Vymedzuje vecnú pôsobnosť zákona negatívne. Stanovuje, na ktoré činnosti všeobecne, prípadne na ktoré spracovateľské činnosti alebo prevádzkovateľov pri výkone ich činností a kompetencií sa zákon nevzťahuje, a to napriek tomu, že pri nich k spracúvaniu osobných údajov dochádza. Tento zákon sa nevzťahuje na spracúvanie osobných údajov fyzickou osobou pre jej vlastnú potrebu v rámci jej domácich činností (napr.: vedenia osobného diára, osobná korešpondencia prípadne vedenie denníka, či vytvorenie fotoalbumu). Aj pri takomto spracúvaní osobných údajov fyzickou osobou pre jej vlastnú potrebu nie je vylúčená ochrana osobnosti podľa § 11 až § 16 Občianskeho zákonníka. Zákon sa tiež nevzťahuje na spracúvanie osobných údajov fyzických osôb, ktoré vykonáva na základe osobitných zákonov Slovenská informačné služba, Vojenské spravodajstvo a ktoré vykonáva Národný bezpečnostný úrad na účely vykonávania bezpečnostných previerok a na účely zabezpečovania podkladov pre rozhodovanie Súdnej rady Slovenskej republiky o splnení predpokladov sudcovskej spôsobilosti podľa osobitného zákona. odsek 5 Pozitívnym spôsobom upravuje územnú pôsobnosť zákona. Tento zákon sa vzťahuje na prevádzkovateľa alebo sprostredkovateľa- so sídlom, miestom podnikania, organizačnou zložkou, prevádzkarňou alebo trvalým pobytom na území Slovenskej republiky, a to aj v prípade, ak spracúvanie osobných údajov je vykonávané mimo územia Slovenskej republiky,
- so sídlom, miestom podnikania, organizačnou zložkou, prevádzkarňou alebo trvalým pobytom na území, kde sa uplatňuje právo Slovenskej republiky podľa zásad medzinárodného práva verejného (napr.: zastupiteľské úrady Slovenskej republiky v zahraničí).
§ 4
Voľný pohyb osobných údajov medzi Slovenskou republikou a členskými štátmi sa zaručuje; Slovenská republika neobmedzí ani nezakáže prenos osobných údajov z dôvodu ochrany základných práv fyzických osôb, najmä ich práva na súkromie v súvislosti so spracúvaním ich osobných údajov.K § 4
Deklaratórne ustanovenie o tom, že voľný pohyb osobných údajov v rámci Európskej únie je zaručený, ak je vyžadovaný podľa osobitného predpisu so silou zákona, alebo nariadenia Európskej únie alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.§ 5
Vymedzenie základných pojmov
Na účely tohto zákona sa rozumie- súhlasom dotknutej osoby akýkoľvek vážny a slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby vo forme vyhlásenia alebo jednoznačného potvrdzujúceho úkonu, ktorým dotknutá osoba vyjadruje súhlas so spracúvaním svojich osobných údajov,
- genetickými údajmi osobné údaje týkajúce sa zdedených genetických charakteristických znakov fyzickej osoby alebo nadobudnutých genetických charakteristických znakov fyzickej osoby, ktoré poskytujú jedinečné informácie o fyziológii alebo zdraví tejto fyzickej osoby a ktoré vyplývajú najmä z analýzy biologickej vzorky danej fyzickej osoby,
- biometrickými údajmi osobné údaje, ktoré sú výsledkom osobitného technického spracúvania osobných údajov týkajúcich sa fyzických charakteristických znakov fyzickej osoby, fyziologických charakteristických znakov fyzickej osoby alebo behaviorálnych charakteristických znakov fyzickej osoby a ktoré umožňujú jedinečnú identifikáciu alebo potvrdzujú jedinečnú identifikáciu tejto fyzickej osoby, ako najmä vyobrazenie tváre alebo daktyloskopické údaje,
- údajmi týkajúcimi sa zdravia osobné údaje týkajúce sa fyzického zdravia alebo duševného zdravia fyzickej osoby, vrátane údajov o poskytovaní zdravotnej starostlivosti alebo služieb súvisiacich s poskytovaním zdravotnej starostlivosti, ktorými sa odhaľujú informácie o jej zdravotnom stave,
- spracúvaním osobných údajov spracovateľská operácia alebo súbor spracovateľských operácií s osobnými údajmi alebo súbormi osobných údajov, najmä získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie, bez ohľadu na to, či sa vykonáva automatizovanými prostriedkami alebo neautomatizovanými prostriedkami,
- obmedzením spracúvania osobných údajov označenie uchovávaných osobných údajov s cieľom obmedziť ich spracúvanie v budúcnosti,
- profilovaním akákoľvek forma automatizovaného spracúvania osobných údajov spočívajúceho v použití osobných údajov na vyhodnotenie určitých osobných znakov alebo charakteristík týkajúcich sa fyzickej osoby, najmä na analýzu alebo predvídanie znakov alebo charakteristík dotknutej osoby súvisiacich s jej výkonnosťou v práci, majetkovými pomermi, zdravím, osobnými preferenciami, záujmami, spoľahlivosťou, správaním, polohou alebo pohybom,
- pseudonymizáciou spracúvanie osobných údajov spôsobom, že ich nie je možné priradiť ku konkrétnej dotknutej osobe bez použitia dodatočných informácií, ak sa takéto dodatočné informácie uchovávajú oddelene a vzťahujú sa na ne technické a organizačné opatrenia na zabezpečenie toho, aby osobné údaje nebolo možné priradiť identifikovanej fyzickej osoby alebo identifikovateľnej fyzickej osobe,
- logom záznam o priebehu činnosti používateľa v automatizovanom informačnom systéme,
- šifrovaním transformácia osobných údajov spôsobom, ktorým opätovné spracúvanie je možné len po zadaní zvoleného parametra ako je kľúč alebo heslo,
- online identifikátorom identifikátor poskytnutý aplikáciou, nástrojom alebo protokolom najmä IP adresa, cookies, prihlasovacie údaje do online služieb, rádiofrekvenčná identifikácia, ktoré môžu zanechávať stopy, ktoré sa najmä v kombinácii s jedinečnými identifikátormi alebo inými informáciami môžu použiť na vytvorenie profilu dotknutej osoby a na jej identifikáciu,
- informačným systémom akýkoľvek usporiadaný súbor osobných údajov, ktoré sú prístupné podľa určených kritérií, bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom základe alebo geografickom základe,
- porušením ochrany osobných údajov porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene alebo neoprávnenému poskytnutiu prenášaných, uchovávaných osobných údajov alebo inak spracúvaných osobných údajov, alebo k neoprávnenému prístupu k nim,
- dotknutou osobou každá fyzická osoba, ktorej osobné údaje sa spracúvajú,
- prevádzkovateľom každý, kto sám alebo spoločne s inými vymedzí účel a prostriedky spracúvania osobných údajov a spracúva osobné údaje vo vlastnom mene; prevádzkovateľ alebo konkrétne požiadavky na jeho určenie môžu byť ustanovené v osobitnom predpise alebo medzinárodnej zmluve, ktorou je Slovenská republika viazaná, ak takýto predpis alebo táto zmluva ustanovuje účel a prostriedky spracúvania osobných,
- sprostredkovateľom každý, kto spracúva osobné údaje v mene prevádzkovateľa,
- príjemcom každý, komu sa osobné údaje poskytnú bez ohľadu na to, či je treťou stranou; za príjemcu sa nepovažuje orgán verejnej moci, ktorý spracúva osobné údaje na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná v súlade s pravidlami ochrany osobných údajov vzťahujúcimi sa na daný účel spracúvania osobných údajov,
- treťou stranou každý, kto nie je dotknutou osobou, prevádzkovateľ, sprostredkovateľ alebo inou fyzickou osobou, ktorá na základe poverenia prevádzkovateľa alebo sprostredkovateľa spracúva osobné údaje,
- zodpovednou osobou osoba určená prevádzkovateľom alebo sprostredkovateľom, ktorá plní úlohy podľa tohto zákona,
- zástupcom fyzická osoba alebo právnická osoba so sídlom, miestom podnikania, organizačnou zložkou, prevádzkarňou alebo trvalým pobytom v členskom štáte, ktorú prevádzkovateľ alebo sprostredkovateľ písomne poveril podľa § 35,
- podnikom fyzická osoba – podnikateľ alebo právnická osoba vykonávajúca hospodársku činnosť bez ohľadu na jej právnu formu, vrátane združení fyzických osôb alebo združení právnických osôb, ktoré pravidelne vykonávajú hospodársku činnosť,
- skupinou podnikov ovládajúci podnik a ním ovládané podniky,
- hlavnou prevádzkarňou
- miesto centrálnej správy prevádzkovateľa v Európskej únii, ak ide o prevádzkovateľa s prevádzkarňami vo viac než jednom členskom štáte, okrem prípadu, keď sa rozhodnutia o účeloch a prostriedkoch spracúvania osobných údajov prijímajú v inej prevádzkarni prevádzkovateľa v Európskej únii a táto iná prevádzka má právomoc presadiť vykonanie takýchto rozhodnutí, pričom v takom prípade sa za hlavnú prevádzkareň považuje prevádzkareň, ktorá takéto rozhodnutia prijala,
- miesto centrálnej správy sprostredkovateľa v Európskej únii, ak ide o sprostredkovateľa s prevádzkarňami vo viac než jednom členskom štáte alebo ak sprostredkovateľ nemá centrálnu správu v Európskej únii, prevádzkareň sprostredkovateľa v Európskej únii, v ktorej sa v kontexte činností prevádzkarne sprostredkovateľa uskutočňujú hlavné spracovateľské činnosti, a to v rozsahu, v akom sa na sprostredkovateľa vzťahujú osobitné povinnosti podľa tohto zákona,
- vnútropodnikovými pravidlami postupy ochrany osobných údajov, ktoré dodržiava prevádzkovateľ alebo sprostredkovateľ so sídlom, miestom podnikania, organizačnou zložkou, prevádzkarňou alebo trvalým pobytom na území Slovenskej republiky na účely prenosu osobných údajov prevádzkovateľovi alebo sprostredkovateľovi v tretej krajine,
- kódexom správania súbor pravidiel ochrany osobných údajov dotknutej osoby, ktorý sa prevádzkovateľ alebo sprostredkovateľ zaviazal dodržiavať,
- medzinárodnou organizáciou organizácia a jej podriadené subjekty, ktoré sa riadia medzinárodným právom verejným, alebo akýkoľvek iný subjekt, ktorý bol zriadený dohodou medzi dvoma alebo viacerými krajinami alebo na základe takejto dohody,
- členským štátom štát, ktorý je členským štátom Európskej únie alebo zmluvnou stranou Dohody o Európskom hospodárskom priestore,
- ab) treťou krajinou krajina, ktorá nie je členským štátom,
- ac) zamestnancom úradu zamestnanec v pracovnom pomere alebo v obdobnom pracovnom vzťahu podľa osobitného predpisu[6]) alebo štátny zamestnanec, ktorý vykonáva štátnu službu v štátnozamestnaneckom pomere podľa osobitného predpisu.[7])
K § 5
Vymedzuje základné pojmy a definuje ich význam na účel tohto zákona. písmeno a) Súhlas dotknutej osoby je jedným z právnych základov spracúvania osobných údajov. Súhlas by sa mal poskytnúť výslovným a jasným prejavom vôle, ktorý je slobodným, konkrétnym, informovaným a jednoznačným vyjadrením vôle dotknutej osoby so spracúvaním osobných údajov; forma písomného vyhlásenia vrátane vyhlásenia prostredníctvom elektronických prostriedkov alebo ústnym vyhlásením je za splnenia ostatných náležitostí súhlasu akceptovateľná. Zákon určuje konkrétne podmienky na udelenie súhlasu, ako aj na spracúvanie osobných údajov na tomto právnom základe . Zákon vyžaduje aktívnu účasť dotknutej osoby pri udeľovaní súhlasu, je teda potrebné formulovať súhlas tak, aby dotknutá osoba musela konať. Nečinnosť dotknutej osoby, respektíve nevyjadrenie nesúhlasu dotknutej osoby nemožno považovať za vyjadrenie súhlasu. Dotknutá osoba má k súhlasu vždy pristupovať aktívne a z jej strany je očakávaná aktivita. V prípade, ak je predmetom spracúvania spracúvanie osobitnej kategórie osobných údajov, je potrebné, aby bol súhlas dotknutej osoby výslovný, teda taký, ktorý je oddelený od inej časti dokumentu, do ktorej môže byť včlenený a hlavne v ktorom je výslovne uvedené aké konkrétne osobitné kategórie osobných údajov majú na jeho základe byť predmetom spracúvania zo strany prevádzkovateľa a na aký účel. písmeno b) Genetický údaj možno vymedziť ako osobný údaj týkajúci sa zdedených alebo nadobudnutých genetických charakteristických znakov fyzickej osoby, ktoré sú najmä výsledkom analýzy biologických vzoriek danej fyzickej osoby, najmä analýzy chromozómov, deoxyribonukleovej kyseliny (DNA) alebo ribonukleovej kyseliny (RNA) alebo analýzy inej látky, ktorá umožňuje získanie rovnocenných informácií o konkrétnej dotknutej osobe. Genetické osobné údaje patria medzi osobitnú kategóriu osobných údajov, ktorá tiež býva označovaná, ako „citlivé osobné údaje“. písmeno c) Biometrický údaj možno definovať ako biologickú alebo fyziologickú vlastnosť alebo charakteristiku špecifickú pre konkrétneho jednotlivca a zároveň merateľnú veličinu, s určitým stupňom zohľadnenej pravdepodobnosti. Príkladom biometrických údajov sú odtlačky prstov, biometrický snímok sietnice oka, tvar tváre a vzdialenosti jednotlivých orgánov na nej, hlas, geometria ruky, geometria štruktúry žíl ruky alebo dlane určitého človeka alebo určitá hlboko zakorenená schopnosť alebo vlastnosť týkajúca sa správania konkrétneho jedinca (napr. vlastnoručný podpis spôsob jeho písania vyvíjanie tlaku na podložku, udieranie na klávesnicu, osobitný spôsob chôdze alebo artikulácie atď.; v tomto prípade ide o tzv. behaviorálnu biometriu). písmeno d) Osobné údaje týkajúce sa zdravia sú také osobné údaje, ktoré poskytujú informácie o minulom, súčasnom alebo možnom budúcom fyzickom alebo duševnom zdravotnom stave dotknutej osoby. Patria sem aj údaje o zdraví fyzickej osoby získané pri jej registrácii na účely poskytovania služieb zdravotnej starostlivosti, služieb súvisiacich s poskytovaním zdravotnej starostlivosti alebo sociálnych služieb. Medzi osobné údaje týkajúce sa zdravia patrí tiež číslo, symbol alebo osobitný údaj, ktorý bol fyzickej osobe pridelený na jej individuálnu identifikáciu na zdravotné účely, informácie získané na základe vykonania testov alebo prehliadok častí jej organizmu alebo skúmania jej telesných látok vrátane genetických údajov a biologických vzoriek a akékoľvek informácie o chorobe, zdravotnom postihnutí, riziku ochorenia, anamnéze, klinickej liečbe, alebo o fyziologickom alebo biomedicínskom stave dotknutej osoby bez ohľadu na zdroj týchto informácií, ktorým môže byť lekár alebo iného zdravotníckeho pracovníka, nemocnice ako inštitúcia, zdravotnícka pomôcka pridelená konkrétnej osobe alebo informácie pochádzajúce z vykonania diagnostického testu in vitro. Medzi údaje o zdraví patria aj informácie o zdraví konkrétnej osoby získané z mobilných aplikácií slúžiacich k monitorovaniu životných funkcií alebo fyziologických parametrov osoby. písmeno e) Spracúvaním osobných údajov je potrebné chápať každú spracovateľskú operáciu alebo niekoľko na seba nadväzujúcich operácií (nadväznosť v čase nie je podstatná), ktoré prevádzkovateľ alebo sprostredkovateľ vykonáva na splnenie určitého vymedzeného účelu, systematicky, a to bez ohľadu na spôsob a využité prostriedky (alebo ich kombináciu) spracúvania. Spracúvanie môže byť vykonávané rôznymi spôsobmi, formou ľudskej činnosti, automatizovane, ide teda o charakteristiku toho, ako sú jednotlivé spracovateľské operácie u prevádzkovateľa alebo sprostredkovateľa vykonávané, technicky nastavené. písmeno f) Pri obmedzení spracúvania sú spracúvané osobné údaje označené na účely obmedzenia ich spracúvania do budúcnosti. Obmedzením nie je vždy potrebné chápať iba ich blokovanie, ale obmedzenie ich spracúvania napríklad na určitý účel. Osobné údaje, ktorých spracúvanie má byť obmedzené by takto v informačnom systéme mali byť označené. Pod obmedzením spracúvania osobných údajov si možnosť predstaviť napríklad ich presun v rámci prevádzkovateľa do iného informačného systému alebo ich zneprístupnenie dovnútra, alebo navonok, teda voči verejnosti (napr.: „stiahnutie“ zverejnených osobných údajov z určitého dôvodu, no ich zachovanie u prevádzkovateľa). Obmedzenie spracúvania môže byť vykonané na účely ochrany dotknutej osoby a uplatnenia si jej práv v prípade, že namieta spracúvanie týchto svojich osobných údajov, má pochybnosti o správnosti alebo zákonnosti ich spracúvania, prípadne ak odpadla potreba spracúvania osobných údajov prevádzkovateľom, avšak dotknutá osoba potrebuje spracúvať tieto osobné údaje u daného prevádzkovateľa napríklad na účely domáhania sa svojich právnych nárokov v budúcnosti. písmeno g) Profilovaním sa rozumie spracúvanie osobných údajov, na základe ktorého možno získať v závislosti od kvality a kvantity spracúvaných informácií relatívne ucelený profil dotknutej osoby, ktorý možno využiť s vysokým stupňom pravdepodobnosti na predpovedanie správania konkrétnej dotknutej osoby do budúcnosti. Použitie profilovania je rozsiahle, jednou z možností jeho využitia, ktorá je na vzostupe je využívanie na vytvorenie cielenej reklamy na mieru konkrétneho jedinca. Na účely profilovania by mali byť používané primerané matematické alebo štatistické postupy, mali by byť prijaté technické a organizačné opatrenia tak, aby sa zabezpečilo, že faktory, ktoré vedú, alebo by mohli viesť k nesprávnosti osobných údajov sa opravia a riziko chýb sa minimalizuje. Zabezpečí sa tak zohľadnenie súvisiacich potenciálnych rizík pre záujmy a práva dotknutej osoby. Zabráni sa tiež diskriminačným účinkom na základe rasového alebo etnického pôvodu, politického názoru, náboženstva alebo presvedčenia, členstva v odborových organizáciách, genetického alebo zdravotného stavu či sexuálnej orientácie, alebo účinkom, ktoré vedú k opatreniam majúcim takéto účinky. Profilovanie založené na spracúvaní osobitných kategóriách osobných údajov je možné len za osobitných podmienok viažucich sa na spracúvania osobitnej kategórie osobných údajov. písmeno h) Pseudonymizácia je spracúvanie osobných údajov spočívajúce v takej ich forme, že dané údaje už následne nie je možné priradiť ku konkrétnej dotknutej osobe bez toho, aby sa na to museli použiť dodatočné informácie, ktoré by mali byť uchovávané oddelene a osobitne zabezpečené. Pseudonymizované údaje sú stále osobnými údajmi podliehajúcimi tomuto zákonu, prípadne nariadeniu, ide o jedno z bezpečnostných opatrení, ktoré môže prevádzkovateľ využiť, aby ním spracúvané osobné údaje chránil. Rozdiel medzi anonymizovanými a pseudonymizovanými údajmi je v tom, že anonymizované údaje ani s použitím dodatočných informácií nemožno priradiť ku konkrétnej dotknutej osobe, naopak s pseudonymizovanými údajmi by to možné byť malo, pokiaľ nie je, ide o anonymizované osobné údaje, na ktoré sa tento zákon nevzťahuje. Príkladom pseudonymizácie je, že osobné údaje „Eva Nová, narodená 12.12.1966, učiteľka“ sa zmenia na sadu písmen a číslic „456mnb2b4gr47sDR, učiteľka“ no informácia, že skôr uvedený kód patrí pani Eve Novej bude u prevádzkovateľa uchovávaná osobitne. Práve na základe spojenia zvlášť uchovanej informácie, že daný kód patrí Eve Novej bude stále možné zistiť, komu konkrétne kód patrí a daná dotknutá osoba bude stále v prostredí prevádzkovateľa identifikovateľná. Osobné údaje, ktoré boli pseudonymizované, a ktoré by sa mohli použitím dodatočných informácií priradiť ku konkrétnej fyzickej osobe, by sa mali považovať za informácie o identifikovateľnej fyzickej osobe. písmeno i) Vedenie logov, logovanie je bezpečnostné opatrenie, slúžiace k zaznamenávaniu akýchkoľvek zmien, prehliadania, poskytovania, prenosu, kombinovania alebo vymazávania osobných údajov v rámci informačného systému osobných údajov alebo ich pokusov o zmenu, ktoré je založené na zachytení údaja o tom, kto, kedy a akú zmenu v automatizovanom informačnom systéme osobných údajov vykonal alebo sa pokúšal vykonať. Výsledkom logovania je zaznamenávanie logov, ktoré následne môžu slúžiť na vykonávanie analýzy a na zaznamenávanie činnosti používateľa v automatizovanom informačnom systéme. Logom je tiež akékoľvek používateľské meno alebo heslo alebo iný prihlasovací údaj, ktorý slúži na prihlásenie používateľa do automatizovaného informačného systému osobných údajov. písmeno j) Šifrovanie znamená zmenu obsahu informácie na skupinu bezvýznamných znakov, kedy na to, aby sa skupina týchto znakov opätovne transformovala do pôvodnej zmysluplnej informácie je potrebné, aby prijímateľ správy disponoval správnym prístupovým kódom, heslom alebo iným, na to určeným parametrom. písmeno k) Online identifikátor alebo jednoznačný identifikátor využívaný pri vzájomnej komunikácii koncových zariadení užívateľov prostredníctvom komunikačných sietí. Takýmito identifikátormi sú napríklad IP adresa a cookies, či iné identifikátory využívajúce napríklad rádiovú frekvenciu (tzv. RFID identifikátory). Online identifikátor je osobným údajom konkrétnej fyzickej osoby pokiaľ ho je možné k tejto osobe jednoznačne priradiť, teda pokiaľ sa možno s najvyššou pravdepodobnosťou domnievať alebo je potvrdené, že koncové zariadenie je vo vlastníctve konkrétnej osoby, teda z neho možno aj na základe informácií pochádzajúcich z identifikátorov vyčítať konkrétne aspekty správania a preferencií fyzickej osoby. písmeno l) Informačným systémom sa na účely tohto zákona rozumie akýkoľvek usporiadaný súbor, sústava alebo databáza určená na zhromažďovanie osobných údajov alebo obsahujúca osobné údaje fyzických osôb, ktoré sú systematicky spracúvané pre potreby dosiahnutia vopred vymedzeného alebo ustanoveného účelu podľa osobitných kritérií a podmienok s použitím automatizovaných, čiastočne automatizovaných alebo iných ako automatizovaných prostriedkov spracúvania bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe. Jedným informačným systémom osobných údajov sa rozumie aj situácia, kedy prevádzkovateľ spracúva osobné údaje viacerými prostriedkami spracúvania na jeden účel (papierová Evidencia dochádzky a čipová karta zamestnanca sú súčasťou dochádzky zamestnancov, teda napriek využitiu viacerých prostriedkov spracúvania ide o jeden informačný systém osobných údajov, nakoľko účelom je sledovanie a zaznamenávanie dochádzky zamestnancov viacerými spôsobmi). písmeno m) Za porušenie ochrany osobných údajov považujeme situácie, pri ktorých dochádza k nedovolenému resp. nezákonnému nakladaniu s osobnými údajmi, či už úmyselne alebo v dôsledku zanedbania povinností a opatrení prijatých na ich ochranu. Ak sa porušenie ochrany osobných údajov nerieši primeraným spôsobom a včas, môže fyzickým osobám spôsobiť ujmu na zdraví, majetkovú alebo nemajetkovú ujmu alebo akékoľvek iné závažné hospodárske či sociálne znevýhodnenie dotknutej fyzickej osoby. Porušenie ochrany môže byť vyvolané zvonka prevádzkovateľa alebo sprostredkovateľa, kybernetický útok alebo zvnútra prevádzkovateľa alebo sprostredkovateľa, pochybenie zamestnanca, a to tak úmyselné ako neúmyselné, ktoré povedie k narušeniu integrity, dostupnosti a dôvernosti osobných údajov. písmeno n) Dotknutou osobou je fyzická osoba, o ktorej sa osobné údaje spracúvajú, dotknutou osobou je osoba aj vtedy, ak sa jej osobné údaje spracúvané v informačnom systéme osobných údajov týkajú. Definícia dotknutej osoby korešponduje s článkom 8 Charty základných ľudských práv Európskej Únie a tiež s článkom 16 Zmluvy o fungovaní Európskej Únie. písmeno o) Prevádzkovateľom je každý, kto sám alebo spoločne s inými pred začatím spracúvania osobných údajov vymedzí účel spracúvania osobných údajov a prostriedky ich spracúvania. Prevádzkovateľ spracúva osobné údaje vo vlastnom mene. Účel spracúvania môže byť ustanovený v osobitnom predpise (prevádzkovateľ ho musí rešpektovať a dodržiavať, napr.: spracúvanie osobných údajov žiakov školou podľa školského zákona) alebo je prevádzkovateľovi daná možnosť, aby si ho vymedzil napríklad na základe zamerania jeho podnikateľskej činnosti rešpektujúc právny poriadok a legálne možnosti, ktoré mu ponúka. písmeno p) Sprostredkovateľom je každý, kto spracúva osobné údaje v mene prevádzkovateľa. Právny vzťah na základe ktorého dochádza k spracúvaniu osobných údajov sprostredkovateľom v mene prevádzkovateľa je založený na zmluve, plnej moci, poverení sprostredkovateľa prevádzkovateľom. Minimálne náležitosti zmluvy medzi prevádzkovateľom a sprostredkovateľom, plnej moci alebo poverenia ustanovuje tento zákon alebo iný osobitný zákon v rámci právneho poriadku Slovenskej republiky. Sprostredkovateľ spracúva osobné údaje na právnom základe prevádzkovateľa, t.j. sprostredkovateľ nemá osobitný právny základ od prevádzkovateľa odlišný, ale spracúvanie osobných údajov vykonáva na základe podmienok a prostriedkov, ktoré určil prevádzkovateľ, alebo ktoré prevádzkovateľovi ustanovuje napríklad osobitný zákon. Zákon nevylučuje, aby subjekt mal postavenie sprostredkovateľa, kedy vykonáva spracovateľské operácie v mene prevádzkovateľa a na základe jeho pokynov, prípadne aj postavenie sprostredkovateľa pre viacerých prevádzkovateľov, ako aj postavenie prevádzkovateľa pre svoje vlastné spracovateľské operácie, ktoré vykonáva vo svojom mene a sám si pre takéto spracúvanie určil účel, podmienky a primeraný právny základ (napríklad vedenie informačného systému personalistika a mzdy, informačného systému účtovníctvo, informačného systému registratúra). Tak prevádzkovateľ, ako aj sprostredkovateľ, ak je prevádzkovateľom poverený spracúvať v jeho mene osobné údaje, obaja sú viazaní týmto zákonom, prípadne inými osobitnými zákonmi, ak tieto upravujú spracúvanie osobných údajov. písmeno q) Príjemcom na účely tohto zákona je každý, komu sú osobné údaje poskytnuté alebo sprístupnené, či sa jedná o tretiu stranu alebo nie. Orgány verejnej moci, ktoré môžu prijať osobné údaje v rámci konkrétneho zisťovania v súlade osobitným predpisom, sa však nepovažujú za príjemcov; spracúvanie uvedených údajov uvedenými orgánmi verejnej moci sa uskutočňuje v súlade s pravidlami ochrany osobných údajov v závislosti od účelov spracúvania im stanovených osobitnými právnymi predpismi. Najmä vo vzťahu k zodpovednej osobe je používaný aj pojem kategória príjemcov, možno si pod ňou predstaviť napríklad kategóriu prevádzkovateľov alebo sprostredkovateľov majúcich rovnaké alebo podobné podnikateľské zameranie, napríklad banky, poisťovne, živnostníkov s rovnakým predmetom podnikania a podobne. písmeno r) Treťou stranou, na účely tohto zákona, je každý subjekt súkromného sektora alebo orgán verejnej moci, alebo fyzická osoba, ktorá nie je prevádzkovateľom, sprostredkovateľom alebo dotknutou osobou. Treťou stranou sú aj osoby, ktoré nie sú priamo poverené spracúvaním osobných údajov prevádzkovateľom alebo sprostredkovateľom. Tretia strana je užší pojem ako príjemca. Príjemca je akýkoľvek subjekt, ktorému sa osobné údaje poskytujú, s výnimkou orgánov verejnej moci. Kategóriou príjemcu sa rozumejú ako finančné inštitúcie, poisťovne, banky, zamestnávatelia a pod. písmeno s) Zodpovedná osoba je osoba určená prevádzkovateľom alebo sprostredkovateľom na základe jej odborných kvalít v zákonom stanovených situáciách vždy, inak dobrovoľne. Zodpovednou osobou môže byť tak zamestnanec prevádzkovateľa alebo sprostredkovateľa ako aj fyzická osoba vykonávajúca funkciu zodpovednej osoby na základe zmluvy. Základnou úlohou zodpovednej osoby je poskytovať informácie a poradenstvo prevádzkovateľovi a sprostredkovateľovi a ich zamestnancom pri spracúvaní osobných údajov a plnení úloh podľa tohto zákona. Úlohou zodpovednej osoby navonok je poskytovanie spolupráce úradu a vybavovanie žiadostí dotknutých osôb. písmeno t) Zástupcom prevádzkovateľa alebo sprostredkovateľa, ktorý nemá sídlo, miesto podnikania, organizačnou zložkou, prevádzkareň alebo trvalý pobyt v Európskej únii, spracúva osobné údaje dotknutých osôb, ktoré sa nachádzajú v Slovenskej republike, pričom vykonávané spracovateľské činnosti súvisia s ponukou tovaru alebo služieb takýmto dotknutým osobám v Slovenskej republike, bez ohľadu na to, či sa od dotknutej osoby vyžaduje platba, alebo súvisia so sledovaním ich správania sa, pokiaľ sa toto ich správanie uskutočňuje v Slovenskej republike je fyzická osoba alebo právnická osoba, ktorú si prevádzkovateľ alebo sprostredkovateľ písomne určí na to, aby konala v jeho mene v súvislosti s jeho povinnosťami podľa tohto zákona v rámci Slovenskej republiky. Prevádzkovateľ alebo sprostredkovateľ je povinný určiť sídlo zástupcu v jednom z členských štátov Európskej únie. Uvedené sa nevzťahuje na prípady, kedy vykonávané spracúvanie je občasné a nezahŕňa spracúvanie osobitných kategórií osobných údajov vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky a nie je pravdepodobné, že povedie k riziku pre práva fyzických osôb, pričom sa zohľadní povaha, kontext, rozsah a účely spracúvania, alebo keď je prevádzkovateľ orgánom verejnej moci alebo verejnoprávnym subjektom. Určenie takého zástupcu neovplyvňuje zodpovednosť alebo povinnosť prevádzkovateľa alebo sprostredkovateľa podľa tohto zákona. Takýto zástupca má vykonávať svoje úlohy podľa poverenia, ktoré dostal od prevádzkovateľa alebo sprostredkovateľa, a ktoré zahŕňa spoluprácu s úradom v súvislosti s opatreniami prijatými na zabezpečenie súladu s týmto zákonom. V prípade, že prevádzkovateľ alebo sprostredkovateľ nezabezpečia súlad, určený zástupca podlieha konaniam na presadenie práva. písmeno u) Podnikom sa rozumie fyzická osoba podnikateľ alebo právnická osoba v akejkoľvek forme vykonávajúca hospodársku podnikateľskú činnosť, a to tak sama, ako aj v spolupráci so svojimi partnermi. písmeno v) Skupinu podnikov zahŕňa riadiaci podnik a ním riadené podniky, pričom riadiaci podnik má dominantný vplyv na ostatné podniky pretože ich vlastní, alebo v dôsledku finančnej účasti alebo pravidiel upravujúcich činnosť podniku alebo v dôsledku jeho právomoci presadiť vykonávanie pravidiel ochrany osobných údajov. Podnik, ktorý kontroluje spracúvanie osobných údajov v podnikoch, ktoré sú s ním prepojené sa považuje za skupinu podnikov (napr.: holdingy, koncerny, konzorciá). písmeno w) Hlavnou prevádzkarňou je miesto centrálnej správy prevádzkovateľa alebo sprostredkovateľa v Európskej únii. písmeno x) Záväzné vnútropodnikové pravidlá sú súčasťou internej politiky ochrany osobných údajov prevádzkovateľa alebo sprostredkovateľa, ktorý nimi definuje svoje postupy a pravidlá v rámci svojej obchodnej politiky s ohľadom na prenos mimo územia členských štátov Európskej únie. Možno ich považovať za istý druh bezpečnostného opatrenia, ktorým prevádzkovateľ a sprostredkovateľ zaisťujú primeranú úroveň ochrany spracúvaných osobných údajov v týchto tzv. tretích krajinách, ich častiach, prípadne medzinárodných organizáciách, ktoré takúto primeranú úroveň ochrany osobných údajov nezaručujú. písmeno y) Kódex správania je súbor určitých ustanovení, ktorého účelom je upresniť, konkretizovať dodržiavanie jednotlivých povinností podľa tohto zákona týkajúcich sa spracúvania a ochrany osobných údajov s ohľadom na osobitné charakteristiky určitého odvetvia, pre ktoré konkrétny kódex správania bol schválený. Ku kódexom správania je možnosť pristúpiť a zaviazať sa ich dodržiavať dobrovoľne, ak však prevádzkovateľ pristúpi k schválenému kódexu správania je povinný ho ako súčasť bezpečnostných opatrení dodržiavať a uplatňovať. písmeno z) Medzinárodná organizácia je inštitucionalizovaná podoba medzinárodných vzťahov vznikajúca najčastejšie dohodou dvoch a viacerých krajín, ktoré určia aj jej podobu, stanovia jej orgány, podmienky jej fungovania a podmienky pristúpenia k takejto medzinárodnej organizácii. písmeno aa) Členským štátom sa rozumie štát, ktorý na účely tohto zákona je členským štátom Európskej únie, alebo zmluvnou stranou Dohody o Európskom hospodárskom priestore. písmeno bb) Treťou krajinou sa rozumie krajina, ktorá nie je členským štátom Európskej únie, alebo zmluvnou stranou Dohody o Európskom hospodárskom priestore. písmeno cc) Zamestnanec úradu je osoba vykonávajúca prácu v pracovnom pomere alebo obdobnom pracovnom pomere v mene úradu a štátny zamestnanec.DRUHÁ ČASŤ
VŠEOBECNÉ PRAVIDLÁ OCHRANY OSOBNÝCH ÚDAJOV FYZICKÝCH OSÔB
PRI ICH SPRACÚVANÍ
PRVÁ HLAVA
Zásady spracúvania osobných údajov
§ 6
Zásada zákonnosti
Osobné údaje možno spracúvať len zákonným spôsobom a tak, aby nedošlo k porušeniu základných práv dotknutej osoby.K § 6
Zásady spracúvania osobných údajov sú základnými mantinelmi v rámci ktorých sa konkrétne spracúvanie osobných údajov fyzickej osoby posudzuje a vykonáva. Cieľom zásad spracúvania osobných údajov je vykonávanie spracúvania osobných údajov tak, aby boli rešpektované práva dotknutých osôb a aby spracúvaním osobných údajov nedochádzalo k porušovaniu práva na zachovanie ľudskej dôstojnosti alebo k iným neoprávneným zásahom do práva na ochranu súkromia. Každé spracúvanie osobných údajov má byť zákonné, založené na legálnom právnom základe podľa § 13 tohto zákona. Spracúvanie nesmie byť protiprávne, nesmie prebiehať na nelegálnom právnom základe alebo samotný účel spracúvania nesmie byť nelegitímny.§ 7
Zásada obmedzenia účelu
Osobné údaje sa môžu získavať len na konkrétne určený, výslovne uvedený a oprávnený účel a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmto účelom; ďalšie spracúvanie osobných údajov na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel, ak je v súlade s osobitným predpisom[8]) a ak sú dodržané primerané záruky ochrany práv dotknutej osoby podľa § 78 ods. 8, sa nepovažuje za nezlučiteľné s pôvodným účelom.K § 7
Spracúvané osobné údaje majú byť primerané, relevantné a obmedzené na zoznam alebo rozsah osobných údajov nevyhnutný vzhľadom na účel, na ktorý sa spracúvajú. Účel je základným obmedzujúcim faktorom najmä vo vzťahu k zoznamu alebo rozsahu spracúvaných osobných údajov a vo vzťahu k dobe spracúvania, ako aj uchovávania spracúvaných osobných údajov. Účel má byť vymedzený dostatočne jasne a určito, aby z neho bolo jasné, aké spracovateľské operácie na základe neho budú a nebudú prebiehať, alebo aké spracovateľské operácie dotknutá osoba môže očakávať, že s jej osobnými údajmi na základe jeho vymedzenia môžu prebiehať. Spracúvať osobné údaje na iný účel, než na ktorý boli získané je zakázané, ibaže by tento iný účel úzko súvisel s pôvodným účelom spracúvania, bol s ním zlučiteľný. Spracúvanie osobných údajov získaných na stanovený účel nevylučuje, aby takto získané osobné údaje nemohli byť spracúvané na tzv. privilegované účely, a to účely archivácie, na účely vedeckého alebo historického výskumu a na štatistické účely v súlade s týmto zákonom a vo vzťahu k primeraným zárukám pre práva dotknutej osoby. Tieto záruky obsahujú zavedenie primeraných a účinných technických a organizačných opatrení najmä s cieľom zabezpečiť dodržiavanie zásady minimalizácie údajov, pseudonymizácie, pokiaľ sa týmto opatrením môžu dosiahnuť uvedené účely. Ďalšie spracúvanie na účely archivácie, na účely vedeckého či historického výskumu alebo štatistické účely sa považuje za zlučiteľné so zákonnými spracovateľskými operáciami.§ 8
Zásada minimalizácie osobných údajov
Spracúvané osobné údaje musia byť primerané, relevantné a obmedzené na nevyhnutný rozsah daný účelom, na ktorý sa spracúvajú.K § 8
Spracúvanie osobných údajov má byť úzko naviazané na účel spracúvania osobných údajov, a to najmä pokiaľ ide o zoznam alebo rozsah spracúvaných osobných údajov, ktorý by mal byť nevyhnutný na to, aby sa spracúvaním daných osobných údajov účel mohol dosiahnuť. Nie je správne, aby sa zoznam alebo rozsah osobných údajov umelo alebo dodatočne rozširoval vzhľadom na účel. Ak je účel a zoznam alebo rozsah osobných údajov stanovený zákonom, je potrebné ho rešpektovať, ak si zoznam alebo rozsah spracúvaných osobných údajov určuje prevádzkovateľ má dbať na to, aby ho zbytočne, nad rámec účelu nerozširoval.§ 9
Zásada správnosti
Spracúvané osobné údaje musia byť správne a podľa potreby aktualizované; musia sa prijať primerané a účinné opatrenia na zabezpečenie toho, aby sa osobné údaje, ktoré sú nesprávne z hľadiska účelov, na ktoré sa spracúvajú, bez zbytočného odkladu vymazali alebo opravili.K § 9
Osobné údaje spracúvané na určitý účel musia byť správne, presné a podľa potreby aktualizované tak, aby sa zabezpečilo, že sa osobné údaje, ktoré sú nesprávne sa bezodkladne vymažú alebo opravia. Ak nesprávny osobný údaj odhalí prevádzkovateľ má povinnosť ho opraviť, ak je to možné, ak nie, má povinnosť ho zlikvidovať. V prípade ak nesprávny osobný údaj zistí dotknutá osoba mala by sama iniciatívne kontaktovať prevádzkovateľa a požadovať opravu nesprávneho osobného údaja alebo jeho likvidáciu podľa tohto zákona, ak sa nesprávnosť údaju potvrdí, prevádzkovateľ má požiadavke dotknutej osoby na opravu vyhovieť. Zásada aktuálnosti znamená tiež to, že prevádzkovateľ má povinnosť spracúvané osobné údaje pravidelne kontrolovať a aktualizovať (pravidelnosť kontroly je potrebné nastaviť s ohľadom na ujmu, ktorá môže vzniknúť dotknutej osobe pri spracúvaní nesprávneho osobného údaja prevádzkovateľom), a to aj po obsahovej stránke, nielen gramatickej, teda by sa nemalo stať, že osoba, ktorá uhradila svoj dlh bude v systéme prevádzkovateľa stále vedená ako dlžník, napriek tomu, že reálny aj právny stav tomu už nezodpovedá. Prevádzkovateľ nesie zodpovednosť za aktuálnosť osobného údaja v jeho informačnom systéme osobných údajov. V prípade, ak dotknutá osoba sama poskytne prevádzkovateľovi nesprávne osobné údaje za ich nesprávnosť v tomto prípade nenesie zodpovednosť prevádzkovateľ, iba že by mal možnosť, prípadne zákonom stanovenú povinnosť si ich správnosť preveriť.§ 10
Zásada minimalizácie uchovávania
Osobné údaje musia byť uchovávané vo forme, ktorá umožňuje identifikáciu dotknutej osoby najneskôr dovtedy , kým je to potrebné na účel, na ktorý sa osobné údaje spracúvajú; osobné údaje sa môžu uchovávať dlhšie, ak sa majú spracúvať výlučne na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel na základe osobitného predpisu,8) a ak sú dodržané primerané záruky ochrany práv dotknutej osoby podľa § 78 ods. 8.K § 10
Zásada minimalizácie uchovávania spracúvaných osobných údajov, má za cieľ dosiahnuť, aby sa osobné údaje vo forme, kedy je ich možné priradiť ku konkrétnej fyzickej osobe spracúvali iba dovtedy, kým je to potrebné na dosiahnutie sledovaného účelu spracúvania. Akonáhle je tento cieľ spracúvania osobných údajov dosiahnutý je možné, aby sa osobné údaje už spracúvali iba na účely archivácie, na účely vedeckého alebo historického výskumu či na štatistické účely podľa osobitného predpisu za predpokladu prijatia primeraných technických a organizačných opatrení vyžadovaných týmto zákonom na ochranu práv dotknutých osôb. Zásada minimalizácie uchovávania má za cieľ, aby sa osobné údaje uchovávali vo forme, ktorá umožňuje identifikáciu dotknutých osôb len v nevyhnutnom rozsahu len dovtedy, dokiaľ je to s ohľadom na účel spracúvania potrebné a nevyhnutné. Spracúvanie osobných údajov výlučne na účely archivácie, na účely vedeckého alebo historického výskumu či na štatistické účely v súlade s týmto zákonom je považované za výnimku z tejto zásady, teda nie je porušením tohto zákona.§ 11
Zásada integrity a dôvernosti
Osobné údaje musia byť spracúvané spôsobom, ktorý prostredníctvom primeraných technických a organizačných opatrení zaručuje primeranú bezpečnosť osobných údajov vrátane ochrany pred neoprávneným spracúvaním osobných údajov, nezákonným spracúvaním osobných údajov, náhodnou stratou osobných údajov, výmazom osobných údajov alebo poškodením osobných údajov.K § 11
Osobné údaje by sa mali spracúvať tak, aby sa zabezpečila ich primeraná bezpečnosť a dôvernosť vrátane predchádzania neoprávnenému prístupu k osobným údajom a prostriedkom spracúvania osobných údajov. Prijaté bezpečnostné opatrenia musia byť adekvátne spracúvaným osobným údajom, a to tak po technickej, personálnej, ako aj po organizačnej stránke.§ 12
Zásada zodpovednosti
Prevádzkovateľ je zodpovedný za dodržiavanie základných zásad spracúvania osobných údajov, za súlad spracúvania osobných údajov so zásadami spracúvania osobných údajov a je povinný tento súlad so zásadami spracúvania osobných údajov na požiadanie úradu preukázať.K § 12
Zásada zodpovednosti za spracúvané osobné údaje pre prevádzkovateľa znamená zodpovednosť za dodržiavanie všetkých povinností mu stanovených týmto zákonom a zásada zodpovednosti pre neho znamená aj povinnosť, aby vedel deklarovať navonok, že všetky požadované povinnosti si skutočne plní. Prevádzkovateľ pri prijímaní bezpečnostných opatrení a plnení si aj iných svojich povinností podľa tohto zákona musí vystupovať aktívne a snažiť sa splniť si všetky povinnosti tak, ako mu ich zákon ukladá. Zákon mu k preukazovaniu splnenia niektorých jeho povinností dáva nástroje, ako napríklad možnosť pristúpiť ku kódexom správania a využiť ich ako deklaratórne nástroje smerom von ohľadom ním prijatých bezpečnostných opatrení. Prevádzkovateľ je povinný prijať primerané a účinné opatrenia a vedieť preukázať súlad spracovateľských činností s týmto zákonom vrátane primeraných a účinnosti bezpečnostných opatrení. V uvedených opatreniach by sa mala zohľadniť povaha, rozsah, kontext a účel spracúvania a riziko pre práva fyzických osôb. Na účely prijatia zodpovednosti by mal prevádzkovateľ najmä prijímať adekvátne politiky ochrany osobných údajov, ktorými bude deklarovať svoju zodpovednosť za spracúvanie a ochranu osobných údajov. Prevádzkovateľ zodpovedá aj za spracúvanie osobných údajov ním povereného sprostredkovateľa, či so sprostredkovateľom dohodnutého ďalšieho sprostredkovateľa, ktorí spracúvajú osobné údaje v jeho mene a na základe jeho pokynov. So zásadou zodpovednosti je spojené aj vedenie patričnej dokumentácie tak, aby v prípade potreby prevádzkovateľ vedel a mohol deklarovať, že vykonal posúdenie vplyvu, alebo opätovne hodnotil a snažil sa znížiť vysoké riziko, ktoré mu v rámci posúdenia vplyvu na osobné údaje, ako zvyškové vyšlo.§ 13
Zákonnosť spracúvania
- Spracúvanie osobných údajov je zákonné, ak sa vykonáva na základe aspoň jedného z týchto právnych základov
- dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov aspoň na jeden konkrétny účel,
- spracúvanie osobných údajov je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo na vykonanie opatrenia pred uzatvorením zmluvy na základe žiadosti dotknutej osoby,
- spracúvanie osobných údajov je nevyhnutné podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná,
- spracúvanie osobných údajov je nevyhnutné na ochranu života, zdravia alebo majetku dotknutej osoby, alebo inej fyzickej osoby,
- spracúvanie osobných údajov je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi, alebo
- spracúvanie osobných údajov je nevyhnutné na účel oprávnených záujmov prevádzkovateľa alebo tretej strany okrem prípadov, keď nad týmito záujmami prevažujú záujmy alebo práva dotknutej osoby vyžadujúce si ochranu osobných údajov, najmä ak je dotknutou osobu dieťa; tento právny základ sa nevzťahuje na spracúvanie osobných údajov orgánmi verejnej moci pri plnení ich úloh.
- Právny základ pre spracúvanie osobných údajov podľa odseku 1 písm. c) a e) musí byť ustanovený v tomto zákone, osobitnom predpise alebo v medzinárodnej zmluve, ktorou je Slovenská republika viazaná; osobitný zákon musí ustanovovať účel spracúvania osobných údajov, kategóriu dotknutých osôb a zoznam spracúvaných osobných údajov alebo rozsah spracúvaných osobných údajov. Spracúvané osobné údaje na základe osobitného zákona možno z informačného systému poskytnúť, preniesť alebo zverejniť len vtedy, ak osobitný zákon ustanovuje účel poskytovania alebo účel zverejňovania, zoznam spracúvaných osobných údajov alebo rozsah spracúvaných osobných údajov, ktoré možno poskytnúť alebo zverejniť, prípadne príjemcov, ktorým sa osobné údaje poskytnú.
- Ak spracúvanie osobných údajov na iný účel ako na účel, na ktorý boli osobné údaje získané, nie je založené na súhlase dotknutej osoby alebo na osobitnom predpise, prevádzkovateľ na zistenie toho, či je spracúvanie osobných údajov na iný účel zlučiteľné s účelom, na ktorý boli osobné údaje pôvodne získané okrem iného musí zohľadniť
- akúkoľvek súvislosť medzi účelom, na ktorý sa osobné údaje pôvodne získali, a účelom zamýšľaného ďalšieho spracúvania osobných údajov,
- okolnosti, za akých sa osobné údaje získali, najmä okolnosti týkajúce sa vzťahu medzi dotknutou osobou a prevádzkovateľom,
- povahu osobných údajov, najmä či sa spracúvajú osobitné kategórie osobných údajov podľa § 16 alebo osobné údaje týkajúce sa uznania viny za spáchanie trestného činu alebo priestupku podľa § 17,
- možné následky zamýšľaného ďalšieho spracúvania osobných údajov pre dotknutú osobu a
- existenciu primeraných záruk, ktoré môžu zahŕňať šifrovanie alebo pseudonymizáciu.
K § 13
odsek 1 Odsek taxatívne vymenúva právne základy spracúvania osobných údajov dotknutej osoby, situácie, kedy spracúvanie osobných údajov dotknutej osoby prebieha na legálnom, alebo legitímnom právnom základe. Medzi právne základy spracúvania osobných údajov patrí súhlas dotknutej osoby ňou daný na jeden alebo viacero výslovne uvedených účelov. Súhlas by sa mal poskytnúť výslovným a jasným prejavom vôle, ktorý je slobodným, konkrétnym, informovaným a jednoznačným vyjadrením vôle dotknutej osoby so spracúvaním osobných údajov; forma písomného vyhlásenia vrátane vyhlásenia prostredníctvom elektronických prostriedkov alebo ústnym vyhlásením je za splnenia ostatných náležitostí súhlasu akceptovateľná. Zákon určuje konkrétne podmienky na udelenie súhlasu, ako aj na spracúvanie osobných údajov na tomto právnom základe . Zákon vyžaduje aktívnu účasť dotknutej osoby pri udeľovaní súhlasu, je teda potrebné formulovať súhlas tak, aby dotknutá osoba musela konať. Nečinnosť dotknutej osoby, respektíve nevyjadrenie nesúhlasu dotknutej osoby nemožno považovať za vyjadrenie súhlasu. Dotknutá osoba má k súhlasu vždy pristupovať aktívne a z jej strany je očakávaná aktivita. Ďalším právnym základom spracúvania osobných údajov dotknutej osoby, je spracúvanie na účely plnenia zmluvy, ktorej je dotknutá osoba zmluvnou stranou, alebo ide o predzmluvné vzťahy vrátanie spracúvania osobných údajov na základe žiadosti dotknutej osoby. V prípade ak sa osobné údaje spracúvajú na účely predzmluvných alebo zmluvných vzťahov, kedy jednou zo zmluvných strán je dotknutá osoba je potrebné, aby sa v zmluve jednoznačne vymedzil predmet zmluvy, ktorý bude zároveň aj účelom spracúvania osobných údajov dotknutej osoby, napríklad dodanie tovaru alebo plnenie služby. Prevádzkovateľ je potom takýmto v zmluve naformulovaným účelom viazaný a nie je možné, aby ho prekročil. Taktiež nie je prípustné, aby sa pod právny titul predmetu zmluvy uvádzali iné predmety zmluvy, iné účely spracúvania, ktoré by rád prevádzkovateľ využil a osobné údaje získané od dotknutej osoby na predmet zmluvy tak využil a spracúval aj na iné účely so zmluvou a jej predmetom primárne nesúvisiace. V prípade, ak má prevádzkovateľ záujem spracúvať osobné údaje uvedené v zmluve aj na iný účel, je povinný si na takéto spracúvanie nájsť iný primeraný právny základ, napríklad súhlas dotknutej osoby. Ak by aj iné vedľajšie účely spracúvania, ktoré s predmetom zmluvy majú málo alebo nič spoločné sa v zmluve nachádzali, nemožno danú zmluvu považovať za právny základ aj pre takéto iné účely v nej uvedené. Fakt, že zmluva je naformulovaná nesprávne neznamená, že je možné na jej právnom základe spracúvať osobné údaje dotknutej osoby na účely s jej predmetom plnenia nesúvisiace, alebo od jej predmetu plnenia veľmi vzdialené, na ktoré je potrebné, aby si prevádzkovateľ získal od dotknutej osoby iný právny základ. Medzi právne základy spracúvania osobných údajov bez súhlasu dotknutej osoby patrí spracúvanie osobných údajov na základe osobitného predpisu, ktorý takéto spracúvanie ustanovuje alebo ide o spracúvanie na základe medzinárodnej zmluvy, ktorou je Slovenská republika viazaná. Ide o zákonom stanovenú činnosť prevádzkovateľa, ktorému spracúvanie osobných údajov ustanovuje priamo právny predpis, osobitný zákon. V takom prípade nie je súhlas dotknutej osoby na takéto spracúvanie jej osobných údajov potrebný, nakoľko právnym základom je priamo osobitný zákon alebo medzinárodný zmluva, či zákon vydaný na jej plnenie. Takouto situáciou je napríklad spracúvanie osobných údajov v bankách na základe zákona o bankách alebo spracúvanie osobných údajov detí, dotknutých osôb, žiakov (študentov) na základe školského zákona. Osobitný zákon v takom prípade musí obsahovať základné charakteristiky daného spracúvania ustanovené v odseku 2. Obdobne sa spracúvanie osobných údajov vykonáva bez súhlasu dotknutej osoby na základe osobitného zákona, ak ide o spracúvanie osobných údajov dotknutej osoby, ktorej osobné údaje majú byť spracúvané na plnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi. Definovanie spracovateľskej operácie na ktorú majú byť spracúvané osobné údaje na účely verejného záujmu alebo na účely plnenia povinnosti zverenej pri výkone verejnej moci prevádzkovateľovi musia byť zadefinované v osobitnom zákone. Právny základ spracúvania osobných údajov na účely ochrany života, zdravia a alebo majetku dotknutej osoby alebo inej fyzickej osoby sa má využívať iba vo výnimočných prípadoch, pokiaľ na spracúvanie osobných údajov nie je možné využiť iný právny základ a pokiaľ je bezprostredne v ohrození život alebo zdravie dotknutej osoby alebo inej fyzickej osoby. Ide zväčša o hraničné životné situácie, kedy je získavanie iného právneho základu ťažké alebo nemožné. Príkladom spracúvania osobných údajov na tento účel je spracúvanie osobných údajov obetí alebo účastníkov dopravenej nehody (prehľadanie osoby na účely nájdenia jej dokladov a jej identifikácie a pod.), ktorí aj s ohľadom na utrpené zranenia alebo šok nie sú schopní alebo ochotní na spracúvanie ich osobných údajov, alebo osobných údajov iného poskytnúť súhlas. Získavanie dodatočného súhlasu potom, keď už je dotknutá osoba pri vedomí a schopná súhlas poskytnúť alebo iná fyzická osoba je schopná súhlas poskytnúť odpadá. Právny základ je možné použiť aj v prípadoch humanitárnych katastrof, ak si to situácia s ohľadom na stav obyvateľstva vyžaduje, je však potrebné dbať na to, aby tento právny základ nebol zneužívaný aj v prípadoch, kedy už jeho použitie možno hodnotiť sporne, napríklad ak osoba vníma a je schopná sa vyjadriť, či osobné údaje poskytnúť. O oprávnený záujem, ako právny základ spracúvania osobných údajov, ide v tom prípade, keby medzi dotknutou osobou a prevádzkovateľom už existuje vzťah, napríklad ak je dotknutá osoba voči prevádzkovateľovi v postavení klienta. Existencia oprávneného záujmu si vždy vyžaduje dôkladné posúdenie vrátane posúdenia toho, či dotknutá osoba môže v danom čase a kontexte získavania osobných údajov primerane očakávať, že sa spracúvanie na tento účel zo strany prevádzkovateľa môže uskutočniť. Záujmy a práva dotknutej osoby by mohli prevážiť nad záujmami prevádzkovateľa najmä vtedy, ak sa osobné údaje spracúvajú za okolností, keď dotknuté osoby primerane neočakávajú ďalšie takéto spracúvanie. Napríklad spracúvanie osobných údajov nevyhnutne potrebných na účely predchádzania podvodom predstavuje oprávnený záujem príslušného prevádzkovateľa, naopak spracúvanie osobných údajov na účely reklamnej a propagačnej činnosti možno považovať za oprávnený záujem iba v takom prípade, ak táto činnosť prevádzkovateľa súvisí so službami, ktoré dotknutej osobe poskytol ako klientovi; tieto spracovateľské činnosti za oprávnené nemožno považovať vtedy, ak ich miera zo strany prevádzkovateľa prevyšuje samotný záujem dotknutej osoby o služby prevádzkovateľa, teda už možno hovoriť o obťažovaní dotknutej osoby zo strany prevádzkovateľa. Právny základ oprávneného záujmu sa nevzťahuje na spracúvanie orgánmi verejnej moci pri plnení ich úloh nakoľko jeho využitie orgánmi verejnej moci by rozširovalo im ustanovený právny základ spracúvania na základe osobitného predpisu minimálne so silou zákona.K § 13
odsek 2 Ustanovuje základné požiadavky kladené na osobitný predpis minimálne so silou zákona, ak má tento byť právnym základom pre spracúvanie osobných údajov bez súhlasu dotknutej osoby. Osobitný zákon, ktorý má byť právnym základom spracúvania osobných údajov fyzickej osoby má mať vo svojom normatívnom texte ustanovený účel spracúvania osobných údajov, okruh dotknutých osôb, zoznam alebo rozsah osobných údajov, ktoré sa budú spracúvať. Je nevyhnutné, aby osobitný predpis so silou zákona stanovoval aj spôsob konkrétneho spracúvania osobných údajov, ak je to účelné a potrebné, napríklad, ak sa tieto budú zverejňovať na v zákone určenom mieste a v určenom rozsahu. Zákon má tiež obsahovať ustanovenia stanovujúce ktorým tretím stranám budú osobné údaje poskytnuté, prípadne, ktorým príjemcom sa osobné údaje sprístupnia. V prípade najmä starších právnych noriem je možné akceptovať aj, ak je minimálne účel spracúvania osobných údajov a dotknuté osoby ustanovené v právnej norme so silou zákona a zoznam alebo rozsah osobných údajov je uvedený a spresnený vo vykonávacom právnom predpise.K § 13
odsek 3 Predmetný odsek ustanovuje výnimku zo zásady obmedzenia účelu v rámci spracovateľských operácii toho istého prevádzkovateľa, a len pre spracúvanie osobných údajov, ktoré neboli získané na právnom základe súhlasu dotknutej osoby alebo na právnom základe osobitného predpisu. Stanovuje pre prevádzkovateľa kritériá, ktoré musí zohľadniť a posúdiť, ak má v úmysle už takto získané osobné údaje spracúvať na iný, ďalší účel. Predmetom takéhoto posúdenia, tzv. testu zlučiteľnosti je, aby sa vylúčila možnosť, že spracúvanie na ďalší účel je s pôvodným účelom spracúvania nezlučiteľné, a teda nerealizovateľné. Až na základe pozitívneho výsledku testu zlučiteľnosti a zohľadnenia v zákone uvedených kritérií môže prevádzkovateľ pristúpiť k spracúvaniu osobných údajov na iný účel, ako bol pôvodný na ktorý osobné údaje získal, ale na tom istom právnom základe, t. j. nie je tu samostatný, iný, právny základ.§ 14
Podmienky poskytnutia súhlasu so spracúvaním osobných údajov
- Ak je spracúvanie osobných údajov založené na súhlase dotknutej osoby, prevádzkovateľ je povinný kedykoľvek vedieť preukázať, že dotknutá osoba poskytla súhlas so spracúvaním svojich osobných údajov.
- Ak prevádzkovateľ žiada o udelenie súhlasu na spracovanie osobných údajov dotknutú osobu, tento súhlas musí byť odlíšený od iných skutočností a musí byť vyjadrený jasne a v zrozumiteľnej a ľahko dostupnej forme.
- Dotknutá osoba má právo kedykoľvek odvolať súhlas so spracovaním osobných údajov, ktoré sa jej týkajú. Odvolanie súhlasu nemá vplyv na zákonnosť spracúvania osobných údajov založenom na súhlase pred jeho odvolaním; pred poskytnutím súhlasu musí byť dotknutá osoba o tejto skutočnosti informovaná. Dotknutá osoba môže súhlas odvolať rovnakým spôsobom akým súhlas udelila
- Pri posudzovaní, či bol súhlas poskytnutý slobodne, sa najmä zohľadní skutočnosť, či sa plnenie zmluvy vrátane poskytnutia služby podmieňuje súhlasom so spracúvaním osobných údajov, ktorý nie je na plnenie tejto zmluvy nevyhnutný.
