428/2002 Z. z.
Časová verzia predpisu účinná od 01.01.2004 do 31.12.2004
428
ZÁKON
z 3. júla 2002
o ochrane osobných údajov
Národná rada Slovenskej republiky sa uzniesla na tomto zákone:
PRVÁ ČASŤ | ZÁKLADNÉ USTANOVENIA
Predmet a pôsobnosť zákona
§1
(1)
Tento zákon upravuje
a)
ochranu osobných údajov fyzických osôb pri ich spracúvaní,
b)
zásady spracúvania osobných údajov,
c)
bezpečnosť osobných údajov,
d)
ochranu práv dotknutých osôb,
e)
cezhraničný tok osobných údajov,
f)
registráciu a evidenciu informačných systémov,
g)
zriadenie, postavenie a pôsobnosť Úradu na ochranu osobných údajov (ďalej len „úrad").
(2)
Tento zákon sa vzťahuje na orgány štátnej správy, orgány územnej samosprávy, iné orgány verejnej moci, ako aj na ostatné právnické osoby a fyzické osoby, ktoré spracúvajú osobné údaje, určujú účel a prostriedky spracúvania alebo poskytujú osobné údaje na spracúvanie.
§2
(1)
Tento zákon sa nevzťahuje na ochranu osobných údajov spracúvaných fyzickou osobou v rámci výlučne osobných alebo domácich činností.
(2)
Ak osobné údaje spracúva orgán štátnej správy alebo iný štátny orgán a ich spracúvanie je nevyhnutné na zabezpečenie dôležitého záujmu štátu, pričom túto nevyhnutnosť výslovne ustanovuje osobitný zákon1) v oblasti
a)
vnútorného poriadku a bezpečnosti,
b)
obrany,
c)
ochrany utajovaných skutočností,
d)
trestného stíhania alebo súdneho konania,
e)
ochrany ekonomického alebo finančného záujmu štátu vrátane menových, rozpočtových a daňových záležitostí, alebo
f)
ochrany dotknutej osoby alebo práv a slobôd iných osôb vo veciach uvedených v písmenách a) až e),
ustanovenia § 5 ods. 4, § 6 ods. 3 a 4, § 7 ods. 1, 6, 11 až 13, § 10 ods. 1 a 8, § 11 až 14, § 15 ods. 4 a 5, § 16, § 18 ods. 1 a 2, § 20 ods. 1, § 23 ods. 1 až 7, § 25 až 28 a § 32 tohto zákona sa nepoužijú.
Vymedzenie niektorých pojmov
§3 Osobné údaje
Osobnými údajmi sú údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby, pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu.
§4
(1)
Na účely tohto zákona sa ďalej rozumie
a)
spracúvaním osobných údajov vykonávanie akýchkoľvek operácií alebo súboru operácií s osobnými údajmi, napr. ich získavanie, zhromažďovanie, zaznamenávanie, usporadúvanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, preskupovanie, kombinovanie, premiestňovanie, využívanie, uchovávanie, likvidácia, ich prenos, poskytovanie, sprístupňovanie alebo zverejňovanie,
b)
poskytovaním osobných údajov odovzdávanie osobných údajov na spracúvanie inej právnickej osobe, fyzickej osobe, prípadne subjektu v cudzine s výnimkou dotknutej osoby, vlastného prevádzkovateľa, sprostredkovateľa alebo oprávnenej osoby,
c)
sprístupňovaním osobných údajov oznámenie osobných údajov alebo umožnenie prístupu k nim inej právnickej osobe, fyzickej osobe, prípadne subjektu v cudzine s výnimkou dotknutej osoby, vlastného prevádzkovateľa, sprostredkovateľa alebo oprávnenej osoby,
d)
zverejňovaním osobných údajov publikovanie, uverejnenie alebo vystavenie osobných údajov na verejnosti prostredníctvom masovokomunikačných prostriedkov, verejne prístupných počítačových sietí, verejným vykonaním alebo vystavením diela,2) verejným vyhlásením, uvedením vo verejnom zozname, v registri alebo v operáte,3) ich umiestnením na úradnej tabuli alebo na inom verejne prístupnom mieste,
e)
likvidáciou osobných údajov zrušenie osobných údajov rozložením, vymazaním alebo fyzickým zničením hmotných nosičov tak, aby sa z nich osobné údaje nedali reprodukovať,
f)
blokovaním osobných údajov uvedenie osobných údajov do takého stavu, v ktorom sú neprístupné a je zabránené akejkoľvek manipulácii s nimi,
g)
informačným systémom akýkoľvek súbor, sústava alebo databáza obsahujúca jeden alebo viac osobných údajov, ktoré sú spracúvané na dosiahnutie účelu podľa osobitných organizačných podmienok s použitím automatizovaných alebo neautomatizovaných prostriedkov spracúvania, napr. kartotéka, zoznam, register, operát, záznam alebo sústava obsahujúca spisy, doklady, zmluvy, potvrdenia, posudky, hodnotenia, testy,
h)
účelom spracúvania osobných údajov vopred jednoznačne vymedzený alebo ustanovený zámer spracúvania osobných údajov, ktorý sa viaže na určitú činnosť,
i)
súhlasom dotknutej osoby akýkoľvek slobodne daný výslovný a zrozumiteľný prejav vôle, ktorým dotknutá osoba vyjadruje súhlas so spracúvaním svojich osobných údajov,
j)
cezhraničným tokom osobných údajov prenos osobných údajov mimo územia Slovenskej republiky subjektom so sídlom alebo s trvalým pobytom v cudzine alebo ich výmena s týmito subjektmi,
k)
anonymizovaným údajom osobný údaj upravený do takej formy, v ktorej ho nemožno priradiť dotknutej osobe, ktorej sa týka,
l)
adresou súbor údajov o pobyte fyzickej osoby, do ktorého patria názov ulice, orientačné, prípadne súpisné číslo domu, názov obce, prípadne názov časti obce, poštové smerovacie číslo, názov okresu, názov štátu,
m)
všeobecne použiteľným identifikátorom trvalý identifikačný osobný údaj dotknutej osoby, ktorý zabezpečuje jej jednoznačnosť v informačných systémoch,
n)
biometrickým údajom osobný údaj fyzickej osoby, na základe ktorého je jednoznačne a nezameniteľne určiteľná, napr. odtlačok prsta, odtlačok dlane, analýza deoxyribonukleovej kyseliny, profil deoxyribonukleovej kyseliny,
o)
auditom bezpečnosti informačného systému nezávislé odborné posúdenie spoľahlivosti a celkovej bezpečnosti informačného systému z hľadiska zabezpečenia dôvernosti, integrity a dostupnosti spracúvaných osobných údajov.
(2)
Prevádzkovateľom je orgán štátnej správy, orgán územnej samosprávy, iný orgán verejnej moci alebo iná právnická osoba alebo fyzická osoba, ktorá určuje účel a prostriedky spracúvania. Ak účel a prostriedky spracúvania osobných údajov ustanovuje osobitný zákon, prevádzkovateľom je ten, koho ustanoví zákon alebo kto splní zákonom ustanovené podmienky.
(3)
Sprostredkovateľom je orgán štátnej správy, orgán územnej samosprávy, iný orgán verejnej moci alebo iná právnická osoba alebo fyzická osoba, ktorá spracúva osobné údaje v mene prevádzkovateľa.
(4)
Oprávnenou osobou je každá fyzická osoba, ktorá prichádza do styku s osobnými údajmi v rámci svojho pracovného pomeru alebo obdobného pracovného vzťahu, štátnozamestnaneckého pomeru alebo v rámci výkonu verejnej funkcie, ktorá môže osobné údaje spracúvať len na základe pokynu prevádzkovateľa alebo sprostredkovateľa, ak osobitný zákon neustanovuje inak.
(5)
Dotknutou osobou je každá fyzická osoba, o ktorej sa spracúvajú osobné údaje.
(6)
Užívateľom je právnická osoba, fyzická osoba, prípadne subjekt v cudzine, ktorému sú sprístupnené osobné údaje z informačného systému.
DRUHÁ ČASŤ | PRÁVA, POVINNOSTI A ZODPOVEDNOSŤ PRI SPRACÚVANÍ OSOBNÝCH ÚDAJOV
PRVÁ HLAVA
ZÁSADY SPRACÚVANIA OSOBNÝCH ÚDAJOV
§5 Prevádzkovateľ a sprostredkovateľ
(1)
Osobné údaje môže spracúvať iba prevádzkovateľ a sprostredkovateľ.
(2)
Sprostredkovateľ je oprávnený spracúvať osobné údaje len v rozsahu a za podmienok dojednaných s prevádzkovateľom v písomnej zmluve alebo v písomnom poverení.
(3)
Prevádzkovateľ dbá pri výbere sprostredkovateľa najmä na jeho záruky, pokiaľ ide o opatrenia v oblasti technickej, organizačnej a personálnej bezpečnosti (§ 15 ods. 1). Prevádzkovateľ nesmie zveriť spracúvanie osobných údajov sprostredkovateľovi, ak by tým mohli byť ohrozené práva a právom chránené záujmy dotknutých osôb.
(4)
Ak prevádzkovateľ poveril spracúvaním sprostredkovateľa až po získaní osobných údajov, oznámi to dotknutým osobám pri najbližšom kontakte s nimi, najneskôr však do troch mesiacov od poverenia sprostredkovateľa. To platí aj vtedy, ak spracúvanie osobných údajov prevezme iný prevádzkovateľ.
(5)
Prevádzkovateľom a sprostredkovateľom môže byť iba ten, kto má sídlo alebo trvalý pobyt na území Slovenskej republiky.
§6 Účel spracúvania osobných údajov
(1)
Ak účel spracúvania osobných údajov neustanovuje osobitný zákon, prevádzkovateľ pred začatím spracúvania jednoznačne vymedzí účel a zabezpečí, aby sa nespracúvali osobné údaje, ktoré
a)
svojím rozsahom a obsahom sú nezlučiteľné s daným účelom spracúvania, pričom ďalšie spracúvanie osobných údajov na historické, štatistické a vedecké účely sa nepovažuje za nezlučiteľné, alebo
b)
sú časovo alebo vecne neaktuálne vo vzťahu k účelu spracúvania.
(2)
Účel spracúvania osobných údajov musí byť jasný a nesmie byť v rozpore so zákonmi.
(3)
Spracúvať možno len také osobné údaje, ktoré svojím rozsahom a obsahom zodpovedajú účelu ich spracúvania. Spôsob spracúvania a využívania osobných údajov musí zodpovedať účelu ich spracúvania.
(4)
Od dotknutej osoby možno vyžadovať len také osobné údaje, ktoré sú nevyhnutné na dosiahnutie účelu spracúvania. K takýmto osobným údajom môže prevádzkovateľ alebo sprostredkovateľ priradiť ďalšie osobné údaje dotknutej osoby, ktoré bezprostredne súvisia s daným účelom spracúvania, len ak na ne dotknutú osobu upozorní a táto s tým písomne súhlasí. Tento súhlas si prevádzkovateľ ani sprostredkovateľ nesmú vynucovať a ani podmieňovať hrozbou odmietnutia zmluvného vzťahu, služby, tovaru alebo povinnosti ustanovenej prevádzkovateľovi alebo sprostredkovateľovi zákonom.
(5)
V prípade pochybnosti o tom, či spracúvané osobné údaje svojím rozsahom, obsahom a spôsobom spracúvania alebo využívania zodpovedajú účelu ich spracúvania, či sú s daným účelom spracúvania zlučiteľné alebo časovo a vecne neaktuálne vo vzťahu k tomuto účelu, rozhodne úrad. Stanovisko úradu je záväzné.
§7 Súhlas dotknutej osoby
(1)
Osobné údaje možno spracúvať iba so súhlasom dotknutej osoby. Prevádzkovateľ zabezpečí preukázateľnosť súhlasu, a to tak, že možno o ňom podať dôkaz.
(2)
Dôkaz o preukázateľnom súhlase obsahuje najmä údaj o tom, kto súhlas poskytol, komu sa tento súhlas dáva, na aký účel, zoznam osobných údajov, dobu platnosti súhlasu a podmienky jeho odvolania. Súhlas daný v písomnej forme je bez vlastnoručného podpisu toho, kto súhlas dáva, neplatný. Na tento účel pre dokument v elektronickej forme možno použiť elektronický podpis podľa osobitného zákona.
(3)
Súhlas podľa odseku 1 sa nevyžaduje, ak sa osobné údaje spracúvajú na základe osobitného zákona,4) ktorý ustanovuje zoznam osobných údajov, účel ich spracúvania, podmienky ich získavania a okruh dotknutých osôb.
(4)
Súhlas podľa odseku 1 sa nevyžaduje aj vtedy, ak
a)
sa spracúvajú osobné údaje bez možnosti ich poskytovania a sprístupňovania výlučne na účely tvorby vedeckých, umeleckých alebo literárnych diel, pre potreby informovania verejnosti masovokomunikačnými prostriedkami, ako aj na historické alebo vedecké účely a ak spracúvanie vykonáva prevádzkovateľ, ktorému to vyplýva z predmetu jeho činnosti,
b)
sa spracúvané osobné údaje využijú na štatistické účely; v týchto prípadoch treba osobné údaje anonymizovať,
c)
spracúvanie osobných údajov je nevyhnutné na ochranu životne dôležitých záujmov dotknutej osoby, ktorá nemá spôsobilosť na právne úkony alebo je fyzicky nespôsobilá na vydanie súhlasu, a ak nemožno získať súhlas jej zákonného zástupcu,
d)
predmetom spracúvania sú výlučne titul, meno, priezvisko a adresa dotknutej osoby bez možnosti priradiť k nim ďalšie jej osobné údaje a ich využitie je určené výhradne pre potreby prevádzkovateľa v poštovom styku s dotknutou osobou a evidencie týchto údajov; ak je predmetom činnosti prevádzkovateľa priamy marketing, uvedené osobné údaje môže poskytovať bez možnosti ich sprístupňovania a zverejňovania len vtedy, ak sa poskytujú inému prevádzkovateľovi, ktorý má rovnaký predmet činnosti výhradne na účely priameho marketingu, a dotknutá osoba písomne neuplatnila námietku podľa § 20 ods. 3 písm. c), alebo
e)
sa spracúvajú už zverejnené osobné údaje; v týchto prípadoch treba osobné údaje náležite označiť.
(5)
Iná ako dotknutá osoba, s výnimkou osôb podľa odsekov 8 a 9, môže poskytnúť do informačného systému osobné údaje o dotknutej osobe len s jej písomným súhlasom. To neplatí, ak je to nevyhnutné na plnenie úloh orgánov činných v trestnom konaní alebo sa osobné údaje poskytujú do informačného systému na základe osobitného zákona,5) ktorý ustanovuje zoznam osobných údajov, účel ich spracúvania a podmienky ich poskytovania.
(6)
Spracúvané osobné údaje o dotknutej osobe možno z informačného systému poskytnúť, sprístupniť alebo zverejniť len s jej písomným súhlasom. To neplatí, ak je to nevyhnutné na plnenie úloh orgánov činných v trestnom konaní, alebo ak sa osobné údaje poskytujú, sprístupňujú alebo zverejňujú z informačného systému na základe osobitného zákona,6) ktorý ustanovuje zoznam osobných údajov, účel a podmienky poskytovania, sprístupňovania alebo zverejňovania osobných údajov, ako aj právnické osoby, fyzické osoby, prípadne subjekty v cudzine, ktorým sa osobné údaje poskytujú alebo sprístupňujú.
(7)
Ten, kto mieni zverejniť osobné údaje dotknutej osoby, nesmie svojím konaním neoprávnene zasahovať do práva na ochranu jej osobnosti a súkromia; ich zverejnenie nesmie byť v rozpore s oprávnenými záujmami dotknutej osoby.7)
(8)
(9)
Ak dotknutá osoba nežije, súhlas vyžadovaný podľa tohto zákona môže poskytnúť jej blízka osoba.10) Súhlas nie je platný, ak čo len jedna blízka osoba písomne vyslovila nesúhlas.
(10)
Ak sú spracúvané osobné údaje súčasťou platnej zmluvy, ktorej jednou zo strán je dotknutá osoba a ktorá obsahuje náležitosti podľa odseku 2, podpis dotknutej osoby na zmluve vyjadruje súčasne písomný súhlas so spracúvaním jej osobných údajov.
(11)
Osobné údaje dotknutej osoby možno poskytnúť z informačného systému inej právnickej osobe, fyzickej osobe, prípadne subjektu v cudzine len spolu s písomným dokladom o danom súhlase, ak tento zákon takýto súhlas vyžaduje; ten, kto osobné údaje takto poskytuje, môže písomný doklad o danom súhlase nahradiť písomným vyhlásením prevádzkovateľa o udelení súhlasu dotknutými osobami, ak prevádzkovateľ vie preukázať, že písomný súhlas dotknutých osôb bol daný.
(12)
Osobné údaje podľa odseku 4 písm. c) a podľa § 9 ods. 1 písm. b) možno spracúvať bez súhlasu dotknutej osoby len po dobu, kým nezaniknú dôvody, ktoré neumožňovali získať súhlas dotknutej osoby. Ak dôvody zanikli, ten kto osobné údaje spracúva, zabezpečí súhlas dotknutej osoby.
(13)
Ten, kto tvrdí, že spracúva zverejnené osobné údaje, na požiadanie preukáže úradu, že spracúvané osobné údaje boli už zverejnené.
(14)
Užívateľ môže sprístupnené osobné údaje o dotknutej osobe spracúvať len pre vlastnú potrebu výlučne v rámci osobných alebo domácich činností.
§8 Osobitné kategórie osobných údajov
(1)
Spracúvať osobné údaje, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženskú vieru alebo svetonázor, členstvo v politických stranách alebo politických hnutiach, členstvo v odborových organizáciách a údaje týkajúce sa zdravia alebo pohlavného života, sa zakazuje.
(2)
Pri spracúvaní osobných údajov možno využiť na účely určenia fyzickej osoby všeobecne použiteľný identifikátor ustanovený osobitným zákonom11) len vtedy, ak jeho použitie je nevyhnutné na dosiahnutie daného účelu spracúvania. Spracúvať iný identifikátor, ktorý v sebe skrýva charakteristiky dotknutej osoby, alebo zverejňovať všeobecne použiteľný identifikátor sa zakazuje.
(3)
Spracúvanie osobných údajov o porušení ustanovení predpisov trestného práva, priestupkového práva alebo občianskeho práva, ako aj o výkone právoplatných rozsudkov alebo rozhodnutí môže vykonávať len ten, komu to umožňuje osobitný zákon.12)
(4)
Spracúvanie biometrických údajov možno vykonávať len za podmienok ustanovených v osobitnom zákone, ak
a)
to prevádzkovateľovi vyplýva výslovne zo zákona, alebo
b)
na spracúvanie dala písomný súhlas dotknutá osoba.
(5)
Spracúvanie osobných údajov o psychickej identite fyzickej osoby alebo o jej psychickej pracovnej spôsobilosti môže vykonávať len psychológ alebo ten, komu to umožňuje osobitný zákon.13)
§9 Výnimky z obmedzení pri spracúvaní osobitných kategórií osobných údajov
(1)
Zákaz spracúvania osobných údajov ustanovený v § 8 ods. 1 neplatí, ak dotknutá osoba dala písomný súhlas na ich spracúvanie alebo ak
a)
spracúvanie vyžaduje osobitný zákon, ktorý ustanovuje zoznam osobných údajov, účel ich spracúvania, podmienky ich získavania a okruh dotknutých osôb, alebo
b)
spracúvanie je nevyhnutné na ochranu životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby, ktorá nemá spôsobilosť na právne úkony alebo je fyzicky nespôsobilá na vydanie písomného súhlasu, a ak nemožno získať písomný súhlas jej zákonného zástupcu, alebo
c)
spracúvanie vykonáva v rámci oprávnenej činnosti občianske združenie, nadácia alebo nezisková organizácia poskytujúca všeobecne prospešné služby, politická strana alebo politické hnutie, odborová organizácia, štátom uznaná cirkev alebo náboženská spoločnosť a toto spracúvanie sa týka iba ich členov, ktorí sú s nimi vzhľadom na ich ciele v pravidelnom styku, a osobné údaje slúžia výlučne pre ich vnútornú potrebu, alebo
d)
spracúvanie sa týka osobných údajov, ktoré dotknutá osoba zverejnila alebo sú nevyhnutné pri uplatňovaní jej právneho nároku, alebo
e)
spracúvanie sa požaduje na účely preventívnej medicíny, lekárskej diagnostiky, nemocenského poistenia a dôchodkového zabezpečenia, poskytovania liečebnej starostlivosti alebo zdravotníckej starostlivosti a ak tieto údaje spracúva zdravotnícke zariadenie, zdravotná poisťovňa alebo Sociálna poisťovňa.
(2)
Písomný súhlas dotknutej osoby daný podľa odseku 1 je neplatný, ak jeho poskytnutie vylučuje osobitný zákon.
(3)
Ustanovenie § 8 ods. 4 sa nepoužije, ak sa spracúvajú biometrické údaje s výnimkou analýzy deoxyribonukleovej kyseliny a profilu deoxyribonukleovej kyseliny dotknutých osôb na účely evidencie vstupu alebo prístupu do vyhradených priestorov a ak ide výlučne o vnútornú potrebu prevádzkovateľa.
§10 Získavanie osobných údajov
(1)
Oprávnená osoba, ktorá získava osobné údaje v mene prevádzkovateľa alebo sprostredkovateľa, preukáže na požiadanie tomu, od koho osobné údaje dotknutej osoby požaduje, svoju totožnosť a bez vyzvania mu vopred oznámi
a)
názov a sídlo alebo trvalý pobyt prevádzkovateľa; ak v mene prevádzkovateľa koná sprostredkovateľ, aj jeho názov a sídlo alebo trvalý pobyt,
b)
účel spracúvania osobných údajov vymedzený prevádzkovateľom alebo ustanovený osobitným zákonom; je vylúčené získavať osobné údaje pod zámienkou iného účelu alebo inej činnosti,
c)
dobrovoľnosť alebo povinnosť poskytovať požadované osobné údaje,
d)
zákon, ktorý ustanovuje povinnosť poskytnúť požadované osobné údaje a následky odmietnutia poskytnúť osobné údaje,
e)
okruh užívateľov, ktorým budú osobné údaje sprístupnené,
f)
právnické osoby, fyzické osoby, prípadne subjekty v cudzine, ktorým budú osobné údaje poskytnuté,
g)
formu zverejnenia, ak majú byť osobné údaje zverejnené,
h)
krajiny cezhraničného toku osobných údajov.
(2)
Oprávnená osoba, ktorá v mene prevádzkovateľa alebo sprostredkovateľa získava osobné údaje podľa odseku 1 písm. d), preukáže sa oprávnením na túto činnosť, ak to nevyplýva zo zákona.
(3)
Oprávnenie na získavanie osobných údajov vydáva prevádzkovateľ alebo sprostredkovateľ.
(4)
Prevádzkovateľ, ktorý získava osobné údaje na účely identifikácie fyzickej osoby pri jej jednorazovom vstupe do jeho priestorov, je oprávnený od nej požadovať meno, priezvisko, titul a číslo občianskeho preukazu14) alebo číslo služobného preukazu, alebo číslo cestovného dokladu,15) štátnu príslušnosť a preukázanie pravdivosti poskytnutých osobných údajov predkladaným dokladom. Ak sa fyzická osoba preukáže podľa osobitného zákona,16) je prevádzkovateľ oprávnený od nej požadovať len evidenčné číslo služobného preukazu. V týchto prípadoch sa odsek 1 nepoužije.
(5)
Prevádzkovateľ alebo sprostredkovateľ, ktorý v priestoroch prístupných verejnosti získava, poskytuje alebo sprístupňuje osobné údaje, zabezpečí diskrétnosť pri ich spracúvaní.