K § 14
Súhlas dotknutej osoby je jedným z právnych základov spracúvania osobných údajov, kedy o spracúvaní svojich osobných údajov rozhoduje výlučne dotknutá osoba. Prevádzkovateľ musí vedieť preukázať, že mu dotknutá osoba súhlas poskytla. Zákon výslovne neurčuje formu udelenia súhlasu, ale s ohľadom na požiadavku preukázania existencie udelenia súhlasu, má byť tento súhlas v písomnej forme, v elektronickej forme alebo v inak hodnovernej preukázateľnej forme (napríklad telefonická nahrávka udelenia súhlasu). Z udeleného súhlasu musí byť zrejmé kto súhlas udelil, kedy bol súhlas udelený, aké informácie dostala dotknutá osoba pred udelením súhlasu (s akými informáciami sa mohla oboznámiť napríklad na webovom sídle prevádzkovateľa), akým spôsobom bol súhlas udelený (elektronicky, písomne) a údaj o tom, že v istom čase bol súhlas dotknutou osobou odvolaný, ak sa tak stalo. V prípade, ak je vyjadrenie súhlasu so spracúvaním osobných údajov súčasťou iného dokumentu alebo písomnosti (napr.: zmluvy), je potrebné, aby súhlas bol jasne a zreteľne oddelený, odlíšiteľný od týchto iných častí daného dokumentu, napríklad ako samostatný článok zmluvy, čím sa zabráni tomu, že ho dotknutá osoba prehliadne a zaistí sa, že mu venuje dostatočnú pozornosť. Ak je súhlas včlenený do iného textu tak, že je pravdepodobné, že ujde pozornosti dotknutej osoby takéto jeho uvedenie by mohlo byť posúdené, ako porušenie tohto zákona a vyhlásenie urobené dotknutou osobou by bolo v tejto časti neplatné. Dotknutá osoba má právo kedykoľvek súhlas odvolať, a to takými prostriedkami, a tak jednoducho ako ho poskytla (napr.: súhlas poskytnutý elektronicky má osoba právo elektronicky aj odvolať, nemusí však ísť o totožnú formu elektronického odvolania súhlasu; súhlas mohol byť poskytnutý formou predpripraveného elektronického formulára a na jeho odvolanie prevádzkovateľ zriadil samostatný e-mail, takáto forma poskytnutia a aj odvolania súhlasu elektronickou formou je akceptovateľná, nakoľko jednoduchosť tak udelenia súhlasu, ako jeho odvolania je zachovaná). O možnosti súhlas odvolať musí byť dotknutá osoba pred jeho poskytnutím informovaná. Spracúvanie osobných údajov vykonané od momentu jeho poskytnutia do momentu jeho odvolania dotknutou osobou je zákonné a jeho odvolanie na zákonnosť tohto predchádzajúceho spracúvania osobných údajov fyzickej osoby nemá vplyv. Pri poskytovaní súhlasu dotknutej osoby nesmie prevádzkovateľ na dotknutú osobu vyvíjať nátlak ani iným spôsobom ovplyvňovať jej rozhodovanie, aby mu súhlas poskytla, takéto vyvíjanie nátlaku je v rozpore so zákonom. Nátlakom sa rozumie taká hrozba prevádzkovateľa, kedy neudelenie súhlasu dotknutou osobou bude mať za následok odmietnutie poskytnutia zmluvného vzťahu, neposkytnutie služby, alebo zamedzenie predaja či dostupnosti tovaru pre danú dotknutú osobu, za predpokladu, že sa súhlas netýka spracúvania osobných údajov nevyhnutných pre takéto uzatvorenie zmluvného vzťahu, poskytnutie služby alebo predaja tovaru, ale ide o taký súhlas na spracúvanie osobných údajov požadovaný od dotknutej osoby, ktorý so zmluvným vzťahom, poskytnutím služby alebo predajom tovaru nemá priamy súvis (napríklad súhlas požadovaný prevádzkovateľom na účely marketingu). Aby sa zaistilo, že súhlas bude informovaný, dotknutá osoba si musí byť vedomá aspoň identity prevádzkovateľa a zamýšľaných účelov spracúvania osobných údajov, respektíve zo strany prevádzkovateľa musí byť najneskôr pri poskytnutí súhlasu dotknutou osobou splnená jeho informačná povinnosť podľa tohto zákona. Súhlas nemožno považovať za slobodný, ak dotknutá osoba nemá skutočnú alebo slobodnú voľbu alebo nemôže odmietnuť či odvolať súhlas bez nepriaznivých následkov pre ňu. Súhlas nemusí byť považovaný za legitímny právny základ spracúvania osobných údajov v prípade, ak medzi postavením dotknutej osoby a prevádzkovateľom existuje jednoznačný nepomer, najmä ak je prevádzkovateľ orgánom, ktorému je zverený výkon verejnej moci, a preto je nepravdepodobné, že dotknutá osoba súhlas poskytla slobodne. Uvedené môže platiť aj v prípade pracovnoprávnych vzťahov, kedy je obzvlášť dôležité skúmať, či udelený súhlas dotknutou osobou, zamestnancom prevádzkovateľovi, zamestnávateľovi bol dobrovoľný, slobodný a vážny. Súhlas sa nepovažuje za poskytnutý slobodne, ak nie je možné dať samostatný súhlas na jednotlivé účely spracúvania osobných údajov napriek tomu, že by to bolo v konkrétnom prípade vhodné, alebo ak sa plnenie zmluvy vrátane poskytnutia služby podmieňuje súhlasom, aj keď na takéto plnenie nie je takýto súhlas nevyhnutný. Súhlas by sa mal vzťahovať na všetky spracovateľské činnosti vykonávané na ten istý účel alebo príbuzné a navzájom si blízke účely. Ak sa spracúvanie osobných údajov vykonáva na viaceré rôzne účely, súhlas by sa mal udeliť na všetky tieto účely samostatne, oddelene. Ak má dotknutá osoba poskytnúť súhlas elektronickými prostriedkami, požiadavka na jeho poskytnutie musí byť jasná a stručná a nemá pôsobiť zbytočne rušivo na používanie služby, pre ktorú sa poskytuje. Za udelenie súhlasu je považované napríklad aktívne označenie políčka pri návšteve internetového webového sídla („opt in“ udelenie súhlasu), aktívne zvolenie technických nastavení služieb informačnej spoločnosti alebo akékoľvek iné vyhlásenie či aktívny úkon, ktorý jasne znamená a dokazuje, že dotknutá osoba súhlasí s navrhovaným spracúvaním jej osobných údajov. Mlčanie, vopred označené políčka alebo nečinnosť dotknutej osoby sa za súhlas podľa tohto zákona nepovažujú. Jedným z právnym základov prelomenia zákazu spracúvania osobitnej kategórie osobných údajov, automatizovaného individuálneho rozhodovania, vrátane profilovania podľa tohto zákona je udelenie výslovného súhlasu dotknutou osobou, čo znamená výslovný súhlas dotknutej osoby so spracúvaním tejto osobitnej kategórie osobných údajov alebo s takouto formou spracúvania. Je potrebné, aby prevádzkovateľ výslovne v takto naformulovanom súhlase uviedol, že na uvedený účel dotknutá osoba súhlasí so spracúvaním jej zdravotného stavu, teda osobitná kategória osobného údaja musí byť v súhlase výslovne zmienená, uvedená.§ 15
Podmienky poskytnutia súhlasu v súvislosti so službami informačnej spoločnosti
- Prevádzkovateľ v súvislosti s ponukou služieb informačnej spoločnosti[9]) spracúva osobné údaje na základe súhlasu dotknutej osoby zákonne, ak dotknutá osoba dovŕšila 16 rokov veku. Ak má dotknutá osoba menej ako 16 rokov, takéto spracúvanie osobných údajov je zákonné iba za podmienky a v rozsahu, v akom takýto súhlas poskytol alebo schválil jej zákonný zástupca.[10])
- Prevádzkovateľ je povinný vynaložiť primerané úsilie, aby si overil, že zákonný zástupca dotknutej osoby poskytol alebo schválil súhlas so spracúvaním osobných údajov podľa odseku 1, pričom zohľadní dostupnú technológiu.
K § 15
Informačnú spoločnosť v zmysle spracúvania osobných údajov možno charakterizovať ako spoločnosť, ktorá používa moderné informačné a telekomunikačné technológie ako formu komunikácie navonok aj dovnútra a tiež ako formu získavania a poskytovania informácií alebo služieb. Hlavnou súčasťou informačnej spoločnosti všeobecne a aj následne konkrétnej informačnej spoločnosti v postavení prevádzkovateľa alebo sprostredkovateľa je internet; tento je využívaný ako hlavný komunikačný kanál na prijímanie, ale aj poskytovanie informácií a teda aj osobných údajov. Prostredníctvom internetovej siete informačné spoločnosti vykonávajú zásadný podiel svojej činnosti, je to ich prostriedok na získavanie nových zákazníkov, dotknutých osôb, a to tak dospelých, ako aj detí, prostriedok na poskytovanie služieb. Službou informačnej spoločnosti teda možno nazvať takú službu, ktorá je poskytovaná cez internet, respektíve, ktorej časť je poskytovaná cez internet, pričom internet je prostriedkom prostredníctvom ktorého zákazník vyjadruje svoj záujem o službu a tiež aj prípadný súhlas so spracúvaním svojich osobných údajov. Osobitnú ochranu osobných údajov si zasluhujú deti, keďže sú si v menšej miere vedomé rizík a dôsledkov súvisiacich so spracúvaním ich osobných údajov, a to najmä v prípade, ak je záujem získavať ich osobné údaje prostredníctvom verejne prístupnej siete – internetu. V prípade ak prevádzkovateľ chce spracúvať osobné údaje detí, teda ponúka službu určenú priamo pre deti, je spracúvanie založené na súhlase dieťaťa zákonné iba vtedy, ak má dieťa v čase poskytnutia súhlasu 16 a viac rokov. V prípade, ak je služba adresovaná dieťaťu, ak je toto mladšie ako 16 rokov je spracúvanie jeho osobných údajov zákonné iba vtedy, ak ním daný súhlas schválil jeho zákonný zástupca alebo opatrovník, alebo ak zákonný zástupca, prípadne opatrovník súhlas so spracúvaním jeho osobných údajov sám v mene dieťaťa poskytol. Prevádzkovateľ, pokiaľ ide o súhlas daný dieťaťom mladším ako 16 rokov, musí vynaložiť primerané úsilie na to, aby si overil, že súhlas mu poskytlo dieťa vo veku 16 rokov alebo staršie, prípadne, že súhlas schválil alebo poskytol jeho zákonný zástupca, či opatrovník, ak sa jedná o dieťa mladšie ako 16 rokov; overenie súhlasu môže vykonať napríklad formou otázky o dosiahnutom veku v čase poskytovania súhlasu alebo inak tak, aby využil všetky svoje možnosti na overenie si veku dieťaťa. Súhlas nositeľa rodičovských práv a povinností nie je potrebný v súvislosti s preventívnymi alebo poradenskými službami, ktoré sú ponúkané priamo dieťaťu (napr.: služby poskytované pre týrané deti, alebo deti zažívajúce násilie v rodine alebo šikanovanie v škole a pod.). Všetky informácie a každá komunikácia, pri ktorej sa spracúvanie zameriava na dieťa, musia byť formulované jasne a jednoducho, aby ich dieťa mohlo ľahko pochopiť. Požadovanie súhlasu dieťaťa, ako dotknutej osoby, prípadne jeho schválenie zákonným zástupcom, prípadne jeho priame poskytnutie zákonným zástupcom nemá vplyv na iné samostatné rozhodovacie práva dieťaťa podľa iných osobitných predpisov; napríklad právo uzavrieť zmluvu a podobne.§ 16
Spracúvanie osobitných kategórií osobných údajov
- Zakazuje sa spracúvanie osobitných kategórií osobných údajov. Osobitnými kategóriami osobných údajov sú údaje, ktoré odhaľujú rasový pôvod alebo etnický pôvod, politické názory, náboženskú vieru, filozofické presvedčenie, členstvo v odborových organizáciách, genetické údaje, biometrické údaje, údaje týkajúce sa zdravia alebo údaje týkajúce sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby.
- Zákaz spracúvania osobitných kategórií osobných údajov neplatí, ak
- dotknutá osoba vyjadrila výslovný súhlas so spracúvaním týchto osobných údajov aspoň na jeden konkrétny účel; súhlas je neplatný, ak jeho poskytnutie vylučuje osobitný predpis,
- spracúvanie je nevyhnutné na účel plnenia povinností a výkonu osobitných práv prevádzkovateľa alebo dotknutej osoby v oblasti pracovného práva, práva sociálneho zabezpečenia, sociálnej ochrany alebo verejného zdravotného poistenia podľa osobitného predpisu,[11]) medzinárodnej zmluvy, ktorou je Slovenská republika viazaná alebo podľa kolektívnej zmluvy, ak poskytujú primerané záruky ochrany základných práv a záujmov dotknutej osoby,
- spracúvanie je nevyhnutné na ochranu života, zdravia alebo majetku dotknutej osoby alebo inej fyzickej osoby, ak dotknutá osoba nie je fyzicky spôsobilá alebo právne spôsobilá vyjadriť svoj súhlas,
- spracúvanie vykonáva v rámci oprávnenej činnosti občianske združenie, nadácia alebo nezisková organizácia poskytujúca všeobecne prospešné služby, politická strana alebo politické hnutie, odborová organizácia, štátom uznaná cirkev alebo náboženská spoločnosť a toto spracúvanie sa týka iba ich členov alebo tých fyzických osôb, ktoré sú s nimi vzhľadom na ich ciele v pravidelnom styku, osobné údaje slúžia výlučne pre ich vnútornú potrebu a nebudú poskytnuté príjemcovi bez písomného alebo inak hodnoverne preukázateľného súhlasu dotknutej osoby,
- spracúvanie sa týka osobných údajov, ktoré dotknutá osoba preukázateľne zverejnila,
- spracúvanie je nevyhnutné na uplatnenie právneho nároku,[12]) alebo pri výkone súdnej právomoci,
- spracúvanie je nevyhnutné z dôvodu verejného záujmu na základe tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ktoré sú primerané vzhľadom na sledovaný cieľ, rešpektujú podstatu práva na ochranu osobných údajov a ustanovujú vhodné a konkrétne opatrenia na zabezpečenie základných práv a záujmov dotknutej osoby,
- spracúvanie je nevyhnutné na účel preventívneho pracovného lekárstva, poskytovania zdravotnej starostlivosti a služieb súvisiacich s poskytovaním zdravotnej starostlivosti alebo na účel vykonávania verejného zdravotného poistenia, ak tieto údaje spracúva poskytovateľ zdravotnej starostlivosti, zdravotná poisťovňa, osoba vykonávajúca služby súvisiace s poskytovaním zdravotnej starostlivosti alebo osoba vykonávajúca dohľad nad zdravotnou starostlivosťou a v jej mene odborne spôsobilá oprávnená osoba, ktorá je viazaná povinnosťou mlčanlivosti o skutočnostiach, o ktorých sa dozvedela pri výkone svojej činnosti a povinnosťou dodržiavať zásady profesijnej etiky,
- spracúvanie je nevyhnutné na účel sociálneho poistenia, sociálneho zabezpečenia policajtov a vojakov, poskytovania štátnych sociálnych dávok, podpory sociálneho začlenenia fyzickej osoby s ťažkým zdravotným postihnutím do spoločnosti,[13]) poskytovania sociálnych služieb, vykonávania opatrení sociálnoprávnej ochrany detí a sociálnej kurately alebo na účel poskytovania pomoci v hmotnej núdzi, alebo je spracúvanie nevyhnutné na účel plnenia povinností alebo uplatnenia práv prevádzkovateľa zodpovedného za spracúvanie v oblasti pracovného práva a v oblasti služieb zamestnanosti, ak to prevádzkovateľovi vyplýva z osobitného predpisu[14]) alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná,
- spracúvanie je nevyhnutné z dôvodu verejného záujmu v oblasti verejného zdravia ako je ochrana proti závažným cezhraničným ohrozeniam zdravia alebo zabezpečenie vysokej úrovne kvality a bezpečnosti zdravotnej starostlivosti, liekov, dietetických potravín alebo zdravotníckych pomôcok, na základe tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ktorými sa ustanovujú vhodné a konkrétne opatrenia na ochranu práv dotknutej osoby, najmä povinnosť mlčanlivosti,[15])
- spracúvanie je nevyhnutné na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel podľa tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ktoré sú primerané vzhľadom na sledovaný cieľ, rešpektujú podstatu práva na ochranu osobných údajov a ustanovené vhodné a konkrétne opatrenia na zabezpečenie základných práv a záujmov dotknutej osoby.
K § 16
odsek 1 Osobitné kategórie osobných údajov sú taxatívne vymenované v texte zákona. Dôvodom na ich vymenovanie je fakt, že ide o citlivé osobné údaje, týkajúce sa fyzickej osoby, pri ktorých, ak by došlo k ich zneužitiu, nezákonnému spracúvaniu, mohlo by to pre dotknutú osobu predstavovať významný zásah do jej základných ľudských práv. Spracúvanie osobitnej kategórie osobných údajov sa vo všeobecnosti týmto zákonom zakazuje, je prípustné len v prípade splnenia taxatívne ustanovených výnimiek definovaných v odseku 2 tohto ustanovenia tohto zákona. V prípade splnenia podmienok ustanovených v odseku 2, prevádzkovateľ môže spracúvať osobitnú kategóriu osobných údajov, citlivé osobné údaje v súlade s týmto zákonom. odsek 2 Spracúvať osobitné kategórie osobných údajov uvedených v odseku 1 sa generálne zakazuje. Ak by však niektorí prevádzkovatelia nemohli spracúvať aj osobitné kategórie osobných údajov, nemohli by si plniť im zákonom zverené povinnosti alebo uplatňovať svoje práva, taktiež dotknuté osoby by boli obmedzené v slobodnom nakladaní so svojimi osobnými údajmi. Podmienky, za ktorých je možné spracúvanie osobitnej kategórie osobných údajov podľa odseku 1 preto tento zákon pripúšťa a taxatívne ich ustanovuje odsek 2. Predstavujú primerané právne základy pre spracúvanie citlivých osobných údajov, na základe ktorých je spracúvanie osobných údajov osobitnej kategórie týmto zákonom dovolené.§ 17
Spracúvanie osobných údajov týkajúcich sa uznania viny za spáchanie trestného činu alebo priestupku
Prevádzkovateľom na účel spracúvania osobných údajov v registri trestov podľa osobitného predpisu[16]) môže byť len štátny orgán. Spracúvať osobné údaje týkajúce sa uznania viny za spáchanie trestného činu alebo priestupku alebo súvisiacich bezpečnostných opatrení možno len na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ktoré poskytujú primerané záruky ochrany práv dotknutej osoby.K § 17
Prevádzkovateľom v prípade spracúvania osobných údajov týkajúcich sa uznania viny za spáchanie trestného činu alebo priestupku v registri trestov môže byť iba štátny orgán, ak to má ustanovené osobitným zákonom. V podmienkach Slovenskej republiky je takýmto prevádzkovateľom Generálna prokuratúra Slovenskej republiky. Iný prevádzkovateľ môže spracúvať tieto osobné údaje len ak ho nato oprávňuje osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, a to len v prípade, ak daný osobitný predpis alebo medzinárodná zmluva poskytuje primerané záruky ochrany pre práva dotknutej osoby v súvislosti so spracúvaním osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky.§ 18
Spracúvanie osobných údajov bez potreby identifikácie
- Ak si účel, na ktorý prevádzkovateľ spracúva osobné údaje, vyžaduje alebo vyžadoval od prevádzkovateľa, aby identifikoval dotknutú osobu, prevádzkovateľ nie je povinný uchovávať, získať alebo spracúvať dodatočné informácie na zistenie totožnosti dotknutej osoby výlučne na to, aby dosiahol súlad s týmto zákonom.
- Ak v prípadoch uvedených v odseku 1 prevádzkovateľ vie preukázať, že dotknutú osobu nie je schopný identifikovať, je povinný ju o tom primeraným spôsobom informovať, ak je to možné. V takýchto prípadoch sa § 21 až 26 neuplatňujú okrem toho, ak dotknutá osoba na účel vykonania svojich práv podľa uvedených ustanovení poskytne dodatočné informácie umožňujúce jej identifikáciu.
K § 18
V ustanovení sa prejavuje zásada minimalizácie údajov vo vzťahu k účelu spracúvania tak, že prevádzkovateľ je oprávnený spracúvať len minimálny rozsah osobných údajov o dotknutej osobe nevyhnutné potrebných na splnenie účelu spracúvania, teda ak už na primárny účel spracúvania nepotrebuje osobu identifikovať, nakoľko tento bol splnený, tak tieto nadbytočné osobné údaje, na základe ktorých by toho bol schopný nie je povinný iba na účely preukázania súladu s týmto zákonom uchovávať, ale je povinný ich zlikvidovať. Príkladom dodržiavania zásady minimalizácie osobných údajov je, ak prevádzkovateľ je schopný na základe svojich technických možností spojiť IP adresu zákazníka s jeho konkrétnymi osobnými údajmi, ale nekoná tak, nakoľko takéto prepojenie pre neho nie je potrebné na účely predaja služby koncovému zákazníkovi, dotknutej osobe, ktorej presná identifikácia prevádzkovateľa nezaujíma, nakoľko účel spracúvania, predaj služby alebo tovaru už bol naplnený. V prípade, ak by daná dotknutá osoba chcela, aby prevádzkovateľ vyhovel nejakej jej žiadosti a uplatnila by si voči nemu právo dotknutej osoby napríklad na zamazanie jej IP adries u neho uložených je potrebné, aby mu sama dotknutá osoba poskytla dodatočné informácie o tom, ktoré IP adresy alebo online identifikátory jej koncových zariadení sa jej konkrétne týkajú, pretože tieto prepojenia si prevádzkovateľ na základe ich nepotrebnosti pre plnenie účelu predaja danej dotknutej osobe neukladal. Ak by sám prevádzkovateľ iniciatívne tieto údaje o dotknutej osobe spracúval, mohlo by takéto jeho spracúvanie týchto údajov o dotknutej osobe byť považované za porušenie zásady minimalizácie spracúvania osobných údajov. V prípade, ak si dotknutá osoba uplatní voči prevádzkovateľovi právo a tento ju už nie je schopný identifikovať má povinnosť ju o tejto skutočnosti informovať, ak je to možné najmä s ohľadom na technické možnosti a to, že jej identifikácia je pre neho sťažená.DRUHÁ HLAVA
Práva dotknutej osoby
PRVÝ DIEL
Informácie a prístup k osobným údajom
§ 19
Poskytované informácie, ak osobné údaje sú získané od dotknutej osoby
- Ak sa od dotknutej osoby získavajú osobné údaje, ktoré sa jej týkajú, je prevádzkovateľ povinný poskytnúť dotknutej osobe pri ich získavaní
- identifikačné údaje a kontaktné údaje prevádzkovateľa a zástupcu prevádzkovateľa, ak bol poverený,
- kontaktné údaje zodpovednej osoby, ak je určená,
- účel spracúvania osobných údajov, na ktorý sú osobné údaje určené, ako aj právny základ spracúvania osobných údajov,
- oprávnené záujmy prevádzkovateľa alebo tretej strany, ak sa osobné údaje spracúvajú podľa § 13 ods. 1 písm. f),
- identifikáciu príjemcu alebo kategóriu príjemcu, ak existuje,
- informáciu o tom, že prevádzkovateľ zamýšľa preniesť osobné údaje do tretej krajiny alebo medzinárodnej organizácii, identifikáciu tretej krajiny alebo medzinárodnej organizácie, informáciu o existencii alebo neexistencii rozhodnutia Európskej komisie (ďalej len „Komisia“) o primeranosti alebo odkaz na primerané záruky alebo vhodné záruky a prostriedky na získanie ich kópie alebo informáciu o tom kde boli sprístupnené, ak prevádzkovateľ zamýšľa prenos podľa § 48 ods. 2, § 49 alebo § 51 ods. 1 a 2.
- Okrem informácií podľa odseku 1 je prevádzkovateľ povinný pri získavaní osobných údajov poskytnúť dotknutej osobe informácie o
- dobe uchovávania osobných údajov; ak to nie je možné, informácie o kritériách jej určenia,
- práve požadovať od prevádzkovateľa prístup k osobným údajom týkajúcich sa dotknutej osoby, o práve na opravu osobných údajov, o práve na vymazanie osobných údajov alebo o práve na obmedzenie spracúvania osobných údajov, o práve namietať spracúvanie osobných údajov, ako aj o práve na prenosnosť osobných údajov,
- práve kedykoľvek svoj súhlas odvolať,
- práve podať návrh na začatie konania podľa § 100,
- tom, či je poskytovanie osobných údajov zákonnou požiadavkou alebo zmluvnou požiadavkou alebo požiadavkou, ktorá je potrebná na uzavretie zmluvy a o tom či je dotknutá osoba povinná poskytnúť osobné údaje, ako aj o možných následkoch neposkytnutia osobných údajov,
- existencii automatizovaného individuálneho rozhodovania vrátane profilovania podľa § 28 ods. 1 a 4; v týchto prípadoch poskytne prevádzkovateľ dotknutej osobe informácie o použitom postupe, ako aj o význame a predpokladaných dôsledkoch takéhoto spracúvania osobných údajov pre dotknutú osobu.
- Prevádzkovateľ je povinný poskytnúť dotknutej osobe pred ďalším spracúvaním osobných údajov informácie o inom účele a ďalšie relevantné informácie podľa odseku 2, ak má prevádzkovateľ v úmysle ďalej spracúvať osobné údaje na iný účel ako ten, na ktorý boli získané.
- Odseky 1 až 3 sa neuplatňujú v rozsahu, v akom boli informácie dotknutej osobe poskytnuté pred spracúvaním osobných údajov.
K § 19
odsek 1 a odsek 2 Taxatívne vymedzuje informácie, ktoré má prevádzkovateľ povinnosť poskytnúť dotknutej osobe, ak osobné údaje získava priamo od nej a poskytnutím ktorých sa má zabezpečiť informovanosť dotknutej osoby a transparentnosť spracúvania jej osobných údajov; tieto informácie je povinný prevádzkovateľ poskytnúť iniciatívne, nie až na základe žiadosti alebo vyzvania dotknutej osoby. V prípade získavania osobných údajov od dotknutej osoby je potrebné, aby tieto informácie o zamýšľanej spracovateľskej operácii boli dotknutej osobe poskytnuté najneskôr pri získavaní jej osobných údajov, respektíve v dostatočnom časovom predstihu, jasne a zrozumiteľne a takým spôsobom, aby sa s týmito informáciami mohla skutočne oboznámiť a porozumela im. odsek 3 Stanovuje povinnosť prevádzkovateľa informovať dotknutú osobu, ak prevádzkovateľ chce osobné údaje spracúvať aj na iný účel, ako ten, na ktorý osobné údaje pôvodne získal v súlade s týmto zákonom (výnimka z obmedzenia účelu s povinnosťou vykonania testu zlučiteľnosti). odsek 4 V prípade ak už dotknutá osoba informáciami podľa predchádzajúcich odsekov disponuje (napríklad jej už boli skoršie prevádzkovateľom poskytnuté) prevádzkovateľ jej ich opätovne ,poskytovať nemusí, poskytne jej iba tie, ktorými dotknutá osoba nedisponuje.§ 20
Poskytované informácie, ak osobné údaje nie sú získané od dotknutej osoby
- Ak osobné údaje neboli získané od dotknutej osoby, prevádzkovateľ je povinný dotknutej osobe poskytnúť
- identifikačné údaje a kontaktné údaje prevádzkovateľa a zástupcu prevádzkovateľa, ak bol poverený,
- kontaktné údaje zodpovednej osoby, ak je určená,
- účel spracúvania osobných údajov, na ktorý sú osobné údaje určené, ako aj právny základ spracúvania osobných údajov,
- kategórie spracúvaných osobných údajov,
- identifikáciu príjemcu alebo kategóriu príjemcu, ak existuje,
- informáciu o tom, že prevádzkovateľ zamýšľa preniesť osobné údaje do tretej krajiny alebo medzinárodnej organizácii, identifikáciu tretej krajiny alebo medzinárodnej organizácie, informáciu o existencii alebo neexistencii rozhodnutia Komisie o primeranosti alebo odkaz na primerané záruky alebo vhodné záruky a prostriedky na získanie ich kópie alebo informáciu o tom, kde boli sprístupnené, ak prevádzkovateľ zamýšľa prenos podľa § 48 ods. 2, § 49 alebo § 51 ods. 1 a 2.
- Okrem informácií podľa odseku 1 je prevádzkovateľ povinný poskytnúť dotknutej osobe informácie o
- dobe uchovávania osobných údajov; ak to nie je možné, informáciu o kritériách jej určenia,
- oprávnených záujmoch prevádzkovateľa alebo tretej strany, ak sa spracúvajú osobné údaje podľa § 13 ods. 1 písm. f),
- práve požadovať od prevádzkovateľa prístup k osobným údajom týkajúcich sa dotknutej osoby o práve na opravu osobných údajov, o práve na vymazanie osobných údajov alebo o práve na obmedzenie spracúvania osobných údajov, o práve namietať spracúvanie osobných údajov, ako aj o práve na prenosnosť osobných údajov,
- práve kedykoľvek svoj súhlas odvolať,
- práve podať návrh na začatie konania podľa § 100,
- zdroji, z ktorého pochádzajú osobné údaje, prípadne informácie o tom, či pochádzajú z verejne prístupných zdrojov,
- existencii automatizovaného individuálneho rozhodovania vrátane profilovania podľa § 28 ods. 1 a 4; v týchto prípadoch poskytne prevádzkovateľ dotknutej osobe informácie o použitom postupe, ako aj o význame automatizovaného individuálneho rozhodovania a predpokladaných dôsledkoch takéhoto spracúvania osobných údajov pre dotknutú osobu.
- Prevádzkovateľ je povinný poskytnúť informácie podľa odsekov 1 a 2
- najneskôr do jedného mesiaca po získaní osobných údajov, pričom zohľadní konkrétne okolnosti, za ktorých sa osobné údaje spracúvajú,
- najneskôr v čase prvej komunikácie s touto dotknutou osobou, ak sa osobné údaje majú použiť na komunikáciu s dotknutou osobou, alebo
- najneskôr vtedy, keď sa osobné údaje prvýkrát poskytnú, ak sa predpokladá poskytnutie osobných údajov ďalšiemu príjemcovi.
- Prevádzkovateľ je povinný poskytnúť dotknutej osobe pred ďalším spracúvaním osobných údajov informácie o inom účele a ďalšie relevantné informácie podľa odseku 2, ak má prevádzkovateľ v úmysle ďalej spracúvať osobné údaje na iný účel ako ten, na ktorý boli získané.
- Odseky 1 až 4 sa neuplatňujú
- v rozsahu, v akom dotknutá osoba už dané informácie má,
- v rozsahu, v akom sa poskytovanie týchto informácií ukáže ako nemožné alebo by si vyžadovalo neprimerané úsilie, najmä ak sa spracúvajú osobné údaje na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel, na ktorý sa vzťahujú podmienky a záruky podľa § 78 ods. 8, alebo ak je pravdepodobné, že povinnosť uvedená v odseku 1 znemožní alebo závažným spôsobom sťaží dosiahnutie cieľov takého spracúvania osobných údajov; prevádzkovateľ je v takom prípade povinný prijať vhodné opatrenia na ochranu práv a oprávnených záujmov dotknutej osoby vrátane sprístupnenia daných informácií verejnosti,
- v rozsahu, v akom sa získanie týchto informácií alebo poskytnutie týchto informácií ustanovuje v osobitnom predpise, ktorý sa na prevádzkovateľa vzťahuje a v ktorom sú ustanovené primerané opatrenia na ochranu práv a oprávnených záujmov dotknutej osoby, alebo
- ak osobné údaje musia zostať dôverné na základe povinnosti mlčanlivosti podľa osobitného predpisu.15)
K § 20
odsek 1 a odsek 2 Taxatívne vymedzuje informácie, ktoré má prevádzkovateľ povinnosť poskytnúť dotknutej osobe, ak osobné údaje nezískal priamo od nej a poskytnutím ktorých sa má zabezpečiť informovanosť dotknutej osoby a transparentnosť spracúvania jej osobných údajov. odsek 3 Stanovuje lehoty pre plnenie informačnej povinnosti prevádzkovateľa podľa odsekov 1 a 2 voči dotknutej osobe, ak prevádzkovateľ nezískal jej osobné údaje priamo od tejto dotknutej osoby. Informácie je povinný prevádzkovateľ poskytnúť v primeranej lehote po získaní osobných údajov od inej ako dotknutej osoby dotknutej osobe alebo je prevádzkovateľ povinný plniť si informačnú povinnosť voči dotknutej osobe najneskôr v čase prvej komunikácie s ňou, alebo v čase, keď sa osobné údaje prvýkrát poskytnú plánujú poskytnúť ďalšiemu príjemcovi. odsek 4 Stanovuje povinnosť prevádzkovateľa informovať dotknutú osobu, ak chce osobné údaje spracúvať aj na iný účel, ako ten, na ktorý boli osobné údaje pôvodne získané v súlade s týmto zákonom (výnimka z obmedzenia účelu s povinnosťou vykonania testu zlučiteľnosti). odsek 5 Ustanovuje taxatívne prípady a podmienky, kedy prevádzkovateľ za splnenia týchto podmienok, nemá povinnosť poskytnúť dotknutej osobe informácie podľa odsekov 1 až 4, ak osobné údaje prevádzkovateľ nezískal priamo od dotknutej osoby. Ide o prípady, ak dotknutá osoba už informácie má, ak zaznamenanie alebo poskytnutie osobných údajov je stanovené osobitným predpisom, alebo medzinárodnou zmluvou, ktorou je Slovenská republika viazaná, alebo ak sa poskytnutie informácií dotknutej osobe prevádzkovateľom sa ukáže ako nemožné alebo by si vyžiadalo zo strany prevádzkovateľa vynaloženie neprimeraného úsilia. V tejto súvislosti by sa mal zohľadniť počet dotknutých osôb, vek údajov a všetky prijaté primerané záruky.§ 21
Právo na prístup k osobným údajom
- Dotknutá osoba má právo získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú. Ak prevádzkovateľ takéto osobné údaje spracúva, dotknutá osoba má právo získať prístup k týmto osobným údajom a informácie o
- účele spracúvania osobných údajov,
- kategórii spracúvaných osobných údajov,
- identifikácii príjemcu alebo o kategórii príjemcu, ktorému boli alebo majú byť osobné údaje poskytnuté, najmä o príjemcovi v tretej krajine alebo o medzinárodnej organizácii, ak je to možné,
- dobe uchovávania osobných údajov; ak to nie je možné, informáciu o kritériách jej určenia,
- práve požadovať od prevádzkovateľa opravu osobných údajov týkajúcich sa dotknutej osoby, ich vymazanie alebo obmedzenie ich spracúvania, alebo o práve namietať spracúvanie osobných údajov,
- práve podať návrh na začatie konania podľa § 100,
- zdroji osobných údajov, ak sa osobné údaje nezískali od dotknutej osoby,
- existencii automatizovaného individuálneho rozhodovania vrátane profilovania podľa § 28 ods. 1 a 4; v týchto prípadoch poskytne prevádzkovateľ dotknutej informácie najmä o použitom postupe, ako aj o význame a predpokladaných dôsledkoch takéhoto spracúvania osobných údajov pre dotknutú osobu.
- Dotknutá osoba má právo byť informovaná o primeraných zárukách týkajúcich sa prenosu podľa § 48 ods. 2 až 4, ak sa osobné údaje prenášajú do tretej krajiny alebo medzinárodnej organizácii.
- Prevádzkovateľ je povinný poskytnúť dotknutej osobe jej osobné údaje, ktoré spracúva. Za opakované poskytnutie osobných údajov, o ktoré dotknutá osoba požiada, môže prevádzkovateľ účtovať primeraný poplatok zodpovedajúci administratívnym nákladom. Prevádzkovateľ je povinný poskytnúť osobné údaje dotknutej osobe spôsobom podľa jej požiadavky.
- Právo získať osobné údaje podľa odseku 3 nesmie mať nepriaznivé dôsledky na práva iných fyzických osôb.
K § 21
odsek 1 a odsek 2 Dotknutá osoba má právo vedieť, či prevádzkovateľ o nej spracúva osobné údaje a v prípade, že tomu tak je, má právo na prístup k týmto osobným údajom a tiež právo, aby jej prevádzkovateľ poskytol okrem ním spracúvaných osobných údajov o nej aj taxatívne zákonom stanovené ďalšie informácie. Takéto informácie poskytuje prevádzkovateľ až na základe žiadosti dotknutej osoby a v lehotách v tomto zákone stanovených. Ak prevádzkovateľ spracúva v súvislosti s dotknutou osobou veľké množstvo osobných údajov, môže požadovať, aby pred tým, ako dotknutej osobe poskytne požadované informácie, dotknutá osoba spresnila, ktorých informácií alebo spracovateľských činností sa jej žiadosť týka. Uplatnenie práva dotknutou osobou sa však nemôže stať podnetom ani dôvodom na konanie zo strany prevádzkovateľa, ktoré by dotknutej fyzickej osobe mohlo spôsobiť ujmu. V prípade, ak prevádzkovateľ prenáša osobné údaje dotknutej osoby do tretej krajiny alebo medzinárodnej organizácii má dotknutá osoba právo byť informovaná o primeraných zárukách týkajúcich sa týchto prenosov. odsek 3 a odsek 4 Prevádzkovateľ má poskytnúť dotknutej osobe na jej žiadosť kópiu jej osobných údajov, ktoré o nej spracúva, pokiaľ si dotknutá osoba vyžiadala viac ako jednu kópiu jej osobných údajov, tak druhé a každé ďalšie poskytnutie kópie osobných údajov môže prevádzkovateľ spoplatniť primeraným poplatkom, ktorý zodpovedá administratívnym nákladom na vyhotovenie takejto kópie alebo kópií. V prípade, ak dotknutá osoba požaduje zaslanie kópie jej údajov elektronicky, prevádzkovateľ jej informácie poskytne elektronicky, pokiaľ si dotknutá osoba nestanovila iný spôsob poskytnutia. Uvedené ustanovenie prevádzkovateľovi dáva možnosť zaviesť administratívny poplatok, v prípade, ak tak urobí, mal by jeho zavedenie prezentovať transparentne, aby dotknutá osoba mala k dispozícií informáciu, že druhá a nasledujúca kópia, ktorou prevádzkovateľ plní žiadosť dotknutej osoby je spoplatnená. Prevádzkovateľ by mal informáciu o spoplatnení, ako aj výšku poplatku uviesť jasne a zreteľne, najlepšie na svojom webovom sídle alebo inak tak, aby o tom bola dotknutá osoba informovaná. Vyžiadaním si kópie osobných údajov nesmie byť dotknuté právo inej fyzickej osoby. Vyššie uvedené nie je právom dotknutej osoby na poskytnutie samotných dokumentov, na základe ktorých dochádza k spracúvaniu osobných údajov prevádzkovateľom, t.j. je na posúdení samotného prevádzkovateľa v akej štrukturalizovanej forme poskytne osobné údaje pri dodržaní a splnení zákonných požiadaviek na transparentnosť poskytovaných informácii, oznámení a postupov plnenia informačnej povinnosti podľa tohto zákona.Druhý diel
Oprava a vymazanie a obmedzenie spracúvania osobných údajov
§ 22
Právo na opravu osobných údajov
Dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu opravil nesprávne osobné údaje, ktoré sa jej týkajú. So zreteľom na účel spracúvania osobných údajov má dotknutá osoba právo na doplnenie neúplných osobných údajov.K § 22
Dotknutá osoba má právo na opravu jej osobných údajov v informačných systémoch prevádzkovateľa. Spracúvanie nesprávnych osobných údajov dotknutej osoby môže dotknutej osobe spôsobiť ujmu majetkového aj nemajetkového charakteru; je v záujme dotknutej osoby, ako aj prevádzkovateľa, aby sa spracúvali vždy správne a aktuálne osobné údaje. Ak dotknutá osoba zistí, že osobné údaje, ktoré o nej prevádzkovateľ spracúva sú nesprávne, má ho o tom upovedomiť a požiadať, aby ich opravil a nesprávne osobné údaje zlikvidoval, pokiaľ nemá z iného osobitného zákona povinnosť aj nesprávne, teda skôr získané osobné údaje týkajúce sa dotknutej osoby archivovať. V prípade, ak dotknutá osoba zistí zrejmú nesprávnosť, tak môže aj formou listu, či osobnej návštevy prevádzkovateľa požiadať o opravu týchto nesprávnych údajov a už v rámci zaslaného listu, alebo osobnej návštevy u neho mu správne osobné údaje uviesť. V prípade, ak prevádzkovateľ z vlastnej činnosti zistí, že osobné údaje, ktoré o dotknutej osobe spracúva sú nesprávne, má ju o takomto svojom zistení vyrozumieť a požiadať, aby mu v ním stanovenej, prípadne v osobitnom zákone určenej lehote poskytla správne osobné údaje. Ďalšie uchovávanie osobných údajov týkajúcich sa dotknutej osoby by malo byť zákonné v prípadoch, keď je to potrebné na uplatnenie slobody prejavu a práva na informácie, na plnenie zákonnej povinnosti, na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi, z dôvodov verejného záujmu v oblasti verejného zdravia, na účely archivácie, na účely vedeckého alebo historického výskumu alebo na štatistické účely, alebo na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.§ 23
Právo na výmaz osobných údajov
- Dotknutá osoba má právo na to, aby prevádzkovateľ bez zbytočného odkladu vymazal osobné údaje, ktoré sa jej týkajú.
- Prevádzkovateľ je povinný bez zbytočného odkladu vymazať osobné údaje, ak dotknutá osoba uplatnila právo na výmaz podľa odseku 1, ak
- osobné údaje už nie sú potrebné na účel, na ktorý sa získali alebo inak spracúvali,
- dotknutá osoba odvolá súhlas podľa § 13 ods. 1 písm. a) alebo § 16 ods. 2 písm. a), na základe ktorého sa spracúvanie osobných údajov vykonáva a neexistuje iný právny základ pre spracúvanie osobných údajov,
- dotknutá osoba namieta spracúvanie osobných údajov podľa § 27 ods. 1 a neprevažujú žiadne oprávnené dôvody na spracúvanie osobných údajov alebo dotknutá osoba namieta spracúvanie osobných údajov podľa § 27 ods. 2,
- osobné údaje sa spracúvajú nezákonne,
- je dôvodom pre výmaz splnenie povinnosti podľa tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, alebo
- sa osobné údaje získavali v súvislosti s ponukou služieb informačnej spoločnosti podľa § 15 ods. 1.
- Ak prevádzkovateľ zverejnil osobné údaje a je povinný ich podľa odseku 1 vymazať, je zároveň povinný prijať primerané bezpečnostné opatrenia vrátane technických opatrení so zreteľom na dostupnú technológiu a náklady na ich vykonanie, za účelom informovania ostatných prevádzkovateľov, ktorí spracúvajú osobné údaje dotknutej osoby o jej žiadosti, aby títo prevádzkovatelia vymazali odkazy na jej osobné údaje a ich kópie alebo odpisy.
- Odseky 1 a 2 sa neuplatňujú, ak je spracúvanie osobných údajov potrebné
- na uplatnenie práva na slobodu prejavu alebo práva na informácie,
- na splnenie povinnosti podľa tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, alebo na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi,
- z dôvodov verejného záujmu v oblasti verejného zdravia v súlade s § 16 ods. 2 písm. h) až j),
- na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel podľa § 78 ods. 8, ak je pravdepodobné, že právo podľa odseku 1 znemožní alebo závažným spôsobom sťaží dosiahnutie cieľov takého spracúvania, alebo
- na uplatnenie právneho nároku.
K § 23
odsek 1 a odsek 2 Dotknutá osoba má právo na to, aby jej osobné údaje boli vymazané, zlikvidované a prestali sa spracúvať, ak je naplnený niektorý zo zákonných dôvodov stanovených v tomto zákone. Dotknutá osoba si toto právo na výmaz, likvidáciu jej osobných údajov, môže uplatniť u prevádzkovateľa. V prípade, ak právo dotknutej osoby bude opodstatnené niektorým zo zákonných dôvodov podľa tohto ustanovenia tohto zákona, má dotknutá osoba právo na dosiahnutie tohto práva u prevádzkovateľa. Zároveň v súlade so zásadou zákonnosti a zásadou zodpovednosti je prevádzkovateľ povinný pravidelne preverovať splnenie účelu spracúvania osobných údajov za účelom ich prípadného výmazu po splnení účelu spracúvania osobných údajov. odsek 3 Ak prevádzkovateľ zverejnil osobné údaje dotknutej osoby a vznikla mu povinnosť ich na základe žiadosti dotknutej osoby vymazať, je povinný zverejnené osobné údaje týkajúce sa dotknutej osoby s ohľadom na svoje technologické možnosti a na prostriedky, ktorými osobné údaje zverejnil, vymazať. V súlade s touto povinnosťou práva na výmaz alebo práva na zabudnutie vo vzťahu k online prostrediu, rozširuje sa právo na vymazanie pre dotknutú osobu aj tým, že prevádzkovateľ, ktorý osobné údaje dotknutej osoby zverejnil, je povinný informovať prevádzkovateľov, ktorí tieto osobné údaje tiež spracúvajú, o povinnosti ich tiež vymazať a taktiež vymazať všetky odkazy na tieto osobné údaje alebo kópie či repliky týchto osobných údajov. Pritom je prevádzkovateľ povinný prijať primerané kroky, pri zohľadnení dostupnej technológie a prostriedkoch spracúvania, ktoré má k dispozícii, vrátane technických opatrení na účely informovania prevádzkovateľov, ktorým osobné údaje poskytol a ktorí ich spracúvajú, že tieto osobné údaje sú povinní vymazať na základe predmetnej žiadosti dotknutej osoby. odsek 4 Právo na výmaz osobných údajov dotknutej osoby podľa odseku 1 a odseku 2 tohto zákona sa neuplatní, ak sa uplatní čo aj len jeden z taxatívne uvedených zákonných dôvodov, na základe ktorých je potrebné osobné údaje dotknutej osoby aj naďalej spracúvať. Takéto spracúvanie dotknutá osoba musí strpieť a nemôže proti takémuto spracúvaniu osobných údajov uplatniť právo na výmaz.§ 24
Právo na obmedzenie spracúvania osobných údajov
- Dotknutá osoba má právo na to, aby prevádzkovateľ obmedzil spracúvanie osobných údajov, ak
- dotknutá osoba namieta správnosť osobných údajov, a to počas obdobia umožňujúceho prevádzkovateľovi overiť správnosť osobných údajov,
- spracúvanie osobných údajov je nezákonné a dotknutá osoba namieta vymazanie osobných údajov a žiada namiesto toho obmedzenie ich použitia,
- prevádzkovateľ už nepotrebuje osobné údaje na účel spracúvania osobných údajov, ale potrebuje ich dotknutá osoba na uplatnenie právneho nároku, alebo
- dotknutá osoba namieta spracúvanie osobných údajov podľa § 27 ods. 1, a to až do overenia, či oprávnené dôvody na strane prevádzkovateľa prevažujú nad oprávnenými dôvodmi dotknutej osoby.
- Ak sa spracúvanie osobných údajov obmedzilo podľa odseku 1, okrem uchovávania môže osobné údaje prevádzkovateľ spracúvať len so súhlasom dotknutej osoby alebo za účelom uplatnenia právneho nároku, na ochranu osôb alebo z dôvodov verejného záujmu.
- Dotknutú osobu, ktorej spracúvanie osobných údajov sa obmedzí podľa odseku 1, je prevádzkovateľ povinný informovať pred tým, ako bude obmedzenie spracúvania osobných údajov zrušené.
K § 24
odsek 1 Taxatívne stanovuje prípady, kedy je prevádzkovateľ povinný rešpektovať právo dotknutej osoby a obmedziť spracúvanie jej osobných údajov, kedy prevádzkovateľ počas uplatnenia si obmedzenia spracúvania dotknutou osobou, osobné údaje dotknutej osoby nespracúva, ale ich blokuje, prípadne ich počas tejto doby iba uchováva. odsek 2 Ak prevádzkovateľ obmedzil na základe žiadosti dotknutej osoby spracúvanie osobných údajov tejto dotknutej osoby, môže prevádzkovateľ tieto osobné údaje, okrem uchovávania, spracúvať len so súhlasom dotknutej osoby, alebo na preukazovanie a obhajovanie právnych nárokov, alebo na ochranu práv inej fyzickej osoby alebo právnickej osoby, alebo z dôvodov dôležitého verejného záujmu stanoveného v osobitnom predpise so silou minimálne zákona. odsek 3 Ak dotknutá osoba dosiahla obmedzenie spracúvania jej osobných údajov prevádzkovateľa je prevádzkovateľ povinný ju vopred informovať pred tým, ako bude toto obmedzenie spracúvania zrušené.§ 25
Oznamovacia povinnosť v súvislosti s opravou, vymazaním alebo obmedzením spracúvania osobných údajov
- Prevádzkovateľ je povinný oznámiť príjemcovi opravu osobných údajov, vymazanie osobných údajov alebo obmedzenie spracúvania osobných údajov uskutočnené podľa § 22, § 23 ods. 1 alebo § 24, ak sa to neukáže ako nemožné alebo si to nevyžaduje neprimerané úsilie.
- Prevádzkovateľ o príjemcoch podľa odseku 1 informuje dotknutú osobu, ak to dotknutá osoba požaduje.
K § 25
Dotknutá osoba má právo, aby sa spracúvali len také jej osobné údaje, ktoré sú správne, nevyhnutné na dosiahnutie účelu a ich spracúvanie je založené na zákonnosti; v prípade ak došlo k oprave, vymazaniu alebo obmedzeniu spracúvania jej osobných údajov u prevádzkovateľa, a to bez ohľadu na to, či na základe žiadosti dotknutej osoby alebo na základe toho, že tak vykonal prevádzkovateľ z vlastnej činnosti je potrebné, aby o takejto oprave vymazaní alebo obmedzení spracúvania prevádzkovateľ informoval každého príjemcu, ktorému osobné údaje dotknutej osoby poskytol. Prevádzkovateľ nie je povinný informovať každého príjemcu, ak preukáže nemožnosť poskytnutia takejto informácie, alebo ak preukáže, že poskytnutie informácie si vyžaduje jeho neprimerané úsilie. Prevádzkovateľ je povinný o príjemcoch, ak to požaduje, informovať aj dotknutú osobu.Tretí diel
Právo na prenosnosť, právo namietať a automatizované individuálne rozhodovanie
§ 26
Právo na prenosnosť osobných údajov
- Dotknutá osoba má právo získať osobné údaje, ktoré sa jej týkajú a ktoré poskytla prevádzkovateľovi, v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte a má právo preniesť tieto osobné údaje ďalšiemu prevádzkovateľovi, ak je to technicky možné a ak
- sa osobné údaje spracúvajú podľa § 13 ods. 1 písm. a), § 16 ods. 2 písm. a) alebo § 13 ods. 1 písm. b) a
- b) spracúvanie osobných údajov sa vykonáva automatizovanými prostriedkami.
- Uplatnením práva uvedeného v odseku 1 nie je dotknuté právo podľa § 23. Právo na prenosnosť sa nevzťahuje na spracúvanie osobných údajov nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi.
- Právo podľa odseku 1 nesmie mať nepriaznivé dôsledky na práva iných osôb.
K § 26
odsek 1 S cieľom posilniť kontrolu nad vlastnými osobnými údajmi má dotknutá osoba v prípade, že sa spracúvanie osobných údajov vykonáva u prevádzkovateľa automatizovanými prostriedkami spracúvania, možnosť získať jej osobné údaje, ktoré poskytla prevádzkovateľovi v štruktúrovanom a interoperabilnom formáte a preniesť ich k ďalšiemu prevádzkovateľovi, a to bez toho, aby prvý prevádzkovateľ, ktorému ich poskytla, jej v tom akokoľvek bránil alebo ju v tomto práve obmedzoval. Toto platí v prípadoch, ak spracúvanie osobných údajov týkajúcich sa dotknutej osoby- je založené na súhlase so spracúvaním osobných údajov poskytnutom samotnou dotknutou osobou alebo ak je spracúvanie osobných údajov založené na zmluvnom vzťahu, ktorého je dotknutá osoba zmluvnou stranou;
- je vykonávané u prevádzkovateľa automatizovanými prostriedkami spracúvania.
§ 27
Právo namietať spracúvanie osobných údajov
- Dotknutá osoba má právo namietať spracúvanie jej osobných údajov z dôvodu týkajúceho sa jej konkrétnej situácie vykonávané podľa § 13 ods. 1 písm. e) alebo písm. f) vrátane profilovania založeného na týchto ustanoveniach. Prevádzkovateľ nesmie ďalej spracúvať osobné údaje, ak nepreukáže nevyhnutné oprávnené záujmy na spracúvanie osobných údajov, ktoré prevažujú nad právami alebo záujmami dotknutej osoby, alebo dôvody na uplatnenie právneho nároku.
- Dotknutá osoba má právo namietať spracúvanie osobných údajov, ktoré sa jej týkajú, na účel priameho marketingu vrátane profilovania v rozsahu, v akom súvisí s priamym marketingom. Ak dotknutá osoba namieta spracúvanie osobných údajov na účel priameho marketingu, prevádzkovateľ ďalej osobné údaje na účel priameho marketingu nesmie spracúvať.
- Prevádzkovateľ je povinný dotknutú osobu výslovne upozorniť na práva podľa odsekov 1 a 2 najneskôr pri prvej komunikácii s ňou, pričom informácia o tomto práve musí byť uvedená jasne a oddelene od akýchkoľvek iných informácií.
- V súvislosti s používaním služieb informačnej spoločnosti môže dotknutá osoba svoje právo namietať uplatňovať automatizovanými prostriedkami s použitím technických špecifikácií.
- Dotknutá osoba má právo namietať spracúvanie osobných údajov, ktoré sa jej týkajú, z dôvodov týkajúcich sa jej konkrétnej situácie, okrem prípadov, keď je spracúvanie osobných údajov nevyhnutné na plnenie úlohy z dôvodov verejného záujmu, ak sa osobné údaje spracúvajú na vedecký účel, na účel historického výskumu alebo na štatistický účel podľa § 78 ods. 8.
K § 27
odsek 1 Ak prevádzkovateľ spracúva osobné údaje dotknutej osoby na základe zákona, nakoľko je toto spracúvanie nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi alebo je spracúvanie nevyhnutné na účely oprávnených záujmov sledovaných prevádzkovateľom prípadne treťou stranou a ak nad takýmito záujmami neprevládajú záujmy a práva dotknutej osoby vyžadujúce si ochranu osobných údajov, najmä ak by šlo o ochranu osobných údajov spracúvaných o dieťati alebo ak ide o spracúvanie osobných údajov založených na profilovaní dotknutej osoby, spracúvanie takýchto osobných údajov má dotknutá osoba právo u prevádzkovateľa namietať. Na základe žiadosti dotknutej osoby, ktorá namieta spracúvanie osobných údajov prevádzkovateľ takto namietané spracúvané osobné údaje nesmie ďalej spracúvať, iba ak by preukázal nevyhnutnosť takéhoto spracúvania a oprávnené dôvody prevažujúce nad záujmami, právami dotknutej osoby alebo by šlo o dôvody, účely spracúvania osobných údajov dotknutej osoby, kedy by spracúvanie osobných údajov dotknutej osoby prevádzkovateľom bolo potrebné na uplatňovanie právnych nárokov. Právo namietať má dotknutá osoba najmä vtedy ak sa jej situácia súvisiaca so spracúvaním jej osobných údajov dotýka, teda ak sa domnieva, že spracúvanie vykonávané napríklad prevádzkovateľom na účely jeho oprávnených záujmov už obmedzuje jej práva alebo do nich zasahuje, napríklad obťažujúci marketing alebo notifikovanie dotknutej osoby zo strany prevádzkovateľa. odsek 2 až odsek 4 Dotknutá osoba má právo namietať, ak sa jej osobné údaje spracúvajú na účely priameho marketingu, alebo ak sa jej osobné údaje spracúvajú na účely priameho marketingu vykonávaného formou profilovania. Ak dotknutá osoba namietala spracúvanie osobných údajov na účely priameho marketingu alebo na účely priameho marketingu formou profilovania, tak prevádzkovateľ osobné údaje tejto dotknutej osoby už na takéto účely spracúvať nesmie. Na právo namietať spracúvanie osobných údajov podľa odseku 1 a odseku 2 je prevádzkovateľ povinný dotknutú osobu, už pri prvej komunikácii s ňou (t.j. ešte pred získaním osobných údajov od dotknutej osoby ako aj pred samotným spracúvaním osobných údajov tejto dotknutej osoby) jasne, zrozumiteľne a oddelene od iných informácií výslovne upozorniť tak, aby si tohto svojho práva namietať bola vedomá. Právo dotknutej osoby namietať v súvislosti s používaním služieb informačnej spoločnosti si môže dotknutá osoba uplatniť aj s využitím automatizovaných prostriedkov spracúvania s použitím technických špecifikácií (napr.: použitím na tento účel vytvorených aplikácií a pod.). odsek 5 Právo namietať spracúvanie osobných údajov má dotknutá osoby z dôvodov týkajúcich sa jej konkrétnej situácie, okrem prípadov ak sa jej osobné údaje spracúvajú na účely vedeckého výskumu alebo historického výskumu, na štatistické účely, ak sú dodržané primerané záruky pre jej práva ako dotknutej osoby, ktorými sa rozumie napríklad pseudonymizácia. Právo namietať spracúvanie osobných údajov na účely uvedené v tomto odseku dotknutá osoba nemá tiež ak je spracúvanie jej osobných údajov nevyhnutné na plnenie úlohy z dôvodov verejného záujmu podľa príslušného ustanovenia tohto zákona.§ 28
Automatizované individuálne rozhodovanie vrátane profilovania
- Dotknutá osoba má právo na to, aby sa na ňu nevzťahovalo rozhodnutie, ktoré je založené výlučne na automatizovanom spracúvaní osobných údajov vrátane profilovania a ktoré má právne účinky, ktoré sa jej týkajú alebo ju obdobne významne ovplyvňujú.
- Odsek 1 sa neuplatňuje, ak je rozhodnutie
- nevyhnutné na uzavretie zmluvy alebo plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom,
- vykonané na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, a v ktorých sú zároveň ustanovené aj vhodné opatrenia zaručujúce ochranu práv a oprávnených záujmov dotknutej osoby, alebo
- založené na výslovnom súhlase dotknutej osoby.
- V prípadoch podľa odseku 2 písm. a) a c) je prevádzkovateľ povinný vykonať vhodné opatrenia na ochranu práv a oprávnených záujmov dotknutej osoby, a to najmä práva na overenie rozhodnutia nie automatizovaným spôsobom zo strany prevádzkovateľa, práva vyjadriť svoje stanovisko a práva napadnúť rozhodnutie.
- Rozhodnutia podľa odseku 2 sa nesmú zakladať na osobitných kategóriách osobných údajov podľa § 16 ods. 1 okrem prípadov, ak sa uplatňuje § 16 ods. 2 písm. a) alebo písm. g) a súčasne sú zavedené vhodné opatrenia na zaručenie práv a oprávnených záujmov dotknutej osoby.