(6)
Získavať osobné údaje nevyhnutné na dosiahnutie účelu spracúvania kopírovaním, skenovaním alebo iným zaznamenávaním úradných dokladov na nosič informácií možno len vtedy, ak s tým dotknutá osoba písomne súhlasí alebo ak to osobitný zákon výslovne umožňuje bez súhlasu dotknutej osoby.17) Súhlas dotknutej osoby si prevádzkovateľ ani sprostredkovateľ nesmú vynucovať ani podmieňovať hrozbou odmietnutia zmluvného vzťahu, služby, tovaru alebo povinnosti ustanovenej prevádzkovateľovi alebo sprostredkovateľovi zákonom.
(7)
Priestor prístupný verejnosti možno monitorovať pomocou videozáznamu alebo audiozáznamu len na účely verejného poriadku a bezpečnosti, odhaľovania kriminality alebo narušenia bezpečnosti štátu, a to len vtedy, ak priestor je zreteľne označený ako monitorovaný. Označenie monitorovaného priestoru sa nevyžaduje, ak tak ustanovuje osobitný zákon. Vyhotovený záznam možno využiť len na účely trestného konania alebo konania o priestupkoch, ak osobitný zákon neustanovuje inak.
(8)
Prevádzkovateľ, ktorý získa osobné údaje uvedené v § 7 ods. 4 písm. d) bez vedomia dotknutej osoby alebo priamo od nej, poskytne jej pri prvom kontakte informácie podľa odseku 1 a ak sú spracúvané na účely priameho marketingu, oboznámi ju aj s právom písomne namietať proti ich poskytovaniu a využívaniu v poštovom styku.
(9)
Prevádzkovatelia, ktorých predmetom činnosti je priamy marketing, vedú zoznam poskytnutých osobných údajov podľa § 7 ods. 4 písm. d) v rozsahu meno, priezvisko, titul a adresa dotknutej osoby, dátum ich poskytnutia, prípadne dátum, od ktorého platí zákaz ich ďalšieho poskytovania podľa § 13 ods. 6, a názov právnickej osoby alebo fyzickej osoby, ktorej boli uvedené osobné údaje poskytnuté. Zoznam v rovnakom rozsahu vedú aj právnické osoby a fyzické osoby, ktorým boli tieto osobné údaje poskytnuté.
§11 Pravdivosť osobných údajov
Do informačného systému možno poskytnúť len pravdivé osobné údaje. Za nepravdivosť osobných údajov zodpovedá ten, kto ich do informačného systému poskytol.
§12 Správnosť a aktuálnosť osobných údajov
(1)
Správnosť a aktuálnosť osobných údajov zabezpečuje prevádzkovateľ. Za správny sa považuje taký osobný údaj, ktorý sa poskytol v súlade s § 11.
(2)
Na účel správnosti a aktuálnosti osobných údajov prevádzkovateľ zabezpečí opravu alebo doplnenie tých osobných údajov, ktoré sa v priebehu spracúvania stanú neaktuálnymi, alebo sa preukáže, že sú nesprávne.
§13 Likvidácia osobných údajov
(1)
Prevádzkovateľ po splnení účelu spracúvania zabezpečí bezodkladne likvidáciu osobných údajov.
(2)
Prevádzkovateľ zabezpečí bezodkladne likvidáciu osobných údajov okrem osobných údajov uvedených v § 7 ods. 4 písm. d) aj vtedy, ak
a)
zanikli dôvody, ktoré neumožňovali získať súhlas dotknutej osoby (§ 7 ods. 12), a súhlas nebol daný, alebo
b)
dotknutá osoba uplatní námietku podľa § 20 ods. 3 písm. a); ďalej prevádzkovateľ postupuje podľa odseku 5.
(3)
Odsek 1 sa nepoužije, ak
a)
osobitný zákon ustanovuje lehotu,18) ktorá neumožňuje osobné údaje bezodkladne zlikvidovať; prevádzkovateľ zabezpečí likvidáciu osobných údajov bezodkladne po uplynutí zákonom ustanovenej lehoty,
b)
sú osobné údaje súčasťou archívnych dokumentov,19)
c)
sa písomný, obrazový, zvukový alebo iný záznam obsahujúci osobné údaje zaradí do predarchívnej starostlivosti;20) počas predarchívnej starostlivosti sa nesmú vykonávať žiadne operácie spracúvania s osobnými údajmi s výnimkou ich uchovávania a využiť ich možno len na účely občianskoprávneho konania, trestného konania alebo správneho konania.
(4)
Úschovné lehoty písomných, obrazových, zvukových a iných záznamov, ktoré obsahujú osobné údaje a sú zaradené do predarchívnej starostlivosti, možno stanoviť len na dobu nevyhnutnú na uplatnenie práv alebo povinností ustanovených zákonom.21)
(5)
Ak dotknutá osoba uplatní námietku podľa § 20 ods. 3 písm. b), prevádzkovateľ bezodkladne skončí využívanie osobných údajov uvedených v § 7 ods. 4 písm. d) v poštovom styku.
(6)
Ak dotknutá osoba uplatní námietku podľa § 20 ods. 3 písm. c), prevádzkovateľ to bezodkladne písomne oznámi každému, komu osobné údaje uvedené v § 7 ods. 4 písm. d) poskytol; zákaz ďalšieho poskytovania tu uvedených osobných údajov platí pre prevádzkovateľa a každého, komu ich prevádzkovateľ poskytol odo dňa nasledujúceho po dni doručenia námietky dotknutej osoby, prípadne doručenia písomného oznámenia prevádzkovateľa.
(7)
Ak vyhotovený záznam podľa § 10 ods. 7 nie je využitý na účely trestného konania alebo konania o priestupkoch, ten, kto ho vyhotovil, ho zlikviduje najneskôr v lehote siedmich dní odo dňa nasledujúceho po dni, v ktorom bol záznam vyhotovený, ak osobitný zákon neustanovuje inak.
(8)
Prevádzkovateľ zabezpečí likvidáciu tých osobných údajov, ktoré sa nedajú opraviť alebo doplniť tak, aby boli správne a aktuálne (§ 12 ods. 2).
§14 Oznámenie o vykonaní opravy alebo likvidácie
(1)
Opravu alebo likvidáciu osobných údajov oznámi prevádzkovateľ do 30 dní od ich vykonania dotknutej osobe a každému, komu ich poskytol.
(2)
Od oznámenia možno upustiť, ak sa neoznámením opravy alebo likvidácie osobných údajov neporušia práva dotknutej osoby.
DRUHÁ HLAVA
BEZPEČNOSŤ OSOBNÝCH ÚDAJOV
§15 Zodpovednosť za bezpečnosť osobných údajov
(1)
Za bezpečnosť osobných údajov zodpovedá prevádzkovateľ a sprostredkovateľ tým, že ich chráni pred odcudzením, stratou, poškodením, neoprávneným prístupom, zmenou a rozširovaním. Na tento účel prijme primerané technické, organizačné a personálne opatrenia zodpovedajúce spôsobu spracúvania.
(2)
Opatrenia podľa odseku 1 prijme prevádzkovateľ a sprostredkovateľ vo forme bezpečnostného projektu informačného systému (ďalej len „bezpečnostný projekt") a zabezpečí jeho vypracovanie, ak
a)
informačný systém je prepojený na verejne prístupnú počítačovú sieť, alebo je prevádzkovaný v počítačovej sieti, ktorá je prepojená na verejne prístupnú počítačovú sieť,
b)
sú v informačnom systéme spracúvané osobitné kategórie osobných údajov (§ 8), alebo
c)
informačný systém podlieha výnimkám uvedeným v § 2 ods. 2.
(3)
Na požiadanie úradu prevádzkovateľ a sprostredkovateľ preukážu rozsah a obsah prijatých technických, organizačných a personálnych opatrení podľa odseku 1 alebo 2.
(4)
Ak sú predmetom kontroly informačné systémy podľa odseku 2, úrad má právo požadovať od prevádzkovateľa alebo sprostredkovateľa predloženie hodnotiacej správy o výsledku auditu bezpečnosti informačného systému (ďalej len „hodnotiaca správa"), ak sú vážne pochybnosti o jeho bezpečnosti alebo o praktickom uplatňovaní opatrení uvedených v bezpečnostnom projekte. Hodnotiacu správu, nie staršiu ako dva roky, bezodkladne predloží prevádzkovateľ alebo sprostredkovateľ úradu, inak zabezpečí vykonanie auditu bezpečnosti informačného systému na vlastné náklady a predloží hodnotiacu správu najneskôr do troch mesiacov odo dňa uloženia povinnosti.
(5)
Audit bezpečnosti informačného systému môže vykonať iba externá, odborne spôsobilá právnická osoba alebo fyzická osoba, ktorá sa nepodieľala na vypracovaní bezpečnostného projektu predmetného informačného systému, a nie sú pochybnosti o jej nezaujatosti.
§16 Bezpečnostný projekt
(1)
Bezpečnostný projekt vymedzuje rozsah a spôsob technických, organizačných a personálnych opatrení potrebných na eliminovanie a minimalizovanie hrozieb a rizík pôsobiacich na informačný systém z hľadiska narušenia jeho bezpečnosti, spoľahlivosti a funkčnosti.
(2)
Bezpečnostný projekt sa spracúva v súlade so základnými pravidlami bezpečnosti informačného systému vydanými bezpečnostnými štandardmi, právnymi predpismi a medzinárodnými zmluvami, ktorými je Slovenská republika viazaná.
(3)
Bezpečnostný projekt obsahuje najmä
a)
bezpečnostný zámer,
b)
analýzu bezpečnosti informačného systému,
c)
bezpečnostné smernice.
(4)
Bezpečnostný zámer vymedzuje základné bezpečnostné ciele, ktoré je potrebné dosiahnuť na ochranu informačného systému pred ohrozením jeho bezpečnosti, a obsahuje najmä
a)
formuláciu základných bezpečnostných cieľov a minimálne požadovaných bezpečnostných opatrení,
b)
špecifikáciu technických, organizačných a personálnych opatrení na zabezpečenie ochrany osobných údajov v informačnom systéme a spôsob ich využitia,
c)
vymedzenie okolia informačného systému a jeho vzťah k možnému narušeniu bezpečnosti,
d)
vymedzenie hraníc určujúcich množinu zvyškových rizík.
(5)
Analýza bezpečnosti informačného systému je podrobný rozbor stavu bezpečnosti informačného systému, ktorá obsahuje najmä
a)
kvalitatívnu analýzu rizík, v rámci ktorej sa identifikujú hrozby pôsobiace na jednotlivé aktíva informačného systému spôsobilé narušiť jeho bezpečnosť alebo funkčnosť; výsledkom kvalitatívnej analýzy rizík je zoznam hrozieb, ktoré môžu ohroziť dôvernosť, integritu a dostupnosť spracúvaných osobných údajov, s uvedením rozsahu možného rizika, návrhov opatrení, ktoré eliminujú alebo minimalizujú vplyv rizík, a s vymedzením súpisu nepokrytých rizík,
b)
použitie bezpečnostných štandardov a určenie iných metód a prostriedkov ochrany osobných údajov; súčasťou analýzy bezpečnosti informačného systému je posúdenie zhody navrhnutých bezpečnostných opatrení s použitými bezpečnostnými štandardmi, metódami a prostriedkami.
(6)
Bezpečnostné smernice upresňujú a aplikujú závery vyplývajúce z bezpečnostného projektu na konkrétne podmienky prevádzkovaného informačného systému a obsahujú najmä
a)
popis technických, organizačných a personálnych opatrení vymedzených v bezpečnostnom projekte a ich využitie v konkrétnych podmienkach,
b)
rozsah oprávnení a popis povolených činností jednotlivých oprávnených osôb, spôsob ich identifikácie a autentizácie pri prístupe k informačnému systému,
c)
rozsah zodpovednosti oprávnených osôb a osoby zodpovednej za dohľad nad ochranou osobných údajov (§ 19),
d)
spôsob, formu a periodicitu výkonu kontrolných činností zameraných na dodržiavanie bezpečnosti informačného systému,
e)
postupy pri haváriách, poruchách a iných mimoriadnych situáciách vrátane preventívnych opatrení na zníženie vzniku mimoriadnych situácií a možností efektívnej obnovy stavu pred haváriou.
§17 Poučenie
Prevádzkovateľ a sprostredkovateľ preukázateľne poučia právnické osoby a fyzické osoby, ktoré majú alebo môžu mať prístup k ich informačnému systému, o právach a povinnostiach ustanovených týmto zákonom a o zodpovednosti za ich porušenie.
§18 Povinnosť mlčanlivosti
(1)
Prevádzkovateľ a sprostredkovateľ sú povinní zachovávať mlčanlivosť o osobných údajoch, ktoré spracúvajú. Povinnosť mlčanlivosti trvá aj po ukončení spracovania. Povinnosť mlčanlivosti nemajú, ak je to podľa osobitného zákona nevyhnutné na plnenie úloh orgánov činných v trestnom konaní; tým nie sú dotknuté ustanovenia osobitných zákonov.22)
(2)
Oprávnená osoba je povinná zachovávať mlčanlivosť o osobných údajoch, s ktorými príde do styku; tie nesmie využiť ani pre osobnú potrebu a bez súhlasu prevádzkovateľa ich nesmie zverejniť a nikomu poskytnúť ani sprístupniť.
(3)
Povinnosť mlčanlivosti podľa odseku 2 platí aj pre iné fyzické osoby, ktoré v rámci svojej činnosti (napr. údržba a servis technických prostriedkov) prídu do styku s osobnými údajmi u prevádzkovateľa alebo sprostredkovateľa.
(4)
Povinnosť mlčanlivosti podľa odseku 2 trvá aj po zániku funkcie oprávnenej osoby alebo po skončení jej pracovného pomeru alebo obdobného pracovného vzťahu, ako aj štátnozamestnaneckého pomeru alebo vzťahu podľa odseku 3.
(5)
Odseky 1 až 4 a ustanovená povinnosť mlčanlivosti prevádzkovateľov, sprostredkovateľov a oprávnených osôb podľa osobitných predpisov23) sa nepoužijú vo vzťahu k úradu pri plnení jeho úloh (§ 38 až 44).
§19 Dohľad nad ochranou osobných údajov
(1)
Za výkon dohľadu nad ochranou osobných údajov spracúvaných podľa tohto zákona zodpovedá prevádzkovateľ.
(2)
Ak prevádzkovateľ zamestnáva viac ako päť osôb, výkonom dohľadu písomne poverí zodpovednú osobu alebo viaceré zodpovedné osoby, ktoré dozerajú na dodržiavanie zákonných ustanovení pri spracúvaní osobných údajov.
(3)
Odborné vyškolenie zodpovednej osoby alebo viacerých zodpovedných osôb zabezpečí prevádzkovateľ. Rozsah odborného školenia zodpovedá najmä obsahu tohto zákona a úlohám z neho vyplývajúcim, ako aj obsahu medzinárodných zmlúv o ochrane osobných údajov,24) ktoré boli vyhlásené spôsobom ustanoveným zákonom. Úrad môže od prevádzkovateľa žiadať podanie dôkazu o vykonanom odbornom školení.
(4)
Zodpovedná osoba posúdi pred začatím spracúvania osobných údajov v informačnom systéme, či ich spracúvaním nevzniká nebezpečenstvo narušenia práv a slobôd dotknutých osôb. Zistenie narušenia práv a slobôd dotknutých osôb pred začatím spracúvania alebo porušenia zákonných ustanovení v priebehu spracúvania osobných údajov zodpovedná osoba bezodkladne písomne oznámi prevádzkovateľovi; ak prevádzkovateľ po upozornení bezodkladne nevykoná nápravu, oznámi to zodpovedná osoba úradu.
TRETIA HLAVA
OCHRANA PRÁV DOTKNUTÝCH OSÔB
§20 Práva dotknutej osoby
(1)
Dotknutá osoba má právo na základe písomnej žiadosti od prevádzkovateľa vyžadovať
a)
informácie o stave spracúvania svojich osobných údajov v informačnom systéme v rozsahu podľa § 26 ods. 3,
b)
presné informácie o zdroji, z ktorého získal osobné údaje spracúvané podľa § 7 ods. 4 písm. d) a e),
c)
odpis jej osobných údajov, ktoré sú predmetom spracúvania,
d)
opravu nesprávnych alebo neaktuálnych osobných údajov v priebehu spracúvania,
e)
likvidáciu jej osobných údajov, ak bol splnený účel ich spracúvania podľa § 13 ods. 1; ak sú predmetom spracúvania úradné doklady obsahujúce osobné údaje, môže požiadať o ich vrátenie,
f)
likvidáciu jej osobných údajov, ktoré sú predmetom spracúvania, ak došlo k porušeniu zákona.
(2)
Právo dotknutej osoby možno obmedziť len podľa odseku 1 písm. d) a e), ak takéto obmedzenie vyplýva z osobitného zákona alebo jeho uplatnením by bola porušená ochrana dotknutej osoby, alebo by boli porušené práva a slobody iných osôb.
(3)
Dotknutá osoba na základe bezplatnej písomnej žiadosti má právo u prevádzkovateľa namietať voči
a)
spracúvaniu jej osobných údajov, o ktorých predpokladá, že sú alebo budú spracúvané na účely priameho marketingu bez jej súhlasu a žiadať ich likvidáciu,
b)
využívaniu osobných údajov uvedených v § 7 ods. 4 písm. d) na účely priameho marketingu v poštovom styku, alebo
c)
poskytovaniu osobných údajov uvedených v § 7 ods. 4 písm. d) na účely priameho marketingu.
(4)
Dotknutá osoba má právo namietať a nepodrobiť sa rozhodnutiu prevádzkovateľa, ktoré by malo pre ňu právne účinky alebo významný dosah, ak sa takéto rozhodnutie vydá výlučne na základe úkonov automatizovaného spracúvania jej osobných údajov. Toto právo možno obmedziť iba v prípade, ak to ustanovuje osobitný zákon,25) v ktorom sú opatrenia na zabezpečenie oprávnených záujmov dotknutej osoby alebo obmedzenie práva vyplýva zo zmluvy uzatvorenej medzi prevádzkovateľom a dotknutou osobou.
(5)
Dotknutá osoba má právo nesúhlasiť s oznámením podľa § 23 ods. 5 a písomne odmietnuť prenos svojich osobných údajov
a)
subjektom so sídlom alebo s trvalým pobytom v cudzine s výnimkou subjektu uvedeného v písmene b), a to aj v prípade, ak cieľová krajina zaručuje primeranú úroveň ochrany, alebo
b)
organizačnej zložke prevádzkovateľa alebo jeho nadriadenému orgánu, ak cieľová krajina nezaručuje primeranú úroveň ochrany a ak prenos možno vykonať len so súhlasom dotknutej osoby.
(6)
Dotknutá osoba pri podozrení, že jej osobné údaje sa neoprávnene spracúvajú, môže podať o tom oznámenie úradu.
(7)
(8)
Ak dotknutá osoba nežije, jej práva, ktoré mala podľa tohto zákona, môže uplatniť blízka osoba.10)
§21 Poskytnutie informácií dotknutej osobe
(1)
Požiadavky dotknutej osoby podľa § 20 ods. 1 písm. a), d) až f) splní prevádzkovateľ bezplatne.
(2)
Informácie podľa § 20 ods. 1 písm. b) a c) prevádzkovateľ poskytne dotknutej osobe bezplatne s výnimkou úhrady vo výške, ktorá nesmie prekročiť výšku materiálnych nákladov spojených so zhotovením kópií, so zadovážením technických nosičov a s odoslaním informácie dotknutej osobe, ak osobitný zákon neustanovuje inak.26)
(3)
Prevádzkovateľ vyhovie požiadavkám dotknutej osoby podľa § 20 a písomne ju informuje najneskoršie do 30 dní od ich prijatia.
§22 Oznámenie o obmedzení práv dotknutej osoby
Obmedzenie práv dotknutej osoby podľa § 20 ods. 1 písm. d) a e) prevádzkovateľ bezodkladne písomne oznámi dotknutej osobe a úradu.
ŠTVRTÁ HLAVA
CEZHRANIČNÝ TOK OSOBNÝCH ÚDAJOV
§23
(1)
Ak cieľová krajina cezhraničného toku osobných údajov zaručuje primeranú úroveň ochrany, prenos osobných údajov subjektom so sídlom alebo s trvalým pobytom v cudzine možno vykonať za predpokladu, že boli splnené podmienky podľa § 10 ods. 1.
(2)
Primeranosť úrovne ochrany osobných údajov sa hodnotí na základe všetkých okolností súvisiacich s prenosom. Osobitne sa pritom posudzujú príslušné právne predpisy v cieľovej krajine vo vzťahu k povahe osobných údajov, účel a trvanie ich spracúvania.
(3)
Ak neboli splnené podmienky podľa § 10 ods. 1, prenos podľa odseku 1 možno vykonať len za predpokladu, že
a)
ide o prenos osobných údajov spracúvaných podľa § 7 ods. 4 písm. d); to platí len vtedy, ak je subjektom organizačná zložka prevádzkovateľa alebo jeho nadriadený orgán, ktorý neposkytne ani nesprístupní tieto osobné údaje v cieľovej krajine inému subjektu s výnimkou takého, ktorý ich spracúva v mene prevádzkovateľa,
b)
je prenos ustanovený osobitným zákonom, alebo
c)
prenos vyplýva z medzinárodnej zmluvy, ktorou je Slovenská republika viazaná.
(4)
V prípade, že cieľová krajina nezaručuje primeranú úroveň ochrany, možno prenos vykonať pod podmienkou, že
a)
dotknutá osoba dala naň písomný súhlas s vedomím, že cieľová krajina nezaručuje primeranú úroveň ochrany,
b)
je nevyhnutný na plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom alebo na zavedenie predzmluvných opatrení na žiadosť dotknutej osoby,
c)
je nevyhnutný na uzavretie zmluvy alebo plnenie zmluvy, ktorú prevádzkovateľ uzavrel v záujme dotknutej osoby s iným subjektom,
d)
je nevyhnutný na plnenie medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, alebo vyplýva zo zákona z dôvodu dôležitého verejného záujmu alebo pri preukazovaní, uplatňovaní alebo obhajovaní právneho nároku,
e)
je nevyhnutný na ochranu životne dôležitých záujmov dotknutej osoby, alebo
f)
sa týka osobných údajov, ktoré sú súčasťou zoznamov, registrov alebo operátov a ktoré sú vedené a verejne prístupné podľa osobitných zákonov alebo sú podľa nich prístupné tým, ktorí preukážu právny nárok pri splnení zákonom ustanovených podmienok na ich sprístupnenie.
(5)
Ak sa prevádzkovateľ rozhodne vykonať prenos osobných údajov až po ich získaní, oznámi dotknutej osobe pred ich prenosom dôvod svojho rozhodnutia a oboznámi ju s právom odmietnuť takýto prenos (§ 20 ods. 5). To neplatí, ak ide o prenos podľa odseku 3.
(6)
Ak prevádzkovateľ poverí spracúvaním osobných údajov subjekt v cudzine, ktorý ich spracúva v mene prevádzkovateľa, ten je oprávnený spracúvať osobné údaje len v rozsahu a za podmienok dojednaných s prevádzkovateľom v písomnej zmluve. Obsah zmluvy musí byť vypracovaný v súlade so štandardnými zmluvnými podmienkami ustanovenými na prenos osobných údajov subjektom v cudzine, ktoré ich spracúvajú v mene prevádzkovateľa.
(7)
Na prenos osobných údajov podľa odseku 6 sa vyžaduje súhlas úradu.
(8)
Ten, kto vykonáva prenos osobných údajov, zaručí ich bezpečnosť (§ 15 ods. 1) aj pri tranzite.