K § 28
odsek 1 Rozhodnutím založeným na automatizovanom spracúvaní osobných údajov je také rozhodnutie, ktoré je za využitia spracúvania osobných údajov dotknutej osoby vykonané a vydané bez zásahu človeka, napríklad posúdenie nároku na príspevok iba na základe zadania stanovených parametrov a následného automatizovaného vyhodnotenia nároku aplikáciou alebo na to určeným algoritmom. Ide o generovanie takého rozhodnutia zo strany prevádzkovateľa, ktoré je riadené algoritmom, to znamená, že sa vopred nastavia parametre, ktoré dotknutá osoba odovzdá a ktoré sa do algoritmu zadajú, vstupné dáta, následne celý proces vyhodnocovania prebehne bez ľudského zásahu, automatizovane. V praxi sa stretávame s takýmito postupmi čoraz častejšia napríklad pri vyhodnocovaní toho, či osoba spĺňa kritériá, napríklad, či má dostatočné príjmy na to, aby dosiahla na bankový produkt, zároveň algoritmus je schopný jej osobné údaje porovnať s osobnými údajmi ľudí v databázach, ktorí sú voči bankám dlžníkmi. Všetko je vykonávané automatizovane, na základe nastavenia algoritmov. Takto generované rozhodnutie môže mať na dotknutú osobu významný vplyv (najmä vo forme významného finančného a právneho dopadu, kedy na základe takéhoto rozhodnutia môžu byť dotknutej osobe zmenený jej finančný status k horšiemu, napríklad rozhodnutím o nepriznaní príspevku alebo o povinnosti zaplatiť pokutu a pod.) jej osobe uložené povinnosti alebo sa môže rozhodnúť o , nakoľko automatizovane sa rozhoduje o jej právach a prípadných povinnostiach. Na základe automatizovaného spracúvania osobných údajov týkajúcich sa dotknutej osoby bude vydané rozhodnutie, ktoré bude mať na dotknutú osobu zásadný vplyv a ktoré bude voči nej zakladať právne účinky, nezriedka aj s významným finančným, či osobným dopadom. Je preto potrebné zaistiť, aby dotknutá osoba mohla voči takémuto automatizovanému rozhodnutiu namietať a požiadať prevádzkovateľa o preverenie jeho výsledku, ktoré bude vykonané inak, ako algoritmom, teda automatizovane, najlepšie formou kontroly prostredníctvom oprávnenej osoby prevádzkovateľa; teda ľudským, neautomatizovaným, zásahom do inak automatizovanej schémy tvorby rozhodovania. odsek 2 a odsek 3 Dotknutá osoba nemá právo namietať automatizované individuálne rozhodovanie podľa odseku 1, ak je dané rozhodnutie nevyhnutné na uzavretie alebo plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom alebo ak je založené na výslovnom súhlase dotknutej osoby s takouto formou jeho spracúvania. Automatizované rozhodovanie zasahuje do práv dotknutej osoby vo veľkej miere je preto potrebné, aby boli práva dotknutej osoby zaistené a aby v prípadoch automatizovaného rozhodovania podľa tohto zákona mala dotknutá osoba právo sa voči takému automatizovanému rozhodovaniu vyjadriť a právo napadnúť dané rozhodnutie. V prípade, ak by sa dotknutá osoba musela automaticky takému rozhodnutiu podrobiť a nemohla by proti nemu protestovať, bol by to závažný a zásadný zásah do jej práv, ktorý by z hľadiska práv a povinností bol veľmi nevyvážený; zachovanie práva na vyjadrenie sa voči takémuto rozhodnutiu a právo voči nemu namietať, protestovať, je zákonné a posilňuje to dôveru dotknutej osoby v možnosti preverenia týchto typov spracúvania osobných údajov dotknutej osoby, ktoré môžu mať na dotknutú osobu vplyv. odsek 4 Rozhodnutie založené na automatizovanom spracúvaní osobných údajov, ktoré môže mať na dotknutú osobu významný vplyv a ktoré dotknuté osoby nemôžu namietať podľa odseku 2 tohto ustanovenia sa nesmie zakladať na spracúvaní osobitnej kategórie osobných údajov, iba v prípade, ak platí, že na spracúvanie osobitnej kategórie osobných údajov dala dotknutá osoba výslovný súhlas alebo je takéto spracúvanie nevyhnutné z dôvodov významného verejného záujmu na základe osobitného predpisu, alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, ktoré vzhľadom na sledovaný cieľ spracúvania osobných údajov rešpektujú práva dotknutých osôb, a stanovuje vhodné a konkrétne opatrenia na zabezpečenie práv dotknutých osôb.Štvrtý diel
Povinnosti prevádzkovateľa pri uplatňovaní práv dotknutej osoby
§ 29
- Prevádzkovateľ je povinný prijať vhodné opatrenia a poskytnúť dotknutej osobe informácie podľa § 19 a 20 a oznámenia podľa § 21 až 28 a 41, ktoré sa týkajú spracúvania jej osobných údajov, v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme, formulované jasne , a to najmä pri informáciách určených osobitne dieťaťu. Informácie je povinný poskytnúť v listinnej podobe alebo elektronickej podobe, spravidla v rovnakej podobe, v akej bola podaná žiadosť. Ak o to požiada dotknutá osoba, informácie môže prevádzkovateľ poskytnúť aj ústne, ak dotknutá osoba preukáže svoju totožnosť iným spôsobom.
- Prevádzkovateľ poskytuje súčinnosť dotknutej osobe pri uplatňovaní jej práv podľa § 21 až 28. V prípadoch uvedených v § 18 ods. 2 nemôže prevádzkovateľ odmietnuť konať na základe žiadosti dotknutej osoby pri výkone jej práv podľa § 21 až 28, ak nepreukáže, že dotknutú osobu nie je schopný identifikovať.
- Prevádzkovateľ je povinný poskytnúť dotknutej osobe informácie o opatreniach, ktoré sa prijali na základe jej žiadosti podľa § 21 až 28, do jedného mesiaca od doručenia žiadosti. Uvedenú lehotu môže prevádzkovateľ v odôvodnených prípadoch s ohľadom na komplexnosť a počet žiadostí predĺžiť o ďalšie dva mesiace, a to aj opakovane. Prevádzkovateľ je povinný informovať o každom takomto predĺžení dotknutú osobu do jedného mesiaca od doručenia žiadosti spolu s dôvodmi predĺženia lehoty. Ak dotknutá osoba podala žiadosť v elektronickej podobe, prevádzkovateľ poskytne informácie v elektronickej podobe, ak dotknutá osoba nepožiadala o poskytnutie informácie iným spôsobom.
- Ak prevádzkovateľ neprijme opatrenia na základe žiadosti dotknutej osoby, je povinný do jedného mesiaca od doručenia žiadosti, informovať dotknutú osobu o dôvodoch nekonania a o možnosti podať návrh podľa § 100 na úrad.
- Informácie podľa § 19 a 20 a oznámenia a opatrenia prijaté podľa § 21 až 28 a 41 sa poskytujú bezodplatne. Ak je žiadosť dotknutej osoby zjavne neopodstatnená alebo neprimeraná, najmä pre jej opakujúcu sa povahu, prevádzkovateľ môže
- požadovať primeraný poplatok zohľadňujúci administratívne náklady na poskytnutie informácií alebo primeraný poplatok zohľadňujúci administratívne náklady na oznámenie alebo primeraný poplatok zohľadňujúci administratívne náklady na uskutočnenie požadovaného opatrenia, alebo
- odmietnuť konať na základe žiadosti.
- Zjavnú neopodstatnenosť žiadosti alebo neprimeranosť žiadosti preukazuje prevádzkovateľ.
- Prevádzkovateľ môže požiadať o poskytnutie dodatočných informácií potrebných na potvrdenie totožnosti dotknutej osoby, ak má oprávnené pochybnosti o totožnosti fyzickej osoby, ktorá podáva žiadosť podľa § 21 až 27; ustanovenie § 18 tým nie je dotknuté.
- Informácie, ktoré sa majú poskytnúť dotknutej osobe podľa § 19 a 20, možno podať v kombinácii so štandardizovanými ikonami s cieľom poskytnúť dobre viditeľný, jasný a zrozumiteľný prehľad zamýšľaného spracúvania osobných údajov. Štandardizované ikony musia byť strojovo čitateľné, ak sú použité v elektronickej podobe.
- Informácie, ktoré majú byť obsiahnuté v štandardizovaných ikonách a postupy určovania štandardizovaných ikon, ustanoví všeobecne záväzný právny predpis, ktorý vydá úrad.
K § 29
odsek 1 Všetky informácie určené dotknutej osobe zo strany prevádzkovateľa jej majú byť poskytnuté v stručnej, ľahko prístupnej ľahko pochopiteľnej forme, formulované jasne a jednoducho, a ak je to vhodné a technicky možné aj ľahko zrakovo vnímateľné. Týka sa to najmä situácií, v ktorých veľký počet účastníkov a technologická zložitosť činnosti sťažujú dotknutej osobe zistiť a pochopiť, kým a na aké účely boli jej osobné údaje získané. Osobitne je potrebné, aby prevádzkovateľ uplatnil zásadu transparentnosti pri poskytovaní informácií deťom, ktorým je poskytovanie informácií potrebné prispôsobiť ich veku a rozumovým schopnostiam. Prevádzkovateľ tieto povinnosti môže splniť zverejnením adekvátnych informácií na svojom webovom sídle, ich fyzickou dostupnosťou v papierovej podobe vo priestoroch svojich pobočiek, ich distribúciou formou e-mailov alebo doručením poštou, prípadne priamym informovaním prostredníctvom svojich zamestnancov. Prevádzkovateľ môže skombinovať niekoľko foriem informovania dotknutých osôb tak, aby sa ich informovanosť zaručila aj viacerými spôsobmi súbežne. Transparentnosť informácií najmä pri uplatňovaní si práv dotknutej osoby je osobitne dôležitá. Ustanovenie taxatívne nestanovuje v akej forme má prevádzkovateľ informovanie dotknutej osoby vykonávať, o tom vzhľadom na spracovateľské operácie a svoje možnosti rozhoduje prevádzkovateľ sám, zákon mu iba stanovuje podmienky, ktoré je potrebné, aby pri plnení informačnej povinnosti dodržal. odsek 2 Prevádzkovateľ uľahčuje dotknutej osobe výkon jej práv, ak si ich voči nemu uplatňuje. V prípade ak prevádzkovateľ nevie identifikovať dotknutú osobu, ktorá si uplatní právo dotknutej osoby a ona mu poskytne osobné údaje na účely jej identifikácie a ľahšieho uplatnenia si svojich práv dotknutej osoby, nesmie prevádzkovateľ takúto jej iniciatívu odmietnuť, a to práve z dôvodu, že ide o uplatnenie si práv dotknutej osoby. Prevádzkovateľ nemôže vyhovieť právu dotknutej osoby iba vtedy, ak preukáže, že dotknutú osobu napriek svojej maximálne vynaloženej snahe, nie je schopný identifikovať. odsek 3 a odsek 4 Na základe žiadosti dotknutej osoby je prevádzkovateľ povinný konať a prijať adekvátne opatrenia, o ktorých je povinný dotknutú osobu informovať najneskôr do mesiaca od doručenia žiadosti dotknutej osoby. V odôvodnených prípadoch (napríklad zlučovanie podniku, prechod alebo prevod časti prevádzkovateľa na iného prevádzkovateľa v zmysle Obchodného zákonníka, kedy môže byť dočasne jeho informačné systémy paralyzované) môže prevádzkovateľ lehotu predĺžiť, a to o dva mesiace, pričom každé predĺženie lehoty je povinný dotknutej osobe oznámiť. S ohľadom na zásady spracúvania, ako aj transparentnosť postupov pri plnení si informačnej povinnosti by takéto predĺženie lehoty na plnenie si tejto informačnej povinnosti malo byť len zo závažných dôvodov na strane prevádzkovateľa, napríklad s ohľadom na časovú náročnosť prijatia primeraných a účinných bezpečnostných opatrení potrebných v súvislosti s uplatnením práva dotknutej osoby. Pokiaľ ide o spôsob konania a informovania zo strany prevádzkovateľa, ten by mal rešpektovať prostriedky, aké použila dotknutá osoba na podanie žiadosti, teda ak sa táto na prevádzkovateľa obrátila elektronicky, mal by jej odpovedať elektronicky, ak si dotknutá osoba nestanovila iný spôsob, ktorý jej vyhovuje viac. V prípade, že na základe žiadosti dotknutej osoby prevádzkovateľ nekonal, neprijal žiadne opatrenia, je povinný o tom dotknutú osobu informovať a taktiež jej uviesť dôvody, pre ktoré nekonal a tiež ju informovať o tom, že sa môže podať návrh na začatie konanie na úrad. odsek 5 a odsek 6 Žiadosť dotknutej osoby je prevádzkovateľ povinný vybaviť bezplatne. V prípade ak sú žiadosti dotknutej osoby opakujúceho sa charakteru a rovnakého obsahu alebo sú neprimerané a neopodstatnené a dotknutá osoba prípadne ani na základe výzvy prevádzkovateľa ich obsah nedoplní, prevádzkovateľ môže ich vybavenie spoplatniť, a to vo výške administratívnych nákladov potrebných na ich vybavenie, prípadne môže prevádzkovateľ odmietnuť na základe takejto žiadosti dotknutej osoby konať. Bremeno preukázania toho, že žiadosť dotknutej osoby bola neprimeraná alebo neopodstatnená znáša prevádzkovateľ. odsek 7 Ak sa na prevádzkovateľa so žiadosťou dotknutej osoby obráti taká dotknutá osoba, ktorú na základe poskytnutých údajov o nej nie je schopný prevádzkovateľ jednoznačne identifikovať je oprávnený, na účely riadneho vybavenia žiadosti dotknutej osoby ju požiadať o poskytnutie dodatočných, doplňujúcich informácií na účely potvrdenia jej totožnosti. odsek 8 Prevádzkovateľ môže informácie adresované dotknutej osobe podľa tohto zákona poskytnúť v písomnej podobe, ale taktiež formou štandardizovaných ikon, ktoré, ak sú použité v elektronickej podobe musia byť strojovo čitateľné. Ikony nemajú nahrádzať textovú informáciu, majú ju iba dopĺňať. odsek 9 Obsah informácií obsiahnutých v štandardizovaných ikonách ustanoví úrad, ak to bude potrebné, vo vykonávacom predpise.Piaty diel
Obmedzenia
§ 30
Obmedzenie práv dotknutej osoby
- Prevádzkovateľ alebo sprostredkovateľ môže za podmienok ustanovených osobitným predpisom alebo medzinárodnou zmluvou, ktorou je Slovenská republika viazaná, obmedziť rozsah povinností a práv podľa § 19 až 29 a podľa § 41, ako aj zásady podľa § 6 až 12, ak sa týkajú práv a povinností podľa § 19 až 29, ak je také obmedzenie ustanovené s cieľom zaistiť
- bezpečnosť Slovenskej republiky,
- obranu Slovenskej republiky,
- verejný poriadok,
- plnenie úloh na účely trestného konania,
- iné dôležité ciele všeobecného verejného záujmu Európskej únie alebo Slovenskej republiky, najmä predmet dôležitého hospodárskeho záujmu alebo dôležitého finančného záujmu Európskej únie alebo Slovenskej republiky vrátane peňažných, rozpočtových a daňových záležitostí, verejného zdravia alebo sociálneho zabezpečenia,
- ochranu nezávislosti súdnictva a súdnych konaní,
- predchádzanie porušeniu etiky v regulovaných povolaniach alebo regulovaných odborných činnostiach,
- monitorovaciu funkciu, kontrolnú funkciu alebo regulačnú funkciu spojenú s výkonom verejnej moci v prípadoch uvedených v písmenách a) až e) a g),
- ochranu práv dotknutej osoby alebo iných osôb,
- uplatnenie právneho nároku,
- hospodársku mobilizáciu.
- Prevádzkovateľ alebo sprostredkovateľ môže postupovať podľa odseku 1 len vtedy, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, ustanovuje aspoň
- účel spracúvania osobných údajov alebo kategóriu spracúvania osobných údajov,
- kategóriu osobných údajov,
- rozsah zavedeného obmedzenia,
- záruky zabraňujúce zneužitiu osobných údajov alebo nezákonnému prístupu alebo nezákonnému prenosu,
- určenie prevádzkovateľa alebo kategórií prevádzkovateľov,
- lehotu uchovávania a uplatniteľné záruky s ohľadom na povahu, rozsah a účel spracúvania osobných údajov alebo kategóriu spracúvania osobných údajov,
- riziká pre práva dotknutej osoby a
- práva dotknutej osoby na informovanie o obmedzení, ak tým nie je ohrozený účel obmedzenia.
K § 30
Práva dotknutej osoby nie sú absolútne a v demokratickej spoločnosti sú opatrenia, ktorými sa sleduje vyššie dobro, vyšší záujem a v prípade ktorých je možné za zákonom stanovených podmienok obmedziť aj právo konkrétnej dotknutej osoby. Obmedzenie práv dotknutej osoby je možné len na základe osobitného predpisu a len ak takéto obmedzenie rešpektuje podstatu základných práv a je nevyhnutným a primeraným opatrením v demokratickej spoločnosti s cieľom zaistiť v ustanovení taxatívne uvedené opatrenia, vyššie dobrá pre spoločnosť na úkor obmedzenia práva jednej dotknutej osoby. Takto je možné obmedziť rozsah práv a povinností dotknutej osoby v týchto oblastiach: a) informačnej povinnosti prevádzkovateľa, b) práv dotknutej osoby, ako právo na opravu, právo na vymazanie, právo na obmedzenie spracúvania, právo na prenosnosť údajov, právo namietať, právo namietať proti automatizovanému individuálnemu rozhodovaniu, vrátane profilovania, c) oznámenia porušenia ochrany osobných údajov dotknutej osoby, d) zásad spracúvania osobných údajov, ak súvisia s informačnou povinnosťou alebo právami dotknutej osoby. Na to, aby bolo obmedzenie práva dotknutej osoby možné, je potrebné, aby dôvody na základe ktorých sa má obmedzenie vykonať boli ustanovené v osobitných predpisoch a tieto boli dostatočne precizované čo do obsahu a popisu dôvodov, na základe ktorých je možné právo dotknutej osoby obmedziť. Odsek 1 výslovne a taxatívne uvádza situácie, kedy na základe tohto zákona je možné práva dotknutej osoby obmedziť na účely dosiahnutia vyššieho dobra v prospech spoločnosti alebo širšej skupiny ľudí. Odsek 2 stanovuje ako tieto podmienky musia byť v osobitnej právnej norme so silou minimálne zákona naformulované, aby boli ako podmienky obmedzenia práv dotknutej osoby zákonné.TRETIA HLAVA
Práva a povinnosti prevádzkovateľa a sprostredkovateľa
Prvý diel
Všeobecné povinnosti prevádzkovateľa a sprostredkovateľa
§ 31
Prevádzkovateľ
- S ohľadom na povahu, rozsah, a účel spracúvania osobných údajov a na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva fyzickej osoby je prevádzkovateľ povinný prijať vhodné technické a organizačné opatrenia na zabezpečenie a preukázanie toho, že spracúvanie osobných údajov sa vykonáva v súlade s týmto zákonom. Uvedené opatrenia je prevádzkovateľ povinný podľa potreby aktualizovať.
- Opatrenia podľa odseku 1 zahŕňajú zavedenie primeraných postupov ochrany osobných údajov zo strany prevádzkovateľa, ak je to vzhľadom na spracovateľské činnosti primerané.
- Na preukázanie splnenia povinností podľa odseku 1 môže prevádzkovateľ použiť schválený kódex správania podľa § 85 alebo certifikát podľa § 86.
- Prevádzkovateľ je povinný pravidelne preverovať trvanie účelu spracúvania osobných údajov a po jeho splnení bez zbytočného odkladu zabezpečiť výmaz osobných údajov; to neplatí, ak osobné údaje sú súčasťou registratúrneho záznamu.[17])
- Prevádzkovateľ zabezpečuje vyradenie registratúrneho záznamu, ktorý obsahuje osobné údaje, podľa osobitného predpisu.[18])
K § 31
Zákonodarca stanovuje povinnosti a zodpovednosť prevádzkovateľa v súvislosti so spracúvaním osobných údajov, ktoré prevádzkovateľ vykonáva sám, spoločne s iným prevádzkovateľom alebo ktoré vykonáva v jeho mene prostredníctvom sprostredkovateľa. Prevádzkovateľ nesie zodpovednosť za zákonné spracúvanie osobných údajov. Je povinný prijať primerané a účinné opatrenia a má povinnosť vedieť preukázať súlad spracúvania s týmto zákonom, ako aj účinnosť a primeranosť ním prijatých opatrení na ochranu spracúvaných osobných údajov. Prevádzkovateľ je povinný vytvoriť také podmienky fungovania ním prevádzkovaných informačných systémov, ktoré zaručia ochranu osobných údajov pred ich poškodením, zničením, stratou, zmenou, neoprávneným prístupom, zneužitím a sprístupnením, poskytnutím alebo zverejnením, ako aj pred akýmikoľvek inými neprípustnými spôsobmi spracúvania. Na preukázanie súladu postupov prevádzkovateľa s týmto zákonom prevádzkovateľovi môžu slúžiť úradom schválené kódexy správania, ku ktorým môže pristúpiť a deklarovať tak splnenie istého štandardu ochrany osobných údajov alebo certifikát vydaný úradom alebo certifikačným subjektom. Iným opatrením prevádzkovateľa, ako môže zaistiť bezpečnosť spracúvaných osobných údajov je, že bude pravidelne vykonávať preverovania spracúvaných osobných údajov s ohľadom na trvanie ich účelu a toho, či bol účel spracúvania už dosiahnutý, alebo nie, v prípade ak sa tak stalo má tiež pravidelne kontrolovať a vykonávať preverovanie a prípadnú potrebu vyraďovania záznamov z registratúrneho strediska, prípadne ich zaraďovanie do predarchívnej a následne archívnej starostlivosti. Prevádzkovateľ je tiež na zaistenie bezpečnosti a na prijatie svojej zodpovednosti a deklarovania plnenia opatrení povinný prijať adekvátne politiky ochrany osobných údajov smerom dovnútra aj navonok, ktoré možno považovať za jednu z foriem bezpečnostných opatrení, najmä po organizačnej a personálnej stránke.§ 32
Špecificky navrhnutá a štandardná ochrana osobných údajov
- Prevádzkovateľ je povinný pred spracúvaním osobných údajov zaviesť a počas spracúvania osobných údajov mať zavedenú špecificky navrhnutú ochranu osobných údajov, ktorá spočíva v prijatí primeraných technických a organizačných opatrení, najmä vo forme pseudonymizácie, na účinné zavedenie primeraných záruk ochrany osobných údajov a dodržiavanie základných zásad podľa § 6 až 12.
- Prevádzkovateľ je povinný pri špecificky navrhnutej ochrane osobných údajov podľa odseku 1 zohľadniť najnovšie poznatky ochrany osobných údajov, náklady na vykonanie opatrení podľa odseku 1, povahu, rozsah, kontext a účel spracúvania osobných údajov a riziká spracúvania osobných údajov s rôznou pravdepodobnosťou a závažnosťou, ktoré spracúvanie osobných údajov predstavuje pre práva dotknutej osoby.
- Prevádzkovateľ je povinný zaviesť štandardnú ochranu osobných údajov, ktorá spočíva v prijatí primeraných technických a organizačných opatrení na zabezpečenie spracúvania osobných údajov len na konkrétny účel, minimalizácie množstva získaných osobných údajov a rozsahu ich spracúvania, doby uchovávania a dostupnosti osobných údajov. Prevádzkovateľ je povinný zabezpečiť, aby osobné údaje neboli bez zásahu fyzickej osoby štandardne prístupné neobmedzenému počtu fyzických osôb.
- Na preukázanie splnenia povinností podľa odsekov 1 až 3 môže prevádzkovateľ použiť certifikát podľa § 86.
K § 32
Prevádzkovateľ by mal nastaviť procesy a postupy ochrany osobných údajov a ich spracúvania, ktoré budú spĺňať najmä zásady špecificky navrhnutej ochrany údajov a štandardnej ochrany údajov. Prevádzkovateľ je povinný prijať zodpovedajúci stupeň bezpečnostných opatrení (primerané a účinné opatrenia) k jednotlivým zisteným rizikám, ktoré súvisia so spracúvaním osobných údajov, na ich zmiernenie. Takýmito opatreniami sú štandardné bezpečnostné technické a organizačné opatrenia, ako napríklad pseudonymizácia osobných údajov, šifrovanie, logovanie, minimalizácia údajov, poučenie osôb vykonávajúcich spracovateľské operácie, prístupová a kľúčová politika zohľadňujúca dôvernosť osobných údajov, zaistenie kontinuity spracúvania osobných údajov v prípade bezpečnostných incidentov a havárii, mlčanlivosť zamestnancov. Zároveň zákon zakotvuje požiadavku, aby prevádzkovateľ vo vzťahu k jeho spracovateľským operáciám a rizikám, prijal takú špecificky navrhnutú ochranu osobných údajov zohľadňujúcu technické ako aj organizačné bezpečnostné opatrenia, ktorá zodpovedá najnovším poznatkom pri zohľadnení výšky nákladov a možností prevádzkovateľa na prijatie a vykonávanie týchto bezpečnostných opatrení. Táto požiadavka by sa mala zohľadniť najmä vo vzťahu k aplikáciám, službám a produktom, ktoré sú založené na spracúvaní osobných údajov, nakoľko je takúto ochranu a bezpečnostné opatrenia prevádzkovateľ povinný aplikovať a navrhovať už v čase, keď spracovateľskú operáciu kreuje, alebo určuje budúci účel spracúvania osobných údajov. Platí, že špecificky navrhnutá ochrana osobných údajov sa musí uplatniť na všetky spracovateľské činnosti v rámci produktového vybavenia zahŕňajúce spracúvanie osobných údajov, pokiaľ ide o už existujúce, tak je nevyhnutné, aby prevádzkovateľ vykonal všetky opatrenia na prijatie takýchto bezpečnostných opatrení, no s ohľadom na technické možnosti. Stupeň špecifickej a štandardnej ochrany osobných údajov prijatý prevádzkovateľom môže deklarovať napríklad pristúpením k schválenému kódexu správania alebo certifikátu.§ 33
Spoloční prevádzkovatelia
- Spoločnými prevádzkovateľmi sú dvaja prevádzkovatelia alebo viacerí prevádzkovatelia, ktorí si dohodou určia účel a prostriedky spracúvania osobných údajov. V dohode sú zároveň povinní transparentne určiť zodpovednosť každého z nich za plnenie povinností a úloh podľa tohto zákona, najmä ak ide o vykonávanie práv dotknutej osoby, a svoje povinnosti poskytovať informácie podľa § 19 a 20, ak nie sú tieto povinnosti prevádzkovateľa ustanovené osobitným predpisom alebo medzinárodnou zmluvou, ktorou je Slovenská republika viazaná. V dohode sa tiež určí kontaktné miesto pre dotknutú osobu.
- Základné náležitosti dohody podľa odseku 1 je prevádzkovateľ povinný poskytnúť dotknutej osobe, a to najmä identifikáciu zmluvných strán, predmet zmluvy, dobu platnosti zmluvy, ustanovenia upravujúce výkon práv dotknutej osoby, povinnosti prevádzkovateľov poskytovať informácie podľa § 19 a 20 a kontaktné miesto pre dotknutú osobu.
- Bez ohľadu na podmienky dohody podľa odseku 1 môže dotknutá osoba uplatniť svoje práva u každého prevádzkovateľa a voči každému prevádzkovateľovi.
K § 33
Pokiaľ nie je podiel zodpovednosti spoločných prevádzkovateľov určený osobitným predpisom, zaväzuje toto ustanovenie dvoch a viacerých prevádzkovateľov, ktorí spoločne určili účel a podmienky spracúvania osobných údajov, upraviť vzájomné zodpovednostné vzťahy pri plnení práv a povinností podľa tohto zákona vzájomnou dohodou, zmluvou. V dohode sú spoloční prevádzkovatelia povinní určiť kontaktné miesto pre dotknutú osobu, ktorej osobné údaje spracúvajú a poskytnúť tejto dotknutej osobe základné časti tejto dohody, najmä identifikáciu jednotlivých prevádzkovateľov, predmet zmluvy, ustanovenia upravujúce delenie ich vzájomných právomocí vo vzťahu k dotknutej osoby a jej osobným údajov, v dohode tiež musia uviesť a stanoviť kontaktné miesto, kde si dotknutá osoba môže uplatniť svoje práva. Dohoda spoločných prevádzkovateľov má mať takú formu, aby jej existenciu vedeli hodnoverne preukázať, môže byť písomná, uzatvorená elektronicky alebo inak tak, aby v prípade pochybností jej existenciu mohol každý z prevádzkovateľov preukázať, ako aj splnenie si prístupu a poskytnutia informácií dotknutej osobe. Bez ohľadu na rozdelenie zodpovednosti spoločnými prevádzkovateľmi v ich vzájomnej dohode, zmluve, dotknutá osoba má právo uplatniť si svoje právo u každého prevádzkovateľa a svoj nárok voči každému prevádzkovateľovi.§ 34
Sprostredkovateľ
- Ak sa má spracúvanie osobných údajov uskutočniť v mene prevádzkovateľa, prevádzkovateľ môže poveriť len sprostredkovateľa, ktorý poskytuje dostatočné záruky na prijatie primeraných technických a organizačných opatrení tak, aby spracúvanie osobných údajov spĺňalo požiadavky tohto zákona a aby sa zabezpečila ochrana práv dotknutej osoby. Na poverenie sprostredkovateľa spracúvaním osobných údajov podľa prvej vety sa súhlas dotknutej osoby nevyžaduje.
- Sprostredkovateľ nesmie poveriť spracúvaním osobných údajov ďalšieho sprostredkovateľa bez predchádzajúceho osobitného písomného súhlasu prevádzkovateľa alebo všeobecného písomného súhlasu prevádzkovateľa. Sprostredkovateľ je povinný vopred informovať prevádzkovateľa o poverení ďalšieho sprostredkovateľa, ak sa poverenie vykonalo na základe všeobecného písomného súhlasu.
- Spracúvanie osobných údajov sprostredkovateľom sa riadi zmluvou alebo iným právnym úkonom, ktorý zaväzuje sprostredkovateľa voči prevádzkovateľovi a v ktorom je ustanovený predmet a doba spracúvania, povaha a účel spracúvania, zoznam alebo rozsah osobných údajov, kategórie dotknutých osôb a povinnosti a práva prevádzkovateľa. V zmluve alebo inom právnom úkone sa musí najmä ustanoviť, že sprostredkovateľ je povinný
- spracúvať osobné údaje len na základe písomných pokynov prevádzkovateľa, a to aj vtedy, ak ide o prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii okrem prenosu na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná; sprostredkovateľ je pri takom prenose povinný oznámiť prevádzkovateľovi túto požiadavku pred spracúvaním osobných údajov, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, takéto oznámenie nezakazuje z dôvodov verejného záujmu,
- zabezpečiť, aby sa osoby oprávnené spracúvať osobné údaje zaviazali, že zachovajú mlčanlivosť o informáciách, o ktorých sa dozvedeli, ak nie sú viazané povinnosťou mlčanlivosti podľa osobitného zákona,15)
- vykonať opatrenia podľa § 39,
- dodržiavať podmienky zapojenia ďalšieho sprostredkovateľa podľa odsekov 2 a 5,
- po zohľadnení povahy spracúvania osobných údajov v čo najväčšej miere poskytnúť súčinnosť prevádzkovateľovi vhodnými technickými a organizačnými opatreniami pri plnení jeho povinnosti prijímať opatrenia na základe žiadosti dotknutej osoby podľa druhej časti druhej hlavy,
- poskytnúť súčinnosť prevádzkovateľovi pri zabezpečovaní plnenia povinností podľa § 39 až 43 s prihliadnutím na povahu spracúvania osobných údajov a informácie dostupné sprostredkovateľovi,
- vymazať osobné údaje alebo vrátiť prevádzkovateľovi osobné údaje po ukončení poskytovania služieb týkajúcich sa spracúvania osobných údajov na základe rozhodnutia prevádzkovateľa a vymazať existujúce kópie, ktoré obsahujú osobné údaje, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, nepožaduje uchovávanie týchto osobných údajov,
- po ukončení poskytovania služieb týkajúcich sa spracúvania osobných údajov na základe rozhodnutia prevádzkovateľa osobné údaje vymazať alebo vrátiť prevádzkovateľovi a vymazať existujúce kópie, ktoré obsahujú osobné údaje, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, nepožaduje uchovávanie týchto osobných údajov,
- poskytnúť prevádzkovateľovi informácie potrebné na preukázanie splnenia povinností a poskytnúť súčinnosť v rámci auditu ochrany osobných údajov a kontroly zo strany prevádzkovateľa alebo audítora, ktorého poveril prevádzkovateľ.
- Sprostredkovateľ je povinný bez zbytočného odkladu informovať prevádzkovateľa, ak má za to, že sa pokynom prevádzkovateľa porušuje tento zákon, osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, ktoré sa týkajú ochrany osobných údajov.
- Ak sprostredkovateľ zapojí do vykonávania osobitných spracovateľských činností v mene prevádzkovateľa ďalšieho sprostredkovateľa, tomuto ďalšiemu sprostredkovateľovi v zmluve alebo iného právneho úkonu je povinný uložiť rovnaké povinnosti týkajúce sa ochrany osobných údajov ako sú ustanovené v zmluve alebo v inom právnom úkone medzi prevádzkovateľom a sprostredkovateľom podľa odseku 3, a to najmä poskytnutie dostatočných záruk na prijatie primeraných technických a organizačných opatrení tak, aby spracúvanie osobných údajov spĺňalo požiadavky tohto zákona. Zodpovednosť voči prevádzkovateľovi nesie pôvodný sprostredkovateľ, ak ďalší sprostredkovateľ nesplní svoje povinnosti týkajúce sa ochrany osobných údajov.
- Sprostredkovateľ môže preukázať splnenie dostatočných záruk uvedených v odsekoch 1 a 5 schváleným kódexom správania podľa § 85 alebo certifikátom podľa § 86.
- Zmluva alebo iný právny úkon podľa odsekov 3 a 5 sa musí uzatvoriť v listinnej podobe alebo elektronickej podobe.
- Sprostredkovateľ, ktorý porušil tento zákon tým, že určí účel a prostriedky spracúvania osobných údajov, sa považuje v súvislosti s týmto spracúvaním osobných údajov za prevádzkovateľa; ustanovenie § 38 a § 104 až 106 tým nie je dotknuté.
K § 34
V prípade, ak sa prevádzkovateľ rozhodne vykonávať svoje spracovateľské činnosti prostredníctvom inej osoby, je povinný takúto inú osobu, sprostredkovateľa, poveriť na základe zmluvy, plnej moci, poverenia či iného právneho aktu podľa osobitného predpisu. Poverenie je chápané ako samostatný právny úkon, alebo ako súčasť iného právneho aktu zakladajúceho práva a povinnosti, napríklad zmluvy. Takto poverený sprostredkovateľ vykonáva spracovateľské činnosti len na základe pokynov prevádzkovateľa a v jeho mene v súlade s týmto zákonom. Zmluva v súlade so zákonom musí obsahovať najmä predmet a dobu spracúvania, podmienky a účel spracúvania, zoznam alebo rozsah a typ osobných údajov, kategóriu dotknutých osôb, povinnosti a práva prevádzkovateľa a ďalšie náležitosti podľa tohto zákona. V prípade, ak osoba vykonáva spracovateľské činnosti v mene inej osoby, prevádzkovateľa, bez poverenia týmto prevádzkovateľom podľa tohto zákona, táto osoba má postavenie prevádzkovateľa a všetky povinnosti a zodpovednosti z tohto zákona plynúce prevádzkovateľovi. Prevádzkovateľ má poverovať spracúvaním osobných údajov vo svojom mene len takých sprostredkovateľov, jednotlivo, alebo istú kategóriu sprostredkovateľov, ktorí poskytujú dostatočné záruky, a to najmä pokiaľ ide o odborné znalosti, spoľahlivosť a zdroje na to, že prijmú technické a organizačné opatrenia, ktoré budú spĺňať požiadavky tohto zákona, iného osobitného zákona vrátane požiadavky bezpečnosti spracúvania. Prevádzkovateľ nemôže zveriť spracúvanie osobných údajov sprostredkovateľovi, ak by tým mohli byť ohrozené práva a právom chránené záujmy dotknutých osôb. Ako prvok na preukázanie súladu s povinnosťami prevádzkovateľa sa môže použiť dodržiavanie úradom schváleného kódexu správania alebo certifikátu vydaného sprostredkovateľovi. Nakoľko osobami oprávnenými spracúvať osobné údaje sú výlučne prevádzkovateľ a sprostredkovateľ, je nevyhnutné, aby sprostredkovateľ, takisto ako prevádzkovateľ rešpektoval a dodržiaval právo fyzických osôb, a to právo na ochranu súkromia a ochranu osobných údajov patriacich medzi práva a slobody garantované Ústavou Slovenskej republiky. Toto ustanovenie zaväzuje sprostredkovateľa, aby sa pri výkone spracúvania riadil zmluvou alebo osobitným predpisom, ktorým je viazaný voči prevádzkovateľovi a v ktorých sa stanovuje predmet a doba spracúvania, povaha a účely spracúvania, typ osobných údajov a kategórie dotknutých osôb. Ak bol sprostredkovateľ poverený spracúvaním osobných údajov, rozumie sa tým kontinuálny prechod spracúvania osobných údajov na sprostredkovateľa. Sprostredkovateľ vykonáva všetky úkony smerujúce na dosiahnutie účelu spracúvania v mene prevádzkovateľa. Pokiaľ sprostredkovateľ zamýšľa zapojiť do spracúvania ďalšieho sprostredkovateľa, tzv. subdodávateľa, je povinný disponovať predchádzajúcim písomným osobitným alebo všeobecným povolením, schválením zo strany prevádzkovateľa, že takéto zapojenie ďalšieho subjektu do spracúvania je možné. Ustanovenia upravujúce požiadavky na vzťah medzi prevádzkovateľom a sprostredkovateľom podľa tohto zákona sa obdobne použijú na vzťah medzi sprostredkovateľom a ďalším sprostredkovateľom (subdodávateľom). V súlade so zásadou zodpovednosti za spracúvanie osobných údajov zodpovedá vždy prevádzkovateľ, t. j. aj za spracúvanie osobných údajov sprostredkovateľom, prípadne ďalším sprostredkovateľom (subdodávateľom). Sprostredkovateľ za spracúvanie osobných údajov dohodnutým spôsobom zodpovedá prevádzkovateľovi; v prípade ak je ustanovený ďalší sprostredkovateľ (subdodávateľ), tak tento zodpovedá sprostredkovateľovi. Sprostredkovateľ pri spracúvaní osobných údajov v mene prevádzkovateľa sám zodpovedá len za tie povinnosti, ktoré sú sprostredkovateľovi týmto zákonom priamo uložené, napríklad vedenie záznamov o spracovateľských činnostiach, poskytovanie súčinnosti úradu podľa tohto zákona alebo osobitného predpisu, povinnosť prijatia primeraných a účinných bezpečnostných opatrení, povinnosť oznámenia porušenia ochrany osobných údajov prevádzkovateľovi, povinnosť určiť zodpovednú osobu, v osobitných prípadoch povinnosť dodržiavať schválené kódexy správania, vydaný certifikát, či prípadne udelenú akreditáciu a dodržiavať podmienky pri prenosoch osobných údajov. Ak sa sprostredkovateľ odchýli od pokynov prevádzkovateľa alebo bude spracúvanie osobných údajov vykonávať inak, ako bolo dohodnuté, najmä však rozšíri alebo zúži účel spracúvania alebo ho inak pozmení stáva sa na účely tohto zákona sám prevádzkovateľom a zodpovedá aj za prípadné škody, ktoré takýmto spracúvaním dotknutým osobám vzniknú. Po ukončení spracúvania v mene prevádzkovateľa má sprostredkovateľ podľa rozhodnutia prevádzkovateľa vrátiť alebo vymazať osobné údaje, pokiaľ podľa osobitného predpisu neexistuje požiadavka na ich uchovanie.§ 35
Zástupca prevádzkovateľa alebo zástupca sprostredkovateľa
- Prevádzkovateľ alebo sprostredkovateľ, ktorý nemá sídlo, organizačnú zložku, prevádzkareň alebo trvalý pobyt v členskom štáte, je povinný písomne poveriť svojho zástupcu na území členského štátu, ak vykonáva spracúvanie osobných údajov dotknutej osoby, ktorá sa nachádza na území Slovenskej republiky, pričom spracovateľská činnosť súvisí
- s ponukou tovaru alebo služieb tejto dotknutej osobe na území Slovenskej republiky bez ohľadu na to, či sa od dotknutej osoby vyžaduje platba alebo nie, alebo
- so sledovaním ich správania na území Slovenskej republiky.
- Povinnosť podľa odseku 1 sa nevzťahuje na
- spracúvanie osobných údajov, ktoré je občasné, nezahŕňa vo veľkom rozsahu spracúvanie osobitných kategórií osobných údajov podľa § 16 ods. 1 alebo spracúvanie osobných údajov týkajúcich sa uznania viny za spáchanie trestného činu alebo priestupku podľa § 17, a nie je pravdepodobné, že s ohľadom na povahu, kontext, rozsah alebo účel spracúvania povedie k riziku pre práva fyzických osôb, alebo
- orgán verejnej moci alebo verejnoprávnu inštitúciu.
- Úrad a dotknutá osoba môžu požadovať informácie týkajúce sa spracúvania osobných údajov na účely zabezpečenia súladu s týmto zákonom okrem prevádzkovateľa a sprostredkovateľa aj zástupcu prevádzkovateľa alebo zástupcu sprostredkovateľa.
- Poverením zástupcu prevádzkovateľom alebo sprostredkovateľom nie je dotknuté právo dotknutej osoby na podanie návrhu na začatie konania podľa § 100 ani na inú právnu ochranu podľa osobitného predpisu,[19]) ktoré možno uplatniť proti prevádzkovateľovi alebo sprostredkovateľovi.
K § 35
odsek 1 Ak prevádzkovateľ alebo sprostredkovateľ nemá sídlo, miesto podnikania, organizačnú zložku, prevádzkareň alebo trvalý pobyt na území Únie, a vykonáva spracovateľské činnosti, ktoré súvisia s ponukou tovaru alebo služieb dotknutým osobám nachádzajúcimi sa na území Slovenskej republiky bez ohľadu na to, či sa od dotknutej osoby vyžaduje platba, alebo vykonávané spracúvanie súvisí so sledovaním správania dotknutých osôb nachádzajúcich sa na území Slovenskej republiky, je tento prevádzkovateľ alebo sprostredkovateľ povinný písomne poveriť zástupcu so sídlom alebo trvalým pobytom na území jedného z členských štátov Únie. odsek 2 Ak spracúvanie osobných údajov vykonáva prevádzkovateľ alebo sprostredkovateľ povinnosť ustanoviť zástupcu prevádzkovateľa v členskom štáte Európskej únie sa ho netýka, ak je ním vykonávané spracúvanie osobných údajov občasné a nezahŕňa vo veľkom rozsahu spracúvanie osobitných kategórií osobných údajov alebo spracúvanie osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky, a nie je pravdepodobné, že takéto jeho spracúvanie povedie k riziku pre práva fyzických osôb, pričom sa zohľadní povaha, kontext, rozsah a účely spracúvania. Ak spracúvanie osobných údajov vykonáva prevádzkovateľ alebo sprostredkovateľ povinnosť ustanoviť zástupcu prevádzkovateľa v členskom štáte Európskej únie sa ho netýka, ak ide o orgán verejnej moci alebo verejnoprávnu inštitúciu. odsek 3 Zástupca koná v mene prevádzkovateľa alebo sprostredkovateľa a úrad a dotknuté osoby sa môžu naňho kedykoľvek obrátiť. Uvedené má byť výslovne určené písomným poverením prevádzkovateľa alebo sprostredkovateľa. V tomto poverení prevádzkovateľ alebo sprostredkovateľ určí svojmu zástupcovi jeho úlohy, okrem iného aj spoluprácu s úradom, a to v súvislosti s opatreniami prijatými na zabezpečenie súladu s týmto zákonom. odsek 4 Zodpovednosť alebo povinnosť prevádzkovateľa alebo sprostredkovateľa podľa tohto zákona poverením zástupcu zostáva zachovaná, tak ako aj právo dotknutej osoby podať návrh na začatie konania podľa § 101 tohto zákona. Tiež zostáva zachované právo na právnu ochranu dotknutej osoby a postup podľa Správneho súdneho poriadku, ktoré dotknutá osoba môže uplatniť proti samotnému prevádzkovateľovi alebo sprostredkovateľovi a nie ich zástupcovi.§ 36
Spracúvanie osobných údajov pod dohľadom prevádzkovateľa alebo sprostredkovateľa
Sprostredkovateľ a každá osoba konajúca za prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, môže spracúvať tieto osobné údaje len na základe pokynov prevádzkovateľa alebo podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.K § 36
Sprostredkovateľ a každá osoba konajúca na základe zmluvy alebo iného právneho aktu, napríklad poverenia prevádzkovateľom alebo sprostredkovateľom, majúca na základe tejto zmluvy alebo poverenia prístup k osobným údajom, môže tieto spracúvať len na základe daných pokynov alebo poverenia prevádzkovateľa alebo sprostredkovateľa alebo podľa osobitného predpisu, alebo medzinárodnej zmluvy ktorou je Slovenská republika viazaná ak osobitný zákon alebo zmluva stanovuje konkrétne podmienky spracúvania.§ 37
Záznamy o spracovateľských činnostiach
- Prevádzkovateľ a zástupca prevádzkovateľa, ak bol poverený, je povinný viesť záznam o spracovateľských činnostiach, za ktoré je zodpovedný. Tento záznam musí obsahovať
- identifikačné údaje a kontaktné údaje prevádzkovateľa, spoločného prevádzkovateľa, zástupcu prevádzkovateľa, ak bol poverený a zodpovednej osoby,
- účel spracúvania osobných údajov,
- opis kategórií dotknutých osôb a kategórií osobných údajov,
- kategórie príjemcov vrátane príjemcu v tretej krajine alebo medzinárodnej organizácií,
- označenie tretej krajiny alebo medzinárodnej organizácie, ak prevádzkovateľ zamýšľa prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii a dokumentáciu o primeraných zárukách, ak prevádzkovateľ zamýšľa prenos podľa § 51 ods. 1 a 2,
- predpokladané lehoty na vymazanie rôznych kategórií osobných údajov,
- všeobecný opis technických a organizačných bezpečnostných opatrení podľa § 39 ods. 1.
- Sprostredkovateľ a zástupca sprostredkovateľa, ak bol poverený, je povinný viesť záznam o kategóriách spracovateľských činností, ktoré vykonal v mene prevádzkovateľa. Tento záznam musí obsahovať
- identifikačné údaje a kontaktné údaje sprostredkovateľa a prevádzkovateľa, v mene ktorého sprostredkovateľ koná, zástupcu prevádzkovateľa alebo sprostredkovateľa, ak bol poverený a zodpovednej osoby,
- kategórie spracúvania osobných údajov vykonávaného v mene každého prevádzkovateľa,
- označenie tretej krajiny alebo medzinárodnej organizácie, ak prevádzkovateľ zamýšľa prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii a dokumentáciu o primeraných zárukách, ak prevádzkovateľ zamýšľa prenos podľa § 51 ods. 1 a 2,
- všeobecný opis technických a organizačných bezpečnostných opatrení podľa § 39 ods. 1.
- Záznamy podľa odsekov 1 a 2 sa vedú v listinnej podobe alebo elektronickej podobe.
- Prevádzkovateľ alebo sprostredkovateľ a zástupca prevádzkovateľa alebo zástupca sprostredkovateľa, ak bol poverený, sú povinní na požiadanie sprístupniť záznam o spracovateľských činnostiach úradu.
- Povinnosti podľa odsekov 1 a 2 sa nevzťahujú na zamestnávateľa s menej ako 250 zamestnancami, ak nie je pravdepodobné, že spracúvanie osobných údajov, ktoré vykonáva, povedie k riziku ochrany práv dotknutej osoby, ak je spracúvanie osobných údajov príležitostné alebo ak nezahŕňa osobitné kategórie osobných údajov podľa § 16 ods. 1 alebo osobné údaje týkajúce sa uznania viny za spáchanie trestného činu alebo priestupku podľa § 17.
- Vzor záznamu o spracovateľských činnostiach zverejní úrad na svojom webovom sídle.
K § 37
Ustanovenia určujú povinnosť prevádzkovateľa alebo sprostredkovateľa a v príslušnom prípade aj zástupcu prevádzkovateľa a sprostredkovateľa viesť a uchovávať záznamy o spracovateľských činnostiach, za ktoré sú zodpovední a ktoré vykonávajú, na účely preukázania súladu s týmto zákonom. Obsah záznamov je taxatívne určený týmto zákonom, pričom je povinnosť viesť záznamy v písomnej podobe alebo v elektronickej podobe. Prevádzkovateľ, sprostredkovateľ a v niektorých prípadoch aj zástupca prevádzkovateľa a sprostredkovateľa sú povinní na požiadanie úradu mu tieto záznamy sprístupniť. Prevádzkovateľ, sprostredkovateľ a ich zástupca nie je povinný viesť záznamy o spracovateľských činnostiach, ak kumulatívne spĺňa zákonom stanovené podmienky, a to- zamestnáva menej ako 250 fyzických osôb,
- nie je pravdepodobné, že spracúvanie, ktoré vykonáva, povedie k riziku pre práva dotknutej osoby,
- je toto spracúvanie príležitostné,
- nezahŕňa osobitné kategórie osobných údajov,
- nezahŕňa osobné údaje týkajúce sa uznania viny za trestné činy a priestupky.
§ 38
Právo na náhradu škody a zodpovednosť
- Každá osoba, ktorej vznikla majetková ujma alebo nemajetková ujma v dôsledku porušenia tohto zákona, má právo na náhradu škody[20]) od prevádzkovateľa alebo sprostredkovateľa.
- Prevádzkovateľ, ktorý sa zúčastnil na spracúvaní osobných údajov, je zodpovedný za škodu spôsobenú nezákonným spracúvaním. Sprostredkovateľ zodpovedá za škodu spôsobenú spracúvaním osobných údajov len , ak nesplnil povinnosti podľa § 34 až 37, § 39, § 40 ods. 3, § 44, § 45, § 51 ods. 3 alebo ak konal nad rámec alebo v rozpore s pokynmi prevádzkovateľa, ktoré boli v súlade so zákonom.
- Prevádzkovateľ alebo sprostredkovateľ sa môže zbaviť zodpovednosti podľa odseku 2, ak preukáže, že vznik škody nezavinil.
- Ak sa na tom istom spracúvaní osobných údajov zúčastnil viac než jeden prevádzkovateľ alebo sprostredkovateľ alebo prevádzkovateľ aj sprostredkovateľ spoločne a sú podľa odsekov 2 a 3 zodpovední za škodu spôsobenú spracúvaním osobných údajov, za škodu zodpovedajú spoločne a nerozdielne.
- Ak prevádzkovateľ alebo sprostredkovateľ v súlade s odsekom 4 uhradil náhradu škody v plnej výške, má právo žiadať od ostatných prevádzkovateľov alebo sprostredkovateľov zapojených do toho istého spracúvania osobných údajov tú časť náhrady škody, ktorá zodpovedá ich podielu zodpovednosti za škodu za podmienok ustanovených v odseku 2.
K § 38
Prevádzkovateľ alebo sprostredkovateľ sú povinní nahradiť akúkoľvek škodu, ktorú môže dotknutá osoba utrpieť v dôsledku spracúvania osobných údajov, ktoré je v rozpore s týmto zákonom. Prevádzkovateľ alebo sprostredkovateľ nemajú takúto zodpovednosť, ak preukážu, že za škodu nenesú žiadnu zodpovednosť. Dotknuté osoby za utrpenú škodu majú dostať náhradu. Ak sú prevádzkovatelia alebo sprostredkovatelia zapojení do rovnakého spracúvania, zodpovedajú všetci spoločne a nerozdielne za celú škodu. Každý prevádzkovateľ alebo sprostredkovateľ, ktorý nahradil celú škodu, môže následne začať regresné konanie voči iným prevádzkovateľom alebo sprostredkovateľom zapojeným do toho istého spracúvania.druhý diel
Bezpečnosť osobných údajov
§ 39
Bezpečnosť spracúvania
- Prevádzkovateľ a sprostredkovateľ sú povinní prijať so zreteľom na najnovšie poznatky, na náklady na vykonanie opatrení, na povahu, rozsah, kontext a účel spracúvania osobných údajov a na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva fyzických osôb primerané technické a organizačné opatrenia na zaistenie úrovne bezpečnosti primeranej tomuto riziku, pričom uvedené opatrenia môžu zahŕňať najmä
- pseudonymizáciu a šifrovanie osobných údajov,
- zabezpečenie trvalej dôvernosti, integrity, dostupnosti a odolnosti systémov spracúvania osobných údajov,
- proces obnovy dostupnosti osobných údajov a prístup k nim v prípade fyzického incidentu alebo technického incidentu,
- proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania osobných údajov.
- Pri posudzovaní primeranej úrovne bezpečnosti sa prihliada na riziká, ktoré predstavuje spracúvanie osobných údajov, a to najmä náhodné zničenie alebo nezákonné zničenie, strata, zmena alebo neoprávnené poskytnutie prenášaných osobných údajov, uchovávaných osobných údajov alebo inak spracúvaných osobných údajov, alebo neoprávnený prístup k takýmto osobným údajom.
- Súlad s požiadavkami uvedenými v odseku 1 možno preukázať schváleným kódexom správania podľa § 85 alebo certifikátom podľa § 86.
- Prevádzkovateľ a sprostredkovateľ sú povinní zabezpečiť, aby fyzická osoba konajúca za prevádzkovateľa alebo sprostredkovateľa, ktorá má prístup k osobným údajom, spracúvala tieto údaje len na základe pokynov prevádzkovateľa alebo podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.
K § 39
Prevádzkovateľ a sprostredkovateľ sú povinní zohľadniť bezpečnostné riziká v rámci technických a organizačných opatrení, ktoré sú povinní prijať na účely zabezpečenia ochrany spracúvaných osobných údajov na účely minimalizácie možného narušenia spracúvania a tak vzniku škody alebo ohrozenia spracúvaných osobných údajov pre dotknuté osoby. Prijatými bezpečnostnými opatreniami sa má zaistiť primeraná úroveň bezpečnosti osobných údajov vrátane ich dôvernosti, integrity a dostupnosti, pričom by sa mali zohľadniť najnovšie poznatky a náklady na vykonanie opatrení ako aj hroziace riziká a povaha osobných údajov, ktoré sa prijatými bezpečnostnými opatreniami majú chrániť. Na základe uvedeného prevádzkovateľ, ako aj sprostredkovateľ, zmapuje všetky spracovateľské činnosti v rámci cyklu osobných údajov, t.j. proces získania osobných údajov do vnútorného prostredia prevádzkovateľa alebo sprostredkovateľa, priebeh nakladania s osobnými údajmi v prostredí prevádzkovateľa alebo sprostredkovateľa pri vykonávaní hlavnej ako aj vedľajšej či príležitostnej činnosti prevádzkovateľom alebo sprostredkovateľom, uchovávanie, likvidácia a uvoľnenie osobných údajov z vnútorného priestoru prevádzkovateľa – napr. poskytnutie tretím stranám, zverejnenie, prenos do tretích krajín alebo medzinárodnej organizácii. Na základe zmapovania cyklu osobných údajov prevádzkovateľ alebo sprostredkovateľ objektívne posúdi všetky riziká súvisiace so spracúvaním osobných údajov, ako napríklad- pravdepodobnosť a závažnosť rizika v závislosti od povahy, rozsahu, kontextu a účelov spracúvania osobných údajov,
- riziká spojené so spracúvaním osobných údajov v dôsledku ich náhodného alebo protiprávneho zničenia, straty, zmeny, neoprávneného poskytnutia, neoprávneného poskytnutia prenášaných osobných údajov, neoprávneného prístupu k osobným údajom,
- dopady súvisiace s rizikami spracúvania ako napríklad ujma na zdraví, majetková alebo nemajetková ujmu, strata kontroly nad osobnými údajmi, obmedzenie práv dotknutých osôb, krádež identity, podvod, finančná strata, neoprávnená reverzná pseudonymizácia, poškodenie dobrého mena, strata dôvernosti osobných údajov chránených profesijným tajomstvom, alebo akékoľvek sociálne alebo hospodárske znevýhodnenie dotknutej osoby.
- technické, organizačné a personálne bezpečnostné opatrenia s ohľadom na účel spracúvania, zásady spracúvania osobných údajov, množstva osobných údajov, rozsahu osobných údajov, doby uchovávania a dostupnosti osobných údajov, ako napríklad pseudonymizáciu, šifrovanie, logovanie, minimalizácia údajov, poučenie, prístupová a kľúčová politika dôvernosti osobných údajov, dostupnosť k údajom dotknutou osobou v rámci zásady transparentného prístupu a výkonu práv dotknutou osobou, kontinuita spracúvania v prípade bezpečnostných incidentov, mlčanlivosť,
- interné bezpečnostné pravidlá a postupy,
- uskutočňovanie penetračných testov na identifikáciu možných útokov na osobné údaje,
- vykonávanie testovacej, posudzovacej a hodnotiacej činnosti s ohľadom na cyklus spracúvania osobných údajov.
§ 40
Oznámenie porušenia ochrany osobných údajov úradu
- Prevádzkovateľ je povinný oznámiť úradu porušenie ochrany osobných údajov do 72 hodín po tom, ako sa o ňom dozvedel; to neplatí, ak nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva fyzickej osoby.
- Ak prevádzkovateľ nesplní oznamovaciu povinnosť podľa odseku 1, musí zmeškanie lehoty zdôvodniť.
- Sprostredkovateľ je povinný oznámiť prevádzkovateľovi porušenie ochrany osobných údajov bez zbytočného odkladu po tom, ako sa o ňom dozvedel.
- Oznámenie podľa odseku 1 musí obsahovať najmä
- opis povahy porušenia ochrany osobných údajov vrátane, ak je to možné, kategórií a približného počtu dotknutých osôb, ktorých sa porušenie týka, a kategórií a približného počtu dotknutých záznamov o osobných údajoch,
- kontaktné údaje zodpovednej osoby alebo iného kontaktného miesta, kde možno získať viac informácií,
- opis pravdepodobných následkov porušenia ochrany osobných údajov,
- opis opatrení prijatých alebo navrhovaných prevádzkovateľom na nápravu porušenia ochrany osobných údajov vrátane opatrení na zmiernenie jeho potenciálnych nepriaznivých dôsledkov, ak je to potrebné.
- Prevádzkovateľ je povinný poskytnúť informácie podľa odseku 4 v rozsahu v akom sú mu známe v čase oznámenia podľa odseku 1; ak v čase oznámenia podľa odseku 1 nie sú prevádzkovateľovi známe všetky informácie podľa odseku 4, poskytne ich bezodkladne po tom, čo sa o nich dozvie.
- Prevádzkovateľ je povinný zdokumentovať každý prípad porušenia ochrany osobných údajov podľa odseku 1 vrátane skutočností spojených s porušením ochrany osobných údajov, jeho následky a prijaté opatrenia na nápravu.
K § 40
Prevádzkovateľ alebo sprostredkovateľ spracúva osobné údaje dotknutej osoby. Obaja, tak prevádzkovateľ, ako aj sprostredkovateľ, sú v závislosti od toho, aké osobné údaje spracúvajú, povinní prijať ich adekvátnu ochranu a zamedziť alebo eliminovať na najnižšiu možnú mieru riziko ohrozenia spracúvaných osobných údajov, osobitne osobných údajov osobitnej kategórie. Môžu nastať situácie, kedy tak prevádzkovateľ, ako ani sprostredkovateľ napriek všetkej svojej odbornej starostlivosti, nebudú schopní zaistiť úplnú ochranu nimi spracúvaných osobných údajov tak, aby eliminovali všetky riziká a dôjde k porušeniu ochrany osobných údajov. V takom prípade je prevádzkovateľ povinný, hneď ako sa o porušení bezpečnosti ním spracúvaných osobných údajov dozvie, analyzovať dané porušenie bezpečnostných opatrení, možný bezpečnostný incident, posúdiť jeho závažnosť a posúdiť, či je spôsobilý viesť k riziku pre práva dotknutých osôb, teda či ho možno klasifikovať ako taký bezpečnostný incident ohrozujúci spracúvané osobné údaje. Ak prevádzkovateľ zhodnotí, že narušením bezpečnosti došlo zároveň aj ku vzniku bezpečnostného incidentu a ním spracúvané osobné údaje boli narušené, je povinný o tomto porušení ochrany osobných údajov informovať úrad, a to čo najskôr, ako sa o porušení ochrany spracúvaných osobných údajov dozvedel a má ju na základe svojich zistení za preukázanú, najneskôr však maximálne do 72 hodín odkedy sa o porušení dozvedel, t.j. kedy prevádzkovateľ má za preukázané, že k porušeniu ochrany osobných údajov vzniknutým porušením bezpečnostných opatrení došlo. Výnimkou z povinnosti oznámenia porušenia ochrany osobných údajov úradu sú situácie, keď vie prevádzkovateľ, v súlade so zásadou zodpovednosti preukázať, že nie je pravdepodobné, že porušenie ochrany osobných údajov povedie alebo viedlo k riziku pre práva dotknutých osôb. Povinnosť nahlasovať porušenie ochrany osobných údajov cez Jednotný informačný systém kybernetickej bezpečnosti (ďalej len „JISKB“) z tohto zákona prevádzkovateľovi priamo nevyplýva, v prípade ak bude tento JISKB jedným z kanálov nahlasovania porušenia ochrany spracúvaných osobných údajov bude toto upravené v osobitnom zákone o kybernetickej bezpečnosti. Ak nie je možné, aby prevádzkovateľ oznámenie porušenia ochrany osobných údajov zaslal úradu do 72 hodín odkedy sa o porušení ochrany osobných údajov dozvedel a vyhodnotí ho ako porušenie ochrany osobných údajov s rizikom pre práva fyzických osôb, oznámenie úradu vykoná neskôr, prípadne úradu v danom momente oznámi všetky údaje, ktoré je schopný, ostatné doplní ihneď ako bude môcť. K oznámeniu je povinný pripojiť odôvodnenie svojho omeškania, pričom informácie môže poskytnúť aj v etapách, no bez ďalšieho zbytočného odkladu. Prevádzkovateľ v rámci vysporiadania sa s narušením ochrany osobných údajov musí súčasne riešiť viacero situácií. Ak prevádzkovateľ v čase, kedy sa o porušení ochrany osobných údajov dozvie, nie je schopný poskytnúť úradu v stanovenej lehote všetky informácie z dôvodu potreby zistenia všetkých relevantných skutočností, môže oznámenie porušenia ochrany osobných údajov vykonať následne, keď získa o všetkých požadovaných skutočnostiach vedomosť, alebo ihneď, ako mu to aspoň čiastková náprava situácie dovolí; týmto ustanovením sa však neznižuje jeho povinnosť informovať úrad ihneď alebo maximálne do 72 hodín, ako sa o porušení ochrany osobných údajov dozvie, respektíve neskôr, aj po uplynutí 72 hodín, no s odôvodnením jeho omeškania. V prípade, ak spracúva osobné údaje v mene prevádzkovateľa sprostredkovateľ, mechanizmus oznamovania porušenia ochrany osobných údajov úradu prebieha tak, že sprostredkovateľ vyrozumie prevádzkovateľa o porušení ochrany osobných údajov čo najskôr ako sa o porušení dozvedel. Následne prevádzkovateľ porušenie ochrany osobných údajov oznámi úradu, spôsobom podľa zákona. Oznámenie úradu o tom, že bola porušená ochrana spracúvaných osobných údajov je dôležité a je podstatné stanoviť obsah takéhoto oznámenia úradu, aby informácie v ňom uvedené mali dostatočnú a potrebnú výpovednú hodnotu a úrad z nich vedel určiť, závažnosť rizika pre práva fyzických osôb. Náležitosti oznámenia porušenia ochrany osobných údajov úradu ustanovuje odsek 4 tohto ustanovenia. Porušenie ochrany osobných údajov je vždy závažnou skutočnosťou, bez ohľadu na riziko a mieru dopadu na práva dotknutých osôb. Každé porušenie ochrany osobných údajov, ktoré prevádzkovateľ identifikuje, je potrebné zdokumentovať, a to aj v prípade, ak vyhodnotí porušenie ochrany osobných údajov, ako také, ktoré nie je potrebné oznamovať úradu. Dôkladné zdokumentovanie bezpečnostných incidentov je nápomocné prevádzkovateľovi, pri správnom nastavení bezpečnostných opatrení, a tiež je dôležité pre posúdenie úradom, ako prevádzkovateľ reaguje na bezpečnostné hrozby a porušenia ochrany osobných údajov. To platí tak pre tie porušenia, o ktorých prevádzkovateľ úrad vyrozumel, ako aj pre tie, ktoré úradu v rámci oznámenia porušenia ochrany osobných údajov nebol povinný oznamovať. Súčasťou dokumentovania porušenia ochrany osobných údajov je aj odôvodnenie, že bezpečnostný incident nie je rizikom pre práva fyzických osôb.§ 41
Oznámenie porušenia ochrany osobných údajov dotknutej osobe
- Prevádzkovateľ je povinný bez zbytočného odkladu oznámiť dotknutej osobe porušenie ochrany osobných údajov, ak takéto porušenie ochrany osobných údajov môže viesť k vysokému riziku pre práva fyzickej osoby.