(9)
Ochrana osobných údajov, prenesených na územie Slovenskej republiky od subjektov so sídlom alebo s trvalým pobytom v cudzine, sa vykonáva v súlade s týmto zákonom.
(10)
V prípade pochybnosti o tom, či možno vykonať cezhraničný tok osobných údajov, rozhodne úrad. Stanovisko úradu je záväzné.
PIATA HLAVA
REGISTRÁCIA A EVIDENCIA INFORMAČNÝCH SYSTÉMOV
§24 Povinnosť registrácie a evidencie
Prevádzkovateľ registruje informačné systémy alebo vedie o nich evidenciu v rozsahu a za podmienok ustanovených týmto zákonom.
Registrácia
§25 Podmienky registrácie
(1)
Registráciu informačných systémov vykonáva úrad bezplatne.
(2)
Registrácii podliehajú informačné systémy, v ktorých
a)
sa spracúvajú osobitné kategórie osobných údajov (§ 8),
b)
sa spracúvajú osobné údaje, ktoré sú predmetom cezhraničného toku (§ 23 ods. 1 až 7), alebo
c)
osobné údaje spracúva sprostredkovateľ (§ 5 ods. 2).
(3)
Registrácii nepodliehajú informačné systémy uvedené v odseku 2, ak obsahujú
a)
osobné údaje týkajúce sa zdravia a všeobecne použiteľný identifikátor tých osôb, ktoré sú s prevádzkovateľom v pracovnom pomere alebo v obdobnom pracovnom vzťahu, a osôb, ktoré sú s prevádzkovateľom v štátnozamestnaneckom pomere,
b)
osobné údaje o členstve osôb v odborových organizáciách, ktoré sú ich členmi, a ak tieto osobné údaje sa využívajú výlučne pre ich vnútornú potrebu,
c)
osobné údaje o náboženskej viere osôb združených v štátom uznanej cirkvi alebo v náboženskej spoločnosti a ak tieto osobné údaje sa využívajú výlučne pre ich vnútornú potrebu,
d)
osobné údaje o členstve osôb v politických stranách alebo v politických hnutiach, ktoré sú ich členmi, a ak tieto osobné údaje sa využívajú výlučne pre ich vnútornú potrebu,
e)
osobné údaje osôb zúčastnených v konaní pred orgánom štátnej správy, orgánom územnej samosprávy, ako aj pred inými orgánmi verejnej moci a ich spracúvanie sa vykonáva na základe osobitného zákona,
f)
výlučne už zverejnené osobné údaje,
g)
osobné údaje, ktoré slúžia masovokomunikačným prostriedkom výlučne pre ich informačnú činnosť,
h)
osobné údaje na účely preventívnej medicíny, lekárskej diagnostiky, poskytovania liečebnej alebo kúpeľnej starostlivosti a ďalších služieb zdravotnej starostlivosti a ak tieto osobné údaje spracúva zdravotnícke zariadenie,
i)
osobné údaje na účely výchovy alebo vzdelávania alebo vedy a výskumu, ako aj osobné údaje slúžiace na účely štátnej štatistiky a ak prevádzkovateľom je zariadenie, ktorému táto úloha vyplýva zo zákona, alebo
j)
osobné údaje, ktoré sa spracúvajú výlučne na účely identifikácie osôb pri ich jednorazovom vstupe do priestorov prevádzkovateľa.
(4)
V prípade pochybnosti o tom, či informačný systém podlieha registrácii, rozhodne úrad. Stanovisko úradu je záväzné.
§26 Prihlásenie na registráciu
(1)
Za prihlásenie informačného systému na registráciu zodpovedá jeho prevádzkovateľ.
(2)
Prevádzkovateľ prihlási informačný systém na registráciu pred začatím spracúvania osobných údajov.
(3)
Pri prihlasovaní informačného systému na registráciu prevádzkovateľ uvedie tieto údaje:
a)
názov, sídlo alebo trvalý pobyt, právnu formu a identifikačné číslo prevádzkovateľa,
b)
meno a priezvisko štatutárneho orgánu prevádzkovateľa,
c)
meno a priezvisko zodpovednej osoby vykonávajúcej dohľad nad ochranou osobných údajov, ak sa vyžaduje jej poverenie (§ 19 ods. 2),
d)
názov, sídlo alebo trvalý pobyt, právnu formu a identifikačné číslo sprostredkovateľa, ak spracúva osobné údaje v mene prevádzkovateľa,
e)
meno a priezvisko štatutárneho orgánu sprostredkovateľa,
f)
identifikačné označenie informačného systému,
g)
účel spracúvania osobných údajov,
h)
zoznam osobných údajov,
i)
okruh dotknutých osôb,
j)
okruh užívateľov, ak sa im osobné údaje sprístupňujú,
k)
právnické osoby, fyzické osoby, prípadne subjekty v cudzine, ak sa im osobné údaje poskytujú,
l)
názvy cieľových krajín, právny základ cezhraničného toku osobných údajov a opatrenia na zabezpečenie ochrany osobných údajov pri tranzite, ak sú predmetom cezhraničného toku,
m)
právny základ informačného systému,
n)
formu zverejnenia, ak sa zverejnenie osobných údajov vykonáva,
o)
všeobecnú charakteristiku opatrení na zabezpečenie ochrany osobných údajov,
p)
dátum začatia spracúvania osobných údajov.
(4)
Údaje v rozsahu podľa odseku 3 sa úradu odovzdávajú v písomnej forme potvrdené štatutárnym orgánom prevádzkovateľa alebo elektronicky vo forme databázového súboru s doloženým výtlačkom obsahu súboru potvrdeným štatutárnym orgánom prevádzkovateľa. Písomnú formu a formát databázového súboru určí úrad. Doloženie výtlačku sa nepožaduje, ak databázový súbor je opatrený elektronickým podpisom podľa osobitného zákona.
§27 Predbežná kontrola a vydanie potvrdenia o registrácii
(1)
Úrad posúdi predložené údaje (§ 26 ods. 3), preverí, či spracúvaním osobných údajov nevzniká nebezpečenstvo narušenia práv a slobôd dotknutých osôb a najneskôr do 30 dní odo dňa ich prijatia vydá záväzné stanovisko o povinnosti registrácie informačného systému.
(2)
V prípade pochybnosti si úrad vyžiada od prevádzkovateľa ďalšie vysvetlenia. Počas tejto doby lehota podľa odseku 1 neplynie.
(3)
Súčasťou registrácie je pridelenie registračného čísla informačnému systému a vydanie potvrdenia o jeho registrácii. Registračné číslo prevádzkovateľ uvedie vždy pri akejkoľvek komunikácii o spracúvaných osobných údajoch.
(4)
Prevádzkovateľ môže začať spracúvať osobné údaje v informačnom systéme prihlásenom na registráciu v deň nasledujúci po dni, v ktorom úrad vydal potvrdenie o registrácii.
§28 Oznámenie zmien a odhlásenie z registrácie
(1)
Prevádzkovateľ do 15 dní písomne oznámi úradu akékoľvek zmeny údajov podľa § 26 ods. 3 s výnimkou písmena p), ktoré nastanú v priebehu spracúvania.
(2)
Prevádzkovateľ do 15 dní odo dňa skončenia spracúvania osobných údajov v informačnom systéme tento z registrácie písomne odhlási. Súčasťou odhlásenia je dátum skončenia spracúvania osobných údajov.
(3)
Na oznámenie zmien údajov a odhlásenie informačného systému z registrácie sa primerane použije § 26 ods. 4.
Evidencia
§29 Podmienky evidencie
(1)
O informačných systémoch, ktoré nepodliehajú registrácii, prevádzkovateľ vedie evidenciu, a to najneskôr odo dňa začatia spracúvania údajov v týchto informačných systémoch.
(2)
Odsek 1 sa nepoužije pre informačné systémy, ak
a)
spracúvané osobné údaje slúžia výlučne pre potreby poštového styku s dotknutými osobami a evidencie týchto údajov [§ 7 ods. 4 písm. d)], alebo
b)
obsahujú osobné údaje, ktoré sa spracúvajú výlučne na účely identifikácie osôb pri ich jednorazovom vstupe do priestorov prevádzkovateľa (§ 10 ods. 4).
§30 Obsah evidencie
Evidencia podľa § 29 ods. 1 obsahuje údaje uvedené v § 26 ods. 3.
Sprístupnenie stavu registrácie a evidencie
§31 Verejnosť registrácie
Registrácia vedená podľa tohto zákona je verejná v rozsahu údajov podľa § 26 ods. 3 s uvedením registračného čísla informačného systému.
§32 Verejnosť evidencie
Evidencia vedená podľa tohto zákona je verejná. Údaje z evidencie prevádzkovateľ sprístupní bezplatne komukoľvek, kto o to požiada.
TRETIA ČASŤ | ÚRAD
PRVÁ HLAVA
POSTAVENIE A PÔSOBNOSŤ ÚRADU
§33 Pôsobnosť úradu
(1)
Zriaďuje sa Úrad na ochranu osobných údajov, ktorý je orgánom štátnej správy s celoslovenskou pôsobnosťou so sídlom v Bratislave.
(2)
Úrad ako štátny orgán vykonáva dozor nad ochranou osobných údajov nezávisle a podieľa sa na ochrane základných práv a slobôd fyzických osôb pri spracúvaní ich osobných údajov.
(3)
Ak osobné údaje spracúvajú spravodajské služby, dozor nad ochranou osobných údajov podľa odseku 2 vykonáva Národná rada Slovenskej republiky podľa osobitného zákona.27)
§34 Postavenie úradu
(1)
Úrad je rozpočtovou organizáciou.28) Návrh rozpočtu predkladá úrad ako súčasť kapitoly Úradu vlády Slovenskej republiky. Schválený rozpočet úradu môže znížiť v priebehu kalendárneho roku iba Národná rada Slovenskej republiky.
(2)
Podrobnosti o organizácii úradu upraví organizačný poriadok.
§35 Predseda úradu
(1)
Na čele úradu je predseda úradu.
(2)
Predsedu úradu na návrh vlády Slovenskej republiky volí a odvoláva Národná rada Slovenskej republiky. Návrh na voľbu predsedu úradu na nové funkčné obdobie predkladá vláda Slovenskej republiky Národnej rade Slovenskej republiky najneskôr 60 dní pred uplynutím funkčného obdobia úradujúceho predsedu úradu. Funkčné obdobie predsedu úradu je päť rokov a možno ho zvoliť najviac na dve po sebe nasledujúce obdobia. Predseda úradu ostáva vo funkcii aj po uplynutí funkčného obdobia, kým Národná rada Slovenskej republiky nezvolí predsedu úradu na nové funkčné obdobie.
(3)
Za predsedu úradu možno zvoliť občana, ktorý je voliteľný za poslanca do Národnej rady Slovenskej republiky, je bezúhonný, má vysokoškolské vzdelanie, má najmenej 10 rokov odbornej praxe v oblasti informatiky alebo práva a dosiahol vek najmenej 35 rokov.
(4)
Za bezúhonného občana sa na účely tohto zákona považuje občan, ktorý nebol právoplatne odsúdený za úmyselný trestný čin alebo za trestný čin, za ktorý mu bol uložený nepodmienečný trest odňatia slobody. Bezúhonnosť sa preukazuje výpisom z registra trestov, ktorý nie je starší ako tri mesiace.
(5)
Predseda úradu nemôže byť členom politickej strany ani politického hnutia.
(6)
Platové a ďalšie náležitosti predsedu úradu určuje vláda Slovenskej republiky podľa osobitného predpisu.29)
(7)
Počas výkonu funkcie nesmie predseda úradu podnikať ani vykonávať inú zárobkovú činnosť s výnimkou vedeckej, pedagogickej, publicistickej, literárnej alebo umeleckej činnosti a správy vlastného majetku a majetku svojich maloletých detí.