- Oznámenie podľa odseku 1 musí obsahovať jasne a jednoducho formulovaný opis povahy porušenia ochrany osobných údajov a informácie a opatrenia podľa § 40 ods. 4 písm. b) až d).
- Oznámenie podľa odseku 1 sa nevyžaduje, ak
- prevádzkovateľ prijal primerané technické a organizačné ochranné opatrenia a uplatnil ich na osobné údaje, ktorých sa porušenie ochrany osobných údajov týka, a to najmä šifrovanie alebo iné opatrenia, na základe ktorých sú osobné údaje nečitateľné pre osoby, ktoré nie sú oprávnené mať k nim prístup,
- prevádzkovateľ prijal následné opatrenia na zabezpečenie vysokého rizika porušenia práv dotknutej osoby podľa odseku 1,
- by to vyžadovalo neprimerané úsilie; prevádzkovateľ je povinný informovať verejnosť alebo prijať iné opatrenie na zabezpečenie toho, že dotknutá osoba bude informovaná rovnako efektívnym spôsobom.
- Ak prevádzkovateľ ešte porušenie ochrany osobných údajov neoznámil dotknutej osobe, úrad môže po zvážení pravdepodobnosti porušenia ochrany osobných údajov vedúceho k vysokému riziku požadovať, aby tak urobil alebo môže rozhodnúť, že je splnená niektorá z podmienok uvedených v odseku 3.
K § 41
Prevádzkovateľ, prípadne sprostredkovateľ nesie zodpovednosť za ochranu spracúvaných osobných údajov. V závislosti od toho, aké osobné údaje prevádzkovateľ spracúva, je povinný zabezpečiť ich adekvátnu ochranu tak, aby zamedzil alebo eliminoval na najnižšiu možnú mieru riziko ohrozenia ním spracúvaných osobných údajov, osobitne osobných údajov osobitnej kategórie. Prevádzkovateľ ani sprostredkovateľ, napriek všetkej svojej odbornej starostlivosti, nie sú za každých okolností schopní zaistiť úplnú ochranu nimi spracúvaných osobných údajov tak, aby eliminovali všetky riziká a dôjde k porušeniu ochrany osobných údajov. V takom prípade je prevádzkovateľ povinný, akonáhle sa o porušení ochrany ním spracúvaných osobných údajov dozvie, toto porušenie analyzovať, posúdiť jeho závažnosť, a to, či je spôsobilé viesť k riziku pre práva dotknutých osôb. V prípade, ak prevádzkovateľ zhodnotí, že porušenie ochrany osobných údajov pravdepodobne povedie k takémuto riziku , je povinný o tomto porušení ochrany osobných údajov informovať dotknutú osobu, aby mohla prijať, ak je to možné a vhodné, potrebné preventívne opatrenia. Takéto informovanie dotknutých osôb by sa malo vykonať čo najskôr ako je to možné, aby dotknutá osoba mohla zmierniť bezprostredné riziko škody tým, že vykoná také úkony, ktorými môže aspoň sčasti eliminovať negatívne dôsledky porušenia ochrany jej osobných údajov, napríklad zablokovať svoje platobné karty, zmeniť prístupové heslo a podobne. Význam informovania dotknutej osoby o narušení ochrany jej osobných údajov u prevádzkovateľa je dôležitý, podstatné je stanoviť obsah takéhoto oznámenia dotknutej osobe tak, aby informácie v ňom uvedené mali dostatočnú a zrozumiteľnú výpovednú hodnotu pre dotknutú osobu. Prevádzkovateľ pri koncipovaní oznámenia o porušení ochrany osobných údajov dotknutej osobe má pamätať na to, že informácie jej má poskytnúť jednoducho a jasne tak, aby dotknutej osobe boli zrozumiteľné, s ohľadom na rôznu kategóriu dotknutých osôb. Nie je preto vhodné, aby prevádzkovateľ pri oznamovaní porušenia ochrany osobných údajov dotknutej osobe poskytol informácie takým spôsobom a používal také technické či právne výrazy, ktoré by dotknutej osobe nemuseli byť zrozumiteľné. Prevádzkovateľ by mal jazyk oznámenia dotknutej osobe určiť aj podľa toho, aké dotknuté osoby majú byť predmetom informovania, ak je možné ich kategorizovať, informácie by mal poskytnúť primerane ich odhadovaným odborným znalostiam a rozumovým schopnostiam. Odsek 3 taxatívne stanovuje výnimky, kedy oznámenie dotknutej osobe nie je vyžadované; na to, aby prevádzkovateľ nemusel plniť oznamovaciu povinnosť voči dotknutej osobe je postačujúce, ak prevádzkovateľ splní minimálne jednu zo stanovených výnimiek. V prípade, ak prevádzkovateľ oznámil porušenie ochrany osobných údajov úradu, ale ešte tak nevykonal vo vzťahu k dotknutým osobám a hrozí, že porušenie ochrany by mohlo mať vo vzťahu k dotknutým osobám také následky, ktoré by mohli spôsobiť ohrozenie ich práv vo vysokej miere, môže úrad rozhodnúť vo vzťahu k prevádzkovateľovi a nariadiť mu, aby dotknuté osoby informoval o porušení ochrany ich osobných údajov, prípadne môže rozhodnúť, že prevádzkovateľ splnil jednu z podmienok – výnimiek, na základe ktorých podľa odseku 3 tohto ustanovenia nie je povinný o porušení ochrany osobných údajov dotknuté osoby vyrozumieť. Pravdepodobnosť porušenia ochrany osobných údajov dotknutých osôb úrad posúdi na základe oznámenia prevádzkovateľa o porušení ochrany osobných údajov úradu. Úrad musí zohľadniť všetky v oznámení uvedené skutočnosti a na ich základe prevádzkovateľovi môže nariadiť, aby dotknuté osoby informoval, alebo aby tak nekonal, nakoľko sa v jeho prípade uplatní niektorá z výnimiek podľa odseku 3 tohto ustanovenia.tretí diel
Posúdenie vplyvu na ochranu osobných údajov
a predchádzajúca konzultácia
§ 42
Posúdenie vplyvu na ochranu osobných údajov
- Ak typ spracúvania osobných údajov, najmä s využitím nových technológií a s ohľadom na povahu, rozsah, kontext a účel spracúvania osobných údajov, môže viesť k vysokému riziku pre práva fyzických osôb, prevádzkovateľ je povinný pred spracúvaním osobných údajov vykonať posúdenie vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov. Pre súbor podobných spracovateľských operácií, ktoré predstavujú podobné vysoké riziko, postačí jedno posúdenie.
- Prevádzkovateľ je povinný počas vykonávania posúdenia vplyvu na ochranu osobných údajov konzultovať jednotlivé postupy so zodpovednou osobou, ak bola určená.
- Posúdenie vplyvu na ochranu osobných údajov sa vyžaduje najmä, ak ide o
- systematické a rozsiahle hodnotenie osobných znakov alebo charakteristík týkajúcich sa dotknutej osoby, ktoré je založené na automatizovanom spracúvaní osobných údajov vrátane profilovania a z ktorého vychádzajú rozhodnutia s právnymi účinkami týkajúcimi sa dotknutej osoby alebo s podobne závažným vplyvom na ňu,
- spracúvanie vo veľkom rozsahu osobitných kategórií osobných údajov podľa § 16 ods. 1 alebo osobných údajov týkajúcich sa uznania viny za spáchanie trestného činu alebo priestupku podľa § 17, alebo
- systematické monitorovanie verejne prístupných miest vo veľkom rozsahu.
- Posúdenie vplyvu na ochranu osobných údajov obsahuje najmä
- systematický opis plánovaných spracovateľských operácií a účel spracúvania osobných údajov vrátane uvedenia prípadného oprávneného záujmu, ktorý sleduje prevádzkovateľ,
- posúdenie nutnosti a primeranosti spracovateľských operácií vo vzťahu k účelu,
- posúdenie rizika pre práva dotknutej osoby a
- opatrenia na elimináciu rizík vrátane záruk, bezpečnostných opatrení a mechanizmov na zabezpečenie ochrany osobných údajov a na preukázanie súladu s týmto zákonom s prihliadnutím na práva a oprávnené záujmy dotknutej osoby a ďalších fyzických osôb, ktorých sa to týka.
- Pri posudzovaní dosahu spracovateľských operácií vykonávaných prevádzkovateľom alebo sprostredkovateľom úrad zohľadňuje, či prevádzkovateľ alebo sprostredkovateľ postupuje v súlade so schváleným kódexom správania podľa § 85 alebo certifikátom podľa § 86, a to najmä na účely posúdenia vplyvu na ochranu osobných údajov.
- Prevádzkovateľ je oprávnený získavať názory dotknutej osoby alebo organizácie, ktorá zastupuje jej záujmy, na zamýšľané spracúvanie osobných údajov; ochrana obchodných záujmov, verejného záujmu alebo bezpečnosť spracovateľských operácií nesmie byť dotknutá.
- Prevádzkovateľ je povinný posúdiť, či sa spracúvanie osobných údajov uskutočňuje v súlade s posúdením vplyvu na ochranu osobných údajov, a to najmä ak došlo zmene rizika, ktoré predstavuje spracovateľská operácia.
K § 42
odsek 1 Spracovateľské operácie, ktoré môžu viesť k vysokému riziku pre práva fyzických osôb z dôvodu ich povahy, rozsahu, kontextu a účelu môžu byť najmä tie, ktoré sú realizované prostredníctvom využitia nových technológií alebo tie, ktoré sú nového druhu a v súvislosti s ktorými prevádzkovateľ ešte nevykonal posúdenie vplyvu na ochranu osobných údajov a ich bezpečnosť. V takých prípadoch je prevádzkovateľ povinný pred začiatkom spracúvania osobných údajov vykonať posúdenie vplyvu spracovateľských činností na ich ochranu, aby posúdil pravdepodobnosť a závažnosť vysokého rizika na práva dotknutých osôb, pričom zohľadní povahu, rozsah, kontext a účely spracúvania a zdroje rizika. Uvedené posúdenie vplyvu by malo zahŕňať najmä plánované opatrenia, záruky a mechanizmy na zmiernenie daného vysokého rizika, na zabezpečenie ochrany osobných údajov a na preukázanie súladu s týmto zákonom. Prevádzkovateľ pri posúdení vplyvu na ochranu osobných údajov pri vybraných v zákone určených spracovateľských operáciách, ktoré pravdepodobne povedú k vysokému riziku a) posúdi vplyv na ochranu osobných údajov ešte pred samotnou konkrétnou spracovateľskou operáciou, a to napríklad i. zmapuje cyklus toku osobných údajov, prostredie, v ktorom dochádza k spracúvaniu, časové rozhranie, podmienky spracúvania, posúdi rozsah, množstvo osobných údajov, účel ich spracúvania, vrátane prípadného oprávneného záujmu, ktorý sleduje, ii. posúdi nutnosť a primeranosť spracovateľských operácii vo vzťahu k účelu, iii. zhodnotí zdroj, povahu, osobitosť a závažnosť tohto vysokého rizika pre práva dotknutých osôb, iv. posúdi aké sú bezpečnostné, personálne/organizačné a technické prostriedky alebo opatrenia, záruky a mechanizmy na zabezpečenie ochrany osobných údajov a na preukázanie súladu so zákonom, najmä pri zohľadnení práv a oprávnených záujmov dotknutých osôb a iných osôb, ktorých sa spracovateľská operácia týka, b) zabezpečí posúdenie vplyvu na ochranu osobných údajov aj počas spracúvania týchto osobných údajov napríklad formou auditu ochrany osobných údajov alebo kontroly zodpovednej osoby alebo penetračnými testami pri spracovateľských operáciách, c) príjme primerané a účinné bezpečnostné opatrenia na zmiernenie vysokého rizika. Ak je výsledkom posúdenia vplyvu zhodnotenie, že nie je možné prijať také účinné a primerané opatrenia, ktoré by zmiernili vysoké riziko (s ohľadom na najnovšie technológie a náklady na vykonanie týchto opatrení) vzniká prevádzkovateľovi povinnosť predchádzajúcej konzultácie s úradom. Posúdenie vplyvu možno v kontexte bezpečnostných opatrení prirovnať k posúdeniu spracovateľských činností, ktoré podľa predchádzajúcej právnej úpravy, podliehali povinnosti zdokumentovať prijaté primerané bezpečnostné opatrenia v bezpečnostnom projekte. Ak teda prevádzkovateľ podľa predchádzajúcej právnej úpravy má prijaté a zdokumentované bezpečnostné opatrenia alebo bezpečnostný projekt, môže tieto v kontexte vykonávaných spracovateľských operácií prehodnotiť v zmysle nových povinností podľa tohto zákona a najmä v kontexte ako ním identifikované riziká môžu mať dopad na spracúvané osobné údaje dotknutej osoby a na prípadnú škodu, ktorá by dotknutej osobe porušením integrity jej osobných údajov vznikla. V prípade, ak takýto bezpečnostný projekt podľa predchádzajúcej právnej úpravy je súladný s týmto zákonom v niektorých častiach, možno tieto použiť na preukázanie vykonaného posúdenia vplyvu podľa tohto zákona primerane. odsek 2 Pokiaľ má prevádzkovateľ ustanovenú zodpovednú osobu, je povinný vykonať posúdenie vplyvu v súčinnosti s touto zodpovednou osobou a má sa s ňou o zamýšľaných opatreniach a eliminácii bezpečnostných rizík radiť. odsek 3 Posúdenie vplyvu sa vyžaduje pri spracovateľských operáciách veľkého rozsahu, ktorých cieľom je spracúvať značný objem osobných údajov na regionálnej, vnútroštátnej alebo nadnárodnej úrovni, ktoré by mohli ovplyvniť veľký počet dotknutých osôb a ktoré pravdepodobne povedú k vysokému riziku, napríklad z hľadiska ich citlivosti, ak sa v súlade s dosiahnutým stavom technologických znalostí vo veľkom rozsahu využíva nová technológia, ako aj pri iných spracovateľských operáciách, ktoré predstavujú vysoké riziko pre práva dotknutých osôb, najmä ak je pre dotknuté osoby náročnejšie uplatniť svoje vlastné práva. Posúdenie vplyvu na ochranu údajov sa má vykonať aj vtedy, keď sa osobné údaje spracúvajú s cieľom prijímať rozhodnutia, ktoré sa týkajú konkrétnych fyzických osôb, a ktoré sa prijímajú po akomkoľvek systematickom a rozsiahlom zhodnotení osobných aspektov súvisiacich s fyzickými osobami na základe profilovania týchto údajov alebo v nadväznosti na spracúvanie osobitných kategórií osobných údajov, biometrických údajov alebo údajov o uznaní viny za trestné činy a priestupky či súvisiacich bezpečnostných opatreniach. Posúdenie vplyvu na ochranu údajov sa vyžaduje aj v prípade monitorovania verejne prístupných miest vo veľkom rozsahu, najmä ak sa používajú optické elektronické zariadenia, alebo v prípade akýchkoľvek iných operácií, ak je pravdepodobné, že spracúvanie povedie k vysokému riziku pre práva dotknutých osôb, najmä preto, lebo tieto operácie bránia dotknutým osobám uplatniť svoje právo alebo využiť službu alebo zmluvu, alebo preto, že sa systematicky vykonávajú vo veľkom rozsahu. Na uľahčenie posúdenia, či ide o spracúvanie vo veľkom rozsahu, je potrebné, aby sa pri posudzovaní bral ohľad na dosah spracovateľskej operácie, teda či sa spracovateľská operácia dotkne veľkého počtu dotknutých osôb v pomere napríklad k celkovému počtu obyvateľov, zamestnancov firmy, ako veľký bude objem spracúvaných osobných údajov, ako dlho sa plánuje, že bude spracúvanie vykonávané. Medzi príklady spracúvania osobných údajov vo veľkom rozsahu možno zaradiť napríklad spracúvanie cestovných údajov jednotlivcov využívajúcich mestskú hromadnú dopravu, spracúvanie geolokalizačných údajov zákazníkov medzinárodných sietí obchodov v reálnom čase na štatistické účely a iné. O spracúvanie osobných údajov vo veľkom rozsahu naopak nejde v prípade spracúvania osobných údajov lekárom o jeho jednotlivých pacientoch alebo v prípade spracúvania osobných údajov týkajúcich sa uznania viny za trestné činy a priestupky jednotlivým právnikom. odsek 4 Stanovuje minimálny rozsah náležitostí, ktoré má posúdenie vplyvu obsahovať. odsek 5 Združenia alebo iné orgány zastupujúce kategórie prevádzkovateľov alebo sprostredkovateľov by sa mali podnecovať k tomu, aby vypracovali kódexy správania, aby sa zohľadnili osobitné črty spracúvania v určitých odvetviach. V takýchto kódexoch správania by sa mali nastaviť povinnosti prevádzkovateľov a sprostredkovateľov so zreteľom na riziko, ktoré pravdepodobne vyplýva zo spracúvania osobných údajov, pokiaľ ide o práva fyzických osôb. V prípade, ak má prevádzkovateľ alebo skupina prevádzkovateľov vypracovaný kódex správania, ktorý možno do istej miery považovať za stanovenie istého štandardu spracúvania a nakladania s osobnými údajmi je možné a vhodné, aby úrad v rámci posudzovania dosahu predpokladaných spracovateľských operácií ich dosah porovnával a zohľadňoval aj v kontexte obsahu týchto úradom schválených kódexov správania. Mohla by sa tým eliminovať situácia, kedy bezpečnostné opatrenia prevádzkovateľa nedosahujú ani úroveň, ktorú na spracúvanie osobných údajov kladie úradom schválený kódex správania v danej oblasti. odsek 6 Pri vypracúvaní bezpečnostných opatrení a posudzovaní vplyvov, ktoré môžu nastať pri konkrétnom type spracovateľskej operácie alebo aj pri viacerých zamýšľaných typoch spracovateľských operácií je vhodné, ak je to možné, aby prevádzkovateľ ním zamýšľané spracúvanie osobných údajov konzultoval s dotknutými osobami na účely posúdenia vplyvu takéhoto spracúvania. V prípade, ak pripomienky, výzvy a názory dotknutých osôb sú relevantné, prevádzkovateľ by mal na ne prihliadať. Prevádzkovateľ má povinnosť pri posúdení a kreovaní spracovateľskej operácie dbať aj na to, aby nedošlo k ohrozeniu verejného záujmu, ktorý by mal slúžiť v prospech väčšiny občanov a prinášať majetkový alebo iný prospech všetkým alebo mnohým občanom. odsek 7 Prevádzkovateľ by sa mal pravidelne venovať opätovnému prehodnocovaniu spracúvania a porovnávaniu ním prijatých opatrení v závislosti na spracúvaných údajoch, a to najmä v prípadoch ak došlo k vzniku nového rizika prípadne už identifikované riziko sa zvýšilo.§ 43
Predchádzajúca konzultácia
- Prevádzkovateľ je povinný s úradom uskutočniť konzultáciu pred spracúvaním osobných údajov, ak je z posúdenia vplyvu na ochranu osobných údajov podľa § 42 zrejmé, že spracúvanie osobných údajov povedie k vysokému riziku pre práva fyzických osôb, ak prevádzkovateľ neprijme opatrenia na zmiernenie tohto rizika.
- Ak sa úrad domnieva, že zamýšľané spracúvanie osobných údajov podľa odseku 1 bude v rozpore s týmto zákonom, najmä ak prevádzkovateľ nedostatočne identifikoval riziko alebo zmiernil riziko, úrad do ôsmich týždňov od prijatia žiadosti o konzultáciu poskytne prevádzkovateľovi, prípadne aj sprostredkovateľovi, písomné poradenstvo. Úrad môže s ohľadom na zložitosť zamýšľaného spracúvania osobných údajov predĺžiť lehotu podľa predchádzajúcej vety o šesť týždňov; predĺženie lehoty a dôvody predĺženia úrad písomne oznámi prevádzkovateľovi, prípadne aj sprostredkovateľovi do jedného mesiaca od prijatia žiadosti o konzultáciu. Lehota na poskytnutie poradenstva neplynie, kým úrad nezíska informácie, o ktoré požiadal na účely konzultácie.
- Počas konzultácií s úradom podľa odseku 1 je prevádzkovateľ povinný poskytnúť úradu
- informácie o povinnostiach prevádzkovateľa, ktoré má v súvislosti s jeho spracovateľskou činnosťou podliehajúcou predchádzajúcej konzultácii podľa odseku 1, o spoločných prevádzkovateľoch a sprostredkovateľoch zapojených do spracúvania osobných údajov, najmä pri spracúvaní osobných údajov v rámci skupiny podnikov,
- informácie o účeloch zamýšľaného spracúvania osobných údajov a prostriedkoch na jeho vykonanie,
- informácie o opatreniach a zárukách poskytnutých na ochranu práv dotknutej osoby podľa tohto zákona,
- kontaktné údaje zodpovednej osoby, ak je určená,
- posúdenie vplyvu na ochranu osobných údajov podľa § 42 a
- ďalšie informácie, o ktoré úrad požiada.
K § 43
odsek 1 V prípade ak z posúdenia vplyvu ochrany osobných údajov vyplýva, že spracúvanie by viedlo k vysokému riziku pre práva dotknutých osôb (typ spracúvania; rozsah a frekvencia spracúvania, stupeň ochrany osobných údajov) v prípade, ak by prevádzkovateľ neprijal záruky, bezpečnostné opatrenia a mechanizmy na jeho zmiernenie, je prevádzkovateľ povinný pred začiatkom spracúvania osobných údajov požiadať úrad o predchádzajúcu konzultáciu. Prevádzkovateľ je povinný vykonať s úradom predchádzajúci konzultáciu, ak už využil všetky jemu dostupné a známe existujúce záruky, bezpečnostné opatrenia a mechanizmy na zmiernenie vysokého zvyškového rizika a súčasne sa prevádzkovateľ domnieva, že ani zvyškové riziko, ktoré vyšlo vysoké, sa nedá zmierniť primeranými prostriedkami, pokiaľ ide o dostupné technológie a náklady na vykonanie opatrení. odsek 2 a odsek 3 Účelom predchádzajúcej konzultácie je poradenská činnosť úradu prevádzkovateľovi prípadne sprostredkovateľovi k možným a existujúcim primeraným a účinným bezpečnostným opatreniam na zníženie vysokého zvyškového rizika, ktoré prevádzkovateľ nezohľadnil či neprijal, či napriek zohľadneniu nevie efektívne znížiť. Úrad taktiež na základe zaslanej žiadosti o predchádzajúcu konzultáciu posudzuje zákonnosť daného spracúvania a to, či je spracúvanie v súlade s týmto zákonom a osobitnými predpismi. Úrad pri posudzovaní spracovateľských operácií primárne vychádza z faktov, ktoré mu poskytne prevádzkovateľ v žiadosti o predchádzajúcu konzultáciu, najmä zohľadňuje informácie o príslušných povinnostiach prevádzkovateľa, o spoločných prevádzkovateľoch a sprostredkovateľoch zapojených do spracúvania a to hlavne v prípade spracúvania v rámci skupiny podnikov. Úrad pri posudzovaní spracovateľských operácií tiež posudzuje informácie o účeloch zamýšľaného spracúvania a prostriedkoch na jeho vykonanie; informácie o opatreniach a zárukách poskytnutých na ochranu práv dotknutých osôb podľa tohto zákona; v príslušných prípadoch kontaktné údaje zodpovednej osoby; posúdenie vplyvu na ochranu údajov a akékoľvek ďalšie informácie, o ktoré úrad požiada. V prípade, že úrad nemá všetky alebo dostatok potrebných informácií na posúdenie, môže si dodatočne tieto od prevádzkovateľa vyžiadať, pričom ten je povinný takejto žiadosti úradu vyhovieť v lehote, akú mu na poskytnutie určí v žiadosti o predloženie dodatočných informácií úrad. Lehoty na poskytnutie poradenstva zo strany úradu sú určené v tomto zákone. Úrad má na poskytnutie písomného poradenstva od prijatia žiadosti 8 týždňov, ak je potrebné, má možnosť túto lehotu predĺžiť o 6 týždňov, podľa potreby a zložitosti posudzovania danej spracovateľskej operácie. Je v záujme prevádzkovateľa, aby už vo svojej žiadosti poskytol také množstvo informácií o zamýšľanej spracovateľskej operácii, aby úrad nemusel prevádzkovateľa žiadať o doplnenie. Ak však úrad v rámci tejto lehoty nezareaguje, nie je tým dotknutá žiadna jeho právomoc v súlade s jeho úlohami a stanovenými právomocami vrátane práva zakázať spracovateľskú operáciu. Súčasťou konzultačného procesu môže byť predloženie výsledku posúdenia vplyvu na ochranu údajov úradu, ktoré sa vykonalo v súvislosti s daným spracúvaním.štvrtý diel
Zodpovedná osoba
§ 44
Určenie zodpovednej osoby
- Prevádzkovateľ a sprostredkovateľ sú povinní určiť zodpovednú osobu, ak
- spracúvanie osobných údajov vykonáva orgán verejnej moci alebo verejnoprávna inštitúcia okrem súdov pri výkone ich súdnej právomoci,
- hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa sú spracovateľské operácie, ktoré si vzhľadom na svoju povahu, rozsah alebo účel vyžadujú pravidelné a systematické monitorovanie dotknutej osoby vo veľkom rozsahu, alebo
- hlavnými činnosťami prevádzkovateľa alebo sprostredkovateľa je spracúvanie osobitných kategórií osobných údajov podľa § 16 vo veľkom rozsahu alebo spracúvanie osobných údajov týkajúcich sa uznania viny za spáchanie trestného činu alebo priestupku podľa § 17 vo veľkom rozsahu.
- Skupina podnikov môže určiť jednu zodpovednú osobu, ak táto osoba bude spôsobilá plniť úlohy podľa § 46 pre každý podnik zo skupiny podnikov.
- Ak je prevádzkovateľom alebo sprostredkovateľom orgán verejnej moci alebo verejnoprávna inštitúcia, môže byť pre viaceré takéto orgány alebo inštitúcie, určená jedna zodpovedná osoba, pričom sa zohľadní ich rozsah a ich organizačná štruktúra.
- Okrem prípadov podľa odseku 1 zodpovednú osobu môže určiť prevádzkovateľ alebo sprostredkovateľ alebo združenia a iné subjekty zastupujúce kategórie prevádzkovateľov alebo sprostredkovateľov. Zodpovedná osoba môže konať v mene takýchto združení a iných subjektov zastupujúcich prevádzkovateľov alebo sprostredkovateľov.
- Okrem prípadov podľa odseku 1 je prevádzkovateľ alebo sprostredkovateľ alebo združenia a iné subjekty zastupujúce kategórie prevádzkovateľov alebo sprostredkovateľov povinný určiť zodpovednú osobu, ak sa to vyžaduje v osobitnom predpise alebo medzinárodnej zmluve, ktorou je Slovenská republika viazaná. Zodpovedná osoba môže konať v mene takýchto združení a iných subjektov zastupujúcich prevádzkovateľov alebo sprostredkovateľov.
- Zodpovedná osoba sa určí na základe jej odborných kvalít, a to najmä na základe jej odborných znalostí práva a postupov v oblasti ochrany osobných údajov a na základe spôsobilosti plniť úlohy podľa § 46.
- Zodpovedná osoba môže byť zamestnancom prevádzkovateľa alebo sprostredkovateľa alebo môže plniť úlohy na základe zmluvy.
- Prevádzkovateľ a sprostredkovateľ sú povinní zverejniť, napríklad na ich webovom sídle, kontaktné údaje zodpovednej osoby, ak je určená, a oznámiť ich úradu.
K § 44
odsek 1 Uvedený odsek stanovuje spracovateľské operácie s osobnými údajmi pri ktorých, ak ich vykonávajú, majú povinnosť určiť zodpovednú osobu, osobu s odbornými znalosťami práva a postupov v oblasti ochrany údajov.odsek 2 a odsek 3
Prevádzkovatelia alebo sprostredkovatelia patriaci do jednej skupiny podnikov si môžu určiť jednu zodpovednú osobu za predpokladu, že takto spoločne ustanovená zodpovedná osoba bude mať možnosť reálne vykonávať a riadne si plniť svoje úlohy (napríklad v prípade vykonávania obhliadky serverov, kontroly bezpečnostných opatrení) a bude prístupná každému prevádzkovateľovi alebo sprostredkovateľovi (napríklad aj zo skupiny podnikov plniť povinnosti pre každý z nich samostatne) pre ktorých je ustanovená. Určenie jednej zodpovednej osoby je prípustné aj pre orgány verejne moci, za rovnakého predpokladu reálnej možnosti výkonu svojich úloh a dostupnosti pre každého prevádzkovateľa alebo sprostredkovateľa, a ak to organizačná štruktúra umožňuje. Zodpovedná osoba a jej poradenstvo má byť ľahko dostupné, teda „služby“ zodpovednej osoby majú byť dostupné napríklad v tom zmysle, že nie je si potrebné termín na konzultáciu u nej vopred dohodnúť niekoľko týždňov vopred alebo že je, v prípade ak je to potrebné, flexibilná reagovať do niekoľkých hodín, napríklad ak sa u prevádzkovateľa vyskytne bezpečnostný incident.
odsek 4
S ohľadom na odsek 1 tohto ustanovenia, kedy prevádzkovateľ a sprostredkovateľ je povinný určiť zodpovednú osobu, prevádzkovateľ a sprostredkovateľ si môžu dobrovoľne určiť zodpovednú osobu, ak to uznajú za vhodné. Na takto ustanovenú zodpovednú osobu sa vzťahujú práva a povinnosti rovnako ako pri povinne určenej zodpovednej osobe prevádzkovateľom alebo sprostredkovateľom. V prípade ak si chcú združenia a iné subjekty zastupujúce kategórie prevádzkovateľov alebo sprostredkovateľov určiť zodpovednú osobu, je potrebné vnímať, že takýmito kategóriami prevádzkovateľov a sprostredkovateľov možno vnímať banky, neziskové organizácie, zamestnávateľov v istej oblasti, teda subjekty, ktoré majú isté príbuzenské znaky najmä pokiaľ ide o ich činnosť, ktorá je ich hlavnou podnikateľskou činnosťou.
odsek 5 až odsek 7
Zodpovedná osoba sa má určiť na základe jej odbornosti, vedomostí, schopností, aby svoje povinnosti mohla vykonávať riadne a zodpovedne. Nie je potrebné, aby zodpovedná osoba bola kmeňovým zamestnancom prevádzkovateľa, nie je to ani vylúčené. Je vhodné, aby fyzická osoba na účely výkonu zodpovednej osoby vedela preukázať svoje vedomosti v oblasti ochrany osobných údajov, ako napríklad preukázaním sa o dosiahnutom vzdelaní, príslušnou praxou v práci s osobnými údajmi, úspešným absolvovaním workshopov, skúšok, alebo absolvovaním iných vzdelávacích aktivít a kurzov v oblasti ochrany osobných údajov. Potrebná úroveň odborných znalostí zodpovednej osoby by sa mala určiť najmä v závislosti od vykonávaných operácií s osobnými údajmi a od požadovanej ochrany osobných údajov u prevádzkovateľa alebo sprostredkovateľa. Takéto zodpovedné osoby, či už sú alebo nie sú zamestnancami prevádzkovateľa, by mali mať možnosť vykonávať svoje povinnosti a úlohy nezávisle. Môžu ich vykonávať aj na základe zmluvy o poskytovaní služby, ak zodpovedná osoba nie je zamestnancom prevádzkovateľa alebo sprostredkovateľa.
odsek 8
Na účely plnenia činností zodpovednej osoby je potrebné, aby jej kontaktné údaje boli prevádzkovateľom a sprostredkovateľom zverejnené, a to tak aby boli kontaktné údaje zodpovednej osoby dostupné jednak zamestnancom daného prevádzkovateľa ale predovšetkým dotknutým osobám. Nakoľko zodpovedná osoba má poskytovať súčinnosť úradu je potrebné, aby aj úrad bol informovaný o jej určení, najneskôr momentom tohto ustanovenia. S týmto určením, či o zmene v osobe zodpovednej osoby je povinný prevádzkovateľ alebo sprostredkovateľ úrad bez meškania informovať.
Pokiaľ ide o zverejnené kontakty zodpovednej osoby zákon výslovne nevyžaduje, aby prevádzkovateľ zverejnil jej meno alebo priezvisko, je však potrebné aby zabezpečil zverejnenie kontaktu na ňu, ako zodpovednú osobu, na funkciu, to znamená, že uvedená povinnosť bude splnená aj vtedy, ak napríklad na svojom webovom sídle zverejní kontaktné údaje vo forme adresy a napríklad e-mailu na ktorom je zodpovedná osoba zastihnuteľná (napr.: zodpovednaosoba@menofirmy.sk, alebo v adrese uvedie: Kancelária Zodpovednej osoby spoločnosti s. r. o. podľa zákona č. ……, Pekná ulica 33, 963 33 Bratislava). Samozrejme nie je vylúčené, aby sa kontaktné údaje zodpovednej osoby skladali aj s jej reálneho mena a priezviska. Pokiaľ ide o oznamovanie zodpovednej osoby úradu, je potrebné, aby úradu boli oznámené skutočné osobné údaje zodpovednej osoby. Oznámenie o určení zodpovednej osoby bude možné voči úradu vykonať rôznymi spôsobmi, a to napríklad e-mailom, poštou alebo osobne.
§ 45
Postavenie zodpovednej osoby
- Prevádzkovateľ a sprostredkovateľ sú povinní zabezpečiť, aby zodpovedná osoba riadne a včas vykonávala činnosti súvisiace s ochranou osobných údajov.
- Prevádzkovateľ a sprostredkovateľ sú povinní poskytnúť zodpovednej osobe pri plnení úloh podľa § 46 potrebnú súčinnosť; najmä sú povinní jej poskytnúť prostriedky potrebné na plnenie týchto úloh a prístup k osobným údajom a spracovateľským operáciám, ako aj zabezpečiť udržiavanie jej odborných znalostí.
- Prevádzkovateľ a sprostredkovateľ sú povinní zabezpečiť, aby zodpovedná osoba v súvislosti s plnením úloh podľa § 46 nedostávala žiadne pokyny. Prevádzkovateľ ani sprostredkovateľ ju nesmú odvolať alebo postihovať za výkon jej úloh podľa § 46. Zodpovedná osoba je pri plnení úloh podľa § 46 priamo zodpovedná štatutárnemu orgánu prevádzkovateľa alebo štatutárnemu orgánu sprostredkovateľa.
- Dotknutá osoba môže kontaktovať zodpovednú osobu s otázkami týkajúcimi sa spracúvania jej osobných údajov a uplatňovania jej práv podľa tohto zákona.
- Zodpovedná osoba je v súvislosti s výkonom svojich úloh viazaná povinnosťou mlčanlivosti v súlade s týmto zákonom alebo osobitným predpisom.15)
- Zodpovedná osoba môže plniť aj iné úlohy a povinnosti ako podľa § 46; prevádzkovateľ alebo sprostredkovateľ sú povinní zabezpečiť, aby žiadna z takýchto iných úloh alebo povinností neviedla ku konfliktu záujmov.
K § 45
Ak prevádzkovateľ a sprostredkovateľ majú povinnosť určiť zodpovednú osobu alebo sa dobrovoľne rozhodli ju určiť, je potrebné, aby ju riadne a včas zapojili do všetkých činností, ktoré sú pre ňu potrebné na to, aby si svoju funkciu zodpovednej osoby mohla riadne plniť. Je potrebné, aby od momentu jej určenia mala prístup do všetkých informačných a bezpečnostných systémov prevádzkovateľa alebo sprostredkovateľa.
V rámci neustáleho rozvoja informačno-komunikačných technológií je potrebné, aby sa zodpovedná osoba pravidelne vzdelávala, v čom by ju prevádzkovateľ alebo sprostredkovateľ mal podporovať, aj finančne, keďže zvyšovanie jej vedomostí a zručností prispeje k lepšej ochrane osobných údajov v rámci jeho informačných systémov osobných údajov.
Postavenie zodpovednej osoby je nezávislé a nestranné, a je zodpovedná osoba je povinná zachovávať mlčanlivosť v súvislosti s výkonom úloh zodpovednej osoby. Prevádzkovateľ a sprostredkovateľ môžu zasahovať do plnenia úloh zodpovednej osoby len ak sú princípy nestrannosti a nezávislosti zodpovednej osoby zachované. Ak zodpovedná osoba vykonáva iné činnosti pre prevádzkovateľa alebo sprostredkovateľa okrem úloh zodpovednej osoby, tieto nesmú byť v konflikte s jej činnosťou, ako zodpovednej osoby, či mať nepriaznivý vplyv na plnenie úloh zodpovednej osoby a na jej nezávislé postavenie. Zodpovedná osoba má mať priamu informačnú povinnosť (oznamovaciu linku) na najvyššie vedenie prevádzkovateľa alebo sprostredkovateľa zodpovedného za oblasť ochrany osobných údajov. Ak zodpovedná osoba svojou činnosťou zistí nedostatky alebo porušenia ochrany osobných údajov, či nesúlad so zákonom alebo osobitným predpisom pre oblasť ochrany osobných údajov, je povinná o tejto skutočnosti ihneď informovať prevádzkovateľa alebo sprostredkovateľa a súčasne má mať oprávnenia na zabezpečenie okamžitej nápravy a docielenie súladu s týmto zákonom pre oblasť ochrany osobných údajov. V prípade, ak zodpovedná osoba vykonáva funkciu zodpovednej osoby pre podnikateľa, napríklad v rámci jednoosobovej spoločnosti s ručením obmedzeným, podlieha priamo jemu, konateľovi, taktiež, ak je prevádzkovateľom živnostník, tak podlieha priamo jemu, ako najvyššiemu predstaviteľovi prevádzkovateľa alebo sprostredkovateľa.§ 46
Úlohy zodpovednej osoby
- Zodpovedná osoba najmä
- poskytuje informácie a poradenstvo prevádzkovateľovi alebo sprostredkovateľovi a zamestnancom, ktorí vykonávajú spracúvanie osobných údajov, o ich povinnostiach podľa tohto zákona, osobitných predpisov alebo medzinárodných zmlúv, ktorými je Slovenská republika viazaná, týkajúcich sa ochrany osobných údajov,
- monitoruje súlad s týmto zákonom, osobitnými predpismi alebo medzinárodnými zmluvami, ktorými je Slovenská republika viazaná, týkajúcimi sa ochrany osobných údajov a s pravidlami prevádzkovateľa alebo sprostredkovateľa súvisiacimi s ochranou osobných údajov vrátane rozdelenia povinností, zvyšovania povedomia a odbornej prípravy osôb, ktoré sú zapojené do spracovateľských operácií a súvisiacich auditov ochrany osobných údajov,
- poskytuje na požiadanie poradenstvo, ak ide o posúdenie vplyvu na ochranu osobných údajov a monitorovanie jeho vykonávania podľa § 42,
- spolupracuje s úradom pri plnení svojich úloh,
- plní úlohy kontaktného miesta pre úrad v súvislosti s otázkami týkajúcimi sa spracúvania osobných údajov vrátane predchádzajúcej konzultácie podľa § 43 a podľa potreby aj konzultácie v iných veciach.
- Zodpovedná osoba pri výkone svojich úloh náležite zohľadňuje riziko spojené so spracovateľskými operáciami, pričom berie do úvahy povahu, rozsah, kontext a účel spracúvania osobných údajov.
K § 46
Stanovuje základné a podstatné úlohy, ktoré má zodpovedná osoba vykonávať a v súvislosti s ktorými je zodpovedná osoba povinná pri výkone týchto úloh zohľadniť riziká spojené so spracovateľskými operáciami (povahu, rozsah, kontext a účel). Úlohy zodpovednej osoby sú stanovené príkladným výpočtom, teda nie je vylúčené, aby zodpovedná osoba vykonávala aj iné činnosti spadajúce pod ochranu osobných údajov, ktorými ju prevádzkovateľ alebo sprostredkovateľ poverí, a ktoré nebudú negatívne zasahovať do výkonu úloh zodpovednej osoby podľa tohto zákona prípadne nepovedú ku konfliktu záujmov.ŠTVRTÁ HLAVA
Prenos osobných údajov do tretej krajiny
alebo medzinárodnej organizácii
§ 47
Všeobecná zásada prenosu
Prenos osobných údajov, ktoré sa spracúvajú alebo sú určené na spracúvanie po prenose do tretej krajiny alebo medzinárodnej organizácii, sa môže uskutočniť len vtedy, ak prevádzkovateľ a sprostredkovateľ dodržiavajú podmienky, vrátane podmienok následného prenosu osobných údajov z predmetnej tretej krajiny alebo od predmetnej medzinárodnej organizácie do inej tretej krajiny alebo inej medzinárodnej organizácii.K § 47
Stanovuje podmienky, za ktorých sa môže vykonať prenos osobných údajov, do tretej krajiny alebo medzinárodnej organizácii, sa môže uskutočniť len vtedy, ak prevádzkovateľ a sprostredkovateľ dodržiavajú podmienky, vrátane podmienok následného prenosu osobných údajov z predmetnej tretej krajiny alebo od predmetnej medzinárodnej organizácie do inej tretej krajiny alebo inej medzinárodnej organizácii. Cieľom je neohroziť úroveň ochrany osobných údajov fyzických osôb a zaručiť dodržiavanie podmienok ustanovených týmto zákonom, osobitnými predpismi alebo medzinárodnými zmluvami, ktorými je Slovenská republika viazaná.§ 48
Prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii
- Prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii sa môže uskutočniť, ak Komisia rozhodla, že tretia krajina, územie alebo jeden či viaceré určené odvetvia v danej tretej krajine alebo medzinárodná organizácia, zaručujú primeranú úroveň ochrany osobných údajov. Takýto prenos nevyžaduje osobitné povolenie.
- Ak neexistuje rozhodnutie Komisie podľa odseku 1, prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii sa môže uskutočniť len vtedy, ak sa poskytnú primerané záruky ochrany osobných údajov.
- Primerané záruky podľa odseku 2 sa môžu ustanoviť bez toho, aby bolo potrebné žiadať úrad o osobitné povolenie, prostredníctvom
- medzinárodnej zmluvy, ktorou je Slovenská republika viazaná,
- vnútropodnikových pravidiel podľa § 49,
- štandardnej doložky o ochrane údajov, ktoré prijala Komisia,
- štandardnej doložky o ochrane údajov, ktoré prijal úrad,
- schváleného kódexu správania podľa § 85 spolu so záväzkami prevádzkovateľa alebo sprostredkovateľa v tretej krajine spočívajúcimi v uplatňovaní primeraných záruk, a to aj ak ide o práva dotknutej osoby, alebo
- certifikátu podľa § 86 spolu so záväzkom prevádzkovateľa alebo sprostredkovateľa v tretej krajine spočívajúcim v uplatňovaní primeraných záruk, a to aj ak ide o práva dotknutej osoby.
- Primerané záruky podľa odseku 2 sa môžu tiež zabezpečiť na základe povolenia úradu najmä
- zmluvnými doložkami medzi prevádzkovateľom alebo sprostredkovateľom a prevádzkovateľom, sprostredkovateľom alebo príjemcom v tretej krajine alebo medzinárodnej organizácii, alebo
- ustanoveniami v administratívnych dohodách medzi orgánmi verejnej moci alebo verejnoprávnymi inštitúciami, ktoré zahŕňajú účinné prostriedky na uplatnenie práva dotknutej osoby na podanie návrhu na začatie konania podľa § 100 a na inú právnu ochranu podľa osobitného predpisu.19)
K § 48
Ustanovenie upravuje podmienky, na základe ktorých je možný prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii. odsek 1 Prvou z podmienok je existencia rozhodnutia Európskej komisie (ďalej len „Komisia“ alebo aj „Európska komisia“) o primeranosti úrovne ochrany osobných údajov, ktoré zverejňuje na svojom webovom sídle a ktoré následne zverejňuje aj úrad vo forme hypertextového odkazu na svojom webovom sídle. Takéto rozhodnutie zaisťuje právnu istotu a jednotnosť v celej Únii, pokiaľ ide o tretiu krajinu alebo medzinárodnú organizáciu, ktorá sa považuje za tretiu krajinu alebo medzinárodnú organizáciu poskytujúcu takúto dostatočnú úroveň ochrany. V takýchto prípadoch sa prenosy osobných údajov do takejto tretej krajiny alebo medzinárodnej organizácii môžu uskutočňovať bez potreby získania ďalšieho povolenia od úradu. odsek 2 Komisia môže dospieť k záveru, že tretia krajina, územie alebo určený sektor v tretej krajine, alebo medzinárodná organizácia už nezaručujú primeranú úroveň ochrany osobných údajov. V dôsledku toho by sa mal prenos osobných údajov do tejto tretej krajiny alebo medzinárodnej organizácii zakázať. Primerané záruky možno charakterizovať ako formu opatrenia na kompenzáciu za nedostatočnú ochranu údajov v tretej krajine prostredníctvom primeraných záruk pre dotknutú osobu. Tieto záruky by mali zabezpečiť súlad s požiadavkami na ochranu údajov a právami dotknutých osôb primeranými spracúvaniu v rámci Únie, vrátane dostupnosti vymáhateľných práv dotknutých osôb a účinných prostriedkov nápravy, vrátane účinných prostriedkov správnej a súdnej nápravy a možnosti domáhať sa náhrady škody v Únii alebo tretej krajine. odsek 3 Ustanovuje formy primeraných záruk. odsek 4 Povolenie úradu na prenos osobných údajov do tretích krajín alebo medzinárodným organizáciám by sa malo získať v prípade, že záruky sú stanovené v administratívnych dojednaniach, ktoré nie sú právne záväzné (napr. zmluvné doložky v zmluve medzi sprostredkovateľom a ďalším sprostredkovateľom alebo ustanovenia v administratívnych dojednaniach medzi orgánmi verejnej moci).§ 49
Vnútropodnikové pravidlá
- Úrad schváli vnútropodnikové pravidlá, ak
- sa vzťahujú sa na každého člena skupiny podnikov alebo zoskupenia podnikov zapojených do spoločnej hospodárskej činnosti vrátane ich zamestnancov, a títo členovia ich uplatňujú,
- sa nimi upravujú vnútorné postupy pre uplatnenie práv dotknutej osoby, ak ide o spracúvanie osobných údajov, a
- spĺňajú požiadavky podľa odseku 2.
- Vo vnútropodnikových pravidlách sa uvedie aspoň
- štruktúra a kontaktné údaje skupiny podnikov alebo zoskupenia podnikov zapojených do spoločnej hospodárskej činnosti a každého z ich členov,
- prenos osobných údajov alebo súbor prenosov vrátane kategórií osobných údajov, typu spracúvania a jeho účelov, typu dotknutých osôb a identifikácia predmetnej tretej krajiny alebo krajín,
- ich záväznosť pre prevádzkovateľa a sprostredkovateľa,
- uplatňovanie všeobecných zásad ochrany osobných údajov, najmä obmedzenie účelu, minimalizácia osobných údajov, obmedzenie lehoty uchovávania, kvalita osobných údajov, špecificky navrhnutá a štandardná ochrana osobných údajov, právny základ pre spracúvanie osobných údajov, spracúvanie osobitných kategórií osobných údajov, opatrenia na zaistenie bezpečnosti osobných údajov, ako aj požiadavky v súvislosti s následnými prenosmi subjektom, ktoré nie sú viazané vnútropodnikovými pravidlami,
- právo dotknutej osoby v súvislosti so spracúvaním osobných údajov a prostriedky na uplatnenie týchto práv vrátane práva na to, aby sa na ne nevzťahovalo rozhodovanie založené výlučne na automatizovanom spracúvaní vrátane profilovania podľa § 28, práva na podanie návrhu na začatie konania podľa § 100 a na inú právnu ochranu práva podľa osobitného predpisu19) a práva na náhradu škody za porušenie vnútropodnikových pravidiel,
- vyhlásenie, že prevádzkovateľ alebo sprostredkovateľ so sídlom, organizačnou zložkou, prevádzkarňou alebo trvalým pobytom na území Slovenskej republiky prijíma zodpovednosť za porušenia vnútropodnikových pravidiel ktorýmkoľvek z dotknutých členov, ktorý nemá sídlo, organizačnú zložku, prevádzkareň alebo trvalý pobyt v členskom štáte; prevádzkovateľ alebo sprostredkovateľ je úplne oslobodený alebo čiastočne oslobodený od tejto zodpovednosti, len ak preukáže, že spôsobenú škodu nezavinil,
- spôsob, akým sa okrem spôsobov podľa § 19 a 20 poskytujú dotknutej osobe informácie o vnútropodnikových pravidlách, najmä ak ide o ustanovenia podľa písmen d) až f),
- úlohy zodpovednej osoby alebo inej osoby alebo subjektu zodpovedného za monitorovanie dodržiavania vnútropodnikových pravidiel, ako aj za monitorovanie odbornej prípravy a vybavovania sťažností,
- postupy týkajúce sa podávania sťažností,
- mechanizmus, ktorý má v rámci skupiny podnikov alebo zoskupenia podnikov zapojených do spoločnej hospodárskej činnosti zabezpečiť overovanie dodržiavania vnútropodnikových pravidiel a ktorý zahŕňa audity ochrany osobných údajov a metódy na zabezpečenie opatrení na nápravu s cieľom chrániť práva dotknutej osoby; výsledky overovania oznamujú zodpovednej osobe alebo subjektu uvedenému v písmene h) a štatutárnemu orgánu riadiaceho podniku skupiny podnikov alebo zoskupenia podnikov zapojených do spoločnej hospodárskej činnosti a na požiadanie poskytujú úradu,
- mechanizmus ohlasovania a zaznamenávania zmien pravidiel a ohlasovania týchto zmien úradu,
- mechanizmus spolupráce s úradom na zabezpečenie dodržiavania pravidiel, najmä poskytovania výsledkov overovania podľa písmena j) úradu,
- mechanizmus ohlasovania právnych požiadaviek, ktorým prevádzkovateľ alebo sprostredkovateľ podlieha v tretej krajine a ktoré pravdepodobne budú mať podstatné nepriaznivé následky na záruky poskytované vnútropodnikovými pravidlami úradu, a
- primeraná odborná príprava fyzických osôb, ktoré majú stály alebo pravidelný prístup k osobným údajom, v oblasti ochrany osobných údajov.
K § 49
Stanovuje podmienky kedy úrad schvaľuje záväzné vnútropodnikové pravidlá a ich minimálne obsahové náležitosti.§ 50
Prenos alebo poskytnutie osobných údajov,
ktoré právny poriadok v Slovenskej republike nepovoľuje
Rozhodnutie súdu, rozhodnutie tribunálu alebo rozhodnutie správneho orgánu tretej krajiny, ktoré od prevádzkovateľa alebo sprostredkovateľa vyžaduje preniesť osobné údaje alebo poskytnúť osobné údaje, môže byť uznané alebo vykonateľné len vtedy, ak je v súlade s medzinárodnou zmluvou uzavretou s treťou krajinou, ktorou je Slovenská republika alebo Európska únia viazaná.K § 50
Niektoré tretie krajiny prijímajú zákony, iné právne predpisy a iné právne akty, ktoré priamo regulujú spracovateľské činnosti fyzických a právnických osôb v rámci jurisdikcie členských štátov, Slovenskú republiku nevynímajúc. To môže zahŕňať rozsudky súdov alebo tribunálov alebo rozhodnutia správnych orgánov tretích krajín, v ktorých sa od prevádzkovateľa alebo sprostredkovateľa vyžaduje prenos alebo poskytnutie osobných údajov a ktoré nie sú založené na platnej medzinárodnej dohode, napríklad zmluve o vzájomnej právnej pomoci, medzi žiadajúcou treťou krajinou a Európskou úniou alebo členským štátom. Extrateritoriálne uplatňovanie týchto zákonov, iných právnych predpisov a iných právnych aktov môže byť v rozpore s medzinárodným právom a môže ohroziť ochranu fyzických osôb zaručenú Európskym právom a Slovenskou republikou v tomto zákone. Prenosy osobných údajov vyplývajúce z extrateritoriality právnych predpisov tretích krajín budú povolené, len ak sa splnia podmienky uvedené v tomto zákone alebo osobitnom predpise pre prenosy do tretích krajín a ak rozhodnutia na základe ktorých má dôjsť k prenosu osobných údajov sú založené na medzinárodnej dohode, ako napríklad zmluve o vzájomnej právnej pomoci. Môže ísť okrem iného o prípad, keď je poskytnutie potrebné z dôležitého dôvodu verejného záujmu ustanoveného v osobitnom predpise, ktorému prevádzkovateľ podlieha.§ 51
Výnimky pre osobitné situácie
- Ak neexistuje rozhodnutie o primeranosti podľa § 48 ods. 1 ani primerané záruky podľa § 48 ods. 2 až 4 vrátane vnútropodnikových pravidiel, prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii sa môže uskutočniť len vtedy, ak
- dotknutá osoba vyjadrila výslovný súhlas s navrhovaným prenosom po tom, ako bola informovaná o možných rizikách takéhoto prenosu z dôvodu neexistencie rozhodnutia o primeranosti a primeraných záruk,
- prenos je nevyhnutný na plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom alebo na vykonanie predzmluvných opatrení prijatých na žiadosť dotknutej osoby,
- prenos je nevyhnutný na uzatvorenie zmluvy alebo plnenie zmluvy uzatvorenej v záujme dotknutej osoby medzi prevádzkovateľom a inou osobou,
- prenos je nevyhnutný z verejného záujmu podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná,
- prenos je nevyhnutný na uplatnenie právneho nároku dotknutej osoby,
- prenos je nevyhnutný na ochranu života, zdravia alebo majetku dotknutej osoby, alebo inej fyzickej osoby, ak je dotknutá osoba fyzicky nespôsobilá alebo právne nespôsobilá vyjadriť súhlas, alebo
- prenos sa uskutočňuje z registra, ktorý je podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, určený na poskytovanie informácií verejnosti a do ktorého môže nahliadať verejnosť, pričom musia byť splnené podmienky nahliadania podľa tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.
- Ak prenos nemožno uskutočniť podľa § 48 a nemožno ani uplatniť žiadnu výnimku pre osobitnú situáciu podľa odseku 1, prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii sa môže uskutočniť len vtedy, ak
- prenos nie je opakujúcej sa povahy,
- prenos sa týka len obmedzeného počtu dotknutých osôb,
- prenos je nevyhnutný na účel závažných oprávnených záujmov prevádzkovateľa, nad ktorými neprevažujú práva alebo záujmy dotknutej osoby, a
- prevádzkovateľ posúdil okolnosti sprevádzajúce prenos osobných údajov a na základe tohto posúdenia poskytol vhodné záruky ochrany osobných údajov.
- Prevádzkovateľ je povinný o prenose podľa odseku 2 vopred informovať úrad. Prevádzkovateľ je okrem poskytnutia informácií podľa § 19 a 20 povinný informovať dotknutú osobu o prenose podľa odseku 2 a o svojich oprávnených záujmoch v lehotách podľa § 19 a 20. Prevádzkovateľ alebo sprostredkovateľ zdokumentujú posúdenie, ako aj vhodné záruky v záznamoch o spracovateľských činnostiach podľa § 37.
- Prenos podľa odseku 1 písm. g) nesmie zahŕňať osobné údaje alebo celé kategórie osobných údajov, ktoré obsahuje register. Ak je register určený na nahliadanie pre osoby s oprávneným záujmom, prenos sa môže uskutočniť iba na žiadosť týchto osôb alebo vtedy, keď majú byť tieto osoby príjemcami.
- Odsek 1 písm. a) až c) a odsek 2 sa nevzťahujú na činnosti, ktoré vykonávajú orgány verejnej moci pri výkone verejnej moci.
K § 51
Výnimky v tomto ustanovení uvedené sa uplatnia predovšetkým na prenosy údajov, ak dotknutá osoba dala výslovný súhlas a boli jej poskytnuté zákonom stanovené informácie, ak je prenos občasný a potrebný v súvislosti so zmluvou alebo právnym nárokom, a to bez ohľadu na to, či ide o súdne konanie alebo správne či iné mimosúdne konanie, alebo ak si to vyžadujú dôležité dôvody verejného záujmu stanovené v osobitnom predpise alebo ak je prenos realizovaný z registra vytvoreného na základe osobitného predpisu a určeného na nahliadanie zo strany verejnosti alebo osôb s oprávneným záujmom. V poslednom uvedenom prípade by tento prenos nemal zahŕňať osobné údaje v ich celistvosti alebo celé kategórie osobných údajov obsiahnutých v registri a ak je register určený na nahliadanie zo strany osôb s oprávneným záujmom, prenos by sa mal vykonať len na požiadanie takýchto osôb alebo vtedy, ak majú byť takéto osoby príjemcami údajov, pričom sa vezmú plne do úvahy záujmy a práva dotknutej osoby. Výnimky v tomto ustanovení uvedené sa uplatnia aj na prenosy údajov, ak ide o závažné dôvody verejného záujmu, napríklad v prípadoch medzinárodnej výmeny údajov medzi orgánmi hospodárskej súťaže, daňovými alebo colnými správami, medzi orgánmi finančného dohľadu, medzi útvarmi zodpovednými za otázky sociálneho zabezpečenia alebo za verejné zdravie, napríklad v prípade sledovania kontaktu, pokiaľ ide o nákazlivé choroby, alebo s cieľom obmedziť a/alebo vylúčiť doping zo športu. Prenos osobných údajov by sa mal tiež považovať za zákonný, ak je potrebný na ochranu záujmu, ktorý je podstatný pre životne dôležité záujmy dotknutej osoby alebo inej osoby, vrátane telesnej integrity alebo života, ak dotknutá osoba nemôže vyjadriť súhlas. Akýkoľvek prenos osobných údajov dotknutej osoby, ktorá nie je fyzicky alebo právne spôsobilá na udelenie súhlasu medzinárodnej humanitárnej organizácii s cieľom plniť úlohy uložené ženevskými dohovormi alebo v súlade s medzinárodným humanitárnym právom uplatniteľným na ozbrojené konflikty, by sa mohol považovať za potrebný zo závažného dôvodu verejného záujmu alebo z dôvodu životného záujmu dotknutej osoby. Prenosy, ktoré možno označiť za neopakujúce sa a ktoré sa týkajú len obmedzeného počtu dotknutých osôb, by tiež mohli byť možné na účely závažných oprávnených záujmov prevádzkovateľa, keď nad týmito záujmami neprevažujú záujmy alebo práva dotknutej osoby a keď prevádzkovateľ posúdil všetky okolnosti prenosu údajov. Prevádzkovateľ by mal osobitne prihliadať na povahu osobných údajov, účel a trvanie navrhovanej spracovateľskej operácie či operácií, ako aj na situáciu v krajine pôvodu, v tretej krajine a krajine konečného určenia a mal by poskytnúť náležité záruky na ochranu práv fyzických osôb, pokiaľ ide o spracúvanie ich osobných údajov. Takéto prenosy by mali byť možné len v prípadoch, v ktorých nie sú dané iné dôvody na prenos. Na účely vedeckého alebo historického výskumu alebo na štatistické účely by sa mali zohľadniť oprávnené očakávania spoločnosti týkajúce sa prehĺbenia znalostí. Prevádzkovateľ by mal informovať o prenose ako aj o závažných oprávnených záujmoch, ktoré prevádzkovateľ sleduje tak úrad ako aj dotknutú osobu.OSOBITNÉ PRAVIDLÁ OCHRANY OSOBNÝCH ÚDAJOV FYZICKÝCH OSÔB PRI ICH SPRACÚVANÍ PRÍSLUŠNÝMI ORGÁNMI
PRVÁ HLAVA
ZÁSADY SPRACÚVANIA OSOBNÝCH ÚDAJOV
§ 52
Na postup príslušných orgánov pri spracúvaní osobných údajov na plnenie úloh na účely trestného konania sa vzťahujú § 6, § 8, § 9, § 11, § 12 a § 13 ods. 2 rovnako.K § 52
V tretej časti zákona sa transponuje smernica 2016/680, teda sa v nej ustanovujú pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania a odhaľovania trestnej činnosti, zisťovania páchateľov trestných činov, vyšetrovania trestných činov, stíhania trestných činov alebo na účely výkonu rozhodnutí v trestnom konaní vrátane ochrany pred ohrozením verejného poriadku a predchádzania takémuto ohrozeniu (ďalej len „plnenie úloh na účely trestného konania“). Príslušnými orgánmi sú v zmysle požiadaviek smernice Policajný zbor, Vojenská polícia, Zbor väzenskej a justičnej stráže, finančná správa, prokuratúra a súdy. Na postup príslušných orgánov pri spracúvaní osobných údajov na plnenie úloh na účely trestného konania sa vzťahujú § 6, § 8, § 11, § 12, § 13 ods. 2 tohto zákona rovnako.
§ 53
Zásada obmedzenia účelu
Osobné údaje musia byť získavané na konkrétne určený, výslovne uvedený a oprávnený účel a nesmú sa ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmto účelom; ten istý príslušný orgán alebo iný príslušný orgán je oprávnený spracúvať osobné údaje na archiváciu, na vedecký účel, na účel historického výskumu alebo na štatistický účel v súvislosti s plnením úloh na účely trestného konania, ak príjme primerané záruky ochrany práv dotknutej osoby.K § 53
Osobné údaje by mali byť primerané a relevantné vzhľadom na účely, na ktoré sa spracúvajú. Osobné údaje by sa mali spracúvať len vtedy, ak účel spracúvania nebolo možné za primeraných podmienok dosiahnuť inými prostriedkami.
§ 54
Zásada minimalizácie uchovávania
Osobné údaje musia byť uchovávané vo forme, ktorá umožňuje identifikáciu dotknutej osoby najneskôr dovtedy, kým je to potrebné na účel, na ktorý sa osobné údaje spracúvajú.K § 54
Osobné údaje musia byť uchovávané vo forme, ktorá umožňuje identifikáciu dotknutých osôb najviac dovtedy, kým je to potrebné na dosiahnutie účelu spracúvania.
§ 55
Zákonnosť spracúvania
- Príslušný orgán je oprávnený spracúvať osobné údaje na plnenie úloh na účely trestného konania podľa tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.
- Spracúvať osobné údaje na plnenie úloh na účely trestného konania, ktoré boli pôvodne získané na iný účel, je možné, ak spracúvanie osobných údajov je na účel trestného konania nevyhnutné a primerané.
- Príslušný orgán je oprávnený osobné údaje spracúvať aj na iný účel ako je plnenie úloh na účely trestného konania, ak to je zlučiteľné s účelom, na ktorý sa zhromaždili a ak spracúvanie je na tento iný účel nevyhnutné a primerané. Na spracúvanie osobných údajov na iný účel sa vzťahuje osobitný predpis,2) ak ide o spracúvanie osobných údajov v rámci činnosti, ktorá patrí do pôsobnosti práva Európskej únie; ak nejde o spracúvanie v rámci činnosti, ktorá patrí do pôsobnosti práva Európskej únie, na spracúvanie osobných údajov na iný účel sa vzťahuje tento zákon okrem tejto časti.
- Ak príslušný orgán vykonáva iné činnosti ako je plnenie úloh na účely trestného konania, na spracúvanie osobných údajov na iné činnosti sa vzťahuje osobitný predpis,2) ak ide o spracúvanie osobných údajov v rámci činnosti, ktorá patrí do pôsobnosti práva Európskej únie; ak nejde o spracúvanie osobných údajov v rámci činnosti, ktorá patrí do pôsobnosti práva Európskej únie, na spracúvanie osobných údajov na iné činnosti sa vzťahuje tento zákon okrem tejto časti.
K § 55
Na to, aby bolo spracúvanie osobných údajov zákonné, by malo byť nevyhnutné na plnenie úloh na účely trestného konania príslušným orgánom na základe práva Únie alebo nášho vnútroštátneho práva. Plnenie úloh na účely trestného konania inštitucionálne zverené príslušným orgánom im umožňuje vyžadovať od fyzických osôb alebo im prikazovať, aby vyhoveli ich žiadostiam. V takomto prípade by právnym dôvodom na spracúvanie osobných údajov príslušnými orgánmi nemal byť súhlas dotknutej osoby v zmysle nariadenia (EÚ) 2016/679. Ak sa od dotknutej osoby požaduje splnenie zákonnej povinnosti, dotknutá osoba nemá skutočnú a slobodnú voľbu, takže reakcia dotknutej osoby by sa nemohla považovať za slobodné vyjadrenie jej vôle. To však nebráni ustanoviť prostredníctvom osobitného predpisu, že dotknutá osoba môže súhlasiť so spracúvaním svojich osobných údajov na plnenie úloh na účely trestného konania, ako sú napríklad testy DNA pri vyšetrovaní trestného činu alebo monitorovanie jej polohy pomocou technických prostriedkov pri výkone trestných sankcií.
Ak osobné údaje pôvodne získal príslušný orgán pri plnení úloh na účely trestného konania, nariadenie (EÚ) 2016/679, resp. druhá časť zákona by sa mali uplatňovať na spracúvanie týchto údajov na iné účely, než na tieto účely, ak je takéto spracúvanie prípustné podľa práva Únie alebo nášho vnútroštátneho práva. Pravidlá nariadenia (EÚ) 2016/679, resp. druhej časti zákona by sa mali uplatňovať najmä na prenos osobných údajov na účely, ktoré nepatria do rozsahu pôsobnosti tejto (tretej) časti zákona. Na spracúvanie osobných údajov príjemcom, ktorý nie je príslušným orgánom alebo ktorý nekoná ako príslušný orgán a ktorému osobné údaje zákonne poskytol príslušný orgán, by sa malo vzťahovať nariadenie (EÚ) 2016/679, resp. druhá časť zákona.
Ak príslušný orgán spracúva osobné údaje na iné účely ako na plnenie úloh na účely trestného konania, uplatňuje sa nariadenie (EÚ) 2016/679, resp. druhá časť zákona. Nariadenie (EÚ) 2016/679, resp. druhá časť zákona sa preto uplatňujú v prípadoch, keď príslušný orgán získava osobné údaje na iné účely a ďalej spracúva tieto osobné údaje s cieľom splniť zákonnú povinnosť, ktorá sa naň vzťahuje. Činnosti, ktoré vykonáva polícia alebo iné orgány, sa sústreďujú predovšetkým na predchádzanie trestným činom, ich vyšetrovanie, odhaľovanie alebo stíhanie, vrátane policajných činností, pri ktorých nie je vopred známe, či je skutok trestným činom. Medzi takéto činnosti môže patriť aj výkon právomoci prostredníctvom prijatia donucovacích opatrení, ako napríklad činnosť polície pri demonštráciách, významných športových podujatiach a nepokojoch. Zahŕňajú tiež udržiavanie verejného poriadku ako úlohy uloženej polícii alebo iným orgánom, ak je to potrebné na ochranu pred ohrozením verejnej bezpečnosti a základných záujmov spoločnosti chránených zákonom, ktoré môže viesť k spáchaniu trestného činu, a na predchádzanie takémuto ohrozeniu. Príslušné orgány môžu byť poverené ďalšími úlohami, ktoré nie sú nevyhnutne úlohami na účely trestného konania, v dôsledku čoho spracúvanie osobných údajov na tieto iné účely, patrí do rozsahu pôsobnosti nariadenia (EÚ) 2016/679, resp. druhej časti zákona.§ 56
Spracúvanie osobitných kategórií osobných údajov
- Osobitné kategórie osobných údajov môže príslušný orgán spracúvať len vtedy, ak
- ich preukázateľne poskytla dotknutá osoba,
- je ich spracúvanie nevyhnutné podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, alebo
- je ich spracúvanie nevyhnutné na ochranu života, zdravia alebo majetku dotknutej osoby, alebo inej fyzickej osoby.
- Príslušný orgán musí pri spracúvaní osobitných kategórií osobných údajov prijať primerané záruky na ochranu práv dotknutej osoby.
K § 56
Osobné údaje, ktoré sú svojou povahou obzvlášť citlivé v súvislosti so základnými právami si zasluhujú osobitnú ochranu, keďže z kontextu ich spracúvania by mohli pre práva a slobody vyplývať významné riziká. Uvedené osobné údaje zahŕňajú osobné údaje, ktoré odhaľujú rasový alebo etnický pôvod. Takéto osobné údaje by sa nemali spracúvať, pokiaľ spracúvanie nepodlieha primeraným zárukám pre práva dotknutých osôb, ktoré sú ustanovené právnymi predpismi, pričom je prípustné v prípadoch povolených právnymi predpismi; ak spracúvanie ešte nie je povolené právnym predpisom, je nevyhnutné na ochranu životne dôležitých záujmov dotknutej alebo inej osoby; alebo ak sa spracúvanie týka údajov, ktoré preukázateľne zverejnila dotknutá osoba. Primerané záruky práv dotknutej osoby by mohli zahŕňať možnosť získať uvedené údaje iba v súvislosti s inými údajmi o dotknutej fyzickej osobe, možnosť primerane zabezpečiť získané údaje, prísnejšie pravidlá prístupu personálu príslušného orgánu k údajom a zákaz prenosu týchto údajov. Spracúvanie takýchto údajov by malo byť povolené právnymi predpismi, ak dotknutá osoba výslovne súhlasila so spracúvaním, ktoré je pre ňu obzvlášť citlivé. Súhlas dotknutej osoby by však sám osebe nemal poskytovať právny dôvod pre spracúvanie takýchto citlivých osobných údajov príslušnými orgánmi.
§ 57
Kategórie dotknutých osôb
Príslušný orgán je, ak je to možné, povinný rozlišovať medzi osobnými údajmi rôznych kategórií dotknutých osôb, ako sú najmä- osoby, u ktorých sa možno odôvodnene domnievať, že spáchali alebo majú v úmysle spáchať trestný čin,
- osoby odsúdené za spáchanie trestného činu,
- obete trestného činu alebo osoby, u ktorých sú na základe určitých skutočností dôvody domnievať sa, že sú alebo by mohli byť obeťami trestného činu,
- iné tretie osoby v súvislosti s trestným činom, a to najmä osoby, ktoré môžu byť vyzvané, aby svedčili v rámci trestného konania, osoby, ktoré môžu poskytnúť informácie o trestných činoch alebo kontaktné osoby alebo spoločníci niektorej z osôb podľa písmen a) a b).
K § 57
K spracúvaniu osobných údajov v oblasti justičnej spolupráce v trestných veciach a v oblasti policajnej spolupráce nevyhnutne patrí spracúvanie osobných údajov, ktoré sa týkajú rôznych kategórií dotknutých osôb. Preto by sa tam, kde je to uplatniteľné, malo v čo najväčšom možnom rozsahu jasne rozlišovať medzi osobnými údajmi rôznych kategórií dotknutých osôb, ako sú podozrivé osoby, osoby odsúdené za spáchanie trestného činu, obete a iné osoby, ako sú svedkovia, osoby disponujúce relevantnými informáciami alebo kontaktné osoby a spoločníci podozrivých osôb a odsúdených páchateľov trestných činov.
§ 58
Pôvod a pravdivosť osobných údajov
(1) Príslušný orgán označí, ak je to možné, osobné údaje založené na skutočnostiach a osobné údaje založené na osobných hodnoteniach.
(2) Príslušný orgán pred poskytnutím osobných údajov alebo pred prenosom osobných údajov overí ich správnosť, úplnosť a aktuálnosť, ak je to možné a prijme opatrenia na zabezpečenie toho, aby sa neposkytovali alebo neprenášali osobné údaje, ktoré sú nesprávne, neúplné alebo neaktuálne.
(3) Príslušný orgán k poskytnutiu a prenosu osobných údajov pripojí dostupné informácie, ktoré umožnia prijímajúcemu príslušnému orgánu posúdiť ich mieru správnosti, úplnosti, aktuálnosti a spoľahlivosti, ak to okolnosti dovoľujú. Nesprávne osobné údaje príslušný orgán nemôže poskytovať a prenášať; neoverené osobné údaje príslušný orgán musí pri poskytovaní alebo prenose takto označiť a musí uviesť mieru ich spoľahlivosti. Ak príslušný orgán neoprávnene poskytne osobné údaje alebo neoprávnene prenesie osobné údaje alebo poskytne nesprávne osobné údaje alebo prenesie nesprávne osobné údaje, je povinný bez zbytočného odkladu informovať príjemcu a žiadať príjemcov osobných údajov, ktorým sa také osobné údaje poskytli, aby ich bez zbytočného odkladu opravili, doplnili, vymazali alebo aby obmedzili spracúvanie takýchto osobných údajov.
K § 58
Príslušné orgány by mali zabezpečiť, aby sa osobné údaje, ktoré sú nesprávne, neúplné alebo už nie sú aktuálne, neprenášali ani nesprístupňovali. S cieľom zabezpečiť ochranu fyzických osôb, správnosť, úplnosť alebo mieru aktuálnosti a spoľahlivosť prenášaných alebo sprístupňovaných osobných údajov by mali príslušné orgány pri každom prenose osobných údajov podľa možnosti doplniť potrebné informácie.
DRUHÁ HLAVA
PRÁVA DOTKNUTEJ OSOBY
§ 59
Na postup príslušných orgánov pri spracúvaní osobných údajov na plnenie úloh na účely trestného konania sa vzťahuje § 29 rovnako.
K § 59
Na príslušné orgány vzťahuje iba § 28 z druhej časti tohto zákona..
§ 60
Informácie, ktoré sa majú sprístupniť alebo poskytnúť dotknutej osobe
(1) Príslušný orgán na svojom webovom sídle sprístupní najmä
- svoje identifikačné údaje a kontaktné údaje,
- kontaktné údaje zodpovednej osoby,
- informácie o účele spracúvania, na ktoré sú osobné údaje určené,
- kontaktné údaje úradu,
- informácie o práve podať návrh na začatie konania podľa § 100,
- informácie o práve žiadať od príslušného orgánu prístup k osobným údajom, ktoré sa dotknutej osoby týkajú, ich opravu, vymazanie alebo obmedzenie ich spracúvania.
(2) Na žiadosť dotknutej osoby je príslušný orgán povinný poskytnúť v osobitných prípadoch dotknutej osobe informácie o
- právnom základe spracúvania osobných údajov,
- dobe uchovávania osobných údajov; ak to nie je možné, informáciu o kritériách jej určenia,
- kategóriách príjemcov osobných údajov, a to aj v tretej krajine a medzinárodnej organizácii,
- o iných skutočnostiach, najmä ak sa osobné údaje získali bez vedomia dotknutej osoby.
K § 60
Dotknutej osobe by sa mali zo strany príslušných orgánov poskytnúť aspoň tieto informácie: označenie príslušného orgánu, kontaktné údaje zodpovednej osoby, účely spracúvania, právo podať sťažnosť a právo žiadať prístup k osobným údajom a ich opravu alebo vymazanie či obmedzenie spracúvania. Tieto informácie by sa mohli poskytnúť prostredníctvom webového sídla príslušného orgánu. S cieľom zaručiť spravodlivé spracúvanie vo vzťahu k dotknutej osobe a na to, aby mohla uplatňovať svoje práva, by mala byť okrem toho dotknutá osoba v osobitných prípadoch informovaná o právnom základe pre spracúvanie, o tom, ako dlho sa budú údaje uchovávať, účely spracúvania, kategórie príjemcov a prípadne ďalšie informácie.
§ 61
Právo na prístup k osobným údajom
Dotknutá osoba má právo získať od príslušného orgánu potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú, a ak tomu tak je, má právo získať prístup k týmto osobným údajom a informácie o- účele spracúvania osobných údajov a právnom základe spracúvania osobných údajov,
- kategórii spracúvaných osobných údajov,
- príjemcovi alebo kategórii príjemcov, ktorým boli alebo majú byť osobné údaje poskytnuté, najmä o príjemcovi v tretej krajine alebo o medzinárodnej organizácii,
- dobe uchovávania osobných údajov; ak to nie je možné, informáciu o kritériách jej určenia,
- práve žiadať od príslušného orgánu opravu osobných údajov týkajúcich sa dotknutej osoby alebo ich vymazanie alebo obmedzenie spracúvania osobných údajov, alebo práve namietať spracúvanie osobných údajov,
- kontaktných údajoch úradu,
- práve podať návrh na začatie konania podľa § 100,
- zdroji osobných údajov, ak sú dostupné.
K § 61
Fyzická osoba by mala mať právo na prístup k údajom, ktoré boli o nej získané, a toto právo aj jednoducho uplatňovať, aby si bola vedomá zákonnosti spracúvania a mohla si ju overiť. Každá dotknutá osoba by preto mala mať právo vedieť a byť informovaná najmä o účeloch spracúvania údajov, kategóriách dotknutých osobných údajov a o dobe, počas ktorej sa budú údaje spracúvať, ako aj o príjemcoch osobných údajov atď. Na dodržanie tohto práva je dostatočné, aby mala dotknutá osoba k dispozícii úplné zhrnutie uvedených údajov v zrozumiteľnej forme, to znamená vo forme, ktorá umožňuje, aby bola dotknutá osoba informovaná o uvedených údajoch, aby si mohla uplatniť práva, ktoré jej tento zákon priznáva.
§ 62
Právo na opravu osobných údajov, právo na vymazanie osobných údajov
a obmedzenie týchto práv
(1) Dotknutá osoba má právo na to, aby príslušný orgán bez zbytočného odkladu opravil nesprávne osobné údaje, ktoré sa jej týkajú. So zreteľom na účel spracúvania osobných údajov má dotknutá osoba právo na doplnenie neúplných osobných údajov.
(2) Dotknutá osoba má právo na to, aby príslušný orgán bez zbytočného odkladu vymazal osobné údaje, ktoré sa jej týkajú, a príslušný orgán je povinný bez zbytočného odkladu vymazať osobné údaje, ak
- spracúvanie osobných údajov je v rozpore so zásadami spracúvania osobných údajov podľa § 52 až 55,
- spracúvanie osobných údajov je v rozpore s § 56, alebo
- výmaz osobných údajov je nevyhnutný za účelom splnenia povinnosti podľa tohto zákona, osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.
(3) Namiesto vymazania príslušný orgán obmedzí spracúvanie osobných údajov, ak
- dotknutá osoba napadla správnosť osobných údajov a ich správnosť alebo nesprávnosť nemožno určiť, alebo
- osobné údaje sa musia zachovať na účely dokazovania.
(4) Ak je obmedzené spracúvanie osobných údajov podľa odseku 3 písm. a), príslušný orgán je pred zrušením obmedzenia spracúvania osobných údajov o tom dotknutú osobu povinný informovať.
(5) Príslušný orgán je povinný písomne informovať dotknutú osobu o zamietnutí práva na opravu podľa odseku 1, práva na vymazanie podľa odseku 2 alebo obmedzenie spracúvania osobných údajov podľa odseku 3 a o dôvodoch zamietnutia.
K § 62
Fyzická osoba by tiež mala mať právo na opravu nesprávnych osobných údajov, ktoré sa jej týkajú, ako aj právo na ich vymazanie, ak je spracúvanie takýchto údajov v rozpore so zákonom. Právom na opravu by však nemal byť napríklad dotknutý obsah svedeckej výpovede. Fyzická osoba by mala mať právo na obmedzenie spracúvania, ak napadne správnosť osobných údajov a nemožno určiť ich správnosť či nesprávnosť, alebo keď je potrebné osobné údaje uchovať na účely dokazovania. Namiesto vymazania osobných údajov by sa spracúvanie malo obmedziť najmä vtedy, keď sa v osobitnom prípade možno odôvodnene domnievať, že vymazanie by mohlo ovplyvniť oprávnené záujmy dotknutej osoby. V takomto prípade by sa obmedzené údaje mali spracúvať len na účely, ktoré zabránili ich vymazaniu. Metódy na obmedzenie spracúvania osobných údajov by okrem iného mohli zahŕňať presunutie vybraných údajov do iného systému spracúvania, napríklad na účely archivácie, alebo zamedzenie prístupu k nim. V automatizovaných informačných systémoch by sa obmedzenie spracúvania malo v zásade zabezpečiť technickými prostriedkami. Skutočnosť, že spracúvanie osobných údajov je obmedzené, by sa v systéme mala vyznačiť tak, aby bolo jednoznačné, že spracúvanie osobných údajov je obmedzené. Takáto oprava alebo vymazanie osobných údajov alebo obmedzenie spracúvania by sa mali oznámiť príjemcom, ktorým sa údaje poskytli, a príslušným orgánom, od ktorých nesprávne údaje pochádzajú. Príslušné orgány by takisto mali upustiť od ďalšieho šírenia takýchto údajov.
§ 63
Obmedzenie poskytnutia informácií a práv dotknutej osoby
(1) Príslušný orgán môže odložiť poskytnutie informácií, obmedziť poskytnutie informácií alebo upustiť od poskytnutia informácií podľa § 60 ods. 2, úplne alebo čiastočne obmedziť právo na prístup podľa § 61 alebo môže úplne alebo čiastočne obmedziť povinnosť informovať podľa § 62 ods. 5, ak
- by mohlo dôjsť k ovplyvňovaniu alebo mareniu úradného postupu alebo súdneho postupu alebo šetrenia,
- by mohlo dôjsť k ohrozeniu plnenia úloh na účely trestného konania,
- je to potrebné na zabezpečenie ochrany verejného poriadku alebo bezpečnosti štátu, alebo
- je to potrebné na ochranu práv iných osôb.
(2) Osobitný predpis môže ustanoviť kategórie spracúvania osobných údajov, na ktoré sa vzťahuje odsek 1.
(3) Príslušný orgán je povinný písomne informovať dotknutú osobu o zamietnutí práva na prístup alebo obmedzení práva na prístup podľa § 61 a o dôvodoch tohto zamietnutia alebo obmedzenia; to neplatí ak by sa poskytnutím takejto informácie ohrozil účel podľa odseku 1.
(4) Príslušný orgán musí zdokumentovať skutkové dôvody alebo právne dôvody, na základe ktorých sa obmedzilo právo na prístup podľa § 61 a poskytnúť ich na požiadanie úradu.
(5) Ak príslušný orgán obmedzí poskytnutie informácií alebo obmedzí právo dotknutej osoby podľa odseku 1, je povinný dotknutú osobu písomne informovať o možnosti podania návrhu na začatie konania podľa § 100 vrátane možnosti uplatnenia práva na preverenie zákonnosti postupov príslušného orgánu podľa odsekov 1 a 3 úradom a o možnosti uplatnenia práv dotknutej osoby na inú právnu ochranu.19)
K § 63
Podľa tohto ustanovenia sa poskytovanie informácií dotknutým osobám odloží, obmedzí alebo sa od neho upustí, alebo sa úplne či čiastočne obmedzí prístup k ich osobným údajom, a to v takom rozsahu a na tak dlho, ako je toto opatrenie s náležitým zreteľom na práva a oprávnené záujmy dotknutej fyzickej osoby v demokratickej spoločnosti nevyhnutné a primerané, aby sa zabránilo mareniu úradného alebo súdneho zisťovania, vyšetrovania alebo konania, aby sa zabránilo ohrozeniu plnenia úloh na účely trestného konania, aby sa ochránila verejná bezpečnosť alebo národná bezpečnosť, alebo aby sa ochránili práva a slobody iných. Príslušný orgán by mal prostredníctvom konkrétneho a individuálneho preskúmania každého prípadu posúdiť, či by sa právo na prístup malo čiastočne alebo úplne obmedziť.
Akékoľvek zamietnutie alebo obmedzenie prístupu by malo byť dotknutej osobe v zásade oznámené písomne a malo by zahŕňať skutkové alebo právne dôvody, na ktorých je toto rozhodnutie založené.
§ 64
Oznámenie opravy, vymazania alebo obmedzenia spracúvania osobných údajov
Príslušný orgán je povinný oznámiť opravu nesprávnych osobných údajov príslušnému orgánu, od ktorého nesprávne osobné údaje získal. Ak príslušný orgán nesprávne osobné údaje opraví, vymaže nesprávne osobné údaje alebo obmedzí ich spracúvanie podľa § 62 ods. 1 až 3, informuje o tom príjemcu, ktorý je takéto osobné údaje povinný opraviť, vymazať alebo obmedziť ich spracúvanie.K § 64
Oprava alebo vymazanie osobných údajov alebo obmedzenie spracúvania by sa mali oznámiť príslušným orgánom, od ktorých nesprávne údaje pochádzajú. Príjemcovia týchto údajov by takisto mali nimi spracúvané osobné údaje opraviť, vymazať alebo obmedziť ich spracúvanie.
§ 65
Ustanovenia § 61 až 64 sa neuplatňujú, ak ide o osobné údaje, ktoré sú súčasťou vyšetrovacieho spisu alebo súdneho spisu v rámci trestného konania; práva uvedené v týchto ustanoveniach sa vykonávajú podľa osobitného predpisu.[21])K § 65
Keďže smernica 2016/680 nebráni členským štátom v tom, aby implementovali výkon práv dotknutých osôb na informácie, prístup a opravu alebo vymazanie osobných údajov a obmedzenie spracúvania počas trestného konania, ako aj prípadné obmedzenia týchto práv do vnútroštátnych predpisov upravujúcich trestné právo procesné, platí, že ak sa osobné údaje spracúvajú počas vyšetrovania trestného činu a súdneho konania v trestných veciach, uplatňovanie práva na informácie, prístup a opravu alebo vymazanie osobných údajov a obmedzenie spracúvania sa vykonáva v súlade s Trestným poriadkom, resp. zákonom o súdoch.
§ 66
Automatizované individuálne rozhodovanie
(1) Rozhodnutie príslušného orgánu, ktoré má na dotknutú osobu nepriaznivé právne účinky, nesmie byť založené výlučne na automatizovanom spracúvaní osobných údajov vrátane profilovania, ak osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, neustanovuje inak. Osobitým predpisom alebo medzinárodnou zmluvou, ktorou je Slovenská republika viazaná, musia byť ustanovené primerané záruky ochrany práv dotknutej osoby, najmä právo na overenie rozhodnutia nie automatizovaným spôsobom zo strany príslušného orgánu.
(2) Rozhodnutie podľa odseku 1 nesmie byť založené na osobitných kategóriách osobných údajov, ak sa neuplatňujú vhodné opatrenia na zaručenie práv a oprávnených záujmov dotknutej osoby.
(3) Profilovanie, ktoré vedie k diskriminácii osôb na základe osobitných kategórií osobných údajov, sa zakazuje.
K § 66
Dotknutá osoba by mala mať právo na to, aby sa na ňu nevzťahovalo rozhodnutie hodnotiace osobné aspekty s ňou súvisiace, ktoré je založené výlučne na automatizovanom spracúvaní a ktoré má pre túto osobu nepriaznivé právne účinky alebo významné dôsledky. V každom prípade by takéto spracúvanie malo podliehať primeraným zárukám vrátane poskytnutia určitých informácií dotknutej osobe a právu na iný ako automatizovaný zásah, ľudský zásah (kontrolu spracúvania, ktoré bolo primárne nastavené, aby bolo konané automatizovane formou algoritmu vykoná na základe žiadosti dotknutej osoby zamestnanec prevádzkovateľa, pôjde o fyzickú kontrolu automatizovaného spracúvania a prípadné odstránenie chýb ak vznikli napríklad nesprávnym nastavením algoritmu alebo jeho neoprávnenou zmenou alebo znefunkčnením), najmä vyjadriť svoj názor, dostať vysvetlenie k rozhodnutiu dosiahnutému po takomto posúdení alebo napadnúť toto rozhodnutie.
Profilovanie, ktoré vedie k diskriminácii fyzických osôb na základe osobných údajov, ktoré sú svojou povahou obzvlášť citlivé v súvislosti so základnými právami a slobodami, sa zakazuje.
TRETIA HLAVA
PRÁVA A POVINNOSTI PRÍSLUŠNÉHO ORGÁNU
A SPROSTREDKOVATEĽA
§ 67
Na postup príslušných orgánov pri spracúvaní osobných údajov na plnenie úloh na účely trestného konania sa vzťahujú § 31, § 32, § 33 ods. 1 a 3, § 34, § 36, § 37, § 39 až 41, § 42 ods. 1 až 5 a 7 a § 44 až 46 rovnako.K § 67
Vymedzuje ktoré ustanovenia sa vzťahujú na spracúvanie osobných údajov na príslušné orgány z druhej časti tohto zákona.
§ 68
(1) Príslušný orgán raz za tri roky preverí, či sú spracúvané osobné údaje naďalej potrebné na plnenie úloh na účely trestného konania, ak osobitný predpis neustanovuje inak.
(2) Príslušný orgán vedie záznamy o spracovateľských činnostiach, za ktoré je zodpovedný. Záznamy o spracovateľských činnostiach musia obsahovať okrem informácií podľa § 37 aj informácie o
- použití profilovania, ak príslušný orgán zamýšľa profilovanie,
- právnom základe pre spracovateľské operácie vrátane prenosu, pre ktorý sú osobné údaje určené.
K § 68
Ustanovuje sa lehota na vymazanie osobných údajov a na pravidelné preskúmanie potreby uchovávania osobných údajov. Osobitný predpis môže túto lehotu vo vzťahu ku konkrétnemu príslušnému orgánu skrátiť aj na častejšie ako raz za tri roky.
Záznamy o spracovateľských činnostiach, ktoré vedú príslušné orgány, musia obsahovať aj informácie o použití profilovania a uvedenie právneho základu pre spracovateľské operácie.§ 69
Vedenie logov
(1) Príslušný orgán pri získavaní, zmene, prehliadaní, poskytovaní vrátane prenosu, kombinovaní a vymazaní osobných údajov v systéme automatizovaného spracúvania uchováva logy. Z logov o prehliadaní a poskytovaní musí byť možné určiť dôvod, dátum a čas prehliadania alebo poskytovania, a identifikačné údaje osoby, ktorá tieto osobné údaje prehliadala alebo ich poskytovala, ako aj totožnosť príjemcov.
(2) Príslušný orgán využíva a uchováva logy výlučne na účely overovania zákonnosti spracúvania osobných údajov, vlastného monitorovania, na účely zabezpečenia integrity a bezpečnosti osobných údajov a na účely trestného konania.
(3) Príslušný orgán a sprostredkovateľ príslušného orgánu na požiadanie sprístupnia logy úradu, ak sú dostupné.
K § 69
Logy by sa mali viesť pre operácie v systémoch automatizovaného spracúvania ako je získavanie, zmena, prehliadanie, poskytovanie vrátane prenosov, kombinovanie alebo vymazanie. Mali by sa zaznamenávať dôvody spracovateľských operácií, dátum a čas operácie a pokiaľ možno aj identifikačné údaje osoby, ktorá osobné údaje prehliadala alebo ich poskytla a totožnosť príjemcov. Logy by sa mali využívať výlučne na overovanie zákonnosti spracúvania, vlastné monitorovanie, zabezpečenie integrity a bezpečnosti údajov a na účely trestného konania. Vlastné monitorovanie by malo zahŕňať aj interné disciplinárne konanie príslušných orgánov.
§ 70
Predchádzajúca konzultácia
(1) Príslušný orgán uskutoční s úradom konzultáciu pred spracúvaním osobných údajov, ktoré má tvoriť súčasť nového informačného systému, ak je z posúdenia vplyvu na ochranu osobných údajov podľa § 42 zrejmé, že toto spracúvanie povedie k vysokému riziku pre práva fyzických osôb, ak príslušný orgán neprijme opatrenia na zmiernenie tohto rizika, alebo sa s typom spracúvania, najmä s využitím nových technológií, mechanizmov alebo postupov, spája vysoké riziko porušenia práv dotknutej osoby.
(2) Príslušný orgán spolu so žiadosťou o predchádzajúcu konzultáciu poskytne úradu aj posúdenie vplyvu na ochranu osobných údajov podľa § 42, ktoré vykonal a na požiadanie úradu aj ďalšie informácie, ktoré úradu umožnia posúdiť súlad spracúvania osobných údajov s týmto zákonom a najmä riziká z hľadiska ochrany osobných údajov dotknutej osoby a súvisiacich záruk.
(3) Ak sa úrad domnieva, že by zamýšľané spracúvanie osobných údajov podľa odseku 1 bolo nezákonné, najmä ak príslušný orgán nedostatočne identifikoval riziko alebo zmiernil riziko, úrad do šiestich týždňov od prijatia žiadosti o konzultáciu poskytne príslušnému orgánu, prípadne aj sprostredkovateľovi, písomné poradenstvo. Úrad môže s ohľadom na zložitosť zamýšľaného spracúvania osobných údajov predĺžiť lehotu podľa predchádzajúcej vety o jeden mesiac; predĺženie lehoty a dôvody predĺženia úrad oznámi prevádzkovateľovi, prípadne aj sprostredkovateľovi do jedného mesiaca od prijatia žiadosti o konzultáciu. Lehota na poskytnutie poradenstva úradom neplynie dovtedy, kým úrad nezíska informácie, o ktoré požiadal na účely predchádzajúcej konzultácie.
(4) Ďalšie spracovateľské operácie pre príslušný orgán, ktoré podliehajú povinnosti uskutočniť predchádzajúce konzultácie podľa odseku 1, ustanoví všeobecne záväzný právny predpis, ktorý vydá úrad.
K § 70
V určitých prípadoch by príslušný orgán alebo sprostredkovateľ mali uskutočniť s dozorným orgánom konzultácie pred spracúvaním s cieľom zabezpečiť účinnú ochranu práv dotknutých osôb.
§ 71
Bezpečnosť spracúvania osobných údajov
Príslušný orgán alebo sprostredkovateľ príslušného orgánu pri automatizovanom spracúvaní osobných údajov prijme na základe vyhodnotenia rizík opatrenia na- kontrolu prístupu k zariadeniam, aby sa zabránilo neoprávnenému prístupu k zariadeniam na spracúvanie osobných údajov, ktoré sa používajú na spracúvanie,
- kontrolu nosičov osobných údajov, aby sa zabránilo neoprávnenému čítaniu nosičov osobných údajov, kopírovaniu nosičov osobných údajov, pozmeňovaniu nosičov osobných údajov alebo odstráneniu nosičov osobných údajov,
- kontrolu uchovávania osobných údajov, aby sa zabránilo neoprávnenému vkladaniu osobných údajov do informačného systému a neoprávnenému prehliadaniu osobných údajov v informačnom systéme, pozmeňovaniu osobných údajov v informačnom systéme alebo vymazaniu osobných údajov z informačnom systéme,
- kontrolu užívateľa informačného systému, aby sa zabránilo použitiu systémov automatizovaného spracúvania neoprávnenými osobami pomocou zariadenia na prenos osobných údajov,
- kontrolu prístupu k osobným údajom, aby sa zabezpečilo, že osoby oprávnené používať systém automatizovaného spracúvania budú mať prístup iba k tým osobným údajom, na ktoré sa vzťahuje ich oprávnenie na prístup,
- kontrolu prenosu údajov, aby sa zabezpečila možnosť overiť a zistiť subjekty, ktorým sa preniesli osobné údaje alebo poskytli osobné údaje alebo overiť a zistiť subjekty, ktorým sa môžu preniesť osobné údaje alebo poskytnúť osobné údaje prostredníctvom zariadenia na prenos osobných údajov,
- kontrolu vkladania údajov do informačného systému, aby sa zabezpečilo, že bude možné overiť a zistiť, aké osobné údaje sa vložili do systému automatizovaného spracúvania, a kedy a kto ich tam vložil,
- kontrolu prepravy osobných údajov, aby sa zabránilo neoprávnenému čítaniu osobných údajov, kopírovaniu osobných údajov, pozmeňovaniu osobných údajov alebo vymazaniu osobných údajov počas ich prenosu alebo počas prepravy nosiča osobných údajov,
- obnovu osobných údajov, aby sa zabezpečilo, že sa inštalované systémy obnovia, ak dôjde k ich prerušeniu,
- zabezpečenie spoľahlivosti informačného systému, aby sa zabezpečilo, že funkcie tohto systému fungujú a hlási sa výskyt chýb v jeho funkciách,
- zabezpečenie integrity informačného systému, aby sa uchovávané osobné údaje nemohli poškodiť, ak nastane porucha tohto systému.
K § 71
S cieľom zachovať bezpečnosť a predchádzať spracúvaniu, ktoré je v rozpore s týmto zákonom, by príslušný orgán alebo sprostredkovateľ mali posúdiť riziká súvisiace so spracúvaním a mali by prijať opatrenia na zmiernenie týchto rizík, ako napríklad šifrovanie. Takýmito opatreniami by sa mala zabezpečiť primeraná úroveň bezpečnosti vrátane dôvernosti a mali by sa zohľadniť najnovšie poznatky, náklady na vykonanie opatrení v súvislosti s rizikami a povahou osobných údajov, ktoré sa majú chrániť. Pri posudzovaní rizík v oblasti bezpečnosti údajov by sa mali zohľadniť riziká spojené so spracúvaním údajov, ako sú napríklad náhodná alebo nezákonná likvidácia, strata, zmena alebo neoprávnené poskytovanie prenášaných, uchovávaných alebo inak spracúvaných osobných údajov alebo neoprávnený prístup k nim, ktoré by mohli viesť k ujme na zdraví, majetkovej alebo nemajetkovej ujme. Príslušný orgán a sprostredkovateľ by mali zabezpečiť, aby spracúvanie osobných údajov nevykonávali neoprávnené osoby.
§ 72
Oznámenie porušenia ochrany osobných údajov
(1) Príslušný orgán je povinný bez zbytočného odkladu oznámiť informácie podľa § 40 ods. 4 orgánu členského štátu príslušného na plnenie úloh na účely trestného konania, ak porušenie ochrany osobných údajov zahŕňa osobné údaje, prenos ktorých vykonal orgán členského štátu príslušný na plnenie úloh na účely trestného konania alebo ktoré boli prenesené takémuto orgánu.
(2) Príslušný orgán môže odložiť oznámenie o porušení ochrany osobných údajov, obmedziť oznámenie o porušení ochrany osobných údajov alebo upustiť od oznámenia porušenia ochrany osobných údajov dotknutej osobe podľa § 41, ak
- by mohlo dôjsť k ovplyvňovaniu alebo mareniu úradného postupu alebo súdneho postupu alebo šetrenia,
- by mohlo dôjsť k ohrozeniu plnenia úloh na účely trestného konania,
- je to potrebné na zabezpečenie ochrany verejného poriadku alebo bezpečnosti štátu, alebo
- je to potrebné na ochranu práv iných osôb.
K § 72
Ak sa porušenie ochrany osobných údajov nerieši primeraným spôsobom a včas, môže fyzickým osobám spôsobiť ujmu na zdraví, majetkovú alebo nemajetkovú ujmu, ako je napríklad strata kontroly nad svojimi osobnými údajmi alebo obmedzenie práv týchto osôb, diskriminácia, krádež totožnosti alebo podvod, finančná strata, neoprávnená reverzná pseudonymizácia, poškodenie dobrého mena, strata dôvernosti osobných údajov chránených profesijným tajomstvom alebo akékoľvek iné závažné hospodárske či sociálne znevýhodnenie dotknutej fyzickej osoby. Príslušný orgán by mal preto ihneď, ako sa dozvie, že došlo k porušeniu ochrany osobných údajov, najneskôr do 72 hodín od okamihu, ako sa dozvedel, že došlo k porušeniu ochrany osobných údajov, toto porušenie oznámiť dozornému orgánu s výnimkou prípadov, keď vie príslušný orgán v súlade so zásadou zodpovednosti preukázať, že nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva fyzických osôb. Ak nie je možné oznámenie podať do 72 hodín, malo by k oznámeniu pripojiť odôvodnenie omeškania, pričom informácie možno poskytnúť vo viacerých fázach bez ďalšieho zbytočného odkladu.
Ak porušenie ochrany osobných údajov pravdepodobne povedie k vysokému riziku pre práva fyzických osôb, mala by sa táto skutočnosť oznámiť fyzickým osobám, aby sa im umožnilo prijať potrebné preventívne opatrenia. V oznámení by sa mala uviesť povaha porušenia ochrany osobných údajov, ako aj odporúčania pre dotknutú fyzickú osobu o tom, ako zmierniť potenciálne nepriaznivé dôsledky. Dotknuté osoby by mali byť informované čo možno najskôr, v úzkej spolupráci s dozorným orgánom a v súlade s usmerneniami tohto alebo iného príslušného orgánu. Napríklad potreba zmierniť bezprostredné riziko škody by si vyžadovala promptné informovanie dotknutých osôb, zatiaľ čo potreba vykonať primerané opatrenia na zabránenie trvaniu alebo výskytu podobných porušení ochrany údajov môže vyžadovať viac času na informovanie. Ak nemožno zabrániť mareniu úradného alebo súdneho zisťovania, vyšetrovania alebo konania, zabrániť ohrozeniu plnenia úloh na účely trestného konania, či dosiahnuť ochranu verejnej bezpečnosti alebo národnej bezpečnosti alebo ochranu práv iných osôb prostredníctvom odkladu alebo obmedzenia informovania dotknutej osoby o porušení ochrany osobných údajov, možno vo výnimočných prípadoch od takéhoto oznámenia upustiť.
ŠTVRTÁ HLAVA
PRENOS OSOBNÝCH ÚDAJOV DO TRETEJ KRAJINY
ALEBO MEDZINÁRODNEJ ORGANIZÁCII
§ 73
(1) Na postup príslušných orgánov pri spracúvaní osobných údajov na plnenie úloh na účely trestného konania sa vzťahujú § 48 ods. 1 a § 50 rovnako.
(2) Prenos osobných údajov medzi príslušnými orgánmi a orgánmi členských štátov príslušnými na plnenie úloh na účely trestného konania sa zaručuje, ak sa takýto prenos vyžaduje podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.
K § 73
Určuje, ktoré ustanovenia tohto zákona druhej časti sa vzťahujú na spracúvanie osobných údajov príslušnými orgánmi pri prenose osobných údajov do tretích krajín a medzinárodným organizáciám. Ustanovenie deklaruje že prenos osobných údajov medzi príslušnými orgánmi v rámci Európskej únie sa zaručuje ak sa takýto prenos vyžaduje podľa osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.
§ 74
Všeobecné zásady prenosu osobných údajov
(1) Prenos osobných údajov, ktoré sa spracúvajú alebo sú určené na spracúvanie po prenose do tretej krajiny alebo medzinárodnej organizácii, vrátane následného prenosu do ďalšej tretej krajiny či ďalšej medzinárodnej organizácii, príslušný orgán môže uskutočniť len vtedy, ak
- je prenos potrebný na plnenie úloh na účely trestného konania,
- sa osobné údaje prenášajú prevádzkovateľovi v tretej krajine alebo medzinárodnej organizácii, ktorý je orgánom príslušným na plnenie úloh na účely trestného konania, ak nie je v § 77 ods. 1 ustanovené inak,
- členský štát vydal povolenie na prenos v súlade so svojím vnútroštátnym právom, ak sa prenesú osobné údaje alebo poskytnú osobné údaje z iného členského štátu, ešte pred uskutočnením prenosu,
- Komisia prijala rozhodnutie o primeranosti podľa § 48 ods. 1 alebo boli poskytnuté alebo existujú primerané záruky podľa § 75 alebo platia výnimky pre osobitné situácie podľa § 76,
- pri následnom prenose do ďalšej tretej krajiny alebo medzinárodnej organizácii príslušný orgán, ktorý uskutočnil pôvodný prenos, alebo iný príslušný orgán v Slovenskej republike vydá povolenie na následný prenos, a to po náležitom zohľadnení relevantných faktorov vrátane závažnosti trestného činu, účelu, na ktorý sa osobné údaje pôvodne preniesli, a úrovne ochrany osobných údajov v tretej krajine alebo medzinárodnej organizácii, do ktorej sa osobné údaje následne prenášajú.
(2) Prenos bez predchádzajúceho povolenia členského štátu podľa odseku 1 písm. c) možno uskutočniť len vtedy, ak je prenos nevyhnutný na zabránenie bezprostrednému a vážnemu ohrozeniu verejnej bezpečnosti členského štátu alebo tretej krajiny, alebo základných záujmov členského štátu a predchádzajúce povolenie nie je možné získať včas; orgán zodpovedný za vydanie predchádzajúceho povolenia sa o tom musí informovať bez zbytočného odkladu.
(3) Ak príslušný orgán uskutočňuje prenos osobných údajov, na spracúvanie ktorých sa podľa osobitného predpisu vzťahujú osobitné podmienky spracúvania, musí o podmienkach a požiadavke dodržiavať ich informovať príjemcu. Pri prenose osobných údajov príjemcovi v inom členskom štáte alebo agentúre, úradu alebo orgánu Európskej únie, nemôže príslušný orgán uplatňovať iné podmienky, ako sa uplatňujú na prenos osobných údajov v rámci Slovenskej republiky.
K § 74
Prenos do tretej krajiny alebo medzinárodnej organizácii sa môže uskutočniť len vtedy, ak je to potrebné na plnenie úloh na účely trestného konania, pričom prevádzkovateľ v tretej krajine alebo medzinárodná organizácia je príslušným orgánom v zmysle tohto zákona. Prenos by mali uskutočniť len príslušné orgány konajúce ako prevádzkovatelia s výnimkou prípadov, keď sa sprostredkovateľom výslovne udelil pokyn uskutočniť prenos v mene príslušných orgánov. Takýto prenos sa môže uskutočniť v prípade, že Komisia rozhodla, že daná tretia krajina alebo medzinárodná organizácia zaručuje primeranú úroveň ochrany, ak sa poskytli primerané záruky, alebo ak platia výnimky pre osobitné situácie. Úroveň ochrany fyzických osôb by nemala byť ohrozená, keď sa osobné údaje prenášajú z Únie prevádzkovateľom, sprostredkovateľom alebo iným príjemcom v tretích krajinách alebo medzinárodným organizáciám, a to ani v prípadoch následného prenosu osobných údajov z tretej krajiny alebo medzinárodnej organizácie prevádzkovateľom či sprostredkovateľom v rovnakej alebo inej tretej krajine alebo medzinárodnej organizácii.
V prípade prenosu osobných údajov do tretích krajín alebo medzinárodným organizáciám by sa takýto prenos mal uskutočniť iba po tom, čo ho povolil členský štát, od ktorého sa údaje získali. Záujmy efektívnej spolupráce v oblasti presadzovania práva si vyžadujú, aby v prípade, keď je ohrozenie verejnej bezpečnosti členského štátu alebo tretej krajiny alebo záujmov členského štátu také bezprostredné, že nie je možné včas získať predchádzajúce povolenie, príslušný orgán by mal mať možnosť uskutočniť prenos daných osobných údajov do dotknutej tretej krajiny alebo medzinárodnej organizácii bez takéhoto predchádzajúceho povolenia. Akékoľvek osobitné podmienky týkajúce sa prenosu by sa mali oznámiť tretím krajinám alebo medzinárodným organizáciám. Následné prenosy osobných údajov by mali podliehať predchádzajúcemu povoleniu príslušného orgánu, ktorý uskutočnil pôvodný prenos. Pri rozhodovaní o žiadosti o povolenie následného prenosu by mal príslušný orgán, ktorý uskutočnil pôvodný prenos, náležite zohľadniť všetky relevantné okolnosti vrátane závažnosti trestného činu, osobitných podmienok a účelu pôvodného prenosu údajov, povahy a podmienok výkonu trestných sankcií a úrovne ochrany osobných údajov v tretej krajine alebo medzinárodnej organizácii, do ktorej sa uskutočňuje následný prenos osobných údajov. Príslušný orgán, ktorý uskutočnil pôvodný prenos, by mal mať aj možnosť stanoviť osobitné podmienky pre následný prenos, ktoré možno popísať napríklad v manipulačných pravidlách.
Predmetné ustanovenia návrhu zákona súvisia, respektíve dopĺňajú príslušné ustanovenia druhej časti tohto zákona; nakoľko podstatou nie je úprava, či stanovenie podmienok prenosu, ale ustanovenie oznamovacej povinnosti príslušného orgánu pri porušení ochrany osobných údajov.
§ 75
Primerané záruky
(1) Ak neexistuje rozhodnutie Komisie o primeranosti podľa § 48 ods. 1, príslušný orgán môže uskutočniť prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii len vtedy, ak
- osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, poskytuje primerané záruky ochrany osobných údajov, alebo
- príslušný orgán posúdil okolnosti prenosu osobných údajov a dospel k záveru, že existujú primerané záruky ochrany osobných údajov.
(2) Príslušný orgán informuje úrad o kategóriách prenosov podľa odseku 1 písm. b).
(3) Ak príslušný orgán uskutočňuje prenos podľa odseku 1 písm. b), musí sa takýto prenos zdokumentovať; dokumentácia sa na žiadosť poskytne úradu. V dokumentácii musí byť uvedené dátum a čas prenosu, informácie o prijímajúcom príslušnom orgáne, odôvodnenie prenosu osobných údajov a prenášané osobné údaje.
(4) Rozhodnutím Komisie o zrušení, zmene alebo pozastavení svojho rozhodnutia o primeranosti podľa § 48 ods. 1 nie je dotknutý prenos osobných údajov podľa odseku 1 a § 76.
K § 75
Prenosy, ktoré nie sú založené na rozhodnutí o primeranosti, by sa mali umožniť len vtedy, ak sa poskytli primerané záruky v právne záväznom akte, ktorý zaručuje ochranu osobných údajov, alebo ak príslušný orgán posúdil všetky okolnosti sprevádzajúce prenos údajov a na základe tohto posúdenia dospel k záveru, že existujú primerané záruky ochrany osobných údajov. Právne záväznými aktmi môžu byť napríklad právne záväzné dvojstranné dohody, ktorých výkonu by sa mohli domáhať dotknuté osoby, zabezpečujúce súlad s požiadavkami na ochranu údajov a práva dotknutých osôb vrátane práva na účinný správny alebo súdny prostriedok nápravy. Príslušný orgán môže zohľadniť aj skutočnosť, že prenos osobných údajov bude podliehať povinnostiam zachovávania dôvernosti a zásade špecifickosti, čím sa zabezpečí, že údaje sa nebudú spracúvať na iné účely, než sú účely prenosu. Okrem toho by mal príslušný orgán zohľadniť, že osobné údaje sa nepoužijú na požadovanie, uloženie alebo vykonanie trestu smrti alebo akejkoľvek inej formy krutého alebo neľudského zaobchádzania. Hoci by sa uvedené podmienky mohli považovať za primerané záruky umožňujúce prenos údajov, príslušný orgán by mal mať možnosť vyžadovať dodatočné záruky.
§ 76
Výnimky pre osobitné situácie
- Ak neexistuje rozhodnutie Komisie o primeranosti podľa § 48 ods. 1 ani primerané záruky podľa § 75, prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii môže príslušný orgán uskutočniť len vtedy, ak je prenos nevyhnutný
- na ochranu života, zdravia alebo majetku dotknutej osoby, alebo inej fyzickej osoby,
- na zabezpečenie oprávnených záujmov dotknutej osoby, ak tak ustanovuje osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná,
- na predídenie bezprostredného a vážneho ohrozenia verejnej bezpečnosti členského štátu alebo tretej krajiny
- v osobitných prípadoch na plnenie úloh na účely trestného konania, alebo
- v osobitných prípadoch na uplatnenie právneho nároku súvisiaceho s plnením úloh na účely trestného konania.
- Prenos osobných údajov podľa odseku 1 sa nesmie uskutočniť, ak príslušný orgán, ktorý prenos uskutočňuje, určí, že práva dotknutej osoby prevažujú nad verejným záujmom na prenose podľa odseku 1 písm. d) a e).
- Ak sa prenos osobných údajov uskutočňuje podľa odseku 1, musí sa takýto prenos zdokumentovať; dokumentácia sa na žiadosť poskytne úradu. V dokumentácii musí byť uvedený dátum a čas prenosu, informácie o prijímajúcom príslušnom orgáne, odôvodnenie prenosu osobných údajov a prenášané osobné údaje.
K § 76
V prípadoch, keď neexistuje žiadne rozhodnutie o primeranosti ani primerané záruky, malo by byť možné uskutočniť prenos alebo kategóriu prenosov len v osobitných situáciách, ak je to nevyhnutné na ochranu životne dôležitých záujmov dotknutej osoby či inej osoby alebo na zabezpečenie oprávnených záujmov dotknutej osoby za podmienok v tomto ustanovení; na predchádzanie bezprostrednému a vážnemu ohrozeniu verejnej bezpečnosti členského štátu alebo tretej krajiny; v jednotlivom prípade na plnenie úloh na účely trestného konania; alebo v jednotlivom prípade na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov. Uvedené výnimky by sa mali vykladať reštriktívne a nemali by umožňovať časté, hromadné a štruktúrované prenosy osobných údajov alebo rozsiahle prenosy údajov, ale mali by byť obmedzené na nevyhnutne potrebné údaje. Takéto prenosy musia byť zdokumentované a musia sa na požiadanie sprístupniť dozornému orgánu na účely monitorovania zákonnosti prenosu.
§ 77
Prenos osobných údajov príjemcovi z tretej krajiny
- Príslušný orgán v osobitných prípadoch môže uskutočniť prenos osobných údajov príjemcovi so sídlom, miestom podnikania, organizačnou zložkou, prevádzkarňou alebo trvalým pobytom v tretej krajine, ak okrem iných podmienok prenosu osobných údajov ustanovených týmto zákonom
- je prenos nevyhnutný na plnenie úlohy na účely trestného konania príslušného orgánu, ktorý prenos uskutočňuje,
- príslušný orgán, ktorý prenos uskutočňuje, určí, že žiadne práva dotknutej osoby neprevažujú nad verejným záujmom, z ktorého v danom prípade vyplynula nevyhnutnosť prenosu,
- príslušný orgán, ktorý prenos uskutočňuje, sa domnieva, že prenos orgánu, ktorý je v tretej krajine príslušný na plnenie úloh účely trestného konania, je neefektívny alebo nevhodný, najmä preto, že prenos nemožno dosiahnuť v primeranom čase,
- orgán, ktorý je v tretej krajine príslušný na plnenie úloh na účely trestného konania, je bez zbytočného odkladu informovaný okrem prípadov, ak je takéto opatrenie neúčinné alebo nevhodné, a
- príslušný orgán, ktorý prenos uskutočňuje, informuje príjemcu o konkrétnom účele alebo účeloch, na ktoré má príjemca tieto osobné údaje výlučne spracúvať, ak je takéto spracúvanie nevyhnutné.
- Prenosom príjemcovi z tretej krajiny podľa odseku 1 nie je dotknutá medzinárodná zmluva, ktorou je Slovenská republika viazaná v oblasti justičnej spolupráce v trestných veciach a policajnej spolupráce.
- Príslušný orgán, ktorý uskutočňuje prenos podľa odseku 1, musí o tom informovať úrad.
- Ak príslušný orgán uskutočňuje prenos podľa odseku 1, je povinný ho zdokumentovať.
K § 77
Príslušné orgány uplatňujú platné dvojstranné alebo mnohostranné medzinárodné dohody uzavreté s tretími krajinami v oblasti justičnej spolupráce v trestných veciach a policajnej spolupráce na výmenu relevantných informácií, ktoré im umožňujú výkon ich úloh uložených zákonom. V zásade sa to uskutočňuje na základe spolupráce orgánov dotknutých tretích krajín príslušných na plnenie úloh na účely trestného konania alebo aspoň v spolupráci s nimi, niekedy dokonca aj vtedy, ak dvojstranná či mnohostranná medzinárodná dohoda neexistuje. V osobitných jednotlivých prípadoch však riadne postupy požadujúce nadviazanie kontaktu s takýmto orgánom v tretej krajine môžu byť neefektívne alebo nevhodné, najmä preto, že by sa presun nemohol uskutočniť včas, alebo preto, že tento orgán v tretej krajine nedodržiava zásady právneho štátu alebo medzinárodné normy a štandardy v oblasti ľudských práv, a preto by sa príslušné orgány mohli rozhodnúť, že uskutočnia prenos osobných údajov priamo príjemcom usadeným v týchto tretích krajinách. Možno tak postupovať vtedy, keď je naliehavo potrebné vykonať prenos osobných údajov na záchranu života osoby, ktorej hrozí, že sa stane obeťou trestného činu, alebo v záujme zabránenia bezprostrednému spáchaniu trestného činu vrátane terorizmu. Aj keby k takémuto presunu medzi príslušnými orgánmi a príjemcami usadenými v tretích krajinách malo dochádzať len v určitých jednotlivých prípadoch, v tomto zákone sa ustanovujú podmienky s cieľom úpravy takýchto prípadov. Uvedené ustanovenia by sa nemali považovať za výnimky zo žiadnych existujúcich dvojstranných alebo mnohostranných medzinárodných dohôd v oblasti justičnej spolupráce v trestných veciach a policajnej spolupráce.ŠTVRTÁ ČASŤ
OSOBITNÉ SITUÁCIE ZÁKONNÉHO SPRACÚVANIA osobných údajov
§ 78
- Prevádzkovateľ môže spracúvať osobné údaje bez súhlasu dotknutej osoby aj vtedy, ak spracúvanie osobných údajov je nevyhnutné na akademický účel, umelecký účel alebo literárny účel; to neplatí, ak spracúvaním osobných údajov na takýto účel prevádzkovateľ porušuje právo dotknutej osoby na ochranu jej osobnosti alebo právo na ochranu súkromia alebo takéto spracúvanie osobných údajov bez súhlasu dotknutej osoby vylučuje osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná.
- Prevádzkovateľ môže spracúvať osobné údaje bez súhlasu dotknutej osoby aj vtedy, ak spracúvanie osobných údajov je nevyhnutné pre potreby informovania verejnosti masovokomunikačnými prostriedkami a ak osobné údaje spracúva prevádzkovateľ, ktorému to vyplýva z predmetu činnosti; to neplatí, ak spracúvaním osobných údajov na takýto účel prevádzkovateľ porušuje právo dotknutej osoby na ochranu jej osobnosti alebo právo na ochranu súkromia alebo takéto spracúvanie osobných údajov bez súhlasu dotknutej osoby vylučuje osobitný predpis alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná.
- Prevádzkovateľ, ktorý je zamestnávateľom dotknutej osoby, je oprávnený poskytovať jej osobné údaje alebo zverejniť jej osobné údaje v rozsahu titul, meno, priezvisko, pracovné zaradenie, služobné zaradenie, funkčné zaradenie, osobné číslo zamestnanca alebo zamestnanecké číslo zamestnanca, odborný útvar, miesto výkonu práce, telefónne číslo, faxové číslo, adresu elektronickej pošty na pracovisko a identifikačné údaje zamestnávateľa, ak je to potrebné v súvislosti s plnením pracovných povinností, služobných povinností alebo funkčných povinností dotknutej osoby. Poskytovanie osobných údajov alebo zverejnenie osobných údajov nesmie narušiť vážnosť, dôstojnosť a bezpečnosť dotknutej osoby.
- Pri spracúvaní osobných údajov možno využiť na účely identifikovania fyzickej osoby všeobecne použiteľný identifikátor podľa osobitného predpisu[22]) len vtedy, ak jeho využitie je nevyhnutné na dosiahnutie daného účelu spracúvania. Súhlas so spracúvaním všeobecne použiteľného identifikátora musí byť výslovný a nesmie ho vylučovať osobitný predpis, ak ide o jeho spracúvanie na právnom základe súhlasu dotknutej osoby. Zverejňovať všeobecne použiteľný identifikátor sa zakazuje; to neplatí, ak všeobecne použiteľný identifikátor zverejní sama dotknutá osoba.
- Prevádzkovateľ môže spracúvať genetické údaje, biometrické údaje a údaje týkajúce sa zdravia aj na právnom základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.
- Osobné údaje o dotknutej osobe možno získať od inej fyzickej osoby a spracúvať v informačnom systéme len s predchádzajúcim písomným súhlasom dotknutej osoby; to neplatí, ak poskytnutím osobných údajov o dotknutej osobe do informačného systému iná fyzická osoba chráni svoje práva alebo právom chránené záujmy, oznamuje skutočnosti, ktoré odôvodňujú uplatnenie právnej zodpovednosti dotknutej osoby, alebo sa osobné údaje spracúvajú na základe osobitného zákona podľa § 13 ods. 1 písm. c) a e). Ten, kto takéto osobné údaje spracúva, musí vedieť preukázať úradu na jeho žiadosť, že ich získal v súlade s týmto zákonom.