(8)
Počas výkonu funkcie je predseda úradu oprávnený oboznamovať sa s utajovanými skutočnosťami podľa osobitného predpisu.30)
(9)
Počas funkčného obdobia i po jeho skončení je predseda úradu povinný zachovávať mlčanlivosť o skutočnostiach týkajúcich sa obsahu osobných údajov, o ktorých sa dozvedel počas výkonu svojej funkcie.
(10)
Od povinnosti mlčanlivosti môže predsedu úradu pre konkrétny prípad oslobodiť Národná rada Slovenskej republiky.
(11)
Za svoju činnosť zodpovedá predseda úradu Národnej rade Slovenskej republiky.
(12)
Pred uplynutím funkčného obdobia zaniká výkon funkcie predsedu úradu
a)
vzdaním sa funkcie,
b)
stratou voliteľnosti za poslanca Národnej rady Slovenskej republiky,
c)
nadobudnutím právoplatnosti rozsudku, ktorým bol odsúdený za úmyselný trestný čin alebo ktorým bol odsúdený za trestný čin a súd nerozhodol v jeho prípade o podmienečnom odložení výkonu trestu odňatia slobody,
d)
výkonom činnosti, ktorá je nezlučiteľná s výkonom jeho funkcie, alebo
e)
smrťou.
(13)
Národná rada môže odvolať z funkcie predsedu úradu,
a)
ak mu zdravotný stav dlhodobo, najmenej však počas jedného roka, nedovoľuje riadne vykonávať povinnosti vyplývajúce z jeho funkcie,
b)
ak porušil povinnosť zachovávať mlčanlivosť o skutočnostiach týkajúcich sa obsahu osobných údajov, o ktorých sa dozvedel počas výkonu funkcie.
Predseda úradu je odvolaný z funkcie dňom nasledujúcim po dni, keď mu bolo doručené rozhodnutie Národnej rady Slovenskej republiky o odvolaní z funkcie.
§36 Podpredseda úradu
(1)
Predsedu úradu v čase jeho neprítomnosti zastupuje podpredseda úradu. Podpredseda úradu okrem toho plní úlohy, ktorými ho poverí predseda úradu.
(2)
Podpredsedu úradu vymenúva a odvoláva vláda Slovenskej republiky na návrh predsedu úradu.
(3)
(4)
Od povinnosti mlčanlivosti môže podpredsedu úradu pre konkrétny prípad oslobodiť predseda úradu.
§37 Vrchný inšpektor a inšpektori
(1)
Činnosť inšpektorov riadi vrchný inšpektor.
(2)
Inšpektori vykonávajú kontrolnú činnosť a sú vecne príslušní na plnenie úloh úradu.
(3)
Inšpektorov vymenúva a odvoláva vláda Slovenskej republiky na návrh predsedu úradu. Za inšpektora možno vymenovať občana, ktorý je voliteľný za poslanca Národnej rady Slovenskej republiky, je bezúhonný, má vysokoškolské vzdelanie a najmenej trojročnú odbornú prax v oblasti informatiky alebo práva a dosiahol vek najmenej 30 rokov. Vrchného inšpektora vymenúva a odvoláva vláda Slovenskej republiky na návrh predsedu úradu z radov inšpektorov, ktorí majú odbornú prax najmenej päť rokov a dosiahli vek najmenej 35 rokov.
(4)
Funkčné obdobie vrchného inšpektora je päť rokov a do funkcie ho možno vymenovať opakovane. Na výkon funkcie vrchného inšpektora platia primerane odseky 2 a 6 a ustanovenia § 35 ods. 4, 5, 7, 12 a 13.
(5)
Na výkon funkcie inšpektora platia primerane ustanovenia § 35 ods. 4, 5, 7, 12 a 13. Okrem dôvodov uvedených v § 35 ods. 13 možno inšpektora z funkcie odvolať pre
a)
opakované neplnenie úloh uvedených v § 38 ods. 1 písm. f) a h) alebo pre sústavné menej závažné porušovanie pracovnej disciplíny a ak v posledných šiestich mesiacoch predseda úradu inšpektora opakovane písomne vyzval na odstránenie nedostatkov a inšpektor ich v primeranej lehote neodstránil, alebo
b)
hrubé zanedbanie povinnosti uloženej inšpektorovi týmto zákonom [§ 38 ods. 1 písm. f) a h)], ak nepreukáže, že zavinenie nespôsobil alebo mu nemohol zabrániť, alebo pre hrubé porušenie pracovnej disciplíny.
(6)
Počas pracovného pomeru i po jeho skončení sú inšpektori a ďalší zamestnanci úradu povinní zachovávať mlčanlivosť o skutočnostiach týkajúcich sa obsahu osobných údajov, o ktorých sa dozvedeli počas výkonu svojej práce. Od povinnosti mlčanlivosti môže inšpektorov a ďalších zamestnancov úradu pre konkrétny prípad oslobodiť predseda úradu.
DRUHÁ HLAVA
ČINNOSŤ ÚRADU
§38 Úlohy úradu
(1)
Úrad plní tieto úlohy:
a)
priebežne sleduje stav ochrany osobných údajov, registráciu informačných systémov a vedenie evidencie o informačných systémoch,
b)
odporúča prevádzkovateľom opatrenia na zabezpečenie ochrany osobných údajov v informačných systémoch; na tento účel vydáva v rozsahu svojej pôsobnosti odporúčania pre prevádzkovateľov,
c)
pri pochybnostiach o tom, či spracúvané osobné údaje svojím rozsahom, obsahom a spôsobom spracúvania a využívania zodpovedajú účelu ich spracúvania, sú s daným účelom spracúvania zlučiteľné alebo sú časovo a vecne neaktuálne vo vzťahu k tomuto účelu, vydáva záväzné stanovisko,
d)
pri pochybnostiach o cezhraničnom toku osobných údajov vydáva záväzné stanovisko,
e)
pri pochybnostiach o registrácii informačného systému vydáva záväzné stanovisko,
f)
prijíma a vybavuje sťažnosti týkajúce sa porušenia ochrany osobných údajov,
g)
pri podozrení z porušenia povinností uložených týmto zákonom môže predvolať prevádzkovateľa alebo sprostredkovateľa s cieľom podať vysvetlenia,
h)
kontroluje spracúvanie osobných údajov v informačných systémoch,
i)
ukladá sankcie pri zistení porušenia povinností uvedených v tomto zákone,
j)
podáva oznámenie31) orgánom činným v trestnom konaní pri podozrení, že ide o trestný čin,
k)
vykonáva registráciu informačných systémov a zabezpečuje sprístupnenie stavu registrácie,
l)
podieľa sa na príprave všeobecne záväzných právnych predpisov v oblasti ochrany osobných údajov,
m)
v rozsahu svojej pôsobnosti vydáva všeobecne záväzné právne predpisy,
n)
vyjadruje sa k návrhom zákonov a k návrhom ostatných všeobecne záväzných právnych predpisov, v ktorých sa upravuje spracúvanie osobných údajov,
o)
predkladá Národnej rade Slovenskej republiky správu o stave ochrany osobných údajov najmenej raz za dva roky.
(2)
Do výlučnej pôsobnosti predsedu úradu patria úlohy uvedené v odseku 1 písm. b) až e), j), l) až o).
(3)
Ak úrad zistí skutočnosti nasvedčujúce tomu, že zákon, iný všeobecne záväzný právny predpis alebo prevádzkovateľom vydaný vnútorný predpis porušuje základné práva a slobody fyzických osôb pri spracúvaní ich osobných údajov, predseda úradu môže podať podnet na jeho zmenu alebo zrušenie príslušnému orgánu.
Kontrolná činnosť
§39 Oprávnenia a povinnosti kontrolného orgánu
(1)
Vrchný inšpektor a ostatní inšpektori (ďalej len „kontrolný orgán"), ako aj predseda úradu a podpredseda úradu sú oprávnení
a)
vstupovať na pozemky, do budov alebo miestností prevádzok a zariadení prevádzkovateľa a sprostredkovateľa,
b)
vyžadovať od prevádzkovateľa, sprostredkovateľa a ich zamestnancov (ďalej len „kontrolovaná osoba"), aby im v určenej lehote poskytli doklady, iné písomnosti, vyjadrenia a informácie, údaje spracúvané na pamäťových médiách vrátane technických nosičov údajov, výpisy a zdrojové kódy programov, ak ich vlastní, a ďalšie materiály potrebné na výkon kontroly, originály alebo kópie a v odôvodnených prípadoch im umožnili odoberať kópie aj mimo priestorov kontrolovanej osoby,
c)
požadovať v primeranej lehote od kontrolovanej osoby úplné a pravdivé ústne a písomné informácie, vyjadrenia a vysvetlenia ku kontrolovaným a súvisiacim skutočnostiam a k zisteným nedostatkom,
d)
vyžadovať súčinnosť kontrolovanej osoby.
(2)
Kontrolný orgán je povinný
a)
vopred oznámiť kontrolovanej osobe predmet kontroly a pred začatím kontroly preukázať svoju príslušnosť k úradu,
b)
vypracovať protokol o vykonaní kontroly (ďalej len „protokol"),
c)
uvádzať do protokolu kontrolné zistenia,
d)
oboznámiť kontrolovanú osobu s kontrolnými zisteniami a vyžiadať si od nej písomné vyjadrenie ku všetkým skutočnostiam, ktoré odôvodňujú uplatnenie právnej zodpovednosti; vznesené námietky proti uvádzaným kontrolným zisteniam z hľadiska ich pravdivosti, úplnosti a preukázateľnosti uviesť do protokolu,
e)
odovzdať kontrolovanej osobe jedno vyhotovenie protokolu alebo záznamu o kontrole alebo ich kópie,
f)
písomne potvrdiť kontrolovanej osobe prevzatie kópií dokladov, písomných dokumentov, kópií pamäťových médií a iných materiálov a zabezpečiť ich riadnu ochranu pred stratou, zničením, poškodením a zneužitím.
(3)
Protokol obsahuje názov, sídlo alebo trvalý pobyt kontrolovanej osoby, miesto a čas vykonania kontroly, predmet kontroly, kto kontrolu vykonal, preukázané kontrolné zistenia, vyjadrenia kontrolovanej osoby ku kontrolným zisteniam, dátum vypracovania protokolu, mená, pracovné zaradenie a vlastnoručné podpisy kontrolného orgánu a zodpovedných zamestnancov kontrolovanej osoby, ktorí boli s obsahom protokolu oboznámení, a dátum oboznámenia sa s protokolom. Ak sa kontrolovaná osoba odmietne oboznámiť sa s obsahom protokolu, vyjadriť sa ku kontrolným zisteniam alebo podpísať protokol, uvedie sa táto skutočnosť v protokole.
(4)
Ak sa kontrolou zistí porušenie povinností ustanovených týmto zákonom, kontrolný orgán postupuje pri ukladaní opatrení na odstránenie kontrolou zistených nedostatkov podľa § 46.
(5)
Ak sa kontrolou nezistí porušenie povinností ustanovených týmto zákonom alebo iným zákonom,32) kontrolný orgán vypracuje len záznam o kontrole. Pri jeho vypracovaní sa postupuje primerane podľa odseku 3.
§40 Oprávnenia a povinnosti kontrolovanej osoby
(1)
Kontrolovaná osoba je oprávnená v čase oboznámenia sa s kontrolnými zisteniami vzniesť námietky proti uvádzaným kontrolným zisteniam z hľadiska ich pravdivosti, úplnosti a preukázateľnosti.
(2)
Kontrolovaná osoba je povinná
a)
vytvoriť kontrolnému orgánu primerané podmienky na výkon kontroly a spracovanie kontrolných zistení,
b)
poskytovať kontrolnému orgánu potrebnú súčinnosť v súlade s oprávneniami podľa § 39 ods. 1 a zdržať sa konania, ktoré by mohlo mariť výkon kontroly,
c)
dostaviť sa v určenej lehote na oboznámenie sa s obsahom protokolu na miesto určené kontrolným orgánom,
d)
po oboznámení sa s kontrolnými zisteniami podpísať protokol alebo záznam o kontrole; odmietnutie oboznámenia sa s obsahom protokolu alebo odmietnutie podpísania protokolu kontrolovanou osobou nemá vplyv na dôsledky vyplývajúce z obsahu tohto dokumentu,
e)
písomne predložiť kontrolnému orgánu v určených lehotách opatrenia prijaté na odstránenie kontrolou zistených nedostatkov a písomnú správu o splnení týchto opatrení.