- Ak dotknutá osoba nežije, súhlas vyžadovaný podľa tohto zákona alebo osobitného predpisu2) môže poskytnúť jej blízka osoba.[23]) Súhlas nie je platný, ak čo len jedna blízka osoba písomne vyslovila nesúhlas.
- Pri spracúvaní osobných údajov na účel archivácie, na vedecký účel, na účel historického výskumu alebo na štatistický účel je prevádzkovateľ a sprostredkovateľ povinný prijať primerané záruky pre práva dotknutej osoby. Tieto záruky obsahujú zavedenie primeraných a účinných technických a organizačných opatrení najmä na zabezpečenie dodržiavania zásady minimalizácie údajov a pseudonymizácie.
- Ak sa osobné údaje spracúvajú na vedecký účel, účel historického výskumu alebo na štatistický účel, môžu byť práva dotknutej osoby podľa § 21, § 22, § 24 a 27 alebo podľa osobitného predpisu[24]) obmedzené osobitným predpisom alebo medzinárodnou zmluvou, ktorou je Slovenská republika viazaná, ak sú prijaté primerané podmienky a záruky podľa odseku 6, ak by tieto práva dotknutej osoby pravdepodobne znemožnili alebo závažným spôsobom sťažili dosiahnutie týchto účelov, a takéto obmedzenie práv dotknutej osoby je nevyhnutné na dosiahnutie týchto účelov.
- Ak sa osobné údaje spracúvajú na účel archivácie, môžu byť práva dotknutej osoby podľa § 21, § 22 a § 24 až 27 alebo podľa osobitného predpisu[25]) obmedzené osobitným predpisom, ak sú prijaté primerané podmienky a záruky podľa odseku 6, ak by tieto práva dotknutej osoby pravdepodobne znemožnili alebo závažným spôsobom sťažili dosiahnutie týchto účelov, a takéto obmedzenie práv dotknutej osoby je nevyhnutné na dosiahnutie týchto účelov.
- Prevádzkovateľ a sprostredkovateľ pri prijímaní bezpečnostných opatrení a pri posudzovaní vplyvu na ochranu osobných údajov postupuje primerane podľa medzinárodných noriem a štandardov bezpečnosti.
K § 78
Týmto ustanovením došlo k prijatiu vnútroštátnej úpravy pre v nariadení určené oblasti ochrany osobných údajov. Nariadenie vo svojich splnomocňujúcich ustanoveniach umožnilo členským štátom Únie prijať vo vnútroštátnom práve legislatívne opatrenia pre oblasť ochrany osobných údajov, ktorými môžu určiť výnimky a odchýlky potrebné v týchto určených oblastiach ochrany osobných údajov, najmä na dosiahnutie rovnováhy medzi právami dotknutých osôb a spracovateľskej činnosti prevádzkovateľov. V prípade, že sa takéto výnimky alebo odchýlky členských štátov navzájom líšia, rozhodným právom je právo členského štátu, ktorému podlieha prevádzkovateľ. odsek 1 až odsek 3 Ustanovuje podmienky spracúvania osobných údajov fyzickej dotknutej osoby kedy na spracúvanie osobných údajov dotknutej osoby za dodržania osobitne stanovených podmienok nie je potrebný súhlas dotknutej osoby. Ide o spracúvanie osobných údajov dotknutej osoby bez jej súhlasu na účely akademické, umelecké alebo literárne, alebo ak spracúvanie osobných údajov je nevyhnutné pre potreby informovania verejnosti masovokomunikačnými prostriedkami a ak osobné údaje spracúva prevádzkovateľ, ktorému to vyplýva z predmetu činnosti, prípadne ide o situáciu kedy je prevádzkovateľ zamestnávateľom dotknutej osoby a na účely a v súvislosti s plnením pracovných, služobných alebo funkčných povinností dotknutej osoby je oprávnený poskytovať alebo zverejniť jej osobné údaje v rozsahu titul, meno, priezvisko, pracovné, služobné zaradenia, funkčné zaradenie, osobné alebo zamestnanecké číslo zamestnanca, odborný útvar, miesto výkonu práce, telefónne číslo, faxové číslo, adresu elektronickej pošty na pracovisko a identifikačné údaje zamestnávateľa. Vo všetkých vyššie uvedených prípadoch je povinný rešpektovať právo dotknutej osoby na ochranu jej osobnosti a zvážiť, či je dané spracovateľská operácie skutočne nevyhnutná. odsek 4 Pri spracúvaní osobných údajov možno využiť na účely identifikovania fyzickej osoby všeobecne použiteľný identifikátor – rodné číslo, ustanovený osobitným predpisom len vtedy, ak jeho použitie je nevyhnutné na dosiahnutie daného účelu spracúvania. Ak sa spracúva rodné číslo na právnom základe súhlasu dotknutej osoby, takýto súhlas musí byť výslovný a súčasne nesmie byť takéto spracúvanie rodného čísla zakázané osobitným predpisom. Zverejňovať všeobecne použiteľný identifikátor sa zakazuje. odsek 5 Dáva prevádzkovateľ možnosť spracúvať genetické údaje, biometrické údaje a údaje týkajúce sa zdravia aj na právnom základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná. Ide o oprávnenie pre prevádzkovateľa, ktorý spracúvanie uvedených osobných údajov potrebuje na účely napríklad poskytovania zdravotnej starostlivosti poskytovanej na základe osobitných zákonov. odsek 6 Ochrana osobných údajov dotknutej osoby je primárna a preto aj spracúvanie a získavanie osobných údajov o inej fyzickej osobe z informačného systému prevádzkovateľa je podmienené predchádzajúcim písomným súhlasom dotknutej osoby, povinnosť tento predchádzajúci súhlas získať neplatí, ak poskytnutím osobných údajov o dotknutej osobe do informačného systému iná fyzická osoba chráni svoje práva alebo právom chránené záujmy, alebo oznamuje skutočnosti, ktoré odôvodňujú uplatnenie právnej zodpovednosti dotknutej osoby, alebo sa osobné údaje spracúvajú na základe osobitného zákona podľa konkrétnych ustanovení tohto zákona. Ten, kto takto osobné údaje spracúva, musí vedieť preukázať úradu kedykoľvek na jeho žiadosť, že ich získal v súlade s týmto zákonom. odsek 7 Stanovuje pravidlá spracúvania osobných údajov zosnulých osôb. odsek 8 až 10 Na spracúvanie osobných údajov na účely archivácie, na účely vedeckého alebo historického výskumu či na štatistické účely sa vzťahujú primerané záruky ochrany práv a slobôd dotknutých osôb podľa tohto ustanovenia. Spracúvanie osobných údajov na účely archivácie, a na vedecký alebo historický výskumu a štatistický sú tzv. privilegované účely, na ktoré sa vzťahuje výnimka zo zásady obmedzenia účelu, a teda ak prevádzkovateľ príjme primerané záruky ochrany osobných údajov, môže spracúvať osobné údaje na tieto privilegované účely na pôvodom právnom základe. Tieto záruky obsahujú zavedenie primeraných a účinných technických a organizačných opatrení najmä s cieľom zabezpečiť dodržiavanie zásady minimalizácie údajov, pseudonymizácie, pokiaľ sa týmto opatrením môžu dosiahnuť uvedené účely. Privilegovaný účel je účel v zásade zlučiteľný s pôvodným účelom bez potreby vykonania testu zlučiteľnosti. Ďalšie spracúvanie na účely archivácie, na účely vedeckého či historického výskumu alebo štatistické účely sa považuje za zlučiteľné so zákonnými spracovateľskými operáciami. Nakoľko ide o privilegované účely je možné pri spracúvaní osobných údajov na tieto účely obmedziť aj práva dotknutej osoby, a to právo na prístup, právo na opravu, právo na obmedzenie a právo namietať, a na účely archivácie vo verejnom záujme aj právo na oznámenie a právo na prenosnosť podľa tohto zákona. odsek 11 Stanovuje pre prevádzkovateľa a sprostredkovateľa povinnosť, aby pri prijímaní bezpečnostných opatrení a pri posudzovaní vplyvu na ochranu osobných údajov postupovali podľa tohto zákona alebo osobitného predpisu a primerane podľa medzinárodných noriem a štandardov bezpečnosti.Mlčanlivosť
§ 79
- Prevádzkovateľ a sprostredkovateľ je povinný zachovávať mlčanlivosť o osobných údajoch, ktoré spracúva. Povinnosť mlčanlivosti trvá aj po ukončení spracúvania osobných údajov.
- Prevádzkovateľ a sprostredkovateľ je povinný zaviazať mlčanlivosťou o osobných údajoch fyzické osoby, ktoré prídu do styku s osobnými údajmi u prevádzkovateľa alebo sprostredkovateľa. Povinnosť mlčanlivosti podľa prvej vety musí trvať aj po skončení pracovného pomeru, štátnozamestnaneckého pomeru, služobného pomeru alebo obdobného pracovného vzťahu tejto fyzickej osoby.
- Povinnosť mlčanlivosti podľa odsekov 1 a 2 neplatí, ak je to nevyhnutné na plnenie úloh súdu a orgánov činných v trestnom konaní podľa osobitného zákona; tým nie sú dotknuté ustanovenia o mlčanlivosti podľa osobitných predpisov.[26])
- Ustanovenia o povinnosti mlčanlivosti podľa odsekov 1 a 2 § 45 ods. 5 sa nepoužijú vo vzťahu k úradu pri plnení jeho úloh podľa tohto zákona alebo osobitného predpisu.2)
K § 79
Stanovuje povinnosť mlčanlivosti pre prevádzkovateľa a sprostredkovateľa o osobných údajoch, ktoré spracúvajú, pričom platí, že povinnosť mlčanlivosti obdobne platí aj pre zamestnancov prevádzkovateľa a sprostredkovateľa, ktorí z titulu svojej práce alebo vzhľadom na svoje povinnosti prídu do styku s osobnými údajmi, pre nich platí obdobne povinnosť zachovať mlčanlivosť, a to aj po skončení pracovného vzťahu u prevádzkovateľa alebo sprostredkovateľa.
Tento zákon tiež stanovuje výnimky, kedy sa povinnosť mlčanlivosti neuplatní, a to ak je to nevyhnutné na plnenie úloh súdu a orgánov činných v trestnom konaní podľa osobitného zákona, tým nie sú dotknuté ustanovenia o mlčanlivosti podľa osobitných predpisov, taktiež povinnosť mlčanlivosti neplatí a nepoužije sa vo vzťahu k úradu pri plnení úloh podľa tohto zákona.
PIATA ČASŤ
ÚRAD
PRVÁ HLAVA
POSTAVENIE, PÔSOBNOSŤ A ORGANIZÁCIA ÚRADU
§ 80
Postavenie úradu
- Úrad je orgánom štátnej správy s celoslovenskou pôsobnosťou, ktorý sa podieľa na ochrane základných práv fyzických osôb pri spracúvaní osobných údajov, a ktorý vykonáva dozor nad ochranou osobných údajov vrátane dozoru nad ochranou osobných údajov spracúvaných príslušnými orgánmi pri plnení úloh na účely trestného konania, ak nie je v § 81 ods. 7 a 8 ustanovené inak.
- Sídlom úradu je Bratislava.
- Úrad na plnenie úloh dozorného orgánu nad ochranou osobných údajov môže zriaďovať a zrušovať detašované pracoviská mimo svojho sídla a určovať územný obvod ich pôsobnosti.
- Úrad pri výkone svojej pôsobnosti postupuje nezávisle a riadi sa ústavou, ústavnými zákonmi, zákonmi, ostatnými všeobecne záväznými právnymi predpismi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná.
- Úrad je rozpočtovou organizáciou.[27]) Návrh rozpočtu predkladá úrad ako súčasť kapitoly Všeobecná pokladničná správa. Schválený rozpočet úradu môže znížiť v priebehu kalendárneho roku iba Národná rada Slovenskej republiky.
- Podrobnosti o organizácii úradu upraví organizačný poriadok úradu, ktorý vydá predseda úradu.
K § 80
Na základe tohto zákona sa zriaďuje úrad, ako orgán štátnej správy s celoslovenskou pôsobnosťou, ktorý vykonáva dozor nad ochranou osobných údajov, vrátane dozoru nad ochranou osobných údajov spracúvaných príslušnými orgánmi, okrem prípadov podľa § 81 ods. 7 a 8 tohto zákona, a podieľa sa na ochrane práv fyzických osôb pri spracúvaní ich osobných údajov. Sídlom úradu je Bratislava. Úrad na plnenie úloh dozorného orgánu nad ochranou osobných údajov môže zriaďovať a zrušovať detašované pracoviská mimo svojho sídla a určovať územný obvod ich pôsobnosti. Úrad pri výkone svojej pôsobnosti postupuje nezávisle a riadi sa ústavou, ústavnými zákonmi, zákonmi, ostatnými všeobecne záväznými právnymi predpismi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná. Úrad je rozpočtovou organizáciou, návrh rozpočtu predkladá úrad ako súčasť kapitoly Všeobecná pokladničná správa, schválený rozpočet úradu môže znížiť v priebehu kalendárneho roku iba Národná rada Slovenskej republiky. Podrobnosti o organizácii úradu upraví organizačný poriadok úradu, ktorý vydá predseda úradu.§ 81
Úlohy úradu
- Úrad je dozorný orgán podľa tohto zákona alebo osobitného predpisu[28]) a plní úlohy a vykonáva právomoci, ktoré sú mu zverené podľa tohto zákona a podľa osobitného predpisu.[29])
- Úrad
- monitoruje uplatňovanie tohto zákona,
- vyjadruje sa k návrhom zákonov a k návrhom ostatných všeobecne záväzných právnych predpisov, v ktorých sa upravuje spracúvanie osobných údajov,
- poskytuje konzultácie v oblasti ochrany osobných údajov,
- metodicky usmerňuje prevádzkovateľov a sprostredkovateľov pri spracúvaní osobných údajov,
- zvyšuje povedomie verejnosti najmä v oblasti rizík a práv súvisiacich so spracúvaním osobných údajov,
- zvyšuje povedomie prevádzkovateľov a sprostredkovateľov o ich povinnostiach podľa tohto zákona,
- na požiadanie poskytuje informácie dotknutej osobe v súvislosti s uplatnením jej práv podľa tohto zákona a na tento účel spolupracuje s dozornými orgánmi iných členských štátov,[30])
- pri výkone dozoru nad ochranou osobných údajov preveruje zákonnosť spracúvania osobných údajov príslušným orgánom pri výkone práva dotknutou osobou podľa § 63 ods. 5 a informuje dotknutú osobu o výsledku preverenia do 30 dní odo dňa podania žiadosti o preverenie, alebo o dôvodoch prečo k prevereniu nedošlo a o možnosti uplatnenia práva dotknutej osoby na podanie návrhu na začatie konania podľa § 100 a na inú právnu ochranu podľa osobitného predpisu,19)
- monitoruje vývoj najmä informačných a komunikačných technológií a obchodných praktík, ak má dosah na ochranu osobných údajov,
- spolupracuje s Európskym výborom pre ochranu údajov v oblasti ochrany osobných údajov,[31])
- predkladá Národnej rade Slovenskej republiky správu o stave ochrany osobných údajov najmenej raz za rok; správu o stave ochrany osobných údajov zverejňuje úrad na svojom webovom sídle a poskytuje ju Európskemu výboru pre ochranu údajov a Komisii,
- spolupracuje s dozornými orgánmi iných členských štátov vrátane výmeny informácií a poskytuje im vzájomnú pomoc s cieľom zabezpečiť spoločný postup pri ochrane osobných údajov podľa tohto zákona a osobitného predpisu.[32])
- Úrad je pri plnení svojich úloh oprávnený
- nariadiť prevádzkovateľovi a sprostredkovateľovi, prípadne aj zástupcovi prevádzkovateľa alebo sprostredkovateľa, ak bol poverený, aby poskytli informácie, ktoré sú nevyhnutné na plnenie jeho úloh,
- získať od prevádzkovateľa a sprostredkovateľa prístup k osobným údajom a informáciám, ktoré sú nevyhnutné na plnenie jeho úloh; tým nie sú dotknuté ustanovenia o mlčanlivosti podľa osobitných predpisov,26)
- vstupovať do priestorov prevádzkovateľa a sprostredkovateľa, ako aj k akémukoľvek zariadeniu a prostriedkom na spracúvanie osobných údajov, a to v rozsahu nevyhnutnom na plnenie jeho úloh, ak na to nie je potrebné povolenie podľa osobitného predpisu,[33])
- upozorniť prevádzkovateľa alebo sprostredkovateľa na to, že plánované spracovateľské operácie pravdepodobne porušia ustanovenia tohto zákona alebo osobitného predpisu,2)
- uložiť opatrenia na nápravu, pokutu podľa § 104 alebo poriadkovú pokutu podľa § 105, ak prevádzkovateľ, sprostredkovateľ, monitorujúci subjekt alebo certifikačný subjekt porušili ustanovenia tohto zákona alebo osobitného predpisu,2)
- nariadiť prevádzkovateľovi alebo sprostredkovateľovi, aby vyhovel žiadosti dotknutej osoby o uplatnenie jej práv podľa tohto zákona alebo osobitného predpisu,2)
- nariadiť prevádzkovateľovi alebo sprostredkovateľovi, aby svoje spracovateľské operácie zosúladil podľa potreby určeným spôsobom a v rámci určenej lehoty s ustanoveniami tohto zákona alebo osobitného predpisu,2)
- nariadiť prevádzkovateľovi, aby porušenie ochrany osobných údajov oznámil dotknutej osobe,
- nariadiť dočasné obmedzenie spracúvania osobných údajov alebo trvalé obmedzenie spracúvania osobných údajov,
- predvolať prevádzkovateľa alebo sprostredkovateľa za účelom podania vysvetlenia pri podozrení z porušenia povinností uložených týmto zákonom, osobitným predpisom alebo medzinárodnou zmluvou, ktorou je Slovenská republika viazaná,
- odporučiť prevádzkovateľovi alebo sprostredkovateľovi opatrenia na zabezpečenie ochrany osobných údajov v informačných systémoch,
- nariadiť pozastavenie prenosu osobných údajov príjemcovi v tretej krajine alebo medzinárodnej organizácii.
- Okrem plnenia úloh podľa odseku 1 a 2 úrad ďalej
- plní oznamovaciu povinnosť voči Komisii v oblasti ochrany osobných údajov,
- prijíma opatrenia na vykonanie rozhodnutí Komisie vydaných v oblasti ochrany osobných údajov,
- spolupracuje pri výkone dozoru nad ochranou osobných údajov s dozornými orgánmi iných členských štátov a s obdobnými orgánmi dozoru mimo územia členských štátov.
- Predmetom dozoru nad ochranou osobných údajov nie sú spory zo zmluvných vzťahov alebo predzmluvných vzťahov medzi prevádzkovateľom alebo sprostredkovateľom a dotknutou osobou alebo inými osobami, na ktorých prejednávanie a rozhodovanie sú príslušné súdy alebo iné orgány podľa osobitných predpisov.
- Úrad môže účtovať primeraný poplatok zodpovedajúci administratívnym nákladom alebo môže odmietnuť konať na základe žiadosti, ak je žiadosť zjavne neopodstatnená alebo neprimeraná, najmä pre jej opakujúcu sa povahu. Zjavnú neopodstatnenosť alebo neprimeranosť žiadosti preukazuje úrad.
- Ak osobné údaje spracúvajú súdy pri výkone ich súdnej právomoci dozor podľa § 90 až 98 nad ochranou osobných údajov vykonáva Ministerstvo spravodlivosti Slovenskej republiky.
- Ak osobné údaje spracúva Národný bezpečnostný úrad podľa osobitného predpisu,5) dozor podľa § 90 až 98 nad ochranou osobných údajov vykonáva Národná rada Slovenskej republiky podľa osobitného predpisu.[34])
K § 81
Definuje pozitívnym výpočtom úlohy a právomoci, ktoré úrad vykonáva na základe tohto zákona a článku 57 až 59 nariadenia. Úrad ma pozitívnym spôsobom vymedzené úlohy, ktoré plní na základe tohto zákona alebo na základe nariadenia. V ustanovení sa pozitívnym spôsobom vymedzujú oprávnenia úradu, ktoré môže pri plnení svojich úloh vykonávať. Stanovuje sa, že predmetom dozoru nad ochranou osobných údajov nie sú spory zo zmluvných alebo predzmluvných vzťahov medzi prevádzkovateľom alebo sprostredkovateľom a dotknutými osobami alebo inými fyzickými osobami, alebo právnickými osobami, na ktorých prejednávanie a rozhodovanie sú príslušné súdy alebo iné orgány podľa osobitných predpisov. Úrad nie je príslušný na vykonávanie dozoru nad spracúvaním osobných údajov súdmi pri výkone ich súdnej právomoci, túto dozornú úlohu plní Ministerstvo spravodlivosti Slovenskej republiky. Taktiež úrad neplní dozornú právomoc voči Národnému bezpečnostnému úradu vykonávajúcemu spracúvanie podľa osobitného predpisu, dozor vykonáva v tomto prípade Národná rada Slovenskej republiky.§ 82
Predseda úradu
- Na čele úradu je predseda, ktorého volí a odvoláva Národná rada Slovenskej republiky na návrh vlády Slovenskej republiky.
- Funkčné obdobie predsedu úradu je päť rokov a možno ho zvoliť najviac na dve po sebe nasledujúce funkčné obdobia. Predseda úradu zostáva vo funkcii aj po uplynutí funkčného obdobia, kým Národná rada Slovenskej republiky nezvolí nového predsedu.
- Za predsedu úradu možno zvoliť občana Slovenskej republiky, ktorý je voliteľný do Národnej rady Slovenskej republiky, má vysokoškolské vzdelanie druhého stupňa, má najmenej dvojročné skúsenosti v oblasti ochrany osobných údajov a je bezúhonný.
- Za bezúhonného sa na účely tohto zákona považuje ten, kto nebol právoplatne odsúdený za úmyselný trestný čin alebo za trestný čin, pri ktorom mu výkon trestu odňatia slobody nebol podmienečne odložený, ak sa podľa rozhodnutia súdu alebo na základe zákona nehľadí na neho, ako keby nebol odsúdený alebo odsúdenie mu nebolo zahladené. Bezúhonnosť sa preukazuje doloženým výpisom z registra trestov nie starším ako tri mesiace.
- Predseda úradu musí byť pri výkone svojej funkcie nezávislý a nesmie byť pri plnení svojich úloh a výkone svojich právomocí podľa tohto zákona pod vonkajším vplyvom, či už priamym alebo nepriamym, a nesmie od nikoho požadovať ani prijímať pokyny.
- Predseda úradu je povinný sa zdržať akéhokoľvek konania nezlučiteľného s jeho povinnosťami podľa tohto zákona a podľa osobitného predpisu.[35])
- Predseda úradu je štátnym zamestnancom podľa osobitného predpisu.7) Predsedovi úradu patrí plat vo výške štvornásobku priemernej nominálnej mesačnej mzdy zamestnanca v národnom hospodárstve Slovenskej republiky za predchádzajúci kalendárny rok zaokrúhlená na celé euro nahor. Platové a ďalšie náležitosti predsedu úradu určuje vláda Slovenskej republiky.
- K zániku výkonu funkcie predsedu úradu dochádza uplynutím jeho funkčného obdobia, alebo zvolením nového predsedu po uplynutí funkčného obdobia predsedu úradu podľa odseku 2.
- Pred uplynutím funkčného obdobia výkon funkcie zaniká
- vzdaním sa funkcie,
- stratou voliteľnosti do Národnej rady Slovenskej republiky,
- nadobudnutím právoplatnosti rozsudku, ktorým bol odsúdený za úmyselný trestný čin alebo ktorým bol odsúdený za trestný čin a výkon trestu odňatia slobody mu nebol podmienečne odložený,
- výkonom činnosti, ktorá je nezlučiteľná s jeho povinnosťami podľa odseku 6 alebo
- smrťou alebo právoplatným rozhodnutím súdu o vyhlásení predsedu úradu za mŕtveho.
- Predseda úradu môže byť z funkcie odvolaný, ak
- mu zdravotný stav dlhodobo, najmenej však počas jedného roka, nedovoľuje riadne vykonávať povinnosti vyplývajúce z jeho funkcie,
- porušil povinnosť nezávislosti podľa odseku 5, alebo
- porušil povinnosť mlčanlivosti o skutočnostiach, o ktorých sa dozvedel v súvislosti s výkonom svojej funkcie podľa § 84.
K § 82
Ustanovujú sa náležitosti týkajúce sa najvyššieho predstaviteľa úradu, štatutárneho orgánu úradu, ktorým je predseda úradu volený a odvolávaný Národnou radou Slovenskej republiky na návrh vlády Slovenskej republiky. Ustanovuje sa dĺžka jeho funkčného obdobia a možnosť jeho opakovanej voľky. Zákon ustanovuje náležitosti, ktoré musí splniť občan Slovenskej republiky na to, aby mohol byť za predsedu úradu zvolený. Ustanovujú sa situácie, kedy výkon funkcie predsedu zaniká a kedy predseda úradu môže byť z funkcie odvolaný. Platové náležitosti predsedu úradu určuje vláda.
§ 83
Podpredseda úradu
- Predsedu úradu zastupuje podpredseda úradu, ktorého vymenúva a odvoláva vláda Slovenskej republiky na návrh predsedu úradu. Podpredseda úradu je štátnym zamestnancom podľa osobitného predpisu.7)
- Funkčné obdobie podpredsedu úradu je päť rokov a možno ho vymenovať najviac na dve po sebe nasledujúce funkčné obdobia. Podpredseda úradu zostáva vo funkcii aj po uplynutí funkčného obdobia, kým vláda Slovenskej republiky nevymenuje nového podpredsedu.
- Na výkon funkcie podpredsedu úradu sa 82 ods. 3 až 6 a ods. 8 až 10 vzťahujú rovnako.
K § 83
Vymedzuje a definuje podpredsedu úradu z hľadiska jeho kreovania a vymenovania do funkcie a taktiež určuje orgány, ktorým táto právomoc patrí. Podpredseda úradu zastupuje predsedu úradu a tiež sa na neho primerane vzťahujú v zákone špecifikované ustanovenia týkajúce sa predsedu úradu.
§ 84
Povinnosť mlčanlivosti
- Predseda úradu, podpredseda úradu a zamestnanci úradu sú povinní zachovávať mlčanlivosť o skutočnostiach, o ktorých sa dozvedeli počas plnenia úloh podľa tohto zákona alebo osobitného predpisu,2) a to aj po skončení výkonu svojej funkcie, štátnozamestnaneckého pomeru, pracovného pomeru alebo obdobného pracovného vzťahu.
- Povinnosť mlčanlivosti podľa odseku 1 neplatí, ak je to nevyhnutné na plnenie úloh súdu a orgánov činných v trestnom konaní podľa osobitného predpisu;[36]) tým nie sú dotknuté ustanovenia o mlčanlivosti podľa osobitného predpisu.[37])
- Od povinnosti mlčanlivosti podľa odseku 1 môže podpredsedu úradu a zamestnancov úradu oslobodiť predseda úradu. Od povinnosti mlčanlivosti podľa odseku 1 môže predsedu úradu v konkrétnom prípade oslobodiť Národná rada Slovenskej republiky.
K § 84
Stanovuje povinnosť všetkých zamestnancov úradu, vrátane predsedu a podpredsedu úradu, aby boli pri svojej činnosti zaviazaní zachovávať mlčanlivosť o skutočnostiach, o ktorých sa dozvedia z titulu plnenia si svojich pracovných a služobných povinností. Ustanovenie vymedzuje, že povinnosť mlčanlivosti sú povinní zamestnanci úradu dodržiavať nielen počas trvania ich funkčného obdobia alebo štátnozamestnaneckého pomeru, alebo ich výkonu práce vo verejnom záujme, ako aj po jeho skončení, nakoľko aj potom sú niektoré informácie a skutočnosti, ktoré sú im známe z ich pôsobenia na úrade zásadné a ich prezradením by mohlo dôjsť napríklad k ohrozeniu ochrany osobných údajov, a to napríklad prezradením bezpečnostných opatrení prevádzkovateľa. Povinnosť mlčanlivosti zamestnanec úradu nie je povinný dodržiavať a neplatí, ak je poskytnutie informácie potrebné a nevyhnutné na plnenie úloh súdu alebo orgánov činných v trestnom konaní podľa osobitného predpisu, ak tým nebude porušená povinnosť mlčanlivosti podľa iného predpisu. Oslobodiť od povinnosti mlčanlivosti zamestnancov môže predseda úradu a predsedu úradu Národná rada Slovenskej republiky.DRUHÁ HLAVA
KÓDEX SPRÁVANIA, CERTIFIKÁT A AKREDITÁCIA
§ 85
Kódex správania
- Združenie zastupujúce kategóriu prevádzkovateľov alebo sprostredkovateľov alebo iný subjekt zastupujúci kategóriu prevádzkovateľov alebo sprostredkovateľov môže prijať kódex správania, a to najmä na účely spresnenia uplatňovania tohto zákona alebo osobitného predpisu2) v súvislosti s predmetom kódexu správania podľa osobitného predpisu.[38])
- Schválením kódexu správania zo strany úradu nie je dotknutá zodpovednosť prevádzkovateľa alebo zodpovednosť sprostredkovateľa dodržiavať tento zákon alebo osobitný predpis.2)
- Žiadosť o schválenie návrhu kódexu správania, návrhu zmeny schváleného kódexu správania alebo návrhu rozšírenia schváleného kódexu správania podáva úradu združenie alebo iný subjekt podľa odseku 1 (ďalej len „žiadateľ“).
- Žiadosť o schválenie kódexu správania musí obsahovať
- identifikačné údaje žiadateľa,
- meno a priezvisko štatutárneho zástupcu alebo osoby oprávnenej konať v mene žiadateľa,
- označenie, či ide o návrh kódexu správania, návrh zmeny schváleného kódexu správania alebo návrh rozšírenia schváleného kódexu správania,
- postup združenia, ktorým sa člen združenia zaväzuje dodržiavať schválený kódex správania,
- záväzok prevádzkovateľa alebo sprostredkovateľa podrobiť sa monitorovaniu dodržiavania schváleného kódexu správania v súlade s pravidlami a postupmi na monitorovanie dodržiavania kódexu správania,
- opis práv a povinností prevádzkovateľa alebo sprostredkovateľa pri výkone monitorovania dodržiavania schváleného kódexu správania,
- uvedenie predmetu, na ktorý sa návrh kódexu správania, návrh zmeny schváleného kódexu správania alebo návrh rozšírenia schváleného kódexu správania vzťahuje,
- účel spracúvania osobných údajov, na ktorý sú osobné údaje určené, ako aj právny základ spracúvania osobných údajov,
- kategórie osobných údajov,
- kategórie dotknutých osôb,
- identifikáciu príjemcu alebo kategóriu príjemcu osobných údajov, ak existuje,
- opis spracovateľských činností, informácie o existencii automatizovaného individuálneho rozhodovania a informácie o existencii profilovania,
- opis postupu žiadateľa pri uplatnení práv dotknutou osobou,
- informáciu, či sa návrh kódexu správania týka spracovateľských činností vo viacerých členských štátoch,
- identifikáciu tretej krajiny alebo medzinárodnej organizácie pri prenose osobných údajov a informáciu o prijatých primeraných zárukách tohto prenosu,
- prijaté pravidlá a postupy na monitorovanie dodržiavania kódexu správania.
- Žiadateľ k žiadosti o schválenie kódexu správania podľa odseku 4 musí priložiť
- návrh kódexu správania, návrh zmeny schváleného kódexu správania alebo návrh rozšírenia schváleného kódexu správania, a to aj v anglickom jazyku, ak sa týka spracovateľských činností vo viacerých členských štátoch,
- potvrdenie o zaplatení správneho poplatku,
- ďalšie informácie a podklady, nevyhnutné na posúdenie súladu návrhu kódexu správania s týmto zákonom alebo osobitným predpisom.2)
- Ak žiadosť o schválenie kódexu správania nespĺňa náležitosti podľa odsekov 4 a 5 alebo ak v konaní o schválenie kódexu správania vzniknú pochybnosti o preukázaní súladu s týmto zákonom alebo osobitným predpisom,2) úrad vyzve žiadateľa na doplnenie podkladov v lehote, ktorá nesmie byť kratšia ako 15 dní; počas tejto doby lehota v konaní o schválenie kódexu správania neplynie.
- Účastníkom konania o schválení kódexu správania je žiadateľ, ktorý podal žiadosť podľa odseku 4.
- Ak úrad počas konania o schválenie kódexu správania zistí nesúlad s týmto zákonom alebo osobitným predpisom2) vyzve žiadateľa na odstránenie zisteného nesúladu v určenej lehote, ktorá nesmie byť kratšia ako 30 dní; počas plynutia lehoty na odstránenie zisteného nesúladu neplynie lehota v konaní o schválenie kódexu správania. Na odôvodnenú žiadosť žiadateľa úrad určenú lehotu môže predĺžiť najviac o 60 dní.
- Úrad konanie o schválenie kódexu správania zastaví, ak žiadateľ
- neodstráni nedostatky žiadosti v lehote určenej podľa odseku 6,
- neodstráni úradom zistené nedostatky v lehote určenej podľa odseku 8.
- Úrad rozhodne o schválení kódexu správania, o zmene schváleného kódexu správania alebo o rozšírení schváleného kódexu správania do 90 dní odo dňa začatia konania.
- Ak je potrebné predložiť návrh kódexu správania, návrh zmeny schváleného kódexu správania alebo návrh rozšírenia schváleného kódexu Európskemu výboru pre ochranu údajov podľa osobitného predpisu,[39]) lehota podľa odseku 10 neplynie odo dňa predloženia návrhu kódexu správania návrhu zmeny schváleného kódexu správania alebo návrhu rozšírenia schváleného kódexu správania Európskemu výboru pre ochranu údajov až do dňa doručenia stanoviska Európskeho výboru pre ochranu údajov podľa osobitného predpisu[40]) úradu.
- Úrad po preskúmaní žiadosti o schválenie kódexu správania podľa odseku 4 a 5 a súvisiacej dokumentácie vydá rozhodnutie o schválení kódexu správania, rozhodnutie o schválení zmeny schváleného kódexu správania alebo rozhodnutie o schválení rozšírenia schváleného kódexu správania, ak návrh kódexu správania, návrh zmeny schváleného kódexu správania alebo návrh rozšírenia schváleného kódexu správania je v súlade a poskytuje dostatočné primerané záruky ochrany osobných údajov podľa tohto zákona alebo osobitného predpisu.2)
- Proti rozhodnutiu o schválení kódexu správania, rozhodnutiu o zmene schváleného kódexu správania alebo rozhodnutiu o rozšírení schváleného kódexu správania nie je prípustný rozklad.
- Proti rozhodnutiu o neschválení kódexu správania, rozhodnutiu o neschválení zmeny schváleného kódexu správania alebo rozhodnutiu o neschválení rozšírenia schváleného kódexu správania je prípustný rozklad, o ktorom rozhodne predseda úradu.
- Úrad zverejňuje zoznam schválených kódexov správania na svojom webovom sídle.
- Združenie zastupujúce kategóriu prevádzkovateľov alebo sprostredkovateľov alebo iný subjekt zastupujúci kategóriu prevádzkovateľov alebo sprostredkovateľov, ktorému úrad schválil kódex správania, schválil návrh zmeny schváleného kódexu správania alebo schválil návrh rozšírenia schváleného kódexu správania, je povinný najneskôr do 15 dní odo dňa zistenia písomne oznámiť úradu zmeny podľa odseku 4 písm. a) a d).
K § 85
odsek 1 a 2
Vykonanie primeraných opatrení a preukázanie súladu prevádzkovateľom alebo sprostredkovateľom, najmä pokiaľ ide o identifikáciu rizika súvisiaceho so spracúvaním osobných údajov, na jeho posúdenie so zreteľom na pôvod, povahu, pravdepodobnosť a závažnosť, a na identifikáciu najlepších postupov na zmiernenie rizika pri spracúvaní osobných údajov sa môže prijať najmä na základe úradom schválených kódexov správania. Schváleným kódexom správania skupina prevádzkovateľov alebo sprostredkovateľov deklaruje, že predmet, na ktorý sa kódex správania vzťahuje a v kontexte predmetu aj spracovateľské operácie s osobnými údajmi sú vykonávané členmi kódexu správania v súlade so zákonom a nariadením. Navonok možno kódex správania považovať za deklarovanie súladu so zákonom a nariadením voči dotknutým osobám, úradu a iným prevádzkovateľom alebo sprostredkovateľom. Dovnútra prevádzkovateľa alebo sprostredkovateľa dodržiavanie schváleného kódexu správania znamená, že prevádzkovateľ alebo sprostredkovateľ musí činnosti a spracovateľské operácie, na ktoré má schválený kódex správania, mať v súlade so zákonom a nariadením, teda má aj svoje vnútorné procesy napríklad voči zamestnancom spracúvajúcim osobné údaje nastavené tak, aby boli súladné so zákonom a nariadením. Schválením kódexu správania nie je v nijakom smere dotknutá zodpovednosť prevádzkovateľa alebo sprostredkovateľa dodržiavať tento zákon, osobitný predpis alebo nariadenie.
odsek 3 až 6
Stanovuje sa kto podáva úradu žiadosť o schválenie návrhu kódexu správania, aké náležitosti musí žiadosť mať, aké doklady a písomnosti je potrebné k žiadosti priložiť. Je definovaný postup úradu v prípade, ak žiadateľ podal úradu neúplnú žiadosť alebo ak v konaní o schválení kódexu správania vzniknú pochybnosti o preukázaní súladu so zákonom a nariadením.
odsek 7 až 14
Ustanovuje sa priebeh konania o schválení kódexu správania a prípady, kedy je možné sa proti rozhodnutiu v konaní o schválení kódexu správania odvolať a kedy nie. O odvolaní rozhoduje predseda úradu.
odsek 15
Stanovuje sa, že úrad bude na svojom webovom sídle zverejňovať zoznam schválených kódexov správania.
odsek 16
Ustanovuje sa povinnosť pre združenie alebo iný subjekt zastupujúci prevádzkovateľov alebo sprostredkovateľov, ktorým bol schválený kódex správania, aby najneskôr do 15 dní odo dňa zistenia zmeny týkajúcej sa kódexu správania túto úradu písomne oznámili.§ 86
Certifikát
- Vydanie certifikátu, obnovu certifikátu alebo odňatie certifikátu vykonáva subjekt, ktorému bola udelená akreditácia podľa § 88 v súlade s týmto zákonom (ďalej len „certifikačný subjekt“) alebo úrad.
- Prevádzkovateľ alebo sprostredkovateľ na účely preukázania súladu spracúvania osobných údajov a existencie primeraných záruk ochrany osobných údajov podľa tohto zákona alebo osobitného predpisu2) môže požiadať úrad alebo certifikačný subjekt o vydanie certifikátu alebo obnovenie certifikátu. Certifikát sa vydá alebo obnoví najviac na obdobie troch rokov.
- Úrad alebo certifikačný subjekt posudzuje súlad spracúvania osobných údajov a existenciu primeraných záruk ochrany osobných údajov prevádzkovateľa alebo sprostredkovateľa podľa odseku 2 na základe certifikačných kritérií v súlade s týmto zákonom. Vydaním certifikátu nie je dotknutá zodpovednosť prevádzkovateľa alebo zodpovednosť sprostredkovateľa za dodržiavanie tohto zákona a osobitného predpisu2) ani nie sú dotknuté právomoci úradu podľa tohto zákona.
- Certifikát je verejnou listinou.
- Úrad zverejňuje vydané certifikáty na svojom webovom sídle.
- Žiadosť o vydanie certifikátu alebo žiadosť obnovu certifikátu úradom musí obsahovať
- identifikačné údaje žiadateľa,
- meno a priezvisko štatutárneho orgánu žiadateľa alebo osoby oprávnenej konať v mene žiadateľa,
- kontaktné údaje zodpovednej osoby, ak je určená,
- predmet certifikátu, na ktorý sa má certifikát udeliť,
- účel spracúvania osobných údajov,
- právny základ spracúvania osobných údajov,
- kategórie dotknutých osôb,
- kategórie osobných údajov,
- identifikáciu príjemcu alebo kategóriu príjemcu osobných údajov, ak existuje,
- opis spracovateľských činností, vrátane informácii o existencii automatizovaného individuálneho rozhodovania vrátane profilovania,
- opis postupu žiadateľa pri uplatnení práv dotknutou osobou,
- identifikáciu tretej krajiny alebo medzinárodnej organizácie pri prenose osobných údajov.
- Žiadateľ k žiadosti podľa odseku 6 priloží
- technickú a bezpečnostnú dokumentáciu nevyhnutnú pre vydanie certifikátu,
- výsledok auditu ochrany osobných údajov nie starší ako šesť mesiacov,
- dokumenty preukazujúce splnenie certifikačných kritérií,
- opis primeraných záruk pri prenose osobných údajov do tretej krajiny alebo medzinárodnej organizácii,
- potvrdenie o zaplatení správneho poplatku,
- ďalšie informácie a podklady nevyhnutné na posúdenie súladu s týmto zákonom alebo osobitným predpisom2) a dodržania certifikačného postupu.
- Ak žiadosť o vydanie certifikátu alebo žiadosť o obnovu certifikátu nespĺňa náležitosti podľa odsekov 6 a 7 alebo ak v konaní o vydanie certifikátu alebo v konaní o obnove certifikátu vzniknú pochybnosti o preukázaní splnenia certifikačných kritérií alebo podmienok na vydanie certifikátu, úrad vyzve žiadateľa na doplnenie podkladov v lehote, ktorá nesmie byť kratšia ako 15 dní; počas tejto doby lehota v konaní o vydanie certifikátu alebo v konaní o obnove certifikátu neplynie.
- Ak úrad počas konania o vydaní certifikátu alebo konania o obnove certifikátu zistí nesúlad s týmto zákonom alebo osobitným predpisom2) vyzve žiadateľa na odstránenie zisteného nesúladu v určenej lehote, ktorá nesmie byť kratšia ako 30 dní; počas tejto doby lehota v konaní o vydanie certifikátu alebo v konaní o obnove certifikátu neplynie. Na odôvodnenú žiadosť žiadateľa úrad určenú lehotu predĺži najviac o 60 dní.
- Úrad konanie o vydaní certifikátu alebo konanie o obnove certifikátu zastaví, ak žiadateľ neodstráni
- nedostatky žiadosti a vzniknuté pochybnosti podľa odseku 8 v určenej lehote,
- úradom zistené nedostatky podľa odseku 9 v určenej lehote.
- Úrad rozhodne o vydaní certifikátu alebo obnove certifikátu do 90 dní odo dňa začatia konania.
- Úrad po preskúmaní žiadosti o vydanie certifikátu alebo žiadosti o obnove certifikátu podľa odsekov 6 a 7 a súvisiacej dokumentácie vydá rozhodnutie o vydaní certifikátu, ak žiadateľ spĺňa certifikačné kritériá, spĺňa podmienky certifikačného postupu, ak jeho spracovateľské činnosti sú v súlade s týmto zákonom alebo osobitným predpisom,2) a ak ním prijaté bezpečnostné opatrenia poskytujú dostatočné primerané záruky ochrany osobných údajov podľa tohto zákona alebo osobitného predpisu.2)
- Na základe rozhodnutia o vydaní certifikátu alebo rozhodnutia o obnove certifikátu úrad vydá žiadateľovi certifikát na obdobie troch rokov, ktorý obsahuje
- identifikačné údaje úradu,
- identifikačné údaje žiadateľa,
- predmet certifikátu,
- označenie certifikačných kritérií, na základe ktorých sa vydáva certifikát,
- číslo certifikátu,
- dátum vydania certifikátu; ak ide o obnovu certifikátu, aj dátum skoršieho vydania certifikátu,
- doba platnosti certifikátu,
- odtlačok pečiatky úradu a podpis osoby oprávnenej konať v mene úradu s uvedením jej mena, priezviska a funkcie.
- Proti rozhodnutiu o vydaní certifikátu alebo rozhodnutiu o obnove certifikátu nie je prípustný rozklad.
- Proti rozhodnutiu o nevydaní certifikátu alebo rozhodnutiu o neobnovení certifikátu je prípustný rozklad, o ktorom rozhodne predseda úradu.
- Ak prevádzkovateľ alebo sprostredkovateľ, ktorému bol vydaný certifikát alebo obnovený certifikát (ďalej len „certifikovaná osoba“) naďalej spĺňa certifikačné kritéria a podmienky vydania certifikátu podľa tohto zákona, úrad na základe žiadosti certifikovanej osoby, podanej najneskôr šesť mesiacov pred uplynutím platnosti certifikátu skôr vydaného alebo skôr obnoveného, rozhodne o obnovení certifikátu na obdobie ďalších troch rokov. Na konanie o obnovení certifikátu sa primerane použijú ustanovenia o vydaní certifikátu.
- Ak certifikovaná osoba podá žiadosť o obnovenie certifikátu v lehote menej ako šesť mesiacov pred uplynutím platnosti certifikátu, úrad na takúto žiadosť neprihliada. Týmto nie je dotknuté oprávnenie tejto certifikovanej osoby na podanie žiadosti o vydanie certifikátu podľa odseku 6 a 7.
- Certifikovaná osoba je počas platnosti certifikátu povinná
- spĺňať požiadavky ustanovené týmto zákonom a požiadavky na vydanie certifikátu v súlade s rozhodnutím o vydaní certifikátu,
- najneskôr do 15 dní odo dňa vzniku zmeny písomne oznámiť úradu akékoľvek zmeny týkajúce sa rozhodnutia o vydaní certifikátu,
- umožniť úradu vykonanie dozoru podľa tohto zákona,
- archivovať dokumentáciu súvisiacu s výkonom certifikačného postupu podľa osobitného predpisu.[41])
- Certifikačné kritéria, podmienky certifikačného postupu, obsahové náležitosti technickej a bezpečnostnej dokumentácie a podmienky výkonu auditu ochrany osobných údajov vrátane podmienok odborných znalostí audítora vykonávajúceho audit ochrany osobných údajov ustanoví všeobecne záväzný právny predpis, ktorý vydá úrad.
K § 86
odsek 1 a 2
Na účely preukázania súladu spracúvania osobných údajov a existencie primeraných záruk ochrany osobných údajov podľa tohto zákona alebo osobitného predpisu môže prevádzkovateľ alebo sprostredkovateľ požiadať úrad alebo certifikačný subjekt o vydanie alebo obnovenie certifikátu. Proces vydávania, odnímania a obnovy certifikátu má vo svojej kompetencii úrad a certifikačný subjekt akreditovaný úradom. odsek 3 Úrad alebo certifikačný subjekt posudzuje v rámci konania o vydanie certifikátu súlad spracúvania osobných údajov a existenciu primeraných záruk ochrany osobných údajov prevádzkovateľa alebo sprostredkovateľa na základe certifikačných kritérií v súlade s týmto zákonom, pričom platí, že vydanie certifikátu neznižuje zodpovednosť prevádzkovateľa alebo sprostredkovateľa za dodržiavanie tohto zákona a nariadenia a nie sú ním ani dotknuté právomoci úradu. odsek 4 až 8 Stanovuje sa kto podáva úradu žiadosť o vydanie certifikátu alebo jeho obnovu, aké náležitosti musí žiadosť mať, aké doklady a písomnosti je potrebné k žiadosti priložiť. Je definovaný postup úradu v prípade, ak žiadateľ podal úradu neúplnú žiadosť alebo ak v konaní o vydanie alebo obnovu certifikátu vzniknú pochybnosti o preukázaní súladu so zákonom a nariadením. Úrad bude na svojom webovom sídle zverejňovať vydané certifikáty. odsek 9 až 15 Ustanovuje sa priebeh konania o vydanie alebo obnovu certifikátu a prípady, kedy je možné sa proti rozhodnutiu v konaní o vydanie certifikátu odvolať a kedy nie. O odvolaní rozhoduje predseda úradu. Ak je na základe rozhodnutia o vydaní certifikátu alebo jeho obnove rozhodnuté úrad vydá žiadateľovi certifikát na obdobie troch rokov. Stanovujú sa náležitosti certifikátu. odsek 16 a 18 Stanovujú sa podmienky a lehoty pre žiadosť o obnovenie už vydaného certifikátu a konania o obnove certifikátu. Ustanovujú sa povinnosti, ktoré je certifikovaná osoba povinná v kontexte vydaného certifikátu dodržiavať. odsek 19 Splnomocňovacie ustanovenie, na vydanie vykonávacieho predpisu úradu, ktorým sa stanovia certifikačné kritéria, podmienky certifikačného postupu, obsahové náležitosti technickej a bezpečnostnej dokumentácie a podmienky výkonu auditu ochrany osobných údajov vrátane podmienok odborných znalostí audítora. Audit ochrany osobných údajov je posúdenie stavu spracúvania osobných údajov v podmienkach prevádzkovateľa alebo sprostredkovateľa a jeho súladu s nariadením / zákonom, s medzinárodnými normami a štandardmi bezpečnosti ochrany osobných údajov (napr. ISO 27001, ISO 17065) a uznávanými národnými štandardmi (vykonávací právny predpis).§ 87
Monitorujúci subjekt
- Monitorovanie súladu spracúvania osobných údajov podľa tohto zákona alebo osobitného predpisu2) s kódexom správania vykonáva subjekt, ktorý spĺňa kritériá a podmienky na udelenie akreditácie podľa tohto zákona alebo osobitného predpisu2) a bola mu udelená akreditácia úradom v súlade s týmto zákonom (ďalej len „monitorujúci subjekt“).
- Kódexy správania schválené úradom pre orgány verejnej moci a verejnoprávne inštitúcie nepodliehajú činnosti monitorovacieho subjektu podľa tohto zákona; tým nie je dotknutý výkon dozoru úradom podľa tohto zákona.
- Monitorujúcim subjektom môže byť právnická osoba alebo fyzická osoba – podnikateľ, ktorý má vytvorené technické a organizačné podmienky na vykonávanie monitorovania kódexu správania a ktorému bola udelená akreditácia.
- Monitorujúci subjekt je oprávnený
- monitorovať súlad spracúvania osobných údajov podľa tohto zákona alebo osobitného predpisu2) prevádzkovateľom alebo sprostredkovateľom, ktorý je členom združenia, ktorý sa zaviazal dodržiavať schválený kódex správania,
- prijať primerané opatrenia v prípadoch porušenia kódexu správania prevádzkovateľom alebo sprostredkovateľom,
- dočasne pozastaviť záväznosť schváleného kódexu správania pre prevádzkovateľa alebo sprostredkovateľa, ktorý sa zaviazal dodržiavať schválený kódex správania,
- zrušiť záväznosť schváleného kódexu správania pre prevádzkovateľa alebo sprostredkovateľa, ktorý sa zaviazal dodržiavať schválený kódex správania.
- O opatreniach podľa odseku 4 vrátane dôvodov prijatia takýchto opatrení je monitorujúci subjekt povinný písomne informovať úrad do 15 dní od ich prijatia. Týmto nie je dotknutá zodpovednosť prevádzkovateľa alebo sprostredkovateľa, ktorý podlieha monitorovaniu kódexu správania, dodržiavať tento zákon alebo osobitný predpis.2)
- Žiadosť o udelenie akreditácie musí obsahovať
- identifikačné údaje žiadateľa,
- meno a priezvisko štatutárneho zástupcu žiadateľa alebo osoby oprávnenej konať v mene žiadateľa,
- uvedenie predmetu kódexu správania.38)
- Žiadateľ k žiadosti podľa odseku 6 priloží
- technickú a bezpečnostnú dokumentáciu nevyhnutnú pre monitorovanie kódexu správania,
- dokumenty preukazujúce nezávislosť žiadateľa,
- postup a spôsob vysporiadania sa s konfliktom záujmu medzi žiadateľom a subjektom podliehajúcim monitorovaniu, ktorý by mohol narušiť objektivitu monitorovania kódexu správania alebo obmedziť objektivitu monitorovania kódexu správania alebo porušiť princíp transparentnosti pre dotknutú osobu a verejnosť; konflikt záujmov zahŕňa najmä situáciu, ak žiadateľ, ktorý môže ovplyvniť výsledok alebo priebeh monitorovania kódexu správania, má priamy finančný záujem alebo nepriamy finančný záujem, ekonomický záujem alebo iný osobný záujem, ktorý možno považovať za ohrozenie jeho nezávislosti v súvislosti s monitorovaním kódexu správania,
- dokumenty stanovujúce kvalifikačné požiadavky vo vzťahu k monitorovaniu kódexu správania osôb žiadateľa, ktoré budú vykonávať monitorovanie,
- pravidlá a postupy výkonu činností, najmä procesy monitorovania dodržiavania kódexu správania prevádzkovateľom alebo sprostredkovateľom, spôsob preukázania vykonávania kódexu správania prevádzkovateľom alebo sprostredkovateľom, spôsob preukázania súladu spracovateľských činností prevádzkovateľa a sprostredkovateľa vo vzťahu k predmetu kódexu správania, frekvenciu monitorovania súladu,
- dokumenty preukazujúce, že pravidlá a postupy na výkon monitorovania kódexu správania sú transparentné pre dotknutú osobu a verejnosť,
- výsledok auditu výkonu monitorovania kódexu správania,
- potvrdenie o zaplatení správneho poplatku,
- ďalšie informácie a podklady, ktoré sú nevyhnutné na posúdenie súladu s týmto zákonom alebo osobitným predpisom2) a na posúdenie žiadosti o udelenie akreditácie.
- Ak žiadosť o udelenie akreditácie nespĺňa náležitosti podľa odsekov 6 a 7 alebo ak v konaní o udelení akreditácie vzniknú pochybnosti o preukázaní splnenia kritérií alebo podmienok na udelenie akreditácie, úrad vyzve žiadateľa na odstránenie nedostatkov v lehote, ktorá nesmie byť kratšia ako 15 dní; počas tejto lehoty lehota v konaní o udelení akreditácie neplynie.
- Ak úrad počas konania podľa odseku 11 zistí nesúlad s týmto zákonom alebo osobitným predpisom2) vyzve žiadateľa na odstránenie zisteného nesúladu v určenej lehote, ktorá nesmie byť kratšia ako 30 dní; počas tejto doby lehota podľa odseku 11 neplynie. Na odôvodnenú žiadosť žiadateľa úrad určenú lehotu predĺži najviac o 60 dní.
- Úrad konanie podľa odseku 11 zastaví, ak žiadateľ neodstráni
- nedostatky žiadosti a vzniknuté pochybnosti podľa odseku 8 v určenej lehote,
- úradom zistené nedostatky podľa odseku 9 v určenej lehote.
- Úrad rozhodne o udelení akreditácie do 90 dní odo dňa začatia konania.
- Úrad po preskúmaní žiadosti o udelení akreditácie podľa odsekov 6 a 7 a súvisiacej dokumentácie vydá rozhodnutie o udelení akreditácie, ak žiadateľ spĺňa požiadavky, má primeranú úroveň odborných znalostí vo vzťahu k predmetu kódexu správania a spĺňa kritéria a podmienky na udelenie akreditácie podľa tohto zákona.
- Na základe rozhodnutia o udelení akreditácie úrad vydá monitorujúcemu subjektu osvedčenie o udelení akreditácie, ktoré obsahuje
- identifikačné údaje úradu,
- identifikačné údaje žiadateľa,
- predmet akreditácie,
- číslo osvedčenia o udelení akreditácie,
- dátum vydania osvedčenia o udelení akreditácie,
- odtlačok pečiatky úradu a podpis osoby oprávnenej konať v mene úradu s uvedením jej mena, priezviska a funkcie.
- Osvedčenie o udelení akreditácie je verejnou listinou.
- Proti rozhodnutiu o udelení akreditácie nie je prípustný rozklad.
- Proti rozhodnutiu o neudelení akreditácie je prípustný rozklad, o ktorom rozhodne predseda úradu.
- Úrad zverejňuje vydané osvedčenia o udelení akreditácie na svojom webovom sídle.
- Ak sa preukáže, že monitorujúci subjekt vykonáva monitorovanie kódexu správania v rozpore s týmto zákonom alebo osobitným predpisom,2) dobrými mravmi, osvedčením o udelení akreditácie alebo ďalej nespĺňa požiadavky na udelenie akreditácie, úrad pozastaví platnosť akreditácie na tri mesiace a zároveň uloží monitorujúcemu subjektu vykonanie opatrení na nápravu. Ak monitorujúci subjekt v určenej lehote uložené opatrenia neprijme, úrad jeho akreditáciu rozhodnutím zruší. Monitorujúci subjekt, ktorému bola akreditácia zrušená, môže znova požiadať o udelenie akreditácie.
- Monitorujúci subjekt je povinný
- spĺňať požiadavky ustanovené týmto zákonom a akreditačné požiadavky v súlade s rozhodnutím o udelení akreditácie,
- písomne oznámiť úradu akékoľvek zmeny udelenej akreditácie do 15 dní odo dňa vzniku zmeny,
- informovať dotknutého prevádzkovateľa alebo sprostredkovateľa o oprávnenosti monitorovať dodržiavanie kódexu správania a o predmete monitorovaného kódexu správania, podrobne a zrozumiteľne informovať o bezpečnostných opatreniach, pravidlách a o postupoch monitorovania kódexu správania, a informovať o možných právnych dôsledkoch monitorovania dodržiavania predmetu kódexu správania pred výkonom monitorovania schváleného kódexu správania,
- bez zbytočného odkladu informovať dotknutého prevádzkovateľa alebo sprostredkovateľa o prijatých opatreniach ak bolo zistené porušenie dodržiavania kódexu správania dotknutého prevádzkovateľa alebo sprostredkovateľa podľa odseku 4,
- dodržiavať zásadu nezávislosti,
- archivovať dokumentáciu súvisiacu s monitorovaním kódexu správania podľa osobitného predpisu.[42])
- Kritéria na udelenie akreditácie, podmienky akreditačného postupu, obsahové náležitosti technickej a bezpečnostnej dokumentácie a podmienky výkonu auditu monitorovania kódexu správania vrátane podmienok odborných znalostí audítora ustanoví všeobecne záväzný právny predpis, ktorý vydá úrad.
K § 87
odsek 1 až 3
Úradom schválené kódexy správania sa majú monitorovať, túto monitorovaciu činnosť vykonávajú subjekty akreditované úradom s dostatočným materiálnym a personálnym vybavením, ktoré v rámci posúdenia spôsobilosti žiadateľa o to, aby bol akreditovaný úradom posudzuje úrad. Stanovuje sa, kto môže byť akreditovaným monitorujúcim subjektom.
Kódexy správania schválené úradom pre orgány verejnej moci a verejnoprávne subjekty nepodliehajú činnosti monitorovacieho subjektu, tým nie sú dotknuté právomoci úradu podľa tohto zákona, vrátane dozornej činnosti úradu. Kódexy správania schválené úradom pre orgány verejnej moci a verejnoprávne subjekty môžu byť predmetom kontroly zo strany úradu, v rámci ktorej sa v zmysle vytýčeného predmetu kontroly bude môcť posudzovať súladnosť a dodržiavanie schváleného kódexu správania týchto subjektov.
odsek 4 a 5
Stanovujú sa oprávnenia monitorujúceho subjektu a tiež povinnosť a lehota o prijatých opatreniach informovať úrad.
odsek 6 až 9
Stanovuje sa kto podáva úradu žiadosť o akreditáciu monitorujúceho subjektu, aké náležitosti musí žiadosť mať, aké doklady a písomnosti je potrebné k žiadosti priložiť. Je definovaný postup úradu v prípade, ak žiadateľ podal úradu neúplnú žiadosť alebo ak v konaní o akreditáciu monitorujúceho subjektu vzniknú pochybnosti o preukázaní súladu so zákonom a nariadením.
odsek 10 až 12, 15,16
Ustanovuje sa priebeh a lehota na rozhodnutie v rámci konania o akreditáciu monitorujúceho subjektu a prípady, kedy je možné sa proti rozhodnutiu v konaní o akreditáciu monitorujúceho subjektu odvolať a kedy nie. Stanovuje sa, že o odvolaní rozhoduje predseda úradu.
odseky 13,14,17
Ustanovujú sa náležitosti osvedčenia o akreditácii. Stanovuje sa, že osvedčenie o akreditácii je verejnou listinou. Ustanovuje sa, že úrad na svojom webovom sídle zverejňuje vydané osvedčenia o akreditácii.
odsek 18
Stanovujú sa podmienky kedy úrad pozastaví platnosť akreditácie prípadne akreditáciu monitorujúceho subjektu zruší.
odsek 19
Stanovujú sa povinnosti akreditovaného monitorujúceho subjektu.
odsek 20
Splnomocňovacie ustanovenie, na základe ktorého úrad všeobecne záväzným právnym predpisom ustanoví kritéria na udelenie akreditácie, podmienky akreditačného postupu, obsahové náležitosti technickej a bezpečnostnej dokumentácie a podmienky výkonu auditu monitorovania kódexu správania vrátane podmienok odborných znalostí audítora.
§ 88
Certifikačný subjekt
- Vydanie certifikátu, obnovu certifikátu alebo odňatie certifikátu vykonáva certifikačný subjekt, ktorý spĺňa kritéria a podmienky na udelenie akreditácie podľa tohto zákona alebo osobitného predpisu[43]) a bola mu udelená akreditácia úradom v súlade s týmto zákonom.
- Certifikačným subjektom môže byť právnická osoba alebo fyzická osoba – podnikateľ, ktorý má primeranú úroveň odborných znalostí vo vzťahu k ochrane osobných údajov a má vytvorené technické a organizačné podmienky na certifikačný postup a ktorému bola udelená akreditácia.
- Certifikačný subjekt je zodpovedný za posúdenie súladu spracúvania osobných údajov a existencie primeraných záruk ochrany osobných údajov podľa tohto zákona alebo osobitného predpisu2) prevádzkovateľa alebo sprostredkovateľa, na základe ktorého udelí certifikát, obnoví certifikát alebo odníme certifikát.
- Žiadosť o udelenie akreditácie musí obsahovať
- identifikačné údaje žiadateľa,
- meno a priezvisko štatutárneho orgánu žiadateľa alebo osoby oprávnenej konať v mene žiadateľa,
- uvedenie predmetu certifikačných kritérií.
- Žiadateľ k žiadosti podľa odseku 4 musí priložiť
- technickú a bezpečnostnú dokumentáciu nevyhnutnú pre certifikačný postup,
- postup a spôsob vysporiadania sa s konfliktom záujmu medzi žiadateľom a prevádzkovateľom alebo sprostredkovateľom, ktorý požiadal o vydanie certifikátu alebo obnovu certifikátu, ktorý by mohol narušiť objektivitu vydania certifikátu alebo obnovy certifikátu alebo obmedziť objektivitu vydania certifikátu alebo obnovy certifikátu alebo porušiť princíp transparentnosti pre dotknutú osobu a verejnosť; konflikt záujmov zahŕňa najmä situáciu, ak žiadateľ, ktorý môže ovplyvniť výsledok alebo priebeh vydania alebo obnovy certifikátu, má priamy finančný záujem alebo nepriamy finančný záujem, ekonomický záujem alebo iný osobný záujem, ktorý možno považovať za ohrozenie jeho nezávislosti v súvislosti s vydaním alebo obnovením certifikátu,
- dokumenty určujúce kvalifikačné požiadavky vo vzťahu k certifikačnému postupu osôb žiadateľa, ktoré budú realizovať certifikačný postup,
- pravidlá a postupy výkonu certifikačného postupu, vrátane postupu na vydanie certifikátu, pravidelné preskúmanie certifikátu, obnovu certifikátu a odňatie certifikátu,
- vyhlásenie o dodržiavaní certifikačných kritérií pre certifikačný postup,
- dokumenty preukazujúce postupy a pravidlá na vybavovanie sťažností týkajúcich sa porušení vydaného certifikátu alebo spôsobu akým oprávnenia z certifikátu sú dotknutým prevádzkovateľom alebo sprostredkovateľom vykonávané,
- dokumenty preukazujúce, že pravidlá a postupy vybavovania sťažností v súvislosti s vydaným certifikátom sú transparentné pre verejnosť,
- výsledok auditu výkonu certifikačného postupu,
- potvrdenie o zaplatení správneho poplatku,
- ďalšie informácie a podklady, ktoré sú nevyhnutné na posúdenie súladu s týmto zákonom alebo osobitným predpisom2) na účely posúdenia žiadosti o udelenie akreditácie.
- Ak žiadosť o udelenie akreditácie nespĺňa náležitosti podľa odsekov 4 a 5 alebo ak v konaní podľa odseku 9 vzniknú pochybnosti o preukázaní splnenia kritérií alebo podmienok na udelenie akreditácie, úrad vyzve žiadateľa na odstránenie nedostatkov žiadosti v lehote, ktorá nesmie byť kratšia ako 15 dní; počas tejto doby lehota podľa odseku 9 neplynie.
- Ak úrad počas konania podľa odseku 9 zistí nesúlad s týmto zákonom alebo osobitným predpisom2) vyzve žiadateľa na odstránenie zisteného nesúladu v určenej lehote, ktorá nesmie byť kratšia ako 30 dní; počas tejto doby lehota v konaní o udelenie akreditácie neplynie. Na odôvodnenú žiadosť žiadateľa úrad určenú lehotu predĺži najviac o 60 dní.
- Úrad konanie o udelení akreditácie zastaví, ak žiadateľ neodstráni
- nedostatky žiadosti a vzniknuté pochybnosti podľa odseku 6 v určenej lehote,
- úradom zistené nedostatky podľa odseku 7 v určenej lehote.
- Úrad rozhodne o udelení akreditácii do 90 dní odo dňa začatia konania.
- Úrad po preskúmaní žiadosti o udelení akreditácie podľa odsekov 4 a 5 a súvisiacej dokumentácie vydá rozhodnutie o udelení akreditácii a schváli certifikačné kritéria, ak žiadateľ spĺňa požiadavky na primeranú úroveň odborných znalostí vo vzťahu k ochrane údajov a spĺňa kritéria a podmienky na udelenie akreditácie podľa tohto zákona.
- Na základe rozhodnutia o udelení akreditácii úrad vydá certifikačnému subjektu osvedčenie o udelení akreditácie na obdobie piatich rokov, ktoré obsahuje
- identifikačné údaje úradu,
- identifikačné údaje žiadateľa,
- predmet akreditácie,
- číslo osvedčenia o udelení akreditácie,
- dátum vydania osvedčenia o udelení akreditácie; ak ide o obnovu udelenia akreditácie, aj dátum skoršieho vydania udelenia akreditácie,
- dobu platnosti osvedčenia o udelení akreditácie,
- odtlačok pečiatky úradu a podpis osoby oprávnenej konať v mene úradu s uvedením jej mena, priezviska a funkcie.
- Osvedčenie o udelení akreditácie je verejnou listinou.
- Proti rozhodnutiu o udelení akreditácie nie je prípustný rozklad.
- Proti rozhodnutiu o neudelení akreditácie je prípustný rozklad, o ktorom rozhodne predseda úradu.
- Úrad zverejní zoznam certifikačných subjektov a schválené certifikačné kritéria na svojom webovom sídle.
- Ak certifikačný subjekt spĺňa požiadavky na primeranú úroveň odborných znalostí vo vzťahu k ochrane osobných údajov, spĺňa kritéria a podmienky na udelenie akreditácie podľa tohto zákona, úrad na základe žiadosti certifikačného subjektu o obnovenie akreditácie, podanej najneskôr šesť mesiacov pred uplynutím platnosti osvedčenia o udelení akreditácie, rozhodne o obnovení akreditácie na obdobie ďalších päť rokov. Na konanie o obnovení akreditácie sa primerane použijú ustanovenia konania o udelení akreditácie.
- Ak certifikačný subjekt podá žiadosť o obnovenie akreditácie v lehote menej ako šesť mesiacov pred uplynutím platnosti osvedčenia o udelení akreditácie, úrad na takúto žiadosť neprihliada. Týmto nie je dotknuté oprávnenie tohto subjektu na podanie žiadosti podľa odsekov 4 a 5.
- Ak sa preukáže, že certifikačný subjekt vykonáva certifikačný postup, vrátane udeľovania certifikátu a odnímania certifikátu, v rozpore s týmto zákonom alebo osobitným predpisom,2) dobrými mravmi, s vydaným osvedčením o udelení akreditácie alebo už nespĺňa požiadavky na udelenie akreditácie, úrad pozastaví platnosť akreditácie na tri mesiace a zároveň uloží certifikačnému subjektu vykonanie opatrení na nápravu. Ak certifikačný subjekt v určenej lehote uložené opatrenia neprijme, úrad jeho akreditáciu rozhodnutím zruší. Subjekt, ktorému bola akreditácia zrušená, môže znova požiadať o udelenie akreditáciu.
- Kritéria na udelenie akreditácie, podmienky certifikačného postupu, certifikačné kritéria, obsahové náležitosti technickej a bezpečnostnej dokumentácie a podmienky výkonu auditu certifikačného postupu vrátane podmienok odborných znalostí audítora ustanoví všeobecne záväzný právny predpis, ktorý vydá úrad.
K § 88
odsek 1 až 3
Posúdenie súladu spracúvania osobných údajov a existenciu primeraných záruk ochrany osobných údajov podľa tohto zákona a nariadenie posudzuje certifikačný subjekt, ktorý je akreditovaný úradom a ktorý spĺňa materiálne, personálne a technické predpoklady na to, aby mohol uvedenú činnosť vykonávať. Výsledkom tejto činnosti, posudzovania súladu procesov spracúvania nastavených prevádzkovateľom alebo sprostredkovateľom so zákonom alebo nariadením je vydanie certifikátu certifikačným subjektom, obnova certifikátu certifikačným subjektom alebo aj odňatie certifikátu certifikačným subjektom. Certifikačným subjektom môže byť iba právnická osoba alebo fyzická osoba – podnikateľ.
odsek 4 až 10, 13, 14
Stanovuje sa kto podáva úradu žiadosť o udelenie akreditácie, aké náležitosti musí žiadosť mať, aké doklady a písomnosti je potrebné k žiadosti priložiť. Je definovaný postup úradu v prípade, ak žiadateľ podal úradu neúplnú žiadosť alebo ak v konaní o akreditáciu certifikačného subjektu vzniknú pochybnosti o preukázaní súladu so zákonom a nariadením. Ustanovuje sa priebeh konania o udelení akreditácie a prípady, kedy je možné sa proti rozhodnutiu v konaní o udelenie akreditácie odvolať a kedy nie. Stanovuje sa, že o odvolaní rozhoduje predseda úradu.
odsek 11, 12, 15
Na základe rozhodnutia o akreditácii je žiadateľovi úradom vydané osvedčenie o udelení akreditácie na obdobie piatych rokov; osvedčenie o má presne v zákone stanovené náležitosti a je verejnou listinou. Úrad zverejňuje zoznam certifikačných subjektov a schválené certifikačné kritéria na svojom webovom sídle.
odsek 16, 17
Stanovujú sa podmienky a lehota na podanie žiadosti o obnovenie akreditácie a konanie o obnovenie akreditácie. Sú ustanovené podmienky toho, v akom časovom predstihu je potrebné podať včas žiadosť o obnovenie akreditácie úradu a následky, ak sa podanie žiadosti o obnovenie akreditácie včas nestihne.
odsek 18
Stanovujú sa podmienky kedy úrad pozastaví platnosť akreditácie prípadne sa akreditácia certifikačného subjektu zruší.
odsek 19
Splnomocňovacie ustanovenie, na základe ktorého úrad všeobecne záväzným právnym predpisom ustanoví kritéria na udelenie akreditácie, podmienky certifikačného postupu, certifikačné kritéria, obsahové náležitosti technickej a bezpečnostnej dokumentácie a podmienky výkonu auditu certifikačného postupu vrátane podmienok odborných znalostí audítora.§ 89
Povinnosti certifikačného subjektu
- Certifikačný subjekt je oprávnený v rozsahu osvedčenia o udelení akreditácie vydať certifikát alebo obnoviť certifikát prevádzkovateľovi alebo sprostredkovateľovi na obdobie troch rokov.
- Certifikačný subjekt je povinný pred vydaním certifikátu alebo obnovením certifikátu oznámiť úradu
- jeho identifikačné údaje,
- číslo osvedčenia, ktoré mu bolo vydané,
- identifikačné údaje prevádzkovateľa alebo sprostredkovateľa, ktorý žiada o vydanie certifikátu alebo certifikovanej osoby, ktorá žiada o obnovu certifikátu,
- predmet certifikátu,
- označenie certifikačných kritérií,
- dôvody vydania alebo obnovy certifikátu.
- Ak oznámenie nespĺňa náležitosti podľa odseku 2 úrad vyzve certifikačný subjekt na odstránenie nedostatkov v lehote, ktorá nesmie byť kratšia ako 15 dní; počas tejto lehoty lehota podľa odseku 4 neplynie.
- Úrad rozhodne o povolení vydania certifikátu alebo o povolení obnovy certifikátu certifikačným subjektom do 60 dní odo dňa začatia konania.
- V konaní podľa odseku 4 úrad neposudzuje splnenie certifikačných kritérií, podmienok na vydanie certifikátu alebo obnovu certifikátu.
- Povolením úradu na vydanie certifikátu alebo povolením úradu na obnovu certifikátu certifikačným subjektom nie je dotknutá zodpovednosť príslušného prevádzkovateľa alebo sprostredkovateľa za dodržiavanie tohto zákona a osobitného predpisu2).
- Ak úrad počas konania o povolení vydania certifikátu alebo počas konania o povolení obnovy certifikátu certifikačným subjektom zistí nesúlad s týmto zákonom alebo osobitným predpisom2) nepovolí certifikačnému subjektu vydanie certifikátu alebo obnovu certifikátu, o čom vydá rozhodnutie.
- Proti rozhodnutiu o povolení vydania certifikátu alebo rozhodnutiu o povolení obnovy certifikátu certifikačným subjektom nie je prípustný rozklad.
- Proti rozhodnutiu o nepovolení vydania certifikátu alebo rozhodnutiu o nepovolení obnovy certifikátu certifikačným subjektom je prípustný rozklad, o ktorom rozhodne predseda úradu.
- Certifikačný subjekt je povinný do 15 dní od vydania certifikátu, obnovenia certifikátu alebo odňatia certifikátu oznámiť úradu:
- jeho identifikačné údaje,
- číslo osvedčenia, ktoré mu bolo vydané,
- identifikačné údaje dotknutého prevádzkovateľa alebo sprostredkovateľa,
- predmet certifikátu,
- číslo certifikátu,
- dôvody vydania, obnovy alebo odňatia certifikátu.
- Certifikát vydaný certifikačným subjektom obsahuje najmä
- identifikačné údaje certifikačného subjektu, vrátane čísla osvedčenia o udelení akreditácie,
- identifikačné údaje žiadateľa,
- predmet certifikátu,
- označenie certifikačných kritérií, na základe ktorých sa certifikát vydáva,
- číslo certifikátu,
- dátum vydania certifikátu; ak ide o obnovu certifikátu, aj dátum skoršieho vydania certifikátu,
- odtlačok pečiatky certifikačného subjektu a podpis osoby oprávnenej konať v mene certifikačného subjektu s uvedením jej mena, priezviska.
- Certifikačný subjekt je povinný
- spĺňať požiadavky ustanovené týmto zákonom a akreditačné požiadavky v súlade s rozhodnutím o udelení akreditácie,
- najneskôr do 15 dní písomne oznámiť úradu akékoľvek zmeny udelenej akreditácie,
- umožniť úradu vykonanie dozoru podľa tohto zákona,
- dodržiavať zásadu nezávislosti,
- archivovať dokumentáciu súvisiacu s výkonom certifikačného postupu podľa osobitného predpisu.41)
K § 89
Stanovujú sa povinnosti certifikačného subjektu vo vzťahu k úradu a dotknutému prevádzkovateľovi alebo sprostredkovateľovi vo vzťahu k procesu vydania, obnovy alebo odňatia certifikátu.
TRETIA HLAVA
KONTROLA
§ 90
Začatie kontroly
- Kontrolu spracúvania osobných údajov, kontrolu dodržiavania kódexu správania schváleného úradom podľa § 85, kontrolu súladu spracúvania osobných údajov s vydaným certifikátom podľa § 86 a kontrolu dodržiavania vydaného osvedčenia o udelení akreditácie podľa § 87 a § 88 (ďalej len „kontrola“) vykonáva úrad prostredníctvom kontrolného orgánu zloženého zo zamestnancov úradu (ďalej len „kontrolný orgán“).
- Každý člen kontrolného orgánu vykonáva kontrolu na základe písomného poverenia vedúceho zamestnanca; ak je vedúci zamestnanec členom kontrolného orgánu, členovia kontrolného orgánu vykonávajú kontrolu na základe písomného poverenia predsedu úradu.
- Člen kontrolného orgánu musí byť zamestnanec úradu, ktorý je bezúhonný, má príslušné odborné vzdelanie a prax v oblasti patriacej do dozornej činnosti úradu.
- Písomné poverenie na vykonanie kontroly obsahuje
- identifikačné údaje úradu,
- identifikačné údaje kontrolovanej osoby,
- titul, meno a priezvisko člena kontrolného orgánu, ktorý má kontrolu vykonať,
- odtlačok úradnej pečiatky a podpis.
- Vzor poverenia na vykonanie kontroly zverejní úrad na svojom webovom sídle.
- Kontrola je začatá dňom doručenia oznámenia o kontrole prevádzkovateľovi alebo sprostredkovateľovi, zástupcovi prevádzkovateľa alebo zástupcovi sprostredkovateľa, ak bol poverený, alebo monitorujúcemu subjektu podľa § 87 alebo certifikačnému subjektu podľa § 88 (ďalej len „kontrolovaná osoba“).
- Kontrolný orgán vykoná kontrolu na základe plánu kontrol alebo na základe podozrenia z porušenia povinností pri spracúvaní osobných údajov ustanovených týmto zákonom alebo osobitným predpisom2) alebo v rámci konania o ochrane osobných údajov.
- Pri výkone kontroly je kontrolný orgán povinný postupovať tak, aby neboli dotknuté práva a právom chránené záujmy kontrolovanej osoby.
K § 90
Kontrola je vykonávaná zamestnancami úradu, ktorí sa na tento účel stávajú členmi kontrolného orgánu, a to na základe písomného poverenia vedúceho zamestnanca alebo predsedu úradu. Pri rozhodnutí, ktorí zo zamestnancov sa v konkrétnom prípade stanú členmi kontrolného orgánu je braná do úvahy požiadavka na odborný a nestranný výkon kontroly a na príslušné vzdelanie a prípadnú prax. Kontrole podlieha prevádzkovateľ, sprostredkovateľ, prípade zástupca prevádzkovateľa alebo sprostredkovateľa lebo držiteľ osvedčenia o udelení akreditácie. Kontrolou sa rozumie kontrola spracúvania osobných údajov, kontrola dodržiavania schválených kódexov správania, kontrola súladu spracúvania osobných údajov s vydaným certifikátom a kontrola dodržiavania vydaného osvedčenia o udelení akreditácie. Kontrolu môže kontrolný orgán (úrad) vykonávať na základe plánu kontrol alebo na základe skutočností, ktoré sa dozvedel v rámci svojej činnosti, na základe podozrenia z porušenia povinností pri spracúvaní osobných údajov, či na základe dopytu útvaru úradu v rámci konania o ochrane osobných údajov pri výkone dozornej činnosti. Začiatok kontroly je viazaný na doručenie oznámenia o kontrole kontrolovanej osobe. Platí, že všetci členovia kontrolného orgánu sú povinní pri výkone kontroly postupovať tak, aby vykonali všetky potrebné kroky na zistenie reálneho stav spracúvania osobných údajov u kontrolovanej osoby v čase výkonu kontroly alebo bezprostredne pred ňou alebo na zistenie stavu spracúvania osobných údajov v inom čase predchádzajúcom kontrole, ak to podmienky spracúvania osobných údajov určené prevádzkovateľom umožňujú, a zároveň preverili všetky kritické body javiace nesúlad spracúvania osobných údajov so zákonom alebo nariadením. Pri tejto svojej činnosti musia postupovať tak, aby bezdôvodne nezasahovali do práv kontrolovanej osoby a nespôsobili jej tak ujmu, prípadne svojím postupom sami neohrozili spracúvanie osobných údajov. Stanovujú sa tiež náležitosti poverenia na vykonanie kontroly, vzor poverenie zverejní úrad na svojom webovom sídle.§ 91
Zaujatosť kontrolného orgánu
- Člen kontrolného orgánu, ktorý sa dozvedel o skutočnostiach zakladajúcich pochybnosti o jeho nezaujatosti alebo pochybnosti o nezaujatosti iného člena kontrolného orgánu, je povinný tieto skutočnosti bez zbytočného odkladu písomne oznámiť tomu kto ho poveril podľa § 90 ods. 2.
- Ak má kontrolovaná osoba pochybnosti o nezaujatosti kontrolného orgánu alebo jeho člena so zreteľom na jeho vzťah k predmetu kontroly alebo ku kontrolovanej osobe, je oprávnená podať písomné námietky s uvedením dôvodu najneskôr do 15 dní odo dňa, keď sa o tejto skutočnosti dozvedela. Podanie námietok nemá odkladný účinok; kontrolný orgán je podľa prvej vety oprávnený vykonať pri kontrole len také úkony, ktoré neznesú odklad.
- O námietkach zaujatosti kontrolovanej osoby a o oznámení zaujatosti člena kontrolného orgánu rozhodne ten kto kontrolný orgán poveril podľa § 90 ods. 2 v lehote desiatich pracovných dní od ich uplatnenia a písomné vyhodnotenie rozhodnutia doručí tomu, kto námietku uplatnil. Proti rozhodnutiu o námietkach zaujatosti a proti rozhodnutiu o oznámení zaujatosti člena kontrolného orgánu nemožno podať rozklad.
K § 91
Ustanovenie upravuje zaujatosť v rámci kontroly a postup v prípade, ak sa kontrolný orgán alebo kontrolovaná osoba sa dozvedeli o skutočnostiach zakladajúcich pochybnosti o zaujatosti kontrolného orgánu so zreteľom na jeho vzťah k predmetu kontroly alebo ku kontrolovanej osobe. Podanie námietok zaujatosti nemá odkladný účinok a kontrolný orgán je povinný v rámci už začatej kontroly vykonať aj napriek podaným námietkam len všetky také úkony, ktoré neznesú odklad. O námietkach zaujatosti kontrolovanej osoby a o oznámení zaujatosti člena kontrolného orgánu rozhodne ten kto kontrolný orgán poveril v lehote 10 pracovných dní od ich uplatnenia. Písomné vyhodnotenie rozhodnutia sa doručí tomu, kto námietku uplatnil. Proti rozhodnutiu o námietkach zaujatosti a proti rozhodnutiu o oznámení zaujatosti člena kontrolného orgánu nemožno podať rozklad.§ 92
Povinnosti kontrolného orgánu
Kontrolný orgán je povinný- vopred písomne oznámiť kontrolovanej osobe predmet kontroly; ak by oznámenie o kontrole pred začatím výkonu kontroly mohlo viesť k zmareniu účelu kontroly alebo podstatnému sťaženiu výkonu kontroly, môže predmet kontroly oznámiť bezprostredne pred výkonom kontroly,
- písomne oznámiť dátum a čas výkonu kontroly v lehote najmenej 10 dní pred vykonaním kontroly; ak by oznámenie o začatí výkonu kontroly mohlo viesť k zmareniu účelu kontroly alebo podstatnému sťaženiu výkonu kontroly, môže začatie výkonu kontroly oznámiť bezprostredne pred výkonom kontroly,
- pred začatím výkonu kontroly a kedykoľvek na požiadanie kontrolovanej osoby, sa preukázať poverením na vykonanie kontroly a služobným preukazom,
- vypracovať zápisnicu o priebehu výkonu kontroly,
- vypracovať protokol o kontrole, v ktorom sú uvedené kontrolné zistenia (ďalej len „protokol“) alebo záznam o kontrole,
- uviesť vyjadrenia kontrolovanej osoby podľa § 95 písm. a) v protokole alebo zázname o kontrole,
- vypracovať zápisnicu o podaní vysvetlenia podľa § 93 písm. j) a § 94 písm. e),
- odovzdať kontrolovanej osobe jedno vyhotovenie zápisnice o priebehu výkonu kontroly, zápisnice o podaní vysvetlenia, protokolu alebo záznamu o kontrole,
- písomne potvrdiť kontrolovanej osobe prevzatie originálu dokladov alebo kópií dokladov, písomných dokumentov, kópií pamäťových médií a iných materiálov a dôkazov a zabezpečiť ich riadnu ochranu pred ich stratou, zničením, poškodením alebo ich zneužitím,
- posúdiť opodstatnenosť námietok ku kontrolným zisteniam uvedeným v protokole a zohľadniť opodstatnenosť námietok v dodatku k protokolu a oboznámiť s ním kontrolovanú osobu,
- prerokovať protokol s kontrolovanou osobou a vyhotoviť zápisnicu o jeho prerokovaní.
§ 93
Oprávnenia kontrolného orgánu
Kontrolný orgán je oprávnený- vstupovať na pozemok a do priestorov kontrolovanej osoby, ak na to nie je potrebné povolenie podľa osobitného predpisu,33)
- mať prístup k prostriedkom a zariadeniam, ktoré môžu slúžiť, alebo slúžia alebo mali slúžiť na spracúvanie osobných údajov kontrolovanou osobou,
- mať prístup k údajom v automatizovaných prostriedkoch spracúvania do úrovne správcu systému vrátane, v rozsahu potrebnom na vykonanie kontroly,
- overovať totožnosť fyzických osôb, ktoré v mene kontrolovanej osoby konajú alebo poskytujú kontrolnému orgánu súčinnosť,
- vyžadovať od kontrolovanej osoby, aby kontrolnému orgánu v určenej lehote poskytla originál dokladov alebo kópiu dokladov, iných písomností, vyjadrenia a informácie, osobné údaje spracúvané na pamäťových médiách vrátane technických nosičov osobných údajov, výpisy a zdrojové kódy programov, ak ich vlastní alebo má k dispozícii v súlade s podmienkami ich nadobudnutia, a ďalšie materiály alebo podklady potrebné na výkon kontroly, a v odôvodnených prípadoch mu umožnila odoberať originály alebo kópie aj mimo priestorov kontrolovanej osoby,
- požadovať v primeranej lehote od kontrolovanej osoby úplné a pravdivé ústne a písomné informácie, vyjadrenia a vysvetlenia ku kontrolovaným skutočnostiam a s kontrolou súvisiacim skutočnostiam,
- zdokumentovať dôkazy súvisiace s výkonom kontroly vyhotovovaním fotodokumentácie, audiozáznamu, videozáznamu alebo audiovizuálneho záznamu, a to aj bez súhlasu dotknutej osoby,
- vyžadovať aj inú súčinnosť kontrolovanej osoby v rozsahu predmetu kontroly,
- vyžadovať poskytnutie súčinnosti na mieste výkonu kontroly aj od inej, než kontrolovanej osoby, najmä od sprostredkovateľa kontrolovanej osoby a jeho zamestnancov, alebo iných osôb, ak je dôvod predpokladať, že ich činnosť má vzťah k predmetu kontroly, alebo ak je to potrebné na objasnenie skutočností súvisiacich s predmetom kontroly,
- predvolať, v určenom čase a na určené miesto, kontrolovanú osobu a aj inú než kontrolovanú osobu s cieľom podať vysvetlenie k predmetu kontroly,
- vykonávať spoločné operácie spolu s dozornými orgánmi iných členských štátov podľa osobitného predpisu.[44])
K § 92 a k § 93
Kontrolný orgán je pri výkone kontroly povinný postupovať v súlade so zákonom. Za týmto účelom, aby nedochádzalo k svojvoľnému konaniu kontrolného orgánu, zákon upravuje jeho povinnosti, na ktoré nadväzujú jeho oprávnenia podľa tohto zákona.§ 94
Povinnosti kontrolovanej osoby
Kontrolovaná osoba je povinná- strpieť výkon kontroly a vytvoriť kontrolnému orgánu primerané podmienky na výkon kontroly a spracovanie kontrolných zistení,
- poskytnúť kontrolnému orgánu súčinnosť nevyhnutnú pre riadny výkon kontroly, najmä pri dokumentovaní primeranej úrovne bezpečnosti s ohľadom na riziká, ktoré predstavuje spracúvanie osobných údajov v podmienkach prevádzkovateľa a sprostredkovateľa,
- v čase výkonu kontroly zabezpečiť kontrolnému orgánu dostupný a bezpečný prístup k zariadeniam, prostriedkom a k informačným systémom,
- poskytnúť kontrolnému orgánu požadovanú súčinnosť v súlade s jeho oprávneniami podľa 93 a zdržať sa konania, ktoré by mohlo mariť výkon kontroly,
- dostaviť sa na predvolanie kontrolného orgánu s cieľom podať vysvetlenia k predmetu kontroly,
- v určenej lehote poskytnúť kontrolnému orgánu originál alebo kópiu dokladov, iných písomností, vyjadrenia a informácie, osobné údaje spracúvané na pamäťových médiách vrátane technických nosičov osobných údajov, výpisy a zdrojové kódy programov, ak ich vlastní alebo má k dispozícii, a ďalšie materiály alebo podklady potrebné na výkon kontroly, a v odôvodnených prípadoch umožniť odoberať originály alebo kópie aj mimo priestorov kontrolovanej osoby,
- poskytnúť kontrolnému orgánu úplné a pravdivé ústne a písomné informácie, vyjadrenia a vysvetlenia ku kontrolovaným a s kontrolou súvisiacim skutočnostiam,
- na požiadanie kontrolného orgánu sa dostaviť na prerokovanie protokolu.
§ 95
Oprávnenia kontrolovanej osoby
Kontrolovaná osoba je oprávnená- priebežne sa vyjadrovať ku skutočnostiam zisteným v priebehu kontroly,
- oboznámiť sa s obsahom protokolu a podať písomné námietky po oboznámení sa s kontrolnými zisteniami v protokole,
- vyžadovať od kontrolného orgánu preukázanie skutočností podľa 92 písm. b) a c),
- vyžadovať od prizvanej osoby preukázanie sa písomným poverením predsedu úradu podľa § 96 ods. 2,
- vyžadovať od kontrolného orgánu potvrdenie o odobratí originálu dokladov alebo kópie dokladov podľa 93 písm. e).
K § 94 a k § 95
Kontrolovaná osoba na účely riadneho výkonu kontroly je povinná svojím správaním a konaním vychádzať kontrolnému subjektu v ústrety, a to najmä na účely riadneho, správneho a podľa možnosti časom primeraného výkonu kontroly; jej povinnosti na tento účel zákon vymenúva taxatívne. Ďalej je kontrolovaná osoba povinná poskytovať kontrolnému orgánu pri výkone kontroly potrebnú súčinnosť v súlade s jeho oprávneniami a zdržať sa akéhokoľvek konania, ktoré by mohlo výkon kontroly mariť. Tento zákon taxatívnym výpočtom následne ustanovuje aj oprávnenia kontrolovanej osoby. Kontrola spracúvania osobných údajov sa vykonáva najmä v priestoroch kontrolovanej osoby, kde sa nachádzajú informačné systémy osobných údajov alebo kde je možné k nim mať priamy prístup. Výkonom kontroly sa myslí aj zaistenie vstupu do informačného systému kontrolovanej osoby alebo umožnenie prístupu do neho na účely kontroly a preverenie funkčnosti a aplikácie zavedených bezpečnostných opatrení a mechanizmov.§ 96
Prizvaná osoba
- Kontrolný orgán môže prizvať na vykonanie kontroly inú fyzickú osobu alebo zástupcu dozorného orgánu z iného členského štátu (ďalej spolu len „prizvaná osoba“), ak je to odôvodnené osobitnou povahou kontroly. Účasť prizvanej osoby pri výkone kontroly sa považuje za iný úkon vo všeobecnom záujme.
- Prizvaná osoba sa zúčastňuje kontroly na základe písomného poverenia predsedu úradu; o prizvaní kontrolný orgán upovedomí kontrolovanú osobu podľa 92 písm. a).
- Prizvaná osoba najneskôr pri začatí výkonu kontroly preukazuje svoje oprávnenie na vykonanie kontroly kontrolovanej osobe písomným poverením na vykonanie kontroly podľa § 90 2 a § 92 písm. c).
- Prizvaná osoba je povinná zachovávať mlčanlivosť o skutočnostiach, o ktorých sa dozvedela počas výkonu kontroly, a to aj po jej ukončení. Povinnosti mlčanlivosti môže prizvanú osobu zbaviť predseda úradu. Zástupca dozorného orgánu z iného členského štátu, ako prizvaná osoba, nie je viazaný povinnosťou mlčanlivosti vo vzťahu k vysielajúcemu dozornému orgánu iného členského štátu v rozsahu nevyhnutnom pre plnenie úloh spojených s jeho účasťou na kontrole.
- Prizvaná osoba nemôže vykonávať úlohy podľa tohto zákona alebo osobitného predpisu,2) ak so zreteľom na jej vzťah k predmetu kontroly alebo ku kontrolovanej osobe možno mať pochybnosti o jej nezaujatosti. Prizvaná osoba, ktorá vie o skutočnostiach zakladajúcich pochybnosti o jej nezaujatosti, oznámi tieto skutočnosti bez zbytočného odkladu predsedovi úradu.
- Kontrolovaná osoba môže písomne vzniesť odôvodnené námietky o zaujatosti prizvanej osoby. Prizvaná osoba môže do rozhodnutia o námietkach zaujatosti vykonať v rámci kontroly len také úkony, ktoré neznesú odklad.
- O oznámení zaujatosti prizvanou osobou podľa odseku 5 a o námietkach zaujatosti kontrolovanej osoby podľa odseku 6 rozhodne predseda úradu v lehote do 10 pracovných dní od ich doručenia. Proti rozhodnutiu predsedu úradu nemožno podať rozklad.
K § 96
Spracúvanie osobných údajov, ktoré podlieha kontrole úradom, prebieha za využitia rôznych technických a technologických prostriedkov, ktoré často zohľadňujú najnovšie trendy vo využívaní informačno-komunikačných technológií a sú náročné na odborné posúdenie. Zákon pamätá aj na prípady, keď je potrebné ku kontrole spracúvania osobných údajov v informačnom systéme prizvať odborníka zo špecifickej oblasti, ktorý poskytne úradu odborné stanovisko. Prizvaná osoba sa zúčastňuje kontroly spracúvania na základe písomného poverenia vedúceho zamestnanca a o jej účasti na kontrole je povinný úrad kontrolovanú osobu upovedomiť. Účasť takejto osoby na kontrole sa považuje za iný úkon vo všeobecnom záujme, za ktorý jej patrí náhrada mzdy, prípadne platu vo výške priemerného zárobku podľa osobitného predpisu, pričom podmienky účasti tejto osoby na kontrole dohodne úrad s prizvanou osobou podľa ustanovení osobitných predpisov. Kontrolovaná osoba je oprávnená vzniesť preukázateľné námietky o zaujatosti prizvanej osoby. O námietkach bez možnosti odvolania sa proti rozhodnutiu rozhodne predseda úradu v zákonom stanovenej lehote.§ 97
Ukončenie kontroly
- Výsledkom kontroly je protokol alebo záznam o kontrole.
- Ak boli kontrolou zistené nedostatky pri spracúvaní osobných údajov, kontrolný orgán vypracuje protokol, ktorý obsahuje
- identifikačné údaje úradu,
- identifikačné údaje kontrolovanej osoby,
- dátum začatia kontroly,
- predmet kontroly,
- preukázané kontrolné zistenia s ich odôvodnením,
- titul, meno a priezvisko člena kontrolného orgánu, ktorý kontrolu vykonal,
- dátum vypracovania protokolu,
- odtlačok úradnej pečiatky úradu a podpisy členov kontrolného orgánu.
- Ak protokol podľa odseku 2 obsahuje prílohy preukazujúce kontrolné zistenia, tieto tvoria súčasť protokolu.
- Kontrolovaná osoba je po oboznámení sa s kontrolnými zisteniami v protokole oprávnená podať písomné námietky v lehote 21 dní odo dňa doručenia protokolu. Na neskôr podané námietky kontrolný orgán neprihliada.
- Ak sú proti kontrolným zisteniam podané námietky podľa odseku 4 alebo vyšli najavo nové skutočnosti, týkajúce sa predmetu kontroly, kontrolný orgán posúdi ich obsah z hľadiska ich opodstatnenosti a vypracuje o nich dodatok, ktorý je neoddeliteľnou súčasťou protokolu. Ak kontrolný orgán neakceptuje námietky kontrolovanej osoby, je povinný to v dodatku zdôvodniť; pri jeho vypracovaní sa postupuje primerane podľa odseku 2.
- Kontrolný orgán písomne informuje kontrolovanú osobu o výsledku preskúmania námietok v lehote 15 pracovných dní odo dňa doručenia námietok.
- Kontrolný orgán písomne vyzve kontrolovanú osobu na prerokovanie protokolu po doručení výsledku preskúmania námietok kontrolovanej osobe podľa odseku 6 alebo po márnom uplynutí lehoty na podanie námietok kontrolovanou osobou podľa odseku 4; kontrolný orgán vypracuje zápisnicu o prerokovaní protokolu, ktorá je súčasťou protokolu.
- Ak sa kontrolou nezistí porušenie povinností ustanovených týmto zákonom alebo osobitným predpisom,2) kontrolný orgán vypracuje záznam o kontrole. Pri jeho vypracovaní sa postupuje primerane podľa odseku 2 a 3.
- Kontrola je ukončená
- dňom podpísania zápisnice o prerokovaní protokolu,
- dňom odmietnutia podpísať zápisnicu o prerokovaní protokolu, o čom kontrolný orgán vyhotoví v zápisnici o prerokovaní protokolu záznam,
- dňom nedostavenia sa na prerokovanie protokolu na písomnú výzvu kontrolného orgánu podľa odseku 7, o čom kontrolný orgán vyhotoví v zápisnici o prerokovaní protokolu záznam, alebo
- dňom doručenia záznamu o kontrole podľa odseku 8.
§ 98
Na výkon kontroly sa nevzťahuje osobitný predpis.[45])K § 97 a k § 98
Ustanovenie upravuje spôsob ukončenia kontroly, ktorej výsledkom je protokol so zákonom taxatívne stanovenými náležitosťami, ak sa kontrolou zistí porušenie zákona alebo záznam o kontrole, ak sa kontrolou nezistí porušenie zákona. Protokol a jeho prílohy, tak ako aj dodatok k protokolu tvoria celok. Kontrolovaná osoba sa s kontrolnými zisteniami v protokole má právo oboznámiť a môže sa k nim vyjadriť formou podania námietok v zákonom stanovenej lehote, nie je to jej povinnosť. V prípade, že námietky v zákonom stanovenej lehote neposkytne, má sa zato, že nemá námietky ku kontrolným zisteniam uvedeným v protokole. Podané námietky, ako aj prípadné nové skutočnosti úrad posúdi v zákonom stanovenej lehote a vyjadrí sa k nim formou dodatku k protokolu. Kontrolný orgán je povinný neprípustnosť námietok kontrolovanej osoby v dodatku zdôvodniť. O výsledku preskúmania námietok je povinný kontrolný orgán kontrolovanú osobu vyrozumieť písomne v zákonom stanovenej lehote. Ak sa kontrolovaná osoba odmietne oboznámiť s obsahom protokolu, vyjadriť sa ku kontrolným zisteniam alebo podpísať protokol, nemá to vplyv na dôsledky vyplývajúce z obsahu tohto dokumentu pre kontrolovanú osobu. Kontrola je ukončená dňom podpísania zápisnice o prerokovaní protokolu, alebo dňom odmietnutia podpísať zápisnicu o prerokovaní protokolu, dňom nedostavenia sa na prerokovanie protokolu na základe písomnej výzvy úradu alebo dňom doručenia záznamu o kontrole. Ak kontrolou neboli zistené porušenia kontrolný orgán vypracuje záznam o kontrole. Moment ukončenia kontroly je dôležitým údajom v kontexte konania o ochrane osobných údajov. Výkon kontroly spracúvania osobných údajov nie je výkonom kontroly podľa zákona Národnej rady Slovenskej republiky č. 10/1996 Z. z. o kontrole v štátnej správe v znení neskorších predpisov a na výkon kontroly sa zákon č. 71/1967 Zb. o správnom konaní (správny poriadok) v znení neskorších predpisov uplatní iba pri doručovaní písomností.ŠTVRTÁ HLAVA
KONANIE O OCHRANE OSOBNÝCH ÚDAJOV
§ 99
Konanie o ochrane osobných údajov
- Účelom konania o ochrane osobných údajov (ďalej len „konanie“) je zistiť, či došlo k porušeniu práv fyzických osôb pri spracúvaní ich osobných údajov alebo došlo k porušeniu tohto zákona alebo osobitného predpisu2) v oblasti ochrany osobných údajov, a v prípade zistenia nedostatkov, ak je to dôvodné a účelné, uložiť opatrenia na nápravu, prípadne pokutu za porušenie tohto zákona alebo osobitného predpisu2) pre oblasť ochrany osobných údajov.
- Konanie je neverejné.
- Účastníkom konania môže byť
- dotknutá osoba, ktorá podala návrh na začatie konania podľa § 100,
- prevádzkovateľ,
- sprostredkovateľ,
- certifikačný subjekt,
- monitorujúci subjekt.
- Ak sa návrh dotknutej osoby podľa § 100 týka prevádzkovateľa alebo sprostredkovateľa, pri ktorom je príslušný dozorný orgán hlavnej prevádzkarne alebo jedinej prevádzkarne prevádzkovateľa alebo sprostredkovateľa pre cezhraničné spracúvanie vykonávané zo strany prevádzkovateľa alebo sprostredkovateľa podľa osobitného predpisu (ďalej len „vedúci dozorný orgán“),[46]) úrad postupuje podľa osobitného predpisu.[47])
- Úrad informuje dotknutú osobu o rozhodnutí vedúceho dozorného orgánu. Ak vedúci dozorný orgán návrh odmietne alebo mu nevyhovie alebo rozhodne, že sa ním nebude zaoberať podľa osobitného predpisu,47) úrad začne konanie podľa § 100.
- Ak sa spracúvanie osobných údajov podľa odseku 4 týka prevádzkovateľa alebo sprostredkovateľa, ktorý spracúva osobné údaje na právnom základe podľa § 13 ods. 1 písm. c) alebo písm. e), za vecne príslušný sa považuje úrad a postup podľa odseku 4 sa neuplatní.
§ 100
Začatie konania
- Konanie sa začína na návrh dotknutej osoby alebo osoby, ktorá tvrdí, že je priamo dotknutá na svojich právach ustanovených týmto zákonom (ďalej len „navrhovateľ“), alebo bez návrhu.
- Úrad začne konanie bez návrhu aj na základe zistenia úradu pri výkone dozoru nad dodržiavaním povinností ustanovených týmto zákonom alebo osobitným predpisom.2)
- Návrh na začatie konania podľa odseku 1 (ďalej len „návrh“) musí obsahovať
- meno, priezvisko, korešpondenčnú adresu a podpis navrhovateľa,
- označenie toho, proti komu návrh smeruje s uvedením mena, priezviska, trvalého pobytu alebo názvu, sídla a identifikačného čísla, ak bolo pridelené,
- predmet návrhu s označením práv, ktoré mali byť pri spracúvaní osobných údajov porušené,
- dôkazy na podporu tvrdení uvedených v návrhu,
- kópiu listiny alebo iný dôkaz preukazujúci uplatnenie práva podľa druhej časti druhej hlavy tohto zákona alebo osobitného predpisu,2) ak si takéto právo dotknutá osoba uplatnila, alebo uvedenie dôvodov hodných osobitného zreteľa o neuplatnení predmetného práva, ak návrh podala dotknutá osoba.
- Úrad uverejní vzor návrhu na svojom webovom sídle.
- Úrad návrh odloží, ak
- návrh je zjavne neopodstatnený,
- vec, ktorej sa návrh týka, prejednáva súd alebo orgán činný v trestnom konaní,
- navrhovateľ neposkytol úradu na jeho žiadosť potrebnú súčinnosť, pričom bez jeho aktívnej účasti nie je možné vec vybaviť; úrad navrhovateľa o možnosti odloženia návrhu upovedomí,
- od udalosti, ktorej sa návrh týka, uplynuli v deň jeho doručenia viac ako tri roky.
- Ak návrh neobsahuje požiadavku na utajenie totožnosti navrhovateľa, úrad vybaví návrh bez utajenia osobných údajov uvedených v návrhu. Ak je v návrhu požiadavka na utajenie totožnosti, ale charakter návrhu neumožňuje jej vybavenie bez uvedenia niektorého údaja o osobe, ktorá návrh podala, úrad po zistení tejto skutočnosti o tom navrhovateľa upovedomí, pričom ho zároveň upozorní, že v návrhu bude pokračovať len, ak navrhovateľ v určenej lehote udelí úradu súhlas s uvedením údaja alebo údajov o svojej osobe potrebných na vybavenie návrhu.
- Ak návrh doručí úradu iná osoba ako dotknutá osoba, návrh sa považuje za podnet na začatie konania bez návrhu (ďalej len „podnet“).
- Úrad posúdi podnet do 30 dní odo dňa doručenia podnetu úradu a ak podnet neodloží podľa odseku 5, začne konanie a vo veci rozhodne podľa § 102.
- O spôsobe vybavenia podnetu podľa odseku 8 úrad informuje podávateľa do 30 dní odo dňa doručenia podnetu úradu.
§ 101
Lehoty
- Úrad rozhodne v konaní do 90 dní odo dňa začatia konania. V odôvodnených prípadoch úrad túto lehotu primerane predĺži, najviac však o 180 dní. O predĺžení lehoty úrad písomne informuje účastníkov konania.
- Ak je počas konania potrebné vykonať kontrolu, lehota na vydanie rozhodnutia podľa odseku 1 neplynie odo dňa začatia kontroly do dňa ukončenia kontroly.
- Ak počas konania úrad zistí splnenie podmienok na prerušenie konania podľa osobitného predpisu,[48]) úrad konanie preruší, o čom informuje účastníkov konania.
§ 102
Rozhodnutie
- Ak úrad zistí porušenie práv dotknutej osoby alebo nesplnenie povinností pri spracúvaní osobných údajov ustanovených týmto zákonom alebo osobitným predpisom2) pre oblasť ochrany osobných údajov účastníkom konania, rozhodnutím môže
- uložiť opatrenia na nápravu a lehotu na vykonanie nariadeného opatrenia podľa odseku 3, ak je to dôvodné a účelné,
- zrušiť záväznosť schváleného kódexu správania pre prevádzkovateľa alebo sprostredkovateľa, ktorý sa zaviazal dodržiavať schválený kódex správania,
- odňať certifikát,
- nariadiť certifikačnému subjektu odňatie certifikátu,
- odňať osvedčenie o udelení akreditácie,
- uložiť pokutu podľa § 104.
- Ak úrad v konaní nerozhodne podľa odseku 1, ak sa v konaní nepreukáže porušenie práv dotknutej osoby alebo ak sa nepreukáže nesplnenie povinností pri spracúvaní osobných údajov ustanovených týmto zákonom alebo osobitným predpisom2) účastníkom konania, úrad konanie zastaví.
- Úrad je oprávnený uložiť povinnosť prevádzkovateľovi alebo sprostredkovateľovi, najmä nariadiť
- odstránenie zistených nedostatkov a príčin ich vzniku v úradom určenej lehote,
- prijatie technických a organizačných opatrení s cieľom zaistiť úroveň bezpečnosti primeranú rizikám pre práva fyzických osôb,
- posúdenie vplyv spracovateľských operácií na ochranu osobných údajov v súlade s týmto zákonom alebo osobitným predpisom.2)
- Ak porušenie práv dotknutej osoby alebo nesplnenie povinností pri spracúvaní osobných údajov neznesie odklad, úrad vydá predbežné opatrenie.
- Prevádzkovateľ alebo sprostredkovateľ je povinný písomne informovať úrad o splnení uložených opatrení v úradom určenej lehote.
§ 103
- Proti rozhodnutiu podľa § 102 možno podať rozklad, o ktorom rozhodne predseda úradu.
- Podávateľ rozkladu môže rozšíriť podaný rozklad alebo doplniť podaný rozklad o ďalší návrh alebo o ďalšie body len v lehote určenej na podanie rozkladu.
K § 99 až k § 103
Stanovujú účel a charakteristiku konania o ochrane osobných údajov. Účelom konania o ochrane osobných údajov je zistiť a preveriť či došlo k porušeniu práv fyzických osôb pri spracúvaní ich osobných údajov a v prípade zistenie porušenia a nedostatkov, ak je to dôvodené a účelné uložiť opatrenia na nápravu, prípadne pokutu. Konanie prebieha neverejne. Účastníkom konania môže byť dotknutá osoba, prevádzkovateľ, sprostredkovateľ, certifikačný a monitorujúci subjekt. V prípade, ak sa návrh na začatie konania týka prevádzkovateľa alebo sprostredkovateľa, kde príslušným orgánom je dozorný orgán, alebo vedúcim orgán je dozorný orgán iného členského štátu úrad v takom prípade postupuje v konaní podľa nariadenia.
Konanie sa začína na návrh dotknutej, alebo inej osoby tvrdiacej, ktorá tvrdí, že je dotknutá na svojich právach, alebo sa konanie začína bez návrhu. Ak návrh úradu doručí iná osoba ako dotknutá, návrh za považuje za podnet na začatie konania bez návrhu. Na posúdenie podnetu má úrad 30 od jeho doručenia, ak podnet neodloží začne konanie o ochrane osobných údajov a rozhodne vo veci. O spôsobe vybavenia podnetu je úrad povinný osobu, ktorá ho podala, písomne v stanovenej lehote informovať. Úrad začne konanie aj z vlastnej iniciatívy, ex officio, ak zistí pri výkone dozoru, že by práva fyzických osôb pri spracúvaní ich osobných údajov mohli byť porušené. Stanovujú sa základné náležitosti návrhu na začatie konania a podmienky, kedy úrad návrh odloží.
V prípade ak navrhovateľ iniciatívne nepožaduje v konaní utajenie svojej totožnosti úrad návrh vybaví bez utajenia osobných údajov navrhovateľa. V prípade ak navrhovateľ takúto požiadavku vzniesol, no konanie bez odtajnenia aspoň niektorých jeho osobných údajov nemôže pokračovať, je úrad povinný o tom navrhovateľ upovedomiť, pričom ho upozorní na to, že ak bude trvať na neodtajnení a neudelí úradu súhlas v konaní o návrhu nebude možné pokračovať.
Úrad má povinnosť v konaní rozhodnúť, ak je to možné do 90 dní od jeho začatia, ak je to odôvodnené úrad si môže lehotu na rozhodnutie predĺžiť maximálne o 180 dní, o čom je povinný písomne informovať účastníkov konania. Ak sa v rámci konania koná kontrola spracúvania osobných údajov lehota na vydanie rozhodnutia neplynie v čase konanie kontroly, teda od jej začatia až do dňa jej ukončenia. Ak počas konania sú splnené podmienky na prerušenie konania, úrad toto preruší a o tejto skutočnosti informuje účastníkov konania.
Ak sa konaním zistí porušenie práv dotknutej osoby alebo iné neplnenie povinností podľa tohto zákona alebo nariadenia úrad vydá rozhodnutie, ktorým môže uložiť opatrenie na nápravu, uložiť pokutu, vylúčiť z členstva kódexu správania, odňať certifikát, nariadiť certifikačnému subjektu odňatie certifikátu alebo odňať osvedčenie o udelení akreditácie. Ustanovujú sa náležitosti rozhodnutia úradu v konaní o ochrane osobných údajov. Proti rozhodnutiu úradu možno podať rozklad o ktorom rozhoduje predseda úradu. Podaný rozklad môže byť podávateľom rozšírený alebo doplnení o ďalší návrh alebo ďalšie body ako tie o ktorých bolo rozhodnuté iba v lehote určenej na podanie rozkladu.
V prípade ak akútne hrozí porušenie a porušovanie v právach dotknutej osoby a vec neznesie odklad, úrad je oprávnený vydať predbežné opatrenie, na odvrátenie vzniku väčších negatívnych následkov pre dotknutú osobu, ako už vznikli. Na základe uloženého predbežného opatrenia plnenie povinností ním uložených je prevádzkovateľ alebo sprostredkovateľ povinný úrad písomne informovať v lehote ním stanovenej.PIATA HLAVA
SPRÁVNE DELIKTY
§ 104
- Úrad môže uložiť pokutu do 10 000 000 eur, alebo ak ide o podnik do 2 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia
- prevádzkovateľovi, vrátane orgánu verejnej moci a verejnoprávnym inštitúciám, za neplnenie alebo porušenie niektorej z povinností podľa § 15, § 18, § 31 až 35, § 37, § 39 až 45, § 79 a § 109 alebo podľa čl. 8, čl. 11, čl. 25 až 39, čl. 42 a čl. 43 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 4.5.2016) (ďalej len „nariadenie (EÚ) 2016/679“),
- príslušnému orgánu za neplnenie alebo porušenie niektorej z povinností podľa § 67 až 72,
- sprostredkovateľovi vrátane orgánu verejnej moci a verejnoprávnej inštitúcii v postavení sprostredkovateľa, za neplnenie alebo porušenie niektorej z povinností podľa § 34 až 37, § 39, § 40 ods. 3, § 44, § 45, § 69 ods. 3, § 71, § 79 a § 109 alebo podľa čl. 27 až 33, čl. 37 až 39, čl. 42 a čl. 43 nariadenia (EÚ) 2016/679,
- certifikačnému subjektu za neplnenie alebo porušenie niektorej z povinností podľa § 88 a 89 alebo podľa čl. 42 a 43 nariadenia (EÚ) 2016/679,
- monitorujúcemu subjektu za neplnenie alebo porušenie niektorej z povinností podľa § 87 ods. 5 a 19 alebo podľa čl. 41 ods. 4 nariadenia (EÚ) 2016/679.
- Úrad môže uložiť pokutu do 20 000 000 eur, alebo ak ide o podnik do 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia, tomu kto
- nesplnil alebo porušil niektorú zo základných zásad spracúvania osobných údajov vrátane podmienok súhlasu podľa § 6 až 14, § 16 a § 52 až 58 alebo podľa čl. 5 až 7 a čl. 9 nariadenia (EÚ) 2016/679,
- nesplnil alebo porušil niektoré z práv dotknutej osoby podľa § 19 až 29 a § 59 až 66 alebo podľa čl. 12 až 22 nariadenia (EÚ) 2016/679,
- nesplnil alebo porušil niektorú z povinností pri prenose osobných údajov príjemcovi v tretej krajine alebo medzinárodnej organizácii podľa § 49 až 51 a § 73 až 77 alebo podľa čl. 44 až 49 nariadenia (EÚ) 2016/679,
- nesplnil alebo porušil niektorú z povinností zákonného spracúvania osobných údajov podľa § 78,
- nesplnil príkaz alebo nedodržal dočasné alebo trvalé obmedzenie spracúvania osobných údajov alebo pozastavenie prenosu osobných údajov nariadeného úradom podľa § 81 ods. 3 alebo podľa čl. 58 ods. 2 nariadenia (EÚ) 2016/679 alebo v rozpore s čl. 58 ods. 1 nariadenia (EÚ) 2016/679 neposkytol prístup.
- Tomu, kto nesplnil úradom uložené opatrenie podľa § 102 ods. 1 písm. a) alebo čl. 58 ods. 2 nariadenia (EÚ) 2016/679 môže úrad uložiť pokutu do 20 000 000 eur, alebo ak ide o podnik do 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia.
§ 105
- Úrad môže uložiť poriadkovú pokutu do 2 000 eur osobe, ktorá nie je prevádzkovateľom alebo sprostredkovateľom, za neposkytnutie požadovanej súčinnosti úradu pri výkone dozoru podľa § 109 alebo osobitného predpisu.2)
- Úrad môže uložiť poriadkovú pokutu prevádzkovateľovi alebo sprostredkovateľovi, prípadne zástupcovi prevádzkovateľa alebo sprostredkovateľa
- do 2 000 eur, ak nezabezpečí primerané podmienky na výkon kontroly podľa § 94 písm. a),
- do 10 000 eur, ak marí výkon kontroly podľa § 94 písm. b) až h).
§ 106
- Úrad ukladá pokuty a poriadkové pokuty v závislosti od okolností každého jednotlivého prípadu. Pri rozhodovaní o uložení pokuty a určení jej výšky podľa § 104 úrad zohľadní najmä
- povahu, závažnosť a trvanie porušenia, povahu, rozsah alebo účel spracúvania osobných údajov, ako aj počet dotknutých osôb, na ktoré malo vplyv, a rozsah škody, ak vznikla,
- prípadné zavinenie porušenia ochrany osobných údajov
- opatrenia, ktoré prevádzkovateľ alebo sprostredkovateľ prijal na zmiernenie škody, ktorú dotknuté osoby utrpeli,
- mieru zodpovednosti prevádzkovateľa alebo sprostredkovateľa so zreteľom na technické a organizačné opatrenia, ktoré prijal podľa § 32, § 39 a § 42,
- predchádzajúce porušenia ochrany osobných údajov zo strany prevádzkovateľa alebo sprostredkovateľa,
- mieru spolupráce s úradom pri náprave porušenia ochrany osobných údajov a zmiernení možných nepriaznivých dôsledkov porušenia ochrany osobných údajov,
- kategóriu osobných údajov, ktorých sa porušenie ochrany osobných údajov týka,
- spôsob, akým sa úrad o porušení ochrany osobných údajov dozvedel, a najmä to, či prevádzkovateľ alebo sprostredkovateľ porušenie ochrany osobných údajov oznámili, a ak áno, v akom rozsahu,
- splnenie opatrení prevádzkovateľom alebo sprostredkovateľom, ak boli skoršie v konaní o ochrane osobných údajov uložené takéto opatrenia podľa § 102 ods. 1,
- dodržiavanie schválených kódexov správania podľa § 85 alebo vydaných certifikátov podľa § 86,
- priťažujúce okolnosti alebo poľahčujúce okolnosti, najmä finančné výhody alebo straty, ktorým sa zabránilo, priamo alebo nepriamo v súvislosti s porušením ochrany osobných údajov.
- Ak prevádzkovateľ alebo sprostredkovateľ úmyselne alebo z nedbanlivosti tými istými spracovateľskými operáciami alebo súvisiacimi spracovateľskými operáciami poruší viacero ustanovení tohto zákona alebo osobitného predpisu,2) celková suma pokuty nesmie presiahnuť výšku ustanovenú za najzávažnejšie porušenie ochrany osobných údajov podľa § 104.
- Pokutu podľa § 104 možno uložiť do dvoch rokov odo dňa, keď úrad porušenie povinnosti zistil, najneskôr však do piatich rokov odo dňa, keď k porušeniu povinnosti došlo.
- Poriadkovú pokutu podľa § 105 úrad uloží opakovane, ak povinnosť nebola splnená v určenej lehote.
- Poriadkovú pokutu podľa § 105 možno uložiť do 6 mesiacov odo dňa, keď k porušeniu povinnosti došlo.
- Pokuty a poriadkové pokuty sú príjmom štátneho rozpočtu.
K § 104 až k § 106
Za porušenie povinností ustanovených týmto zákon a nariadením možno diferencovane, podľa závažnosti, rozsahu a času trvania, následkov protiprávneho konania, prípadného opakovania takéhoto protiprávneho konania a miery ohrozenia súkromného a rodinného života, počtu dotknutých osôb a iných faktorov, ktoré musí brať úrad do úvahy uložiť pokutu a poriadkovú pokutu. K uloženiu pokuty úrad môže pristúpiť a ukladá ju jednorazovo, poriadkovú pokutu môže uložiť aj opakovane. Stanovujú sa premlčacie lehoty na ukladanie pokút a poriadkových pokút. Pokuty aj poriadkové pokuty sú príjmom štátneho rozpočtu. Pokuty úrad môže uložiť na základe tohto zákona za správne delikty alebo za nesplnenie úradom uloženého opatrenia. Úrad môže uložiť aj poriadkovú pokutu, a to inej osobe ako prevádzkovateľovi alebo prevádzkovateľovi, či sprostredkovateľovi, prípadne ich zástupcom.ŠIESTA ČASŤ
SPOLOČNÉ, PRECHODNÉ A ZÁVEREČNÉ USTANOVENIA
§ 107
Spoločné ustanovenia
- Na konania podľa tohto zákona sa vzťahuje správny poriadok, ak odsek 2 neustanovuje inak.
- Správny poriadok sa nepoužije na rozhodovanie o zaujatosti kontrolného orgánu podľa § 91, na rozhodovanie o zaujatosti prizvanej osoby podľa § 96 ods. 5 až 7 a na výkon kontroly podľa piatej časti tretej hlavy okrem doručovania písomností pri výkone kontroly.
§ 108
- Úrad vydá všeobecne záväzný právny predpis na vykonanie § 29 ods. 9, § 70 ods. 4, § 86 ods. 19, § 87 ods. 20 a § 88 ods. 19.
- Ďalšie prípady spracovateľských operácii, ktoré podliehajú posúdeniu vplyvu na ochranu osobných údajov a postup pri posudzovaní vplyvu na ochranu osobných údajov podľa tohto zákona ustanoví všeobecne záväzný právny predpis, ktorý vydá úrad.
§ 109
Súčinnosť
Každý je povinný poskytnúť úradu potrebnú súčinnosť pri výkone jeho úloh a právomoci a umožniť úradu vykonať dozor nad dodržiavaním povinností podľa tohto zákona alebo osobitného predpisu2) a rozhodnutí vydaných na základe tohto zákona. Týmto nie sú dotknuté ustanovenia § 81 ods. 7 a 8.K § 107 až k § 109
Stanovuje sa na ktoré konania podľa tohto zákona sa použije všeobecný predpis o správnom konaní a na ktoré sa nepoužije. ustanovuje sa, v ktorých prípadoch všeobecne záväzný právny predpis na vykonanie ustanovení tohto zákona. Ustanovuje sa povinnosť poskytnúť súčinnosť úradu pri výkone jeho úloh a právomocí a pri výkone dozoru nad dodržiavaním povinností podľa tohto zákona alebo nariadenia a na základe rozhodnutí úradom vydaných, ktorá je všeobecná. Týmto stanovením súčinnosti nie je dotknutá povinnosť poskytovať súčinnosť pri výkone kontroly podľa tohto zákona.§ 110
Prechodné ustanovenia
- Úrad na ochranu osobných údajov Slovenskej republiky podľa doterajšieho zákona je úradom podľa tohto zákona a dozorným orgánom podľa osobitného predpisu.2)
- Predseda Úradu na ochranu osobných údajov Slovenskej republiky zvolený do funkcie podľa doterajšieho zákona je predsedom úradu podľa tohto zákona; týmto nie je dotknuté plynutie jeho funkčného obdobia.