§41 Prizvané osoby
(1)
Ak je to odôvodnené osobitnou povahou kontrolnej úlohy, môže kontrolný orgán prizvať na vykonanie kontroly iné fyzické osoby. Účasť týchto fyzických osôb na kontrole sa považuje za iný úkon vo všeobecnom záujme. Na prizvané osoby sa primerane vzťahujú ustanovenia § 37 ods. 6 a § 39 ods. 1.
(2)
Kontrolu nemôžu vykonávať prizvané osoby, o ktorých so zreteľom na ich vzťah k predmetu kontroly alebo na vzťah ku kontrolovanej osobe možno mať pochybnosti o ich nezaujatosti. Prizvané osoby, ktoré samy vedia o skutočnostiach zakladajúcich pochybnosti o ich nepredpojatosti, oznámia tieto skutočnosti bez zbytočného odkladu úradu.
(3)
Kontrolovaná osoba môže písomne vzniesť preukázateľné námietky o zaujatosti prizvanej osoby. Prizvaná osoba môže do rozhodnutia o námietkach zaujatosti vykonať pri kontrole len úkony, ktoré nedovoľujú odklad.
(4)
O námietkach zaujatosti a o oznámení predpojatosti rozhodne predseda úradu. Rozhodnutie predsedu úradu v tejto veci je konečné.
§42
(1)
Plnením konkrétnej úlohy pri výkone kontroly možno poveriť ďalších zamestnancov úradu. Na poverených zamestnancov úradu sa primerane vzťahuje ustanovenie § 39 ods. 1 a 2 písm. a).
(2)
Inšpektori a poverení zamestnanci úradu, ktorí samy vedia o skutočnostiach zakladajúcich pochybnosti o ich nepredpojatosti vo vzťahu k predmetu kontroly alebo ku kontrolovanej osobe, oznámia tieto skutočnosti bez zbytočného odkladu predsedovi úradu. Ak predseda úradu uzná, že k predpojatosti došlo, osobu z konania vo veci vylúči.
§43
Na výkon kontroly sa nevzťahujú predpisy o kontrole v štátnej správe.33)
Súčinnosť
§44
(1)
Orgány štátnej správy, orgány územnej samosprávy, iné orgány verejnej moci, prevádzkovatelia a sprostredkovatelia poskytujú úradu potrebnú pomoc pri plnení jeho úloh (§ 38).
(2)
Prevádzkovateľ a sprostredkovateľ poskytujú úradu pri plnení jeho úloh všetky ním požadované údaje v určenej lehote.
(3)
Prevádzkovateľ a sprostredkovateľ sa dostavia na predvolanie úradu s cieľom podať vysvetlenia v určenej lehote.
(4)
Prevádzkovateľ a sprostredkovateľ sú povinní strpieť všetky úkony úradu smerujúce k vyšetreniu okolností potrebných na objektívne posúdenie prešetrovanej veci.
TRETIA HLAVA
OPATRENIA NA NÁPRAVU
§45 Prijímanie a vybavovanie sťažností
(1)
Právnické osoby a fyzické osoby môžu podať písomne sťažnosť, ktorá sa týka podozrenia z porušenia ochrany osobných údajov [§ 38 ods. 1 písm. f)]. Za sťažnosť sa nepovažuje sťažnosť podaná vlastným prevádzkovateľom alebo sprostredkovateľom.
(2)
Úrad prešetrí a vybaví sťažnosť v lehote 60 dní odo dňa prijatia. Predseda úradu môže túto lehotu v odôvodnených prípadoch primerane predĺžiť, najviac však o šesť mesiacov. O predĺžení lehoty musí byť sťažovateľ písomne upovedomený.
(3)
Na prijímanie a vybavovanie sťažností, ktoré sa týkajú podozrenia z porušenia ochrany osobných údajov, sa primerane vzťahuje osobitný právny predpis34) s výnimkou ustanovení § 3 a 4,§ 10 až 14, § 18 a 21.
§46 Opatrenie
(1)
Úrad
a)
pri podozrení z porušenia povinnosti uloženej týmto zákonom vyzve prevádzkovateľa alebo sprostredkovateľa na okamžité blokovanie osobných údajov alebo na dočasné skončenie tej činnosti, ktorá by mohla plnenie takejto povinnosti ohroziť,
b)
pri zistení porušenia povinnosti ustanovenej týmto zákonom vydá opatrenie, ktorým uloží prevádzkovateľovi alebo sprostredkovateľovi skončenie tej činnosti, ktorou bola porušená povinnosť, vykonanie potrebných opatrení na odstránenie nedostatkov alebo zabezpečenie práv a právom chránených záujmov dotknutých osôb v určenej lehote.
(2)
Prevádzkovateľ a sprostredkovateľ bezodkladne vyhovejú požiadavkám úradu podľa odseku 1 a v určenej lehote informujú o ich splnení úrad.
(3)
Prevádzkovateľ a sprostredkovateľ sú oprávnení písomne podať námietky proti opatreniu uloženému podľa odseku 1 písm. a) do troch dní odo dňa jeho doručenia. Námietky proti takémuto opatreniu nemajú odkladný účinok.
(4)
Prevádzkovateľ a sprostredkovateľ sú oprávnení písomne podať námietky proti opatreniu uloženému podľa odseku 1 písm. b) do siedmich dní odo dňa jeho doručenia. Námietky proti takémuto opatreniu majú odkladný účinok.
(5)
O námietke prevádzkovateľa alebo sprostredkovateľa podanej podľa odseku 3 rozhodne predseda úradu do 15 dní a o námietke podanej podľa odseku 4 rozhodne do 60 dní odo dňa ich prijatia.
(6)
Rozhodnutie predsedu úradu o námietkach je konečné.
(7)
Písomné vyhotovenie výzvy na vykonanie opatrenia a písomné vyhotovenie rozhodnutia o námietkach sa oznamuje doručením do vlastných rúk.
(8)
Opatrenie uložené podľa odseku 1 písm. a) môže úrad zrušiť; účinnosť stráca dňom oznámenia opatrenia v predmetnej veci podľa odseku 1 písm. b).
§48 Zverejnenie porušenia zákona
Ak podľa tohto zákona došlo k závažnému porušeniu práv dotknutých osôb alebo slobôd iných osôb, môže predseda úradu zverejniť názov, sídlo alebo trvalý pobyt prevádzkovateľa alebo sprostredkovateľa a charakteristiku skutkového stavu porušenia ochrany osobných údajov.
ŠTVRTÁ HLAVA
SANKCIE ZA PORUŠENIE ZÁKONA
§49 Správne delikty
(1)
Úrad môže uložiť pokutu do 10 000 000 Sk prevádzkovateľovi alebo sprostredkovateľovi, ktorý
b)
spracúva osobitné kategórie osobných údajov v rozpore s§ 8 alebo 9,
c)
vykonáva spracúvanie s nesprávnymi alebo neaktuálnymi osobnými údajmi (§ 12),
d)
nelikviduje nesprávne alebo neaktuálne osobné údaje; likviduje alebo spracúva osobné údaje v rozpore s § 13,
e)
nesplní oznamovaciu povinnosť o oprave alebo likvidácii osobných údajov(§ 14),
f)
nevykoná potrebné opatrenia na ochranu osobných údajov pred odcudzením, stratou, poškodením, neoprávneným prístupom, zmenou alebo šírením; neprijme opatrenia vo forme bezpečnostného projektu alebo predloží bezpečnostný projekt, ktorý neobsahuje náležitosti ustanovené týmto zákonom (§ 15 ods. 1 a 2 a § 16),
g)
nezabezpečí vykonanie auditu bezpečnosti informačného systému alebo jeho vypracovanie je v rozpore s týmto zákonom, alebo nepredloží hodnotiacu správu (§ 15 ods. 4 a 5),
h)
nepoučí právnické osoby a fyzické osoby, ktoré majú prístup k informačnému systému (§ 17),
i)
nesplní požiadavky dotknutej osoby alebo povinnosť poskytnúť informácie dotknutej osobe (§ 20 a 21),
j)
nevykoná oznámenie o obmedzení práv dotknutej osoby (§ 22),
k)
vykoná prenos osobných údajov v rozpore s § 23,
l)
neposkytne úradu požadované údaje alebo vysvetlenia (§ 44 ods. 2 a 3), alebo
m)
nevyhovie požiadavkám úradu (§ 46 ods. 1 a 2).
(2)
Úrad môže uložiť pokutu do 3 000 000 Sk prevádzkovateľovi, ktorý nesplní povinnosť registrácie informačného systému a s tým súvisiace povinnosti vyplývajúce z tohto zákona (§ 25 až 28).
(3)
(4)
Úrad môže uložiť pokutu do 500 000 Sk prevádzkovateľovi, ktorý písomne nepoverí zodpovednú osobu výkonom dohľadu nad ochranou osobných údajov (§ 19 ods. 2), nezabezpečí jej odborné vyškolenie alebo jeho vykonanie nevie preukázať (§ 19 ods. 3).
(5)
Úrad môže uložiť pokutu do 100 000 Sk tomu, kto
a)
poskytne osobné údaje v rozpore s § 7 ods. 5; to neplatí pre prevádzkovateľa a sprostredkovateľa,
b)
poskytne nepravdivé osobné údaje (§ 11),
c)
poruší povinnosť mlčanlivosti o osobných údajoch (§ 18), alebo
d)
ako zodpovedná osoba písomne neupozorní prevádzkovateľa (§ 19 ods. 4).
(6)
Pokutu podľa odsekov 1 až 4 a podľa § 50 môže úrad uložiť opakovane, ak povinnosť nebola splnená v určenej lehote.
(7)
Pri ukladaní pokút sa prihliadne najmä na závažnosť, čas trvania a následky protiprávneho konania.
(8)
Pokutu podľa odsekov 1 až 5 možno uložiť do jedného roka odo dňa, keď úrad porušenie povinnosti zistil, najneskôr však do troch rokov odo dňa, keď k porušeniu povinnosti došlo.
(9)
Úrad môže v rozhodnutí o uložení pokuty súčasne povinnému uložiť, aby v určenej lehote vykonal opatrenia na nápravu následkov protiprávneho konania.
(10)
Proti rozhodnutiu o uložení pokuty možno podať rozklad do 15 dní odo dňa jeho doručenia. O rozklade rozhodne predseda úradu do 60 dní odo dňa jeho prijatia.
(11)
Výnosy z pokút sú príjmom štátneho rozpočtu.
§50 Poriadkové pokuty
(1)
Úrad môže uložiť prevádzkovateľovi alebo sprostredkovateľovi poriadkovú pokutu
a)
do 50 000 Sk, ak nezabezpečí primerané podmienky na výkon kontroly [§ 40 ods. 2 písm. a)],
b)
do 500 000 Sk, ak marí výkon kontroly [§ 40 ods. 2 písm. b)]; ak prevádzkovateľ alebo sprostredkovateľ preukáže, že marenie výkonu kontroly zavinila oprávnená osoba, jeho zodpovednosť sa obmedzí a zodpovednou sa stáva aj oprávnená osoba.
(2)
Poriadkovú pokutu možno uložiť do jedného roka odo dňa, keď k porušeniu povinnosti došlo.
ŠTVRTÁ ČASŤ | SPOLOČNÉ, PRECHODNÉ A ZÁVEREČNÉ USTANOVENIA
§51 Spoločné ustanovenie
(1)
Na konanie podľa tohto zákona sa vzťahuje všeobecný predpis o správnom konaní,36) ak tento zákon neustanovuje inak.