- Podpredseda Úradu na ochranu osobných údajov Slovenskej republiky vymenovaný do funkcie podľa doterajšieho zákona je podpredsedom úradu podľa tohto zákona; týmto nie je dotknuté plynutie jeho funkčného obdobia.
- Vykonávanie funkcie vrchného inšpektora úradu, ktorý bol vymenovaný do funkcie podľa doterajšieho zákona skončí dňom nadobudnutia účinnosti tohto zákona.
- Ak bol vrchný inšpektor úradu, ktorého vykonávanie funkcie skončilo podľa odseku 4, štátnym zamestnancom v stálej štátnej službe podľa osobitného predpisu,7) považuje sa odo dňa účinnosti tohto zákona za štátneho zamestnanca v stálej štátnej službe podľa osobitného predpisu.7) Ak bol vrchný inšpektor úradu, ktorého vykonávanie funkcie skončilo podľa odseku 4 štátnym zamestnancom v dočasnej štátnej službe podľa osobitného predpisu,7) skončí sa jeho štátnozamestnanecký pomer dňom nadobudnutia účinnosti tohto zákona.
- Vykonávanie funkcie inšpektora úradu, ktorý bol vymenovaný do funkcie podľa doterajšieho zákona, skončí dňom nadobudnutia účinnosti tohto zákona.
- Inšpektor úradu, ktorého funkcia skončila podľa odseku 6 sa odo dňa účinnosti tohto zákona považuje za štátneho zamestnanca podľa osobitného predpisu.7)
- Kontrola začatá podľa doterajšieho zákona sa dokončí podľa doterajšieho zákona.
- Konanie o ochrane osobných údajov podľa doterajšieho zákona a konanie o pokute podľa doterajšieho zákona začaté a právoplatne neskončené do 24. mája 2018 sa dokončí podľa doterajšieho zákona.
- Príslušný orgán je povinný zabezpečiť vedenie logov podľa § 69 v informačných systémoch osobných údajov zriadených podľa doterajších predpisov od 6. mája 2023; ak by to spôsobilo vážne problémy pre fungovanie daného informačného systému osobných údajov tak príslušný orgán je povinný zabezpečiť vedenie logov podľa § 69 najneskôr od 6. mája 2026.
- Súhlas so spracúvaním osobných údajov udelený podľa doterajšieho zákona, ktorý je v súlade s týmto zákonom alebo osobitným predpisom,2) sa považuje za súhlas so spracúvaním osobných údajov podľa predpisov účinných od 25. mája 2018.
- Zodpovedná osoba poverená podľa doterajšieho zákona, ktorá spĺňa podmienky podľa tohto zákona alebo osobitného predpisu,2) sa považuje za zodpovednú osobu podľa predpisov účinných od 25. mája 2018.
§ 111
Týmto zákonom sa preberajú právne záväzné akty Európskej únie uvedené v prílohe.
K § 110 a k § 111
Navrhované ustanovenia sú prechodnými ustanoveniami, v rámci ktorých je potrebné sa vysporiadať s úradom a jeho funkcionármi novou právnou úpravou ochrany osobných údajov oproti súčasne platnej právnej úprave vo vzťahu k právam a povinnostiam prevádzkovateľov a sprostredkovateľov, ako aj príslušných orgánov. Je taktiež potrebné sa vysporiadať s konaniami, ktoré boli začaté pred účinnosťou tohto zákona a stanoviť, podľa akých právnych predpisov budú dokončené. V prílohe sa uvádza, ktoré právne záväzné akty Európskej únie sa týmto navrhovaným zákonom preberajú.§ 112
Zrušovacie ustanovenie
Zrušujú sa:- Zákon č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení zákona č. 84/2014 Z. z.,
- vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 164/2013 Z. z. o rozsahu a dokumentácii bezpečnostných opatrení v znení vyhlášky č. 117/2014 Z. z.,
- vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 165/2013 Z. z., ktorou sa ustanovujú podrobnosti o skúške fyzickej osoby na výkon funkcie zodpovednej osoby.
K § 112
Ustanovenie uvádza, ktoré všeobecne záväzné právne predpisy sa s nadobudnutím účinnosti tohto zákona zrušujú.Čl. II
Zákon č. 124/1992 Zb. o Vojenskej polícii v znení zákona č. 422/2002 Z. z., zákona č. 240/2005 Z. z., zákona č. 393/2008 Z. z., zákona č. 491/2008 Z. z., zákona č. 192/2011 Z. z., zákona č. 220/2011 Z. z., zákona č. 313/2011 Z. z. a zákona č. 96/2012 Z. z. sa mení takto:- V § 35b sa vypúšťa odsek 6.
- V § 35c sa vypúšťa odsek 4.
- V § 35c ods. 5 sa slová „odsekov 1 až 4“ nahrádzajú slovami „odsekov 1 až 3“.
- V § 35gb sa vypúšťajú odseky 1 a 2.
- V § 35gb ods. 3 sa slová „§ 35gd ods. 3“ nahrádzajú slovami „§ 35ga ods. 3“.
- V § 35gb ods. 6 sa slová „§ 35b ods. 8 a 9“ nahrádzajú slovami „§ 35b ods. 7 a 8“.
- V § 35gc sa vypúšťajú odseky 3 až 5.
- V § 35gd sa vypúšťajú odseky 1 až 3 a 5 až 11 vrátane poznámok pod čiarou k odkazom 5l, 5m a 5n.
- 35ge sa vypúšťa.
K čl. II
Návrhom zákona dochádza aj k transpozícii smernice 2016/680 a keďže Vojenská polícia je jedným z príslušným orgánov v zmysle tejto smernice a bude sa na ňu vzťahovať štvrtá časť zákona (Osobitné pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi), navrhuje sa zo zákona Národnej rady Slovenskej republiky č. 124/1992 Zb. o Vojenskej polícii v znení neskorších predpisov vypustiť, resp. upraviť ustanovenia, ktoré by boli duplicitné k právnej úpravy podľa predloženého návrhu zákona o ochrane osobných údajov.Čl. III
Zákon Národnej rady Slovenskej republiky č. 171/1993 Z. z. o Policajnom zbore v znení zákona č. 251/1994 Z. z., zákona č. 233/1995 Z. z., zákona č. 315/1996 Z. z., zákona č. 353/1997 Z. z., zákona č. 12/1998 Z. z., zákona č. 73/1998 Z. z., zákona č. 256/1998 Z. z., zákona č. 116/2000 Z. z., zákona č. 323/2000 Z. z., zákona č. 367/2000 Z. z., zákona č. 490/2001 Z. z., zákona č. 48/2002 Z. z., zákona č. 182/2002 Z. z., zákona č. 422/2002 Z. z., zákona č. 155/2003 Z. z., zákona č. 166/2003 Z. z., zákona č. 458/2003 Z. z., zákona č. 537/2004 Z. z., zákona č. 69/2005 Z. z., zákona č. 534/2005 Z. z., zákona č. 558/2005 Z. z., zákona č. 255/2006 Z. z., zákona č. 25/2007 Z. z., zákona č. 247/2007 Z. z., zákona č. 342/2007 Z. z., zákona č. 86/2008 Z. z., zákona č. 297/2008 Z. z., zákona č. 491/2008 Z. z., zákona č. 214/2009 Z. z., nálezu Ústavného súdu Slovenskej republiky č. 290/2009 Z. z., zákona č. 291/2009 Z. z., zákona č. 495/2009 Z. z., zákona č. 594/2009 Z. z., zákona č. 547/2010 Z. z., zákona č. 192/2011 Z. z., zákona č. 345/2012 Z. z., zákona č. 75/2013 Z. z., zákona č. 307/2014 Z. z., nálezu Ústavného súdu Slovenskej republiky č. 139/2015 Z. z., zákona č. 397/2015 Z. z., zákona č. 444/2015 Z. z. zákona č. 125/2016 Z. z. a zákona č. 82/2017 Z. z. sa mení a dopĺňa takto:- V§ 69 sa vypúšťajú odseky 5, 7 a 8.
- V§ 69a ods. 1 sa za slovo „konaní“ vkladajú slová „vrátane ochrany pred ohrozením verejného poriadku a predchádzania takémuto ohrozeniu“.
- V § 69a ods. 3 sa slová „osobné údaje, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženskú vieru alebo svetonázor, členstvo v politických stranách alebo politických hnutiach, členstvo v odborových organizáciách a údaje týkajúce sa zdravia alebo pohlavného života (ďalej len „osobitné kategórie osobných údajov“)“ nahrádzajú slovami „osobitné kategórie osobných údajov28l)“.
- V § 69a sa vypúšťajú odseky 4 a 6.
- V § 69a ods. 5 sa v prvej vete a druhej vete slová „odsekov 1 a 6“ nahrádzajú slovami „odseku 1“.
- 69c vrátane nadpisu znie:
- 69f sa vypúšťa.
K čl. III
Návrhom zákona dochádza aj k transpozícii smernice 2016/680 a keďže Policajný zbor je jedným z príslušným orgánov v zmysle tejto smernice a bude sa naňho vzťahovať štvrtá časť zákona (Osobitné pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi), navrhuje sa zo zákona Národnej rady Slovenskej republiky č. 171/1993 Z. z. o Policajnom zbore v znení neskorších predpisov vypustiť, resp. upraviť ustanovenia, ktoré by boli duplicitné k právnej úpravy podľa predloženého návrhu zákona o ochrane osobných údajov.Čl. IV
Zákon Národnej rady Slovenskej republiky č. 145/1995 Z. z. o správnych poplatkoch v znení zákona č. 123/1996 Z. z., zákona č. 224/1996 Z. z., zákona č. 70/1997 Z. z., zákona č. 1/1998 Z. z., zákona č. 232/1999 Z. z., zákona č. 3/2000 Z. z., zákona č. 142/2000 Z. z., zákona č. 211/2000 Z. z., zákona č. 468/2000 Z. z., zákona č. 553/2001 Z. z., zákona č. 96/2002 Z. z., zákona č. 118/2002 Z. z., zákona č. 215/2002 Z. z., zákona č. 237/2002 Z. z., zákona č. 418/2002 Z. z., zákona č. 457/2002 Z. z., zákona č. 465/2002 Z. z., zákona č. 477/2002 Z. z., zákona č. 480/2002 Z. z., zákona č. 190/2003 Z. z., zákona č. 217/2003 Z. z., zákona č. 245/2003 Z. z., zákona č. 450/2003 Z. z., zákona č. 469/2003 Z. z., zákona č. 583/2003 Z. z., zákona č. 5/2004 Z. z., zákona č. 199/2004 Z. z., zákona č. 204/2004 Z. z., zákona č. 347/2004 Z. z., zákona č. 382/2004 Z. z., zákona č. 434/2004 Z. z., zákona č. 533/2004 Z. z., zákona č. 541/2004 Z. z., zákona č. 572/2004 Z. z., zákona č. 578/2004 Z. z., zákona č. 581/2004 Z. z., zákona č. 633/2004 Z. z., zákona č. 653/2004 Z. z., zákona č. 656/2004 Z. z., zákona č. 725/2004 Z. z., zákona č. 725/2004 Z. z., zákona č. 5/2005 Z. z., zákona č. 8/2005 Z. z., zákona č. 15/2005 Z. z., zákona č. 93/2005 Z. z., zákona č. 171/2005 Z. z., zákona č. 308/2005 Z. z., zákona č. 331/2005 Z. z., zákona č. 341/2005 Z. z., zákona č. 342/2005 Z. z., zákona č. 468/2005 Z. z., zákona č. 473/2005 Z. z., zákona č. 491/2005 Z. z., zákona č. 538/2005 Z. z., zákona č. 558/2005 Z. z., zákona č. 572/2005 Z. z., zákona č. 573/2005 Z. z., zákona č. 610/2005 Z. z., zákona č. 14/2006 Z. z., zákona č. 15/2006 Z. z., zákona č. 24/2006 Z. z., zákona č. 117/2006 Z. z., zákona č. 124/2006 Z. z., zákona č. 126/2006 Z. z., zákona č. 224/2006 Z. z., zákona č. 342/2006 Z. z., zákona č. 672/2006 Z. z., zákona č. 693/2006 Z. z., zákona č. 21/2007 Z. z., zákona č. 43/2007 Z. z., zákona č. 95/2007 Z. z., zákona č. 193/2007 Z. z., zákona č. 220/2007 Z. z., zákona č. 279/2007 Z. z., zákona č. 295/2007 Z. z., zákona č. 309/2007 Z. z., zákona č. 342/2007 Z. z., zákona č. 342/2007 Z. z., zákona č. 343/2007 Z. z., zákona č. 344/2007 Z. z., zákona č. 355/2007 Z. z., zákona č. 358/2007 Z. z., zákona č. 359/2007 Z. z., zákona č. 460/2007 Z. z., zákona č. 517/2007 Z. z., zákona č. 537/2007 Z. z., zákona č. 548/2007 Z. z., zákona č. 571/2007 Z. z., zákona č. 577/2007 Z. z., zákona č. 647/2007 Z. z., zákona č. 661/2007 Z. z., zákona č. 92/2008 Z. z., zákona č. 112/2008 Z. z., zákona č. 167/2008 Z. z., zákona č. 214/2008 Z. z., zákona č. 264/2008 Z. z., zákona č. 405/2008 Z. z., zákona č. 408/2008 Z. z., zákona č. 451/2008 Z. z., zákona č. 465/2008 Z. z., zákona č. 495/2008 Z. z., zákona č. 514/2008 Z. z., zákona č. 8/2009 Z. z., zákona č. 45/2009 Z. z., zákona č. 188/2009 Z. z., zákona č. 191/2009 Z. z., zákona č. 274/2009 Z. z., zákona č. 292/2009 Z. z., zákona č. 304/2009 Z. z., zákona č. 305/2009 Z. z., zákona č. 307/2009 Z. z., zákona č. 465/2009 Z. z., zákona č. 478/2009 Z. z., zákona č. 513/2009 Z. z., zákona č. 568/2009 Z. z., zákona č. 570/2009 Z. z., zákona č. 594/2009 Z. z., zákona č. 67/2010 Z. z., zákona č. 92/2010 Z. z., zákona č. 136/2010 Z. z., zákona č. 144/2010 Z. z., zákona č. 144/2010 Z. z., zákona č. 514/2010 Z. z., zákona č. 556/2010 Z. z., zákona č. 39/2011 Z. z., zákona č. 119/2011 Z. z., zákona č. 200/2011 Z. z., zákona č. 223/2011 Z. z., zákona č. 254/2011 Z. z., zákona č. 256/2011 Z. z., zákona č. 258/2011 Z. z., zákona č. 324/2011 Z. z., zákona č. 342/2011 Z. z., zákona č. 363/2011 Z. z., zákona č. 381/2011 Z. z., zákona č. 392/2011 Z. z., zákona č. 404/2011 Z. z., zákona č. 405/2011 Z. z., zákona č. 409/2011 Z. z., zákona č. 519/2011 Z. z., zákona č. 547/2011 Z. z., zákona č. 49/2012 Z. z., zákona č. 96/2012 Z. z., zákona č. 251/2012 Z. z., zákona č. 286/2012 Z. z., zákona č. 336/2012 Z. z., zákona č. 339/2012 Z. z., zákona č. 351/2012 Z. z., zákona č. 439/2012 Z. z., zákona č. 447/2012 Z. z., zákona č. 459/2012 Z. z., zákona č. 8/2013 Z. z., zákona č. 39/2013 Z. z., zákona č. 40/2013 Z. z., zákona č. 72/2013 Z. z., zákona č. 75/2013 Z. z., zákona č. 94/2013 Z. z., zákona č. 96/2013 Z. z., zákona č. 122/2013 Z. z., zákona č. 144/2013 Z. z., zákona č. 154/2013 Z. z., zákona č. 213/2013 Z. z., zákona č. 311/2013 Z. z., zákona č. 319/2013 Z. z., zákona č. 347/2013 Z. z., zákona č. 387/2013 Z. z., zákona č. 388/2013 Z. z., zákona č. 474/2013 Z. z., zákona č. 506/2013 Z. z., zákona č. 35/2014 Z. z., zákona č. 58/2014 Z. z., zákona č. 84/2014 Z. z., zákona č. 152/2014 Z. z., zákona č. 162/2014 Z. z., zákona č. 182/2014 Z. z., zákona č. 204/2014 Z. z., zákona č. 262/2014 Z. z., zákona č. 293/2014 Z. z., zákona č. 335/2014 Z. z., zákona č. 399/2014 Z. z., zákona č. 40/2015 Z. z., zákona č. 79/2015 Z. z., zákona č. 120/2015 Z. z., zákona č. 128/2015 Z. z., zákona č. 129/2015 Z. z., zákona č. 247/2015 Z. z., zákona č. 253/2015 Z. z., zákona č. 259/2015 Z. z., zákona č. 262/2015 Z. z., zákona č. 273/2015 Z. z., zákona č. 387/2015 Z. z., zákona č. 403/2015 Z. z., zákona č. 125/2016 Z. z., zákona č. 272/2016 Z. z., zákona č. 342/2016 Z. z., zákona č. 386/2016 Z. z., zákona č. 51/2017 Z. z. zákona č. 238/2017 Z. z., zákona č. 242/2017 Z. z. a zákona č. 276/2017 Z. z. sa mení takto: V Sadzobníku správnych poplatkov časti XXIII. OCHRANA OSOBNÝCH ÚDAJOV položka 273 znie: „Položka 273- Konanie o schválení kódexu správania …………………………………………………………………..1 000 eur
- Konanie o zmene kódexu správania………………………………………………………………………..1 000 eur
- Konanie o rozšírení kódexu správania……………………………………………………………………..1 000 eur
- Konanie o vydaní certifikátu …………………………………………………………………………………5 000 eur
- Konanie o obnove certifikátu………………………………………………………………………………….5 000 eur
- Konanie o udelení akreditácie ……………………………………………………………………………….7 000 eur
- Konanie o povolení pre certifikačný subjekt …………………………………………………………..250 eur.“.
K čl. IV
Navrhovaná právna úprava priamo súvisí s článkom 40 až 43 nariadenia, ktoré stanovujú postup certifikácie a jej sledovania a postup vypracúvania kódexov správania a ich sledovania ako prostriedok zvýšenia bezpečnosti spracúvania osobných údajov u prevádzkovateľov alebo sprostredkovateľov. Dodržiavanie schválených kódexov správania a dodržiavanie a monitorovanie subjektov s udelenou certifikáciou bude pre prevádzkovateľa alebo pre sprostredkovateľa možnosť, ako deklarovať súlad s týmto zákonom a s nariadením. Nakoľko v tomto procese bude mať zodpovednosť aj úrad za schválenie kódexov správania a udelenie monitorovacích právomocí subjektom je potrebné, aby bola zohľadnená časová náročnosť celého tohto procesu, čo sa zohľadní vo výške a rozsahu vyberaných správnych poplatkov. Zavedenie poplatkov predpokladá úpravu zákona č. 145/1995 Z. z. o správnych poplatkoch v znení neskorších právnych predpisov, kde sa navrhuje XXIII Časť „Ochrana osobných údajov“ zmeniť tak, ako je navrhované.Čl. V
Zákon č. 4/2001 Z. z. o Zbore väzenskej a justičnej stráže v znení zákona č. 422/2002 Z. z., zákona č. 166/2003 Z. z., zákona č. 537/2004 Z. z., zákona č. 581/2004 Z. z., zákona č. 475/2005 Z. z., zákona č. 491/2008 Z. z., zákona č. 59/2009 Z. z., zákona č. 192/2011 Z. z., zákona č. 220/2011 Z. z., zákona č. 372/2013 Z. z., zákona č. 307/2014 Z. z., zákona č. 176/2015 Z. z., zákona č. 386/2015 Z. z., zákona č. 444/2015 Z. z., zákona č. 125/2016 Z. z. a zákona č. 255/2016 Z. z. sa mení takto:- 65b vrátane nadpisu znie:
- V § 65d sa vypúšťajú odseky 4 a 5.
- V § 65d ods. 5 sa slová „odseku 6“ nahrádzajú slovami „odseku 4“.
K čl. V
Návrhom zákona dochádza aj k transpozícii smernice 2016/680 a keďže Zbor väzenskej a justičnej stráže je jedným z príslušným orgánov v zmysle tejto smernice a bude sa naňho vzťahovať štvrtá časť zákona (Osobitné pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi), navrhuje sa zo zákona č. 4/2001 Z. z. o Zbore väzenskej a justičnej stráže v znení neskorších predpisov vypustiť, resp. upraviť ustanovenia, ktoré by boli duplicitné k právnej úpravy podľa predloženého návrhu zákona o ochrane osobných údajov.Čl. VI
Zákon č. 153/2001 Z. z. o prokuratúre v znení zákona č. 458/2003 Z. z., zákona č. 36/2005 Z. z., zákona č. 59/2009 Z. z., nálezu Ústavného súdu Slovenskej republiky č. 290/2009 Z. z., zákona č. 291/2009 Z. z., zákona č. 102/2010 Z. z., zákona č. 403/2010 Z. z., zákona č. 192/2011 Z. z., zákona č. 220/2011 Z. z., zákona č. 436/2013 Z. z., nálezu Ústavného súdu Slovenskej republiky č. 217/2014 Z. z., zákona č. 401/2015 Z. z. a zákona č. 125/2016 Z. z. sa mení a dopĺňa takto:- Doterajší text § 55aa sa označuje ako odsek 1 a dopĺňa sa odsekmi 2 a 3, ktoré znejú:
- V § 55ac sa vypúšťajú odseky 2 a 3.
- V § 55ad sa vypúšťa odsek 1.
- V § 55ad ods. 2 sa slová „odseku 2“ nahrádzajú slovami „odseku 1“.
- V § 55ae ods. 1 písm. f) sa vypúšťa odkaz 36b a poznámka pod čiarou k odkazu 36b.
- 55af sa vypúšťa vrátane poznámky pod čiarou k odkazu 36c.
K čl. VI
Návrhom zákona dochádza aj k transpozícii smernice 2016/680 a keďže prokuratúra je jedným z príslušným orgánov v zmysle tejto smernice a bude sa na ňu vzťahovať štvrtá časť zákona (Osobitné pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi), navrhuje sa zo zákona č. 153/2001 Z. z. o prokuratúre v znení neskorších predpisov vypustiť, resp. upraviť ustanovenia, ktoré by boli duplicitné k právnej úpravy podľa predloženého návrhu zákona o ochrane osobných údajov.Čl. VII
Zákon č. 483/2001 Z. z. o bankách a o zmene a doplnení niektorých zákonov v znení zákona č. 430/2002 Z. z., zákona č. 510/2002 Z. z., zákona č. 165/2003 Z. z., zákona č. 603/2003 Z. z., zákona č. 215/2004 Z. z., zákona č. 554/2004 Z. z., zákona č. 747/2004 Z. z., zákona č. 69/2005 Z. z., zákona č. 340/2005 Z. z., zákona č. 341/2005 Z. z., zákona č. 214/2006 Z. z., zákona č. 644/2006 Z. z., zákona č. 209/2007 Z. z., zákona č. 209/2007 Z. z., zákona č. 659/2007 Z. z., zákona č. 659/2007 Z. z., zákona č. 297/2008 Z. z., zákona č. 552/2008 Z. z., zákona č. 552/2008 Z. z., zákona č. 66/2009 Z. z., zákona č. 186/2009 Z. z., zákona č. 186/2009 Z. z., zákona č. 276/2009 Z. z., zákona č. 492/2009 Z. z., zákona č. 492/2009 Z. z., zákona č. 129/2010 Z. z., zákona č. 129/2010 Z. z., zákona č. 46/2011 Z. z., zákona č. 130/2011 Z. z., zákona č. 314/2011 Z. z., zákona č. 394/2011 Z. z., zákona č. 520/2011 Z. z., zákona č. 547/2011 Z. z., zákona č. 234/2012 Z. z., zákona č. 352/2012 Z. z., zákona č. 132/2013 Z. z., zákona č. 352/2013 Z. z., zákona č. 213/2014 Z. z., zákona č. 213/2014 Z. z., zákona č. 213/2014 Z. z., zákona č. 213/2014 Z. z., zákona č. 371/2014 Z. z., zákona č. 374/2014 Z. z., zákona č. 35/2015 Z. z., zákona č. 252/2015 Z. z., zákona č. 359/2015 Z. z., zákona č. 392/2015 Z. z., zákona č. 405/2015 Z. z., zákona č. 437/2015 Z. z., zákona č. 90/2016 Z. z., zákona č. 91/2016 Z. z., zákona č. 125/2016 Z. z., zákona č. 292/2016 Z. z., zákona č. 298/2016 Z. z., zákona č. 299/2016 Z. z., zákona č. 315/2016 Z. z., zákona č. 386/2016 Z. z., zákona č. 2/2017 Z. z., zákona č. 264/2017 Z. z. a zákona č. 279/2017 Z. z. sa mení a dopĺňa takto:- V § 92a odsek 5 znie:
- V § 92b ods. 1 a § 93a ods. 2 až 4 sa vypúšťajú slová „a informovania“.
- V § 93a ods. 1 písm. a) prvom bode sa za slová „druh a číslo dokladu totožnosti“ vkladajú slová „a fotografiu z dokladu totožnosti“.
K čl. VII
Návrhom nového zákona o ochrane osobných údajov dôjde aj k úprave práv dotknutej osoby, ktoré boli posilnené a ktoré dotknutej osobe dávajú možnosť požadovať od prevádzkovateľa informácie aké osobné údaje o dotknutej osobe spracúva, prípadne, komu boli získané osobné údaje poskytnuté. Ustanovenie § 92a ods. 5 zákona č. 483/2001 Z. z. o bankách a o zmene a doplnení niektorých zákonov je totožné svojím obsahom s právom dotknutej osoby – fyzickej osoby podľa § 22 tohto zákona; vo vzťahu k dotknutým osobám – právnickým osobám klientom banky, toto ustanovenie zostalo zachované. Vypustenie je tiež navrhované z dôvodu zosúladenia právnych predpisov Slovenskej republiky s nariadením. Na účely spresnenia uvedenia spracúvania osobných údajov bankou, ako prevádzkovateľom, bolo doplnené spracúvanie fotografie dotknutej osoby v prípade, ak sa spracúva doklad jej totožnosti na účely stanovené v zákone o bankách.Čl. VIII
Zákon č. 395/2002 Z. z. o archívoch a registratúrach a o doplnení niektorých zákonov v znení zákona č. 515/2003 Z. z., zákona č. 216/2007 Z. z., zákona č. 335/2007 Z. z., zákona č. 445/2008 Z. z., zákona č. 41/2011 Z. z., zákona č. 305/2013 Z. z., zákona č. 266/2015 Z. z. a zákona č. 125/2016 Z. z. sa mení a dopĺňa takto:- Poznámka pod čiarou k odkazu 25 znie:
- V § 13 ods. 5 písm. a) sa vypúšťa slovo „alebo“.
- V § 13 ods. 5 písm. b) sa na konci pripája slovo „alebo“.
- V § 13 sa odsek 5 dopĺňa písmenom c), ktoré znie:
K čl. VIII
K bodom 1 a 2 (§ 2 písm. b) a f)) V rámci definícií sa zavádza pojem predikcia viditeľných fenotypových prejavov, ktorá nadväzuje na rozšírenie definície analýzy deoxyribonukleovej kyseliny. Zavedením definície sa reaguje na možnosť, v presne vyšpecifikovaných prípadoch, využiť najnovšie technologické postupy, ktoré už v súčasnej dobe umožňujú zistiť aj informácie ohľadom farby očí, farby vlasov alebo pigmentácie pokožky, ktoré môžu významným spôsobom zúžiť potencionálnu skupinu páchateľov závažných trestných činov alebo bližšie identifikovať mŕtvolu neznámej totožnosti alebo častí ľudského tela. K bodu 3 Aktualizuje sa poznámka pod čiarou. K bodu 4 (§ 3 ods. 1 písm. a)) Navrhovaná zmena zohľadňuje súčasný stav, keď Železničná polícia bola začlenená do Policajného zboru a preto jej uvádzanie v zákone je nadbytočné. Z rovnakého dôvodu sa navrhuje vypustenie poznámky pod čiarou k odkazu 3, týkajúcej sa zrušeného zákona č. 57/1998 Z. z. o Železničnej polícii. K bodu 5 (§ 3 ods. 3) Upravuje sa text vzhľadom na zaradenie Železničnej polície do Policajného zboru a zmenu Trestného poriadku, podľa ktorého súd nie je orgánom činným v trestnom konaní. Zároveň sa navrhuje priznať kompetenciu odoberania vzoriek deoxyribonukleovej kyseliny aj príslušníkom Zboru väzenskej a justičnej stráže. Príslušníci Zboru väzenskej a justičnej stráže podľa § 21b zákona č. 4/2001 Z. z o Zbore väzenskej a justičnej stráže síce nemajú oprávnenie na odoberanie vzoriek deoxyribonukleovej kyseliny, ale túto kompetenciu im môže zákonodarca zveriť priamo zákonom č. 417/2002 Z. z. tak, ako je to v prípade príslušníkov Policajného zboru, ktorí v zmysle § 20a zákona o Policajnom zbore tiež nie sú splnomocnení odoberať vzorku deoxyribonukleovej kyseliny osobám vo výkone trestu odňatia slobody, túto kompetenciu im priznáva priamo zákon č. 417/2002 Z. z. Analogicky to platí pre všetky orgány činné v trestnom konaní, ktoré na odoberanie vzorky deoxyribonukleovej kyseliny splnomocňuje priamo zákon č. 417/2002 Z. z., hoci príslušné zákony im takéto oprávnenie nepriznávajú (napr. § 21b zákona č. 4/2001 Z. z. o Zbore väzenskej a justičnej stráže, § 21a zákona č. 652/2004 Z. z. o orgánoch štátnej správy v colníctve alebo zákon č. 124/1992 Zb. o Vojenskej polícii). K bodu 6 (§ 4 ods. 2) V § 4 sa navrhuje za odsek 1 vložiť nový odsek 2, v ktorom sa špecifikujú podmienky využitia predikcie viditeľných fenotypových prejavov, presne sa definujú závažné prípady odkazom pod čiarou 5b, ktorým sa odkazuje na § 11 ods. 3 Trestného zákona, ako aj trestných činov proti životu a zdraviu, trestných činov proti slobode a ľudskej dôstojnosti, čím sa vymedzuje okruh trestných činov, pri ktorých bude možné túto analýzu žiadať. Zároveň sa zavádza kumulatívna podmienka, že toto vyšetrenie môže byť vykonané len za podmienky, že nebola zistená zhoda v národnej databáze profilov deoxyribonukleovej kyseliny, ako aj v medzinárodných databázach profilov deoxyribonukleovej kyseliny členských štátov EÚ, s ktorými si Slovenská republika vymieňa údaje na základe rozhodnutia Rady (ES) 2008/616/SVV z 23. júna 2008 o vykonávaní rozhodnutia 2008/615/SVV o zintenzívnení cezhraničnej spolupráce, najmä v boji proti terorizmu a cezhraničnej trestnej činnosti. K bodu 7 (§ 4 ods. 3) Návrhom sa reaguje na rozhodnutie Rady 2008/616/SVV, kde sa v čl. 7 ods. 1 uvádza, že „členské štáty využívajú pre výmenu údajov o DNA existujúce normy, ako napríklad európsky štandardný súbor (ESS)“. Európsky štandardný súbor (ESS) bol vydaný v prílohe uznesenia Rady z 30. novembra 2009 o výmene výsledkov analýzy DNA (Ú. v. EÚ C 296/1 – 3, 5. decembra 2009). Na základe uvedeného sa tiež mení príloha č. 1. K bodu 8 (§ 4 ods. 4) V rámci tejto úpravy sa implementuje rozhodnutie Rady 2008/616/SVV z 23. júna 2008 o vykonávaní rozhodnutia 2008/615/SVV o zintenzívnení cezhraničnej spolupráce, najmä v boji proti terorizmu a cezhraničnej trestnej činnosti, kde sa v čl. 7 sa ukladá členským štátom povinnosť prijať opatrenia potrebné na zabezpečenie integrity profilov DNA poskytovaných alebo zaslaných na porovnávanie iným členským štátom a na zabezpečenie toho, aby tieto opatrenia spĺňali medzinárodné normy ako napríklad EN ISO/IEC 17025 – všeobecné požiadavky na kompetentnosť skúšobných a kalibračných laboratórií. Z tohto uvedeného dôvodu navrhujeme, aby sa všetkým poskytovateľom forenzných služieb, ktorých služby sú využívané pre účely trestného konania, uložila povinnosť používať akreditované postupy. K bodu 9 (§ 4 ods. 4 písm. a)) Znalci fyzické osoby a právnické osoby ako znalecké organizácie alebo znalecké ústavy sú podľa platnej právnej úpravy zapísané v zozname znalcov, tlmočníkov a prekladateľov, vedenom Ministerstvom spravodlivosti Slovenskej republiky na základe zákona č. 382/2004 Z. z. o znalcoch, tlmočníkoch a prekladateľoch a o zmene a doplnení niektorých zákonov v znení neskorších predpisov v oddiele na zápis znalcov. Kriminalistický a expertízny ústav Prezídia Policajného zboru je zapísaný ako znalecký ústav v odbore kriminalistika. Navrhovaná zmena aktualizuje použité pojmy a dáva do súladu znenie zákona so súčasným právnym stavom. „Zoznam ústavov a iných pracovísk špecializovaných na znaleckú činnosť“, uvedený v § 4 ods. 3 písm. a), sa viedol podľa zákona č. 36/1967 Zb. o znalcoch a tlmočníkoch, ktorý bol zrušený. Z týchto dôvodov sa navrhuje aj zmena poznámky pod čiarou k odkazu 6. K bodu 10 (§ 4 ods. 5) Upravuje sa text vzhľadom na zaradenie Železničnej polície do Policajného zboru a zmenu Trestného poriadku, podľa ktorého súd nie je orgánom činným v trestnom konaní. K bodom 11 (§ 4 ods. 8) Zmenou vnútorného odkazu sa reaguje na prečíslovanie odsekov v § 4. K bodom 12 (§ 5 ods. 3 písm. b) druhý bod) Upravuje sa rozsah požadovaných informácií, ktoré majú byť predložené spolu so vzorkou biologického materiálu, z ktorého ma byť metódami molekulárnej biológie a genetiky získaný DNA profil. K bodu 13 (Poznámka pod čiarou k odkazu 7) Navrhovaná zmena rešpektuje aktuálnu právnu úpravu, podľa ktorej osobitnými predpismi upravujúcimi postup pri poskytovaní údajov z databázy obsahujúcej profily deoxyribonukleovej kyseliny sú zákon o Policajnom zbore a zákon o ochrane osobných údajov. K bodu 14 (§ 8 ods. 1) Dôvodom likvidácie údajov osôb z databázy vzoriek profilov DNA povereným útvarom je aj zastavenie trestného stíhania v prípravnom konaní z dôvodu, že je nepochybné, že sa nestal skutok, pre ktorý sa vedie trestné stíhanie, alebo že nie je tento skutok trestným činom a nie je dôvod na postúpenie veci. Navrhovaná zmena dáva do súladu vymenované dôvody s ustanoveniami Trestného poriadku tak ako sú uvedené v § 215 ods. 1 písm. a) a b). Tieto dôvody sa týkajú len zastavenia trestného stíhania vedeného vo veci, keď vyšetrovaný skutok nie je možné kvalifikovať ako trestný čin. Návrh rozširuje dôvod likvidácie údajov z databázy povereným útvarom aj o prípad, kedy sa vyšetrovaním zistí, že vyšetrovaný skutok sa stal a tento skutok je trestným činom a trestné stíhanie je vedené proti obvinenému, pričom je v prípravnom konaní prokurátorom toto trestné stíhanie zastavené podľa § 215 ods. 1 písm. c) Trestného poriadku z dôvodu, že bez pochybností sa zistí, že skutok nespáchal obvinený. Po zastavení trestného stíhania obvineného sa ďalej trestné stíhanie vedie iba vo veci. Poznámky pod čiarou k odkazom 8 až 12 v návrhu odkazujú na príslušné ustanovenia platného Trestného poriadku. K bodu 15 (§ 8 ods. 3) Doterajšia právna úprava vychádza z neplatného zákona č. 141/1961 Zb. o trestnom konaní súdnom (Trestný poriadok), v ktorom bol podľa § 12 ods. 1 orgánom činným v trestnom konaní aj súd. Podľa § 8 ods. 3 má orgán činný v trestnom konaní, ktorý skončil trestné konanie týkajúce sa osoby, ktorej profil deoxyribonukleovej kyseliny je uložený v databáze, povinnosť o tejto skutočnosti do troch pracovných dní od skončenia trestného konania informovať poverený útvar. Podľa platného Trestného poriadku súd nie je orgánom činným v trestnom konaní a preto v navrhovanej zmene sa súd uvádza osobitne ako subjekt, ktorý má tiež oznamovaciu povinnosť podľa § 8 ods. 3 zákona. K bodu 16 Zmena prílohy č. 1 súvisí so zmenami v bode 6 (§ 4 ods. 3). K bodu 17 V prílohe č. 2 sa zadefinoval nový formát oznamu o výsledku analýzy deoxyribonukleovej kyseliny, ktorý zohľadňuje navrhované zmeny v zákone.Čl. IX
Zákon č. 417/2002 Z. z. o používaní analýzy deoxyribonukleovej kyseliny na identifikáciu osôb sa mení a dopĺňa takto:- V § 2 písmeno b) znie:
- 2 sa dopĺňa písmenom f), ktoré znie:
- Poznámka pod čiarou k odkazu 1 znie:
- 20a zákona Národnej rady Slovenskej republiky č. 171/1993 Z. z. o Policajnom zbore v znení neskorších predpisov.“.
- V § 3 ods. 1 písm. a) sa slová „konaní, Policajného zboru2) a Železničnej polície,3)“ nahrádzajú slovami „konaní a Policajného zboru,2)“.
- V § 3 odsek 3 znie:
- V § 4 sa za odsek 1 vkladá nový odsek 2, ktorý znie:
- V § 4 ods. 3 sa slovo „ôsmich“ nahrádza slovom „dvanástich“.
- V § 4 ods. 4 úvodnej vete sa na konci pripájajú tieto slová: „akreditovanými postupmi“.
- V § 4 ods. 4 písm. a) sa slová „v zozname ústavov a iných pracovísk špecializovaných na znaleckú činnosť6)” nahrádzajú slovami „ako znalecký ústav v zozname podľa osobitného predpisu6)”.
- V § 4 ods. 5 druhej vete sa slová „pre Železničnú políciu“ nahrádzajú slovom „súd.“.
- V § 4 ods. 7 sa slová „odseku 5“ nahrádzajú slovami „odseku 6“.
- V § 4 ods. 8 sa slová „odseku 3“ nahrádzajú slovami „odseku 4“.
- V § 5 ods. 3 písm. b) druhom bode sa vypúšťajú slová „a miesto“.
- Poznámka pod čiarou k odkazu 7 znie:
- V § 8 odsek 1 znie:
- o osobe,
- proti ktorej bolo trestné stíhanie zastavené z dôvodu, že je nepochybné, že sa nestal skutok, pre ktorý sa vedie trestné stíhanie, alebo že nie je tento skutok trestným činom a nie je dôvod na postúpenie veci, alebo je nepochybné, že skutok nespáchal obvinený,8)
- ktorá bola oslobodená spod obžaloby z dôvodu, že nebolo dokázané, že sa stal skutok, pre ktorý je obžalovaný stíhaný, alebo že skutok nie je trestným činom,9)
- o odsúdenej osobe, o osobe, proti ktorej je trestné stíhanie neprípustné,10) o osobe, proti ktorej bolo trestné stíhanie zastavené z dôvodu, že obvinený nebol v čase činu pre nepríčetnosť trestne zodpovedný,11) a o osobe, ktorá bola oslobodená spod obžaloby z dôvodu, že obžalovaný nie je pre nepríčetnosť trestne zodpovedný,12) po uplynutí sto rokov od jej narodenia.“.
- V § 8 odsek 3 znie:
- Príloha č. 1 vrátane nadpisu znie:
Polymorfné systémy
Polymorfné systémy deoxyribonukleovej kyseliny, v ktorých sa vykonáva analýza deoxyribonukleovej kyseliny: D3S1358 VWA D8S1179 D21S11 D18S51 HUMTH01 FGA D1S1656 D2S441 D10S1248 D12S391 D22S1045“.- Príloha č. 2 vrátane nadpisu znie:
Výsledok analýzy deoxyribonukleovej kyseliny
Pracovisko vykonávajúce analýzu (názov a presná adresa): ……………………………………………………………………………………………………………………………………… Dôvod vykonania analýzy: ……………………………………………………………………………………………………………………………………… Biologická vzorka*:- zaistená podľa § 2 písm. d) zákona č. 417/2002 Z. z.,
- odobratá podľa § 3 zákona č. 417/2002 Z. z., pričom ide o osobu uvedenú v § 3 ods. 1 písm. a) / § 3 ods. 1 písm. b) / § 3 ods. 1 písm. c) zákona č. 417/2002 Z. z. .
Alela 1 | Alela 2 | Alela 3 | Alela 4 | |
D3S1358 | ||||
VWA | ||||
D8S1179 | ||||
D21S11 | ||||
D18S51 | ||||
HUMTH01 | ||||
FGA | ||||
D1S1656 | ||||
D2S441 | ||||
D10S1248 | ||||
D12S391 | ||||
D22S1045 |
- meno a priezvisko ……………………………………………………………………………………………………….
- dátum narodenia ………………………………………………………………………………………………………….
- rodné číslo; u cudzincov číslo cestovného dokladu ………………………………………………………….
- adresa pobytu ………………………………………………………………..
- štátna príslušnosť ………………………………………………………………………………………………………..
- iné údaje …………………………………………………………………………………………………………………….
K čl. IX
V súvislosti s procesom nakladania s jadrovými materiálmi je Slovenská republika viazaná plnením medzinárodných záväzkov vo vzťahu k ich kontrole a deklarácii, či nie sú využívané na iné, ako na mierové účely. Účelom systému evidencie a kontroly jadrových materiálov, tzv. zárukový systém, je zabrániť zneužívaniu jadrových materiálov, nezákonnému nakladaniu s nimi, zisťovať straty jadrových materiálov a poskytovať informácie, ktoré by mohli viesť k ich nájdeniu, a to nielen na národnej ale i medzinárodnej úrovni. Po vstupe Slovenskej republiky do Európskej únie sa v Slovenskej republike začal uplatňovať systém tzv. integrovaných záruk medzi Európskym spoločenstvom pre atómovú energiu, Medzinárodnou agentúrou pre atómovú energiu a príslušným členským štátom. Za týmto účelom je potrebné zabezpečiť vstup určeným medzinárodným inšpektorom do jadrových zariadení v Slovenskej republike na vykonanie medzinárodnej inšpekcie. Medzinárodní inšpektori sú menovaní na základe ustanovení v Dohode medzi Belgickým kráľovstvom, Dánskym kráľovstvom, Spolkovou republikou Nemecko, Írskou republikou, Talianskou republikou, Luxemburským veľkovojvodstvom, Holandským kráľovstvom, Európskym spoločenstvom pre atómovú energiu a Medzinárodnou agentúrou pre atómovú energiu o implementácii čl. III ods. 1 a 4 Zmluvy o nešírení jadrových zbraní a Dodatkovým protokolom k Dohode medzi Belgickým kráľovstvom, Dánskym kráľovstvom, Spolkovou republikou Nemecko, Írskou republikou, Talianskou republikou, Luxemburským veľkovojvodstvom, Holandským kráľovstvom, Európskym spoločenstvom pre atómovú energiu a Medzinárodnou agentúrou pre atómovú energiu o implementácii čl. III ods. 1 a 4 Zmluvy o nešírení jadrových zbraní (oznámenie Ministerstva zahraničných vecí Slovenskej republiky č. 36/2006 Z. z.), ako aj ustanovení článku 81 a 82 Zmluvy o založení Európskeho spoločenstva pre atómovú energiu (ďalej len „Zmluva o Euratome“). Úrad jadrového dozoru Slovenskej republiky okrem osobných údajov medzinárodných inšpektorov ďalej spracúva osobné údaje štátnych zamestnancov – inšpektorov a inšpektorov – čakateľov a ďalších osôb prizvaných na inšpekciu alebo medzinárodnú inšpekciu, ktoré na účely plnenia povinností držiteľa povolenia, konkrétne povinností v oblasti fyzickej ochrany, poskytuje držiteľovi povolenia v nevyhnutnom rozsahu potrebnom na overenie ich totožnosti pri vstupe do jadrových zariadení v Slovenskej republike. K bodu 1 Ide o zosúladenie ustanovení § 26 atómového zákona s prijatým nariadením. Ustanovenie rieši sprístupnenie ako aj spracúvanie osobných údajov dotknutých osôb so zadefinovaním rozsahu osobných údajov a uvedením predkladaných povinných dokumentov na účel plnenia zákonnej povinnosti držiteľa povolenia spočívajúcej v kontrole vstupov a výstupov osôb do a z jadrového zariadenia. K bodu 2 Ide o precizovanie právnej úpravy, u ktorých osôb, ktoré vstupujú alebo vystupujú do a z jadrového zariadenia, je možné spracovávať osobné údaje a za akým účelom. Vzhľadom na prepojenie s § 26 ods. 6 sa už rozsah osobných údajov dotknutých osôb neopakuje, ale len odkazuje na dané ustanovenie. Zároveň sa definuje oprávnenie úradu poskytnúť osobné údaje dotknutých osôb držiteľovi povolenia. Pokiaľ ide o inšpektorov a inšpektorov – čakateľov, ide o osobné údaje štátnych zamestnancov zmysle zákona č. 400/2009 Z. z. o štátnej službe a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, ktoré úrad poskytuje držiteľovi povolenia na účely plnenia zákonných povinností v oblasti fyzickej ochrany. Ohľadom medzinárodných inšpektorov príslušné ustanovenie odráža požiadavku spracovávať osobné údaje vymenovaných medzinárodných inšpektorov, ktorých zoznamy sú pravidelne aktualizované a zasielané členským štátom medzinárodnými organizáciami (Európska komisia, Medzinárodná agentúra pre atómovú energiu), aby bol zabezpečený ich vstup do jadrových zariadení v Slovenskej republike s cieľom vykonať medzinárodnú inšpekciu podľa § 33 atómového zákona, kedy ak sa osoba nachádza v týchto zoznamoch, musí byť do jadrových zariadení po splnení príslušných podmienok vpustená. Relevantnými pri medzinárodných inšpektoroch sú napríklad: Článok 9 a článok 85 Dohody medzi Belgickým kráľovstvom, Dánskym kráľovstvom, Spolkovou republikou Nemecko, Írskou republikou, Talianskou republikou, Luxemburským veľkovojvodstvom, Holandským kráľovstvom, Európskym spoločenstvom pre atómovú energiu a Medzinárodnou agentúrou pre atómovú energiu o implementácii čl. III ods. 1 a 4 Zmluvy o nešírení jadrových zbraní (oznámenie Ministerstva zahraničných vecí Slovenskej republiky č. 36/2006 Z. z.); Článok 11 Dodatkového protokolu k Dohode medzi Belgickým kráľovstvom, Dánskym kráľovstvom, Spolkovou republikou Nemecko, Írskou republikou, Talianskou republikou, Luxemburským veľkovojvodstvom, Holandským kráľovstvom, Európskym spoločenstvom pre atómovú energiu a Medzinárodnou agentúrou pre atómovú energiu o implementácii čl. III ods. 1 a 4 Zmluvy o nešírení jadrových zbraní (oznámenie Ministerstva zahraničných vecí Slovenskej republiky č. 36/2006 Z. z.); Články 81 a 82 Zmluvy o Euratome; Článok XII. písm. A) bod 6. vyhlášky ministerstva zahraničných vecí č. 59/1958 Zb. o Stanovách Medzinárodnej agentúry pre atómovú energiu.Čl. X
Zákon č. 586/2003 Z. z. o advokácii a o zmene a doplnení zákona č. 455/1991 Zb. o živnostenskom podnikaní (živnostenský zákon) v znení neskorších predpisov v znení zákona Národnej rady Slovenskej republiky č. 8/2005 Z. z., zákona Národnej rady Slovenskej republiky č. 327/2005 Z. z., zákona Národnej rady Slovenskej republiky č. 331/2007 Z. z., zákona Národnej rady Slovenskej republiky č. 297/2008 Z. z., zákona Národnej rady Slovenskej republiky č. 451/2008 Z. z., zákona Národnej rady Slovenskej republiky č. 304/2009 Z. z., zákona Národnej rady Slovenskej republiky č. 136/2010 Z. z., zákona Národnej rady Slovenskej republiky č. 332/2011 Z. z., zákona Národnej rady Slovenskej republiky č. 335/2012 Z. z., zákona Národnej rady Slovenskej republiky č. 339/2013 Z. z., zákona Národnej rady Slovenskej republiky č. 440/2015 Z. z., zákona Národnej rady Slovenskej republiky č. 125/2016 Z. z. sa mení a dopĺňa takto:- V § 18 odseky 6 a 7 znejú:
- 18 sa dopĺňa odsekmi 8 a 9, ktoré znejú:
K čl. X
Návrhom zákona dochádza aj k transpozícii smernice 2016/680 a keďže finančná správa je jedným z príslušným orgánov v zmysle tejto smernice a bude sa na ňu vzťahovať štvrtá časť zákona (Osobitné pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi), navrhuje sa zo zákona č. 652/2004 Z. z. o orgánoch štátnej správy v colníctve v znení neskorších predpisov vypustiť, resp. upraviť ustanovenia, ktoré by boli duplicitné k právnej úpravy podľa predloženého návrhu zákona o ochrane osobných údajov.Čl. XI
Zákon č. 541/2004 Z. z. o mierovom využívaní jadrovej energie (atómový zákon) a o zmene a doplnení niektorých zákonov v znení zákona č. 238/2006 Z. z., zákona č. 21/2007 Z. z., zákona č. 94/2007 Z. z., zákona č. 335/2007 Z. z., zákona č. 408/2008 Z. z., zákona č. 120/2010 Z. z., zákona č. 145/2010 Z. z., zákona č. 350/2011 Z. z., zákona č. 143/2013 Z. z., zákona č. 314/2014 Z. z., zákona č. 54/2015 Z. z., zákona č. 91/2016 Z. z., zákona č. 125/2016 Z. z. a zákona č. 96/2017 Z. z. sa mení a dopĺňa takto:- V § 26 odsek 6 znie:
- 31 sa dopĺňa odsekom 17, ktorý znie:
K čl. XI
Návrhom zákona dochádza aj k transpozícii smernice 2016/680 a keďže súdy sú jedným z príslušným orgánov v zmysle tejto smernice a bude sa na nich vzťahovať štvrtá časť zákona (Osobitné pravidlá ochrany fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi), navrhuje sa zo zákona č. 757/2004 Z. z. o súdoch v znení neskorších predpisov vypustiť, resp. upraviť ustanovenia, ktoré by boli duplicitné k právnej úpravy podľa predloženého návrhu zákona o ochrane osobných údajov.Čl. XII
Zákon č. 652/2004 Z. z. o orgánoch štátnej správy v colníctve a o zmene a doplnení niektorých zákonov v znení zákona č. 331/2005 Z. z., zákona č. 191/2007 Z. z., zákona č. 537/2007 Z. z., zákona č. 166/2008 Z. z., zákona č. 491/2008 Z. z., zákona č. 207/2009 Z. z., zákona č. 305/2009 Z. z., zákona č. 465/2009 Z. z., zákona č. 508/2010 Z. z., zákona č. 192/2011 Z. z., zákona č. 256/2011 Z. z., zákona č. 331/2011 Z. z., zákona č. 546/2011 Z. z., zákona č. 441/2012 Z. z., zákona č. 207/2014 Z. z., zákona č. 307/2014 Z. z., zákona č. 333/2014 Z. z., zákona č. 397/2015 Z. z., zákona č. 360/2015 Z. z. a zákona č. 298/2016 Z. z. sa mení takto:- V § 52 sa vypúšťa odsek 5.
- V § 54 sa vypúšťa odsek 6.
- V § 54b ods. 4 sa slová „uvedené v § 55 ods. 4“ nahrádzajú slovami „podľa osobitného predpisu.46ba)“.
- V § 54c sa vypúšťajú odseky 3 až 5.
- V § 55 sa vypúšťa nadpis pod paragrafom a odseky 1 a 4 až 11vrátane poznámky pod čiarou k odkazu 46f.
- V § 58 sa vypúšťa odsek 8.
Čl. XIII
Zákon č. 757/2004 Z. z. o súdoch a o zmene a doplnení niektorých zákonov v znení zákona č. 517/2008 Z. z., zákona č. 59/2009 Z. z., nálezu Ústavného súdu Slovenskej republiky č. 290/2009 Z. z., zákona č. 291/2009 Z. z., zákona č. 318/2009 Z. z., zákona č. 33/2011 Z. z., zákona č. 192/2011 Z. z., zákona č. 467/2011 Z. z., zákona č. 335/2012 Z. z., zákona č. 195/2014 Z. z., nálezu Ústavného súdu Slovenskej republiky č. 216/2014 Z. z., zákona č. 322/2014 Z. z., zákona č. 87/2015 Z. z., zákona č. 125/2016 Z. z., zákona č. 301/2016 Z. z., zákona č. 2/2017 Z. z. a zákona č. 152/2017 Z. z. sa mení a dopĺňa takto:- Poznámka pod čiarou k odkazu 34 znie:
- V § 79 odsek 1 znie:
- Doterajší text § 80 sa označuje ako odsek 1 a dopĺňa sa odsekom 2, ktorý znie:
- V § 81 sa vypúšťa odsek 1 a súčasne sa zrušuje označenie odseku 2.
- V § 82d sa nad slovom „predpis“ odkaz „34)“ nahrádza odkazom „42c)“.
- V § 82e sa vypúšťa odsek 1.
- V § 82e ods. 2 sa slová „odseku 2“ nahrádzajú slovami „odseku 1“.
- V § 82f ods. 1 písm. f) sa vypúšťa odkaz 42d a poznámka pod čiarou k odkazu 42d.
- 82g sa vrátane poznámky pod čiarou k odkazu 42e vypúšťa.
K čl. XIII
Návrhom nového zákona o ochrane osobných údajov dôjde aj k úprave práv dotknutej osoby, ktoré boli posilnené a ktoré dotknutej osobe dávajú možnosť požadovať od prevádzkovateľa informácie aké osobné údaje o dotknutej osobe spracúva, prípadne, komu boli získané osobné údaje poskytnuté. Ustanovenie § 72 ods. 13 zákona č. 39/2015 Z. z. o poisťovníctve a o zmene a doplnení niektorých zákonov je totožné svojím obsahom s navrhovaným § 22 a 23 návrhu zákona, preto sa navrhuje jeho vypustenie. Vypustenie je tiež navrhované z dôvodu harmonizácie právnych predpisov Slovenskej republiky s nariadením. Aj napriek vypusteniu ustanovenia z textu zákona o poisťovníctve práva pre klientov, spotrebiteľov fyzické osoby zostávajú zachované, ale v rámci nariadenia alebo v rámci návrhu zákona.Čl. XIV
Zákon č. 129/2010 Z. z. o spotrebiteľských úveroch a o iných úveroch a pôžičkách pre spotrebiteľov a o zmene a doplnení niektorých zákonov v znení zákona č. 394/2011 Z. z., zákona č. 352/2012 Z. z., zákona č. 132/2013 Z. z., zákona č. 102/2014 Z. z., zákona č. 106/2014 Z. z., zákona č. 373/2014 Z. z., zákona č. 35/2015 Z. z., zákona č. 117/2015 Z. z., zákona č. 389/2015 Z. z., zákona č. 438/2015 Z. z., zákona č. 90/2016 Z. z., zákona č. 91/2016 Z. z., zákona č. 299/2016 Z. z. a zákona č. 279/2017 Z. z. sa mení a dopĺňa takto:- V § 1 ods. 6 sa slová „až 15“ nahrádzajú slovami „až 14“.
- V § 7 sa vypúšťa odsek 14.
- V § 7 ods. 4 sa slová „17 a 18“ sa nahrádzajú slovami „16 a 17“.
- V § 7 ods. 21 sa za slovom „odseku“ číslo „21“ nahrádza číslom „20“.
- V § 7 ods. 24 úvodnej vete sa slová „20 až 24“ nahrádzajú slovami „19 až 23“.
- V § 7 ods. 25 sa číslo „25“ nahrádza číslom „24“ a číslo „39“ sa nahrádza číslom „38“.
- V § 7 ods. 26 úvodnej vete sa číslo „20“ nahrádza číslom „19“.
- V § 7 ods. 27 sa slová „odseku 20“ nahrádzajú slovami „odseku 19“.
- V § 7 ods. 29 sa číslo „32“ nahrádza číslom „31“.
- V § 7 ods. 30 sa číslo „30“ nahrádza číslom „29“.
- V § 7 ods. 31 úvodnej vete sa slová „30 a 31“ nahrádzajú slovami „29 a 30“.
- V § 7 ods. 33 úvodnej vete sa slová „35, 36 a 38“ nahrádzajú slovami „34, 35 a 37“ a číslo „33“ sa nahrádza číslom „32“.
- V § 7 ods. 34 až 38 sa číslo „34“ nahrádza číslom „33“.
- V § 7 ods. 38 sa číslo „26“ nahrádza číslom „25“.
- V § 7 ods. 40 sa slová „20 až 40“ nahrádzajú slovami „19 až 39“ a slová „17 až 19“ sa nahrádzajú slovami „16 až 18“.
- V § 7 ods. 41 písm. a) sa slová „25 a 32“ nahrádzajú slovami „24 a 31“.
- V § 11 ods. 2 sa slová „20 až 43“ nahrádzajú slovami „19 až 42“.
- V § 20a ods. 3 písm. b) sa pred slová „zakladateľská listina“ vkladajú slová „informácia a preukázanie totožnosti podľa osobitného predpisu,32b)“.
- V § 20a ods. 3 písm. h) a § 20b ods. 5 písm. e) sa slová „16 až 18“ nahrádzajú slovami „15 až 17“.
- V § 24 ods. 1 sa slová „17 až 43“ nahrádzajú slovami „16 až 42“.
- V § 24 ods. 6 písm. b) sa slová „meno, priezvisko, adresu trvalého pobytu, štátnu príslušnosť a dátum narodenia“ nahrádzajú slovami „informácia a preukázanie totožnosti podľa osobitného predpisu32b)“.
- V § 24 ods. 7 písm. h) sa slová „17 až 19“ nahrádzajú slovami „16 až 18“.
K čl. XIV
Článok upravuje navrhovaný termín účinnosti zákona, a to 25. máj 2018.Čl. XV
Zákon č. 39/2015 Z. z. o poisťovníctve a o zmene a doplnení niektorých zákonov v znení zákona č. 359/2015 Z. z., zákona č. 437/2015 Z. z., zákona č. 125/2016 Z. z., zákona č. 292/2016 Z. z., zákona č. 339/2016 Z. z. a zákona č. 282/2017 Z. z. sa mení takto: V § 72 sa vypúšťa odsek 13. Doterajší odsek 14 sa označuje ako odsek 13.Čl. XVI
Tento zákon nadobúda účinnosť 25. mája 2018. prezident Slovenskej republiky predseda Národnej rady Slovenskej republiky predseda vlády Slovenskej republikyPríloha
k zákonu č. …/2017 Z. z.
ZOZNAM PREBERANÝCH PRÁVNE ZÁVäZNÝCH AKTOV EURÓPSKEJ ÚNIE Smernica Európskeho parlamentu a Rady (EÚ) 2016/680 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov príslušnými orgánmi na účely predchádzania trestným činom, ich vyšetrovania, odhaľovania alebo stíhania alebo na účely výkonu trestných sankcií a o voľnom pohybe takýchto údajov a o zrušení rámcového rozhodnutia Rady 2008/977/SVV (Ú. v. EÚ L 119, [1]) § 57 ods. 2 zákona č. 351/2011 Z. z. o elektronických komunikáciách v znení neskorších predpisov. [2]) Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 4.5.2016). [3]) § 17 ods. 9 zákona Národnej rady Slovenskej republiky č. 46/1993 Z. z. o Slovenskej informačnej službe v znení zákona č. 192/2011 Z. z. [4]) §17 ods. 6 zákona Národnej rady Slovenskej republiky č. 198/1994 Z. z. o Vojenskom spravodajstve v znení zákona č. 444/2015 Z. z.- 14 ods. 7 zákona č. 281/2015 Z. z. o štátnej službe profesionálnych vojakov a o zmene a doplnení niektorých zákonov.
- 112 zákona č. 55/2017 Z. z.