(2)
Všeobecný predpis o správnom konaní sa nevzťahuje na
a)
b)
posudzovanie údajov o informačných systémoch prihlásených na registráciu (§ 27),
c)
poskytovanie informácií dotknutej osobe (§ 20 až 22),
d)
rozhodovanie o námietkach zaujatosti a o oznámení predpojatosti (§ 41),
e)
prijímanie a vybavovanie sťažností (§ 45),
f)
na konanie o opatreniach (§ 46).
Prechodné ustanovenia
§52
(1)
Prevádzkovatelia už fungujúcich informačných systémov uvedú ich do súladu s týmto zákonom do šiestich mesiacov odo dňa jeho účinnosti a ak to zákon vyžaduje, prihlásia ich v tejto lehote na registráciu.
(2)
Prevádzkovatelia, ktorí spracúvajú osobné údaje na základe osobitného zákona, ktorý neustanovuje náležitosti podľa § 7 ods. 3, 5, 6 alebo podľa § 9 ods. 1 písm. a), môžu osobné údaje spracúvať v rozsahu nevyhnutnom na dosiahnutie ustanoveného účelu spracúvania bez súhlasu dotknutých osôb do 31. decembra 2005.
§53
(1)
Záväzky orgánu štátneho dozoru nad ochranou osobných údajov v informačných systémoch vyplývajúce z doterajšieho predpisu prechádzajú dňom nadobudnutia účinnosti tohto zákona na úrad.
(2)
Práva a povinnosti z pracovnoprávnych vzťahov splnomocnenca na ochranu osobných údajov v informačných systémoch a zamestnancov Útvaru inšpekcie ochrany osobných údajov Úradu vlády Slovenskej republiky prechádzajú dňom nadobudnutia účinnosti tohto zákona na úrad v plnom rozsahu.
(3)
Majetok štátu v správe Úradu vlády Slovenskej republiky obstaraný na účely plnenia úloh štátneho dozoru nad ochranou osobných údajov v informačných systémoch prechádza dňom nadobudnutia účinnosti tohto zákona do správy úradu.
(4)
Úrad vlády Slovenskej republiky zabezpečuje materiálnu a technickú prevádzku úradu do 31. decembra 2002.
(5)
Majetok štátu v správe Štatistického úradu Slovenskej republiky, obstaraný na účely registrácie informačných systémov obsahujúcich osobné údaje, prechádza dňom nadobudnutia účinnosti tohto zákona do správy úradu.
(6)
Záväzky vyplývajúce pre splnomocnenca na ochranu osobných údajov v informačných systémoch z medzištátnych dohôd v oblasti ochrany osobných údajov prechádzajú dňom nadobudnutia účinnosti tohto zákona na úrad.
§54
(1)
Splnomocnenec na ochranu osobných údajov v informačných systémoch vymenovaný do funkcie podľa doterajšieho predpisu stáva sa dňom účinnosti tohto zákona predsedom úradu a ostáva v tejto funkcii do konca funkčného obdobia, na ktoré bol ako splnomocnenec na ochranu osobných údajov v informačných systémoch vymenovaný.
(2)
Predseda úradu v lehote dvoch mesiacov odo dňa účinnosti tohto zákona rozhodne o tom, či informačný systém prihlásený na registráciu podľa doterajších predpisov možno považovať za zaregistrovaný podľa tohto zákona. Ak predseda úradu rozhodne, že takýto informačný systém nepodlieha registrácii, oznámi to úrad v tej istej lehote prevádzkovateľovi.
(3)
Konania začaté pred dňom nadobudnutia účinnosti tohto zákona sa dokončia podľa doterajších predpisov.
§55
Dňom vstupu Slovenskej republiky do Európskej únie sa na cezhraničný tok osobných údajov medzi Slovenskou republikou a členskými štátmi Európskej únie nevzťahujú ustanovenia § 23 ods. 1 až 7.
Záverečné ustanovenia
§56 Prechod práv
Ak sa v právnych predpisoch uvádza označenie splnomocnenec na ochranu osobných údajov, rozumie sa tým predseda úradu podľa tohto zákona.
§57 Zrušovacie ustanovenie
Zrušujú sa:
1.
zákon č. 52/1998 Z. z. o ochrane osobných údajov v informačných systémoch v znení zákona č. 241/2001 Z. z.,
2.
vyhláška Štatistického úradu Slovenskej republiky č. 155/1998 Z. z., ktorou sa ustanovujú podrobnosti o spôsobe, forme a postupe pri registrácii informačného systému obsahujúceho osobné údaje.
§58 Účinnosť
Tento zákon nadobúda účinnosť 1. septembra 2002 s výnimkou § 35 ods. 2, ktorý nadobúda účinnosť 1. decembra 2003.
Rudolf Schuster v. r.
Jozef Migaš v. r.
Mikuláš Dzurinda v. r.
Jozef Migaš v. r.
Mikuláš Dzurinda v. r.
1)
Napríklad § 1 zákona Národnej rady Slovenskej republiky č. 171/1993 Z. z. o Policajnom zbore v znení zákona č. 490/2001 Z. z., § 1 a 2 zákona Národnej rady Slovenskej republiky č. 198/1994 Z. z. o Vojenskom spravodajstve, § 2 a 3 zákona č. 124/1992 Zb. o Vojenskej polícii, § 1 a 2 zákona Národnej rady Slovenskej republiky č. 46/1993 Z. z. o Slovenskej informačnej službe v znení zákona č. 256/1999 Z. z., § 2 zákona Národnej rady Slovenskej republiky č. 3/1993 Z. z. o zriadení Armády Slovenskej republiky v znení neskorších predpisov, § 12 zákona Národnej rady Slovenskej republiky č. 42/1994 Z. z. o civilnej ochrane obyvateľstva v znení neskorších predpisov, zákon č. 241/2001 Z. z. o ochrane utajovaných skutočností a o zmene a doplnení niektorých zákonov, § 3 a 4 zákona č. 153/2001 Z. z. o prokuratúre, § 1 až 3 zákona č. 335/1991 Zb. o súdoch a sudcoch v znení neskorších predpisov, § 3 zákona č. 440/2000 Z. z. o správach finančnej kontroly v znení neskorších predpisov, § 10 zákona č. 367/2000 Z. z. o ochrane pred legalizáciou príjmov z trestnej činnosti a o zmene a doplnení niektorých zákonov.
2)
§ 13 zákona č. 383/1997 Z. z. Autorský zákon a zákon, ktorým sa mení a dopĺňa Colný zákon v znení neskorších predpisov.
3)
Napríklad § 27 až 34 Obchodného zákonníka, § 8 a 68 zákona Národnej rady Slovenskej republiky č. 162/1995 Z. z. o katastri nehnuteľností a o zápise vlastníckych a iných práv k nehnuteľnostiam (katastrálny zákon) v znení zákona č. 255/2001 Z. z., § 26 ods. 2 písm. e) zákona č. 195/2000 Z. z. o telekomunikáciách.
4)
Napríklad § 38 až 41 zákona Národnej rady Slovenskej republiky č. 387/1996 Z. z. o zamestnanosti, § 11a ods. 2 zákona Slovenskej národnej rady č. 542/1990 Zb. o štátnej správe v školstve a školskej samospráve v znení zákona č. 416/2001 Z. z.
5)
6)
Napríklad § 11 ods. 3 zákona Slovenskej národnej rady č. 542/1990 Zb. v znení neskorších predpisov, § 20 zákona č. 241/2001 Z. z.
11)
Zákon Národnej rady Slovenskej republiky č. 301/1995 Z. z. o rodnom čísle.
12)
Napríklad § 40 ods. 2 písm. d) zákona č. 153/2001 Z. z., § 52 zákona Slovenskej národnej rady č. 372/1990 Zb. o priestupkoch v znení neskorších predpisov, zákon Národnej rady Slovenskej republiky č. 171/1993 Z. z. v znení neskorších predpisov.
13)
Napríklad § 2 zákona Národnej rady Slovenskej republiky č. 199/1994 Z. z. o psychologickej činnosti a Slovenskej komore psychológov, zákon Slovenskej národnej rady č. 542/1990 Zb. v znení neskorších predpisov.
14)
Zákon Národnej rady Slovenskej republiky č. 162/1993 Z. z. o občianskych preukazoch v znení neskorších predpisov.
15)
Zákon č. 381/1997 Z. z. o cestovných dokladoch.
16)
Napríklad § 8 zákona Národnej rady Slovenskej republiky č. 46/1993 Z. z., § 8 zákona Národnej rady Slovenskej republiky č. 198/1994 Z. z., § 14 ods. 1 písm. a) zákona Národnej rady Slovenskej republiky č. 171/1993 Z. z. v znení neskorších predpisov, § 9 zákona č. 124/1992 Zb.
17)
Napríklad § 15 ods. 3 zákona č. 200/1998 Z. z. o štátnej službe colníkov a o zmene a doplnení niektorých ďalších zákonov.
18)
Napríklad § 31 a 32 zákona č. 563/1991 Zb. o účtovníctve v znení zákona č. 336/1999 Z. z.
19)
§ 2 ods. 1 zákona Slovenskej národnej rady č. 149/1975 Zb. o archívnictve v znení zákona č. 571/1991 Zb.
20)
21)
Napríklad § 101 až 110 Občianskeho zákonníka.
22)
Napríklad § 40 zákona Národnej rady Slovenskej republiky č. 566/1992 Zb. o Národnej banke Slovenska v znení zákona č. 149/2001 Z. z.
23)
Napríklad § 6 ods. 1 zákona č. 150/2001 Z. z. o daňových orgánoch a ktorým sa mení a dopĺňa zákon č. 440/2000 Z. z. o správach finančnej kontroly, § 14 zákona č. 330/2000 Z. z. o burze cenných papierov, § 134 zákona č. 566/2001 Z. z. o cenných papieroch a investičných službách a o zmene a doplnení niektorých zákonov (zákon o cenných papieroch), § 91 až 93 zákona č. 483/2001 Z. z. o bankách a o zmene a doplnení niektorých zákonov, § 24 zákona Slovenskej národnej rady č. 24/1991 Zb. o poisťovníctve v znení neskorších predpisov, § 81 písm. e) a § 240 ods. 5 zákona č. 311/2001 Z. z. Zákonník práce, § 53 ods. 1 písm. e) zákona č. 312/2001 Z. z. o štátnej službe a o zmene a doplnení niektorých zákonov, § 9 ods. 2 písm. b) zákona č. 313/2001 Z. z. o verejnej službe, § 8 zákona č. 367/2000 Z. z., § 80 zákona Národnej rady Slovenskej republiky č. 171/1993 Z. z. v znení neskorších predpisov, § 15 ods. 2 a 3 zákona Národnej rady Slovenskej republiky č. 38/1993 Z. z. o organizácii Ústavného súdu Slovenskej republiky o konaní pred ním a o postavení jeho sudcov.
24)
Napríklad Dohovor o ochrane jednotlivcov pri automatizovanom spracovaní osobných údajov (oznámenie č. 49/2001 Z. z.).
25)
Napríklad § 121 a 122 zákona č. 100/1988 Zb. o sociálnom zabezpečení v znení neskorších predpisov.
26)
Napríklad zákon Národnej rady Slovenskej republiky č. 162/1995 Z. z. v znení neskorších predpisov.
27)
§ 60 zákona Národnej rady Slovenskej republiky č. 350/1996 Z. z. o rokovacom poriadku Národnej rady Slovenskej republiky.
28)
§ 21 ods. 1 a ods. 4 písm. a) zákona Národnej rady Slovenskej republiky č. 303/1995 Z. z. o rozpočtových pravidlách v znení neskorších predpisov.
29)
Zákon č. 312/2001 Z. z.
30)
§ 31 ods. 1 písm. h) zákona č. 241/2001 Z. z.
32)
Napríklad § 178 a 257a Trestného zákona.
33)
Zákon Národnej rady Slovenskej republiky č. 10/1996 Z. z. o kontrole v štátnej správe.
34)
Zákon č. 152/1998 Z. z. o sťažnostiach.
36)
Zákon č. 71/1967 Zb. o správnom konaní (správny poriadok).